BlackSimpleBeautifulNatureEmailHeader

Persónuverndarstefna Hinnar Íslensku Drúídreglu

Hin Íslenska Drúídregla er sjálfstætt félag karlmanna úr öllum hópum þjóðfélagsins sem hefur mannrækt að markmiði. Í tengslum við starf og rekstur Hinnar Íslensku Drúídreglu kann félaginu að vera skylt og nauðsynlegt að safna, skrá, nota og varðveita persónuupplýsingar um félagsmenn, maka þeirra og í ákveðnum tilvikum um aðra einstaklinga.

Persónuupplýsingar teljast allar persónugreinanlegar upplýsingar um skráðan einstakling eða upplýsingar sem hægt er að nota til að persónugreina einstakling, beint eða óbeint, af upplýsingunum einum og sér eða með frekari gögnum. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

Öll vinnsla persónuupplýsinga sem tengist starfi Hinnar Íslensku Drúídreglu á einn eða annan hátt fer fram í samræmi við gildandi lög og reglur um persónuvernd, sbr. lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlögin“).

Persónuverndarstefnunni er ætlað að veita almenna fræðslu þannig að tryggt sé að félagsmenn og aðrir einstaklingar séu upplýstir um það hvernig félagið safnar, skráir, vistar og varðveitir persónuupplýsingar og hvernig einstaklingur getur neytt réttar síns á grundvelli persónuverndarlaganna. Félagið mun þó einnig leitast við að veita frekari fræðslu til einstaklinga eftir þörfum í tengslum við fyrirspurnir sem berast um persónuvernd og meðhöndlun persónuupplýsinga. Fyrirspurnum má beina á netfangið: eða senda bréfpóst til: Hin Íslenska Drúídregla, Þarabakka 3, 109 Reykjavík, Ísland.

1. Um hverja safnar félagið persónuupplýsingum?

Vinnsla persónuupplýsinga um félagsmenn:

  • Algengast er að félagið safni og móttaki persónuupplýsingar beint frá félagsmönnum sjálfum og er þá einna helst um að ræða persónuupplýsingar sem skilgreinast sem auðkennis- og samskiptaupplýsingar, s.s. nafn, kennitala, heimilisfang, netfang og símanúmer. Við viðbótar er skráð hvaða stúku viðkomandi félagsmaður tilheyrir og eðli starfa innan félagsins ef einhver eru. Félagsmönnum er ætíð heimilt að hafna því að afhenda persónuupplýsingar þegar eftir því er leitað. Félagið kann einnig að safna persónuupplýsingum í formi ljósmynda af félagsmönnum, s.s. í tengslum við útgáfu félagatals, við viðburði og samkomur sem félagsskapurinn stendur fyrir.
  • Skráðar upplýsingar eru m.a. nýttar í eftirfarandi tilgangi: til að halda utan um félagatal, í tengslum við fundaþátttöku og aðra þátttöku í samkomum eða viðburðum sem félagsskapurinn stendur fyrir, í tengslum við innheimtu og greiðslu félagsgjalda og annarra þátttökugjalda eftir því sem við á, til þess að senda afmarkaðar upplýsingar sem tengjast félaginu á netfang einstakra félaga eða á tiltekinn afmarkaðan hóp félaga sem tilheyra sömu stúku.

Vinnsla persónuupplýsinga um aðra en félagsmenn:

  • Félaginu getur einnig verið nauðsynlegt að safna og meðhöndla persónuupplýsingar um aðra einstaklinga en félagsmenn, s.s. auðkennis- og samskiptaupplýsingar um maka félagsmanna þannig að hægt sé að senda þeim upplýsingar um samkomur sem þeir eiga kost á að sækja, um aðra sem sinna ákveðnu verki eða þjónustu í þágu félagsins og um gesti sem koma inn í húsnæði félagsins.

Vinnsla persónuupplýsinga um starfsmenn félagsins:

  • Félaginu er skylt og nauðsynlegt að safna, vinna og varðveita ýmsar persónuupplýsingar um launaða starfsmenn þess. Persónuupplýsingar sem unnar eru um starfsmenn félagsins eru eingöngu varðveittar í þann tíma sem ráðningarsamband varir og eftir það í eins langan tíma og nauðsynlegt er hverju sinni eða lög og reglur kveða á um.

Vinnsla persónuupplýsinga um þá sem heimsækja og nota vefsíðuna:

Félagið kann einnig að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíðu félagsins. Slíkum persónuupplýsingum er safnað með notkun á vafrakökum, atvikaskráningu og svipaðri tækni.

Vinnsla persónuupplýsinga í tengslum við rafræna vöktun:

  • Í og við húsakynni félagsins kann að fara fram rafræn vöktun með eftirlitsmyndavélum. Upplýsingarnar eru varðveittar í öryggis- og eignavörsluskyni. Öll notkun slíkra eftirlitsmyndavéla er í samræmi við ákvæði persónuverndarlaga og reglna nr. 837/2006 um rafræna vöktun.  Farið er með allt efni sem safnast við vöktun sem trúnaðarmál. Upplýsingar sem verða til við öryggismyndavélavöktun eru aldrei varðveittar lengur en í 90 daga nema lög heimili eða dómsúrskurður liggi fyrir. Upptökur og gögn sem verða til við rafræna vöktun verða almennt ekki afhentar öðrum en lögreglu og þá aðeins ef um slys eða meintan refsiverðan verknað er að ræða.

2. Heimildir fyrir vinnslu persónuupplýsinga 


Félagið ber ábyrgð á meðhöndlun þeirra persónuupplýsinga sem unnið er með í starfsemi félagsins og telst því ábyrgðaraðili persónuupplýsinganna í skilningi persónuverndarlaganna, þ.e. sá aðili sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga. Félagið vinnur aðeins persónuupplýsingar um einstaklinga á grundvelli heimilda í persónuverndarlögunum og hagar allri vinnslu í samræmi við meginreglur laganna.

Vinnsla almennra persónuupplýsinga fer einungis fram þegar a.m.k. eitt af eftirfarandi skilyrðum laganna er uppfyllt:

  1. Einstaklingur hefur gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða;
  2. Vinnsla persónuupplýsinga telst nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
  3. Vinnsla persónuupplýsina telst nauðsynleg til að uppfylla lagaskyldu;
  4. Vinnsla persónuupplýsinga telst nauðsynleg til að vernda brýna hagsmuni hins skráða einstaklings eða annars einstaklings;
  5. Vinnsla persónuupplýsinga telst nauðsynleg vegna lögmætra hagsmuna félagsins, viðskiptavinar eða annars þriðja aðila, þ.e. þegar hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vega ekki þyngra.

3. Aðgangur að og miðlun persónuupplýsinga

  1. Allir félagsmenn hafa aðgang að félagatali, á rafrænu og prentuðu formi. Aðgangur allra félagsmanna að félagatali á rafrænu formi á heimasíðu félagsins, er háður aðgangsstýringum. Auk þess hafa tilteknir meðlimir félagsins aðgang að félagatali í aðgöngum sínum með aðgangsstýringum. Hver og einn félagi getur séð yfirlit yfir allar upplýsingar sem skráðar eru um hann. Aðgengi að upplýsingum um aðra félaga er takmarkað við almennar upplýsingar. Stjórnandi hverrar stúku hefur rýmra aðgengi að skráðum upplýsingum. Aðeins stjórnendur (yfirstjórn og vefstjóri) hafa aðgang að öllum upplýsingum sem skráðar eru.

Ákveðnir vinnsluaðilar kunna að fá aðgang að persónuupplýsingum í tengslum við þjónustu sem þeir veita félaginu. Slíkir vinnsluaðilar geta ýmist verið þjónustuveitendur eða verktakar sem sinna ákveðinni þjónustu eða vinna ákveðið verk í þágu félagsins en einungis er leitað til vinnsluaðila sem geta veitt nægilegar tryggingar fyrir því að vinnsla persónuupplýsinga og réttindi einstaklinga uppfylli þær kröfur sem persónuverndarlög áskilja. Slík vinnsla byggir ætíð á samningi aðila þar sem vinnsluaðilinn undirgengst þær skyldur að tryggja trúnað og öryggi upplýsinganna og nota þær eingöngu í þeim tilgangi sem getið er um í samningi aðila.

Miðlun persónuupplýsinga á milli starfsmanna félagsins getur verið nauðsynleg en starfsmenn félagsins eru bundir þagnar- og trúnaðarskyldum. Félaginu kann einnig að vera skylt eða nauðsynlegt að miðla persónuupplýsingum til þriðju aðila, sbr. til ákveðinna vinnsluaðila, og þá aðeins þeim persónuupplýsingum sem eru nauðsynlegar vegna tilgangs vinnslunnar. Félagið kann að miðla afmörkuðum persónuupplýsingum úr landi, þ.e. til viðtökulands sem veitir persónuupplýsingum fullnægjandi vernd, sbr. öll lönd innan EES-svæðisins. Persónuupplýsingum er þó aldrei miðlað til landa utan EES-svæðisins.

4. Varðveislutími persónuupplýsinga

Meginhluti þeirra upplýsinga sem safnað er í starfsemi félagsins er geymdur ótímabundið enda hafa þær sögulegt gildi fyrir félagsstarfið. Aðrar upplýsingar eru ekki varðveittar á persónugreinanlegu formi lengur en nauðsynlegt er miðað við upphaflegan tilgang með söfnun þeirra og vinnslu. Félagið framkvæmir reglulega úttekt á varðveislu persónuupplýsinga og er þá þeim persónuupplýsingum eytt sem ekki er lengur þörf á að varðveita eða þær gerðar ópersónugreinanlegar, nema lög krefjist þess að slíkar upplýsingar séu varðveittar í lengri tíma.

5. Réttindi einstaklinga er varða vinnslu persónuupplýsinga

Persónuverndarlög kveða á um og tryggja einstaklingum ákveðin réttindi varðandi meðhöndlun persónuupplýsinga. Félagið virðir réttindi eigenda persónuupplýsinga en eftirtalin réttindi geta þó verið háð takmörkunum sem leiða m.a. af lögum eða hagsmunum annarra sem upplýsingarnar varða.

Í ákveðnum tilvikum eiga einstaklingar meðal annars rétt á að: óska eftir aðgangi að og afriti af persónuupplýsingum, að persónuupplýsingar séu leiðréttar og/eða að þeim sé eytt; að mótmæla og takmarka vinnslu persónuupplýsinga; og að draga til baka samþykki fyrir vinnslu. Vilji einstaklingur leggja fram beiðni er varðar neðangreind réttindi hans skal það gert með því að senda inn formlega persónuverndarbeiðni á netfangið: kanselli@sgdr.is

Berist félaginu formleg persónuverndarbeiðni frá einstaklingum um að neita ofangreindra réttinda upplýsir félagið beiðanda um þær aðgerðir sem gripið verður til, eins fljótt og auðið er í síðasta lagi innan tveggja vikna frá viðtöku hennar. Svo unnt sé að afgreiða slíkar beiðnir er félaginu nauðsynlegt að afla persónuupplýsinga um beiðanda til að tryggja auðkenningu. Formleg afgreiðsla persónuverndarbeiðni getur því ekki hafist fyrr en auðkenning vegna beiðninnar hefur farið fram.

6. Öryggi við meðferð og vinnslu persónuupplýsinga

Félagið hefur einsett sér að tryggja öryggi persónuupplýsinga sem það ber ábyrgð á. Félagið leitast þannig við að grípa til viðeigandi tæknilegra og skipulagslegra ráðstafana til að vernda persónuupplýsingar og tekur í því samhengi tillit til eðlis upplýsinganna sem um ræðir og umfangs. Verði öryggisbrestur, sem hefur í för með sér áhættu fyrir einstaklinga, mun félagið meðhöndla slíkt í samræmi við persónuverndarlögin þannig að tryggt sé að slík tilvik séu tilkynnt með viðeigandi hætti innan þeirra tímamarka sem lög og reglur krefjast.

Ef einstaklingar verða varir við öryggisbrest er varðar persónuvernd og vinnslu persónuupplýsinga eru þeir vinsamlegast beðnir um að láta vita, án ótilhlýðilegrar tafar, með því að senda tölvupóst á netfangið: kanselli@sgdr.is. Dæmi um öryggisbrest sem félagið vill fá vitneskju um er t.d. ef einstaklingur fær sendan tölvupóst sem inniheldur persónuupplýsingar sem eru móttakandanum óviðkomandi.

7. Fyrirspurnir og kvartanir til Persónuverndar

Öllum fyrirspurnum í tengslum við persónuvernd hjá Hinni Íslensku Drúídreglu skal beint í gegnum netfangið kanselli@sgdr.is.

Ef einstaklingur er ósáttur við vinnslu félagsins á persónuupplýsingum og afgreiðslu erinda er hægt að leggja fram kvörtun til Persónuverndar með því að senda tölvupóst á netfangið kanselli@sgdr.is eða með því að senda bréfpóst til: Persónuvernd, Rauðarárstígur 10, 105 Reykjavík, Ísland. Félagið óskar þó eftir því að einstaklingur hafi fyrst samband við skrifstofu félagsins þannig að félagið fái tækifæri til að leysa úr ágreiningi áður en kvörtun er send til Persónuverndar.

8. Endurskoðun

Persónuverndarstefna Hinnar Íslensku Drúídreglu er yfirfarin reglulega til að sjá til þess að hún endurspegli þá vinnslu persónuupplýsinga sem á sér stað á hverjum tíma innan og í tengslum við félagsstarfið og til að tryggja rétta upplýsingagjöf. Efni stefnunnar kann að taka breytingum í samræmi við breytingar á lögum og reglum um notkun og meðferð persónuupplýsinga. Breytingar á stefnunni öðlast gildi við birtingu uppfærðrar stefnur á vefsíðu félagsins: www.druid.is

Desember 2023
Hin Íslenska Drúídregla.