Persónuverndarstefna

PERSÓNUVERNDARSTEFNA

Útfararstofu Kirkjugarðanna ehf

 

I. ALMENNT

Þann 25. maí 2018 tók í gildi reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga. Vegna aðildar Íslands að Evrópska efnahagssvæðinu, voru Íslendingar skuldbundnir til að lögfesta reglurnar og hefur það verið gert með lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Persónuvernd skiptir Útfararstofu Kirkjugarðanna (hér eftir nefnd ÚK) miklu máli og hefur hún rýnt í ákvæði laganna og skilgreint hver þeirra eiga við um meðferð og vernd fyrirtækisins á persónuupplýsingum sem það nýtir í þágu starfsemi sinnar. ÚK hefur í framhaldi af þeirri vinnu tekið upp heildstæða stefnu fyrirtækisins um meðferð og vernd persónuupplýsinga sem birt er hér með. Lögin hafa að geyma reglur sem við gerð stefnu þessarar eru ekki taldar koma til álita vegna starfsemi ÚK, en það skal áréttað að lögin eru ávallt rétthærri ef ákvæði stefnunnar, hvort sem ákvæðin kunna að vera ósamhljóða eða ef þau skortir í stefnuna.

ÚK gætir þess að farið sé í einu og öllu að lögum varðandi vinnslu og vernd persónuupplýsinga látinna einstaklinga á sama hátt og aðstandenda eða annarra viðskiptavina fyrirtækisins.

Stefna þessi tekur til persónuupplýsinga hvort sem þeim er safnað og þær varðveittar með rafrænum hætti, á pappír eða með öðrum sambærilegum hætti. Stefnan tekur til skráningar, vörslu, vinnslu og eyðingar persónuupplýsinga. Stefnan skal ávallt vera aðgengileg á heimasíðu ÚK www.utfor.is Viðskiptavinum skal einnig veittur kostur á að kynna sér stefnuna við pöntun á vöru og þjónustu.

Athygli skal vakin á því að allt efni sem einstaklingur birtir eða deilir á samfélagsmiðlum eru opinberar upplýsingar og á það einnig við um samfélagsmiðla ÚK. Skal þetta að jafnaði haft í huga við lestur og túlkun stefnu þessarar. Þá eru notendur internetsins hvattir til að hafa ávallt í huga að þeir bera sjálfir ábyrgð á þeim upplýsingum sem þeir setja í athugasemdakerfi og við aðra notkun samfélagsmiðla.

 

II. PERSÓNUVERNDARLÖGGJÖF

STEFNA: Útfararstofa Kirkjugarðanna hefur grundvallarreglur persónuverndarlaganna og friðhelgi einkalífs að leiðarljósi við skráningu, vinnslu, varðveislu og eyðingu persónupplýsinga. Sömu reglur gilda um meðferð persónuupplýsinga um hinn látna, aðstandendur og aðra viðskiptavini fyrirtækisins.

Markmið laga um persónuvernd kemur fram í lögunum sjálfum en það er í þeim tilgangi að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópusambandsins. Með stefnu þessari lýsir ÚK því yfir að markmið þetta skuli haft að leiðarljósi við söfnun, vinnslu, meðferð og eyðingu persónuupplýsinga.

Persónuverndarlögin taka m.a. á vinnslu, vörslu og miðlun persónuupplýsinga. Í lögunum sjálfum eru skilgreiningar og orðskýringar sem nota ber við túlkun ákvæða þeirra. Þar er m.a. fjallað um það hvernig einstaklingur getur talist „persónugreinanlegur“, hvað telst til „viðkvæmra persónuupplýsinga“ hvað felst í orðinu „vinnsla“, hvað felst í „samþykki“, hver er ábyrgur fyrir meðferð persónuupplýsinga sem safnað er o.sv.frv.

Persónuupplýsingar eru samkvæmt lögunum upplýsingar sem eru til þess fallnar að  persónugreina einstakling. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnahagslegu, menningarlegu eða félagslegu tilliti. Eftirfarandi upplýsingar teljast m.a. til persónuupplýsinga:

  • Nafn, heimilisfang, símanúmer, kennitala, fæðingardagur, menntun, atvinna
  • Myndir
  • Greiðsluupplýsingar
  • Fótspor eða önnur aukenni á netinu
  • Staðsetningargögn
  • Upplýsingar um það hvaða þjónustu og/eða vörur einstaklingur hefur keypt hvort sem er beint eða í gegnum netið

Til viðkvæmra persónuupplýsinga telst m.a:

  • Kynþáttur / þjóðerni
  • Stjórnmálalegar eða trúarlegar skoðanir, lífsskoðun og aðild að stéttarfélagi
  • Heilsufar
  • Kynhneigð og kynlíf
  • Fjárhagsupplýsingar

Þótt meginregla laganna sé að þau gildi um lifandi einstaklinga, þá mælir ákvæði 3. mgr. 4. gr. um vinnslu persónuupplýsinga látinna einstaklinga og því gætir ÚK þess að farið sé í einu og öllu að lögum varðandi vinnslu og vernd persónuupplýsinga látinna á sama hátt og aðstandenda og annarra viðskiptavina fyrirtækisins.

Persónuverndarlögin kveða á um að aðeins megi afla gagna með samþykki hins skráða einstaklings. Þetta á að sjálfsögðu ekki við um hinn látna sem ÚK er trúað fyrir að annast og bera til grafar, en ÚK lítur svo á að beiðni náins aðstandanda eða eftir atvikum annars aðila um þjónustu sé nægjanlegt samþykki fyrir skráningu hins látna enda lúti hún í öllu sömu reglum um skráningu, vinnslu og aðra meðferð gagna.

ÚK safnar gögnum sem viðskiptavinir senda sjálfviljugir í gegnum heimasíðuna eða sem þeir gefa upp á persónulegum fundum og í viðtölum er varða útfararþjónustuna.

Hægt er að óska eftir afturköllun samþykkis þegar það á við en það má þó ekki brjóta gegn öðrum reglum s.s. reikningsskilalögum, skaðabótalögum o.sv.frv.

Stefna þessi gildir um alla meðferð persónuuplýsinga, óháð því hvernig þeirra er aflað. Þau eiga því jafnt við um þær upplýsingar sem gefnar eru munnlega frá viðskiptavinum, með tölvupósti, á heimasíðu eða á annan hátt.

 

III. ÁBYRGÐ

STEFNA: Útfararstofa Kirkjugarðanna tilnefnir ábyrgðaraðila sem ber ábyrgð á vinnslu persónuupplýsinga og ber jafnframt ábyrgð á því að aðrir starfsmenn séu upplýstir um stefnuna og þekki viðurlög við trúnaðar- og/eða öryggisbresti.

Starfsmenn ÚK skulu vinna með persónuupplýsingar í samræmi við stefnu þessa en framkvæmdastjóri fyrirtækisins ber ábyrgð á að reglur séu settar um meðferð gagnanna, s.s. að skráning og vinnsla þeirra sé samkvæmt lögum og í samræmi við stefnu þessa. 

Framkvæmdastjóri ÚK ber ábyrgð á því að starfsmenn séu upplýstir um stefnuna og e.a. ákvæði laga um persónuvernd. Framkvæmdastjóra ber einnig skylda til að upplýsa starfsmenn um málsmeðferð og viðurlög við öryggisbresti og brotum á stefnunni sem fara skal með sem trúnaðarbrot.

Starfsmenn skulu vera meðvitaðir um skyldur sínar og takmarkanir er kemur að vernd persónuupplýsinga vegna látinna einstaklinga og aðstandenda þeirra, svo og annarra sem hlut kunna að eiga að málum.

 

IV. SÖFNUN OG NOTKUN PERSÓNUUPPLÝSINGA

STEFNA: Útfararstofa Kirkjugarðanna safnar persónuupplýsingum sem eru nauðsynlegur þáttur í starfsemi hennar. Meðalhófsreglu er gætt og einungis þeim upplýsingum safnað sem þjóna tilgangi sínum. ÚK notar fótspor (e. cookies) á heimasíðu sinni www.utfor.is en eingöngu í þeim tilgangi að mæla tölfræðilega umferð um síðuna.

Aðalstarfsemi ÚK er framkvæmd útfara og allt er henni tengist. Skráning persónuupplýsinga er nauðsynlegur þáttur í starfseminni til að unnt sé að veita þá þjónustu sem samið er um. Skráning er framkvæmd með samþykki hins skráða og/eða aðstandenda hins látna. Þegar aðstandendur óska eftir þjónustu ÚK er það oftast í gegnum síma eða á heimasíðu. Um þær persónuupplýsingar sem notandinn gefur, gilda reglur persónuverndarlaganna og stefnu þessarar og er litið á skráningu sem upplýst samþykki. Í viðtölum koma gjarnan fram frekari upplýsingar sem lúta sömu reglum.

Tilgangur skráningar persónuupplýsinga er:

  • Megintilgangur: Að geta lokið við og uppfyllt óskir um kaup á útfararþjónustu og annarri þjónustu henni tengdri.
  • Gæðaeftirlit: Það er fyrirtækinu mikilvægt að fá upplýsingar um ánægju eða umkvartanir viðskiptavina sinna á starfseminni og eru persónuupplýsingar notaðar í þeim tilgangi.
  • Minningartónleikar: ÚK hefur haldið minningartónleika ár hvert þar sem aðstandendum er þakkað fyrir að hafa treyst ÚK fyrir þjónustunni. Til að það sé unnt, þarf að skrá og vinna með persónuupplýsingar.
  • Bókhald: Skráning nauðsynleg vegna bókhalds félagsins og útgáfu reikninga.

ÚK gætir meðalhófs í skráningu og meðferð persónuupplýsinga sem henni er treyst fyrir. Þannig er aðeins safnað þeim persónuupplýsingum sem nauðsynlegar eru til að helga tilganginn. Þessar upplýsingar eru:

  • Nafn, kennitala, dánardagur, dánarstaður og síðasta heimili hins látna.
  • Nafn, kennitala, heimili, símanúmer og netfang kaupanda þjónustunnar og/eða aðstandanda.
  • Í þeim tilvikum sem hinn látni er útlendingur og líkið er flutt til heimalands, er þjóðerni skráð í þeim tilgangi að halda utan um tölfræðilegar upplýsingar varðandi flutning erlendis. Tengslum í skráningu á milli þjóðernis og annarra upplýsinga um hinn látna er eytt þegar verkefninu lýkur og einungis tölfræðilegum upplýsingum um þjóðerni er safnað.

Hver sem er getur skoðað og notað vefsvæði ÚK án þess að gefa upp persónulegar upplýsingar og í þeim tilvikum skilur notandinn ekki eftir sig nokkrar slíkar upplýsingar.

Vefsvæði ÚK notar fótspor (e. cookies). Fótspor eru litlar textaskrár sem geymdar eru í vafra tölvunnar, snjallsímanum eða smátölvunni eða hvaða tæki sem notað er til að heimsækja vefsíðuna. Með fótsporum er hægt að auðkenna tölvur og nettengd tæki, safna upplýsingum um hegðun á vefnum, þ.á.m. hvaða vefsvæði innan heimasíðu viðkomandi heimsækir. Fótspor eru oft notuð til að fylgjast með umferð á vefum, en þau geyma ekki persónuupplýsingar heldur er einungis um að ræða tölfræðilegar upplýsingar. Fótspor eru ekki viðbætur (e. app) og þau senda ekki frá sér vírus.

ÚK notar fótspor til að mæla umferð um síðuna í þeim tilgangi að bæta upplifun notenda o.fl. á vefsíðu fyrirtækisins.

 

V. MIÐLUN

STEFNA: Útfararstofa Kirkjugarðanna selur aldrei persónuupplýsingar af neinu tagi. ÚK miðlar persónuupplýsingum til þriðja aðila í undantekningartilvikum þegar slíkt er nauðsynlegt til að uppfylla samning um þjónstuna eða vegna annara samninga sem tilheyra starfseminni.

ÚK selur aldrei persónuupplýsingar af neinu tagi og hún miðlar persónuupplýsingum til þriðja aðila einungis í eftirfarandi tilvikum:

  • Ósk viðskiptavinar: Að viðskiptavinir hennar hafi óskað eftir milligöngu um aðra þjónustu tengda útför, s.s. vegna blóma eða erfidrykkju. Ef svo ber undir að ÚK veitir blómaverslun upplýsingar, t.d. um nafn og kennitölu, er það blómaverslunin sem ber ábyrgð á vernd þeirra upplýsinga í samræmi við lög um persónuvernd.
  • Aðkoma annarra: Það getur verið að aðrir aðilar sjái um hluta útfararinnar, s.s. kirkjugarðar eða kirkjur sem þurfa að hafa aðgang að persónuupplýsingum. Þá getur verið um aðkeypta þjónustu að ræða, s.s. bókhald, endurskoðun og innheimtu reikninga. Í þeim tilvikum ber þjónustufyrirtækið ábyrgð á meðferð gagnanna en má ekki nota þau vegna annarra verkefna en þeirra sem ÚK hefur samið um og má ekki eyða þeim.
  • Gæða og markaðsstarf. ÚK notar upplýsingar sem safnast vegna umferðar á heimasíðuna www.utfor.is, í tölfræðilegum tilgangi, með vinnsluaðilum sem vinna með henni við gæða- og markaðsstarf. Í þeim tilvikum eru aðeins afhentar þær upplýsingar sem eru nauðsynlegar fyrir þá í framangreindum tilgangi og er þá gerður samningur við þá aðila þar sem þeir undirgangast skyldu um að halda upplýsingunum öruggum og að nota þær einungis í framangreindum tilgangi.

 

VI. ÞRIÐJU AÐILAR

STEFNA: Útfararstofa Kirkjugarðanna ber takmarkaða ábyrgð vegna vinnslu þriðju aðila.

Í þeim tilvikum er ÚK semur við þriðja aðila um hluta veittrar þjónustu, gerir hún samning við þann aðila sem inniheldur ákvæði um skyldur hans á að fara að reglum persónuverndarlaganna. Í samningi skulu vera ákvæði um viðurlög, sé ekki farið að lögum. Ábyrgð ÚK er takmörkuð við gerð slíks samnings og að brugðist sé við brotum á sama hátt og þau væru innan fyrirtækisins.

Persónuverndarstefna ÚK nær ekki til upplýsinga eða vinnslu þriðju aðila enda ber ÚK enga  ábyrgð á vinnslu þeirra á persónuupplýsingum. Þetta getur t.d. átt við ef ÚK hefur að ósk viðskiptavina sinna veitt blómaverslun persónulegar upplýsingar vegna pöntunar á blómum.

 

VII. VERNDUN,  ÖRYGGISBRESTIR OG TILKYNNINGASKYLDA

STEFNA: Útfararstofa Kirkjugarðanna gerir öryggisráðstafanir til að tryggja öryggi persónuupplýsinga sem skráðar hafa verið hjá fyrirtækinu. Útfararstofan fer að ákvæðum laga ef öryggisbrestir verða, m.a. á tilkynningaskyldu.

Í þeim tilgangi að vernda allar persónuupplýsingar sem skráðar eru hjá ÚK, eru ávallt gerðar tæknilegar og skipulagslegar öryggisráðstafanir í samstarfi við viðurkennd fyrirtæki á sviði tækni og hugbúnaðar. Tryggja skal að ekki sé hætta á að óviðkomandi aðilar komist í persónuupplýsingar sem ÚK hefur yfir að ráða, þær skaðist ekki eða glatist og að þeir sem hafa gilda og réttmæta ástæðu til komist í upplýsingarnar.

Ef upp koma öryggisbrestir, skal viðeigandi einstaklingi tilkynnt um slíkt án tafar. Öryggisbrestir eru sérstaklega skilgreindir í lögunum um vernd persónuupplýsinga sem „brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi“. Þetta getur t.d. átt við ef upplýsingar sem leynt skulu fara eru birtar fyrir mistök.

Ákvæði persónuverndarlaganna um upplýsingaskyldu vegna persónuverndarlaganna er nýmæli en sambærilegar reglur var ekki að finna í eldri löggjöf. Megintilgangur reglnanna er að veita einstaklingum upplýsingar um þau úrræði sem þeir geta gripið sér til verndar. Ekki þarf þó að upplýsa einstaklinga um alla öryggisbresti. Ef líklegt er að öryggisbresturinn hafi í för með sér áhættu fyrir réttindi og frelsi einstaklinga skal hann tilkynntur en takist að grípa til aðgerða, fellur tilkynningaskyldan niður. Í þeim tilvikum sem það kann að vera talið of íþyngjandi að senda hverjum og einum hinna skráðu tilkynningu um öryggisbrest, einkum ef um mikinn fjölda einstaklinga er að ræða og er þá hægt að birta almenna tilkynningu um öryggisbrestinn.

Á það skal bent að gagnaflutningur á internetinu er aldrei fullkomlega öruggur. Notendum heimasíðu ÚK svo og öðrum viðskiptavinum er því bent á að láta framkvæmdastjóra fyrirtækisins umsvifalaust vita ef þeir telja hættu á að tilteknar upplýsingar sem þeir hafa gefið séu í hættu eða grunur sé um að notkun þeirra sé andstæð lögum eða stefnu þessari.

 

VIII. VARÐVEISLA

STEFNA: Útfararstofa Kirkjugarðanna skráir persónuupplýsingar eins áreiðanlegar og unnt er og uppfærir þær eftir þörfum. Útfararstofan gætir meðalhófs og varðveitir aðeins þær upplýsingar sem nauðsynlegar eru vegna tilgangs varðveislunnar.

ÚK reynir eftir fremsta megni að halda persónuupplýsingum nákvæmum og áreiðanlegum og uppfærir þær eftir þörfum. Eftir að samskipti ÚK og viðskiptavinar lýkur vegna þess að báðir aðilar hafa innt af hendi skyldur sínar, eru einungis varðveittar þær persónuupplýsingar sem nauðsynlegar eru vegna tilgangs vinnslunnar og lögum samkvæmt má varðveita. Persónuupplýsingar eru varðveittar hjá ÚK í allt að sjö ár en það er sá tími sem skv. lögum er skylt að varðveita bókhaldsgögn.  Aðrar upplýsingar en þær sem nauðsynlegar eru til að uppfylla lagalegar eða aðrar bókhaldslegar skyldur eru varðveittar í 5 ár og skemur ef þess er óskað af einstaklingi sem upplýsingarnar eru um eða að ósk náins aðstandanda látins einstaklings.

 

IX. FREKAR UM RÉTTINDI HINS SKRÁÐA AÐILA

STEFNA: Útfararstofa Kirkjugarðanna gætir réttinda viðskiptavina sinna og veitir þeim upplýsingar ef þess er óskað um skráðar persónuupplýsingar í samræmi við ákvæði persónuverndarlaganna.

Með ákvæðum persónuverndarlaganna um rétt til aðgangs að persónuupplýsingum er miðað við að rétturinn sé sambærilegur þeim sem tryggður er með 15. gr. stjórnsýslulaga nr. 37/1993 og 5. gr. upplýsingalaga nr. 140/2012.

Allir þeir sem vilja fá upplýsingar um það hvort og hvernig þeir eru skráðir hjá ÚK geta fengið þær upplýsingar með því að senda skriflega fyrirspurn á netfangið utfor@utfor.is eða með því að skrifa beint til framkvæmdastjóra fyrirtækisins sem er ábyrgðaraðili fyrir persónuverndarstefnunni. Þær upplýsingar sem m.a. er hægt er að óska eftir eru:

  • Hvaða persónuupplýsingar eru skráðar og í hvaða tilgangi þær voru skráðar. Skráður einstaklingur getur fengið persónuupplýsingar um sjálfan sig afhentar á aðgengilegu formi og hann getur einnig átt rétt á að fá þær sendar til þriðja aðila.
  • Að fá upplýsingar um það hvernig persónuupplýsingar eru unnar og hversu lengi er fyrirhugað að varðveita þær.

Þá hafa einstaklingar rétt á:

  • að fá persónuupplýsingar um sjálfan sig uppfærðar og leiðréttar.
  • að fá persónuupplýsingum um sjálfan sig eytt, ef ekki er lengur málefnaleg ástæða til að varðveita þær.
  • að afturkalla samþykki sitt til vinnslu og meðferðar persónuupplýsinga um sig. Þessi réttur er háður ýmsum takmörunum, t.d. ef um er að ræða nauðsynlegar upplýsingar vegna reikningagerðar eða bókhalds.

Beiðni skv. ofangreindu verður tekin til greina og upplýsingarnar afhentar, þegar það á við, innan hæfilegs tíma og í mesta lagi innan mánaðar, þó með þeim takmörkunum sem réttindi og frelsi annarra gera, þ.m.t. vegna viðskiptaleyndar og hugverkaréttinda.

Almennt er hægt er að andmæla skráningu, söfnun og varðveislu persónuupplýsinga. Þetta á þó ekki við þegar um er að ræða lögmætar ástæður fyrir vinnslunni sem ganga framar hagsmunum, réttindum og frelsi hins skráða, eða hún er nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur.

 

X. PERSÓNUVERND BARNA

STEFNA: Útfararstofa Kirkjugarðanni skráir einungis upplýsingar um nafn látins barns, fæðingardag, dánardag og dánarstað.

Reglur um persónuvernd barna koma til álita varðandi starfsemi ÚK þegar andlát barna ber að höndum. Í þeim tilvikum er nafn barnsins, fæðingardagur, dánardagur og dánarstaður skráður samkvæmt upplýsingum sem foreldrar eða aðrir aðstandendur gefa upp. Aðrar upplýsingar eru ekki skráðar um hið látna barn. Upplýsingar um þann sem óskar þjónustu vegna útfarar látins barns eru skráðar og lúta sömu reglum og gildir um aðra sem óska þjónustu ÚK.

 

XI. BREYTINGAR

STEFNA: Útfararstofa Kirkjugarðanna uppfærir persónuverndarstefnu sína reglulega og hvetur viðskiptavini til að kynna sér réttindi sín vegna skráningar persónuupplýsinga.

Persónuverndarstefnan er endurskoðuð reglulega og kann því að taka breytingum. Öllum sem er annt um að þekkja réttindi sín vegna skráningu persónuupplýsinga um sig hjá ÚK er bent á að kynna sér hana og þær breytingar sem hún kann að taka. Breytingar á stefnunni öðlast gildi við birtingu á heimasíðu fyrirtækisins www.utfor.is.

Öllum fyrirspurnum og athugasemdum um persónuverndarstefnuna er tekið fagnandi.

 

 

Samþykkt af framkvæmdastjóra og stjórn Útfararstofu Kirkjugarðanna þann 22. maí 2019