Per­sónu­vernd

Markmið Seðlabanka Íslands er að haga vinnslu persónuupplýsinga á vegum bankans í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Seðlabankinn ber ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við lög og reglur og gerir viðeigandi ráðstafanir til að tryggja að svo sé.

Persónuverndarstefna þessi byggir á ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og á ákvæðum reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.

Persónuverndarstefna þessi gildir um alla vinnslu Seðlabankans á persónuupplýsingum og nær til allra einstaklinga sem bankinn kann að vinna persónuupplýsingar um, m.a. starfsmanna viðskiptamanna og eftirlitsskyldra aðila, ráðgjafa eða verktaka sem starfa fyrir eða á vegum bankans, þeirra sem eiga í hvers kyns samskiptum við bankann, heimsækja hann eða vefi hans, starfsmanna bankans sjálfs o.fl.

Stefnan gildir jafnt um persónuupplýsingar sem einstaklingar hafa sjálfir veitt Seðlabanka Íslands og um persónuupplýsingar sem bankinn hefur aflað frá þriðja aðila. Persónugreinanlegar upplýsingar geta ýmist verið vistaðar rafrænt eða á pappír, en persónuverndarstefna þessi gildir bæði um rafræna og handvirka vinnslu persónuupplýsinga.
Persónuverndarstefna þessi tekur aðeins til einstaklinga en ekki lögaðila.

Til persónuupplýsinga teljast hvers kyns upplýsingar sem má nota til að persónugreina einstaklinga beint eða óbeint. Með vinnslu persónuupplýsinga er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, varðveisla, framsending, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun eða eyðing.

Seðlabankinn leggur áherslu á að vanda til vinnslu persónuupplýsinga og að þær séu áreiðanlegar og réttar.

Seðlabankinn telst í flestum tilvikum vera ábyrgðaraðili samkvæmt lögum nr. 90/2018 þegar kemur að vinnslu persónuupplýsinga. Í því felst að Seðlabankinn ákveður, einn eða í samvinnu við aðra, í flestum tilfellum vinnsluaðila, tilgang og aðferðir við vinnslu persónuupplýsinga.

Seðlabankinn tekur við gögnum og upplýsingum frá bæði einstaklingnum sjálfum og utanaðkomandi aðilum, t.d. stjórnvöldum, eftirlitsstofnunum, viðskiptamönnum bankans, eftirlitsskyldum aðilum o.fl., vegna vinnslu sinnar á persónuupplýsingum, og berast upplýsingarnar ýmist með bréfpósti, tölvupósti, símleiðis, í gegnum tölvukerfi, vefgáttir bankans o.fl.

Seðlabankinn leggur sig fram um að gæta að meginreglum laga nr. 90/2018:

• Lögmætisreglan: persónuupplýsingar skulu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.
• Tilgangsreglan: persónuupplýsingar skulu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi.
• Meðalhófsreglan: persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
• Áreiðanleikareglan: persónuupplýsingar skulu vera áreiðanlegar og uppfærðar eftir þörfum.
• Varðveislureglan: persónuupplýsingar skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu.
• Öryggisreglan: persónuupplýsingar skulu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.

Þá skal bankinn, sem ábyrgðaraðili, ávallt geta sýnt fram á að vinnsla persónuupplýsinga af hans hálfu uppfylli skilyrði laga nr. 90/2018.

Á grundvelli laga nr. 92/2019 um Seðlabanka Íslands skal bankinn m.a. stuðla að stöðugu verðlagi, fjármálastöðugleika og traustri og öruggri fjármálastarfsemi. Þá skal bankinn sinna viðfangsefnum sem samrýmast hlutverki hans sem seðlabanka, svo sem að varðveita gjaldeyrisforða og stuðla að virku og öruggu fjármálakerfi, þ.m.t. greiðslumiðlun í landinu og við útlönd. Við framkvæmd þessara lögbundnu verkefna Seðlabankans er ýmis vinnsla persónuupplýsinga nauðsynleg, m.a. móttaka, vistun, greining og úrvinnsla gagna. Sú vinnsla skal þó aldrei vera umfram það sem telst nauðsynlegt og viðeigandi með hliðsjón af tilgangi vinnslunnar.

Þá getur falist vinnsla persónuupplýsinga í eftirliti og eftirfylgni Seðlabankans á grundvelli laga nr. 92/2019, laga nr. 70/2021 um gjaldeyrismál, laga nr. 87/1998 um opinbert eftirlit með fjármálastarfsemi, laga nr. 161/2002 um fjármálafyrirtæki og reglum settum á grundvelli þeirra.

Meðal annarra verkefna Seðlabankans, sem geta falið í sér vinnslu persónuupplýsinga, eru móttaka og meðferð innsendra erinda, samskipti við viðskiptamenn Seðlabankans, eftirlitsskylda aðila og stjórnvöld, hljóðritun símtala með tilliti til viðskipta- og öryggissjónarmiða, myndbandseftirlit öryggisvarða, ráðningarmál, skráning utanaðkomandi á póstlista hjá bankanum, notkun samfélagsmiðla og vefspora o.fl.

Seðlabankinn vinnur tilteknar persónugreinanlegar upplýsingar um starfsmenn sína, m.a. í tengslum við gerð ráðningarsamninga, launavinnslu, viðveru starfsmanna á starfsstöð, aðgangsstýringar að húsnæði bankans, regluvörslu, hljóðritun símtala og myndbandseftirlit, sbr. ofangreint, rekstur innri vefs, netöryggi, vistun tölvupósta og snarspjalla, rekstur handtækja starfsmanna, starfsþróun og starfslok.

Seðlabankinn leggur ríka áherslu á öryggi við vinnslu persónuupplýsinga og gerir viðeigandi tæknilegar og rekstrartengdar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli lagalegar kröfur. Þessar ráðstafanir lúta m.a. að öryggi upplýsinga og stöðugleika í rekstri net- og upplýsingakerfa hjá bankanum.

Seðlabankinn tryggir að vinnsla bankans á persónuupplýsingum, þ.m.t. vistun og önnur varðveisla, sé í samræmi við ákvæði laga nr. 90/2018. Persónuupplýsingar eru ýmist geymdar í tölvukerfum bankans, í hýsingu hjá þjónustuaðilum, á pappír í læstum skjalaskápum, á póstþjónum og gagnagrunnum bankans, eða á spólum vegna töku afrita.

Seðlabankinn lætur ekki persónuupplýsingar af hendi til þriðja aðila, t.d. stjórnvalda, eftirlitsaðila, löggæsluyfirvalda, viðskiptamanna bankans, eftirlitsskyldra aðila, vinnsluaðila í þjónustu bankans eða annarra nema í undantekningartilvikum þegar bankinn telur slíkt nauðsynlegt og eiga rétt á sér, m.a. í þeim tilgangi að svara beiðnum og fyrirspurnum, til verndar og tryggingar starfsemi Seðlabankans og til að sinna eftirliti á grundvelli laga.

Í tengslum við ráðningarsamband Seðlabankans og starfsmanna er nauðsynlegt að bankinn miðli tilteknum persónuupplýsingum um starfsmenn til þriðja aðila, t.d. viðskiptabanka starfsmanna, stéttarfélaga og lífeyrissjóða.

Seðlabankinn hvorki miðlar né selur persónuupplýsingar til þriðja aðila í markaðstengdum tilgangi.

Í lögum nr. 90/2018 er kveðið á um ýmis réttindi skráðra einstaklinga, m.a. um rétt til fræðslu, upplýsinga og aðgangs að persónuupplýsingum um sig. Þá er í lögunum jafnframt mælt fyrir um rétt skráðra einstaklinga til leiðréttingar, eyðingar, flutnings eigin gagna o.fl. Þessi réttindi kunna þó að vera háð takmörkunum sem leiða má af lögum, hagsmunum annarra sem upplýsingarnar varða eða mikilvægum hagsmunum Seðlabankans, t.d. viðskipta- eða öryggishagsmunum bankans. Skráður einstaklingur verður að sanna á sér deili þegar hann óskar eftir að neyta réttinda sinna samkvæmt lögum nr. 90/2018.

Seðlabankinn er afhendingarskyldur aðili í skilningi laga nr. 77/2014 um opinber skjalasöfn sem taka til allra upplýsinga, óháð formi, í vörslu bankans. Sem afhendingarskyldum aðila er Seðlabankanum óheimilt að eyða skjölum úr skjalasafni sínu nema að fenginni heimild þjóðskjalavarðar, sbr. 24. gr. laganna.

Seðlabankinn leggur áherslu á að tryggja örugga og ábyrga meðferð persónuupplýsinga. Þagnarskylda á grundvelli laga nr. 92/2019 hvílir á öllum starfsmönnum sem koma að vinnslu persónuupplýsinga og eru þeir upplýstir um skyldu þeirra til að viðhalda trúnaði og öryggi svo tryggt sé að unnið sé með persónuupplýsingar á löglegan og ábyrgan hátt.

Seðlabankinn hefur skipað persónuverndarfulltrúa í samræmi við ákvæði laga nr. 90/2018. Persónuverndarfulltrúi er sjálfstæður og óháður í starfi sínu innan Seðlabankans og fellur starf hans beint undir seðlabankastjóra. Hlutverk persónuverndarfulltrúa Seðlabankans er m.a. að fylgjast með að farið sé eftir ákvæðum laga nr. 90/2018 í starfsemi bankans, veita ráðgjöf varðandi mat á áhrifum á persónuvernd og vera tengiliður bankans gagnvart Persónuvernd.

Persónuvernd annast eftirlit með framkvæmd laga nr. 90/2018 og hefur sérhver skráður einstaklingur, eða fulltrúi hans, rétt til að leggja fram kvörtun hjá stofnuninni ef hann telur að vinnsla persónuupplýsinga í Seðlabankanum um hann brjóti í bága við lög. Seðlabankinn skal, að fenginni beiðni Persónuverndar, hafa samvinnu við stofnunina við framkvæmd verkefna hennar.

Breytingar á persónuverndarstefnu
Seðlabankinn áskilur sér allan rétt til að gera breytingar á persónuverndarstefnu þessari
eftir því sem þörf krefur.
Breytingar á persónuverndarstefnu þessari skulu auglýstar sérstaklega á heimasíðu
Seðlabankans (www.sedlabanki.is) og einnig á innri vef starfsmanna bankans.

Fyrirspurnir, athugasemdir og ábendingar
Fyrirspurnum, athugasemdum og ábendingum um persónuverndarstefnu þessa eða vinnslu
Seðlabankans á persónuupplýsingum að öðru leyti skal beina til persónuverndarfulltrúa
bankans með bréfpósti til bankans, tölvupósti á netfangið personuvernd@sedlabanki.is eða
í síma 569-9600.

Seðlabankinn áskilur sér allan rétt til að gera breytingar á persónuverndarstefnu þessari eftir því sem þörf krefur. Breytingar á persónuverndarstefnu þessari skulu auglýstar sérstaklega á heimasíðu Seðlabankans (www.sedlabanki.is) og einnig á innri vef starfsmanna bankans.

Fyrirspurnir, athugasemdir og ábendingar
Fyrirspurnum, athugasemdum og ábendingum um persónuverndarstefnu þessa eða vinnslu
Seðlabankans á persónuupplýsingum að öðru leyti skal beina til persónuverndarfulltrúa
bankans með bréfpósti til bankans, tölvupósti á netfangið personuvernd@sedlabanki.is eða
í síma 569-9600.

Fyrirspurnum, athugasemdum og ábendingum um persónuverndarstefnu þessa eða vinnslu Seðlabankans á persónuupplýsingum að öðru leyti skal beina til persónuverndarfulltrúa bankans með bréfpósti til bankans, tölvupósti á netfangið personuvernd@sedlabanki.is eða í síma 569-9600.