1. Markmið
Traust og áreiðanleg meðferð upplýsinga er grundvallarregla í starfsemi iCert og leggur iCert metnað sinn í að tryggja trúnað við viðskiptavini sína og öryggi við meðferð persónuupplýsinga. Reglur þessar gilda um meðferð iCert á upplýsingum um viðskiptavini sína.
Markmið reglnanna er að stuðla að öruggri og réttmætri meðferð upplýsinga um viðskiptavini, í samræmi við grundvallarsjónarmið um persónuvernd og friðhelgi einkalífs.
Reglur iCert taka mið af ákvæðum laga og reglna sem kunna að mæla fyrir um þagnarskyldu og meðferð og öryggi persónuupplýsinga. Um meðferð persónuupplýsinga gilda ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglur settar á grundvelli þeirra.
2. Gildissvið
Reglurnar gilda fyrir alla starfsmenn, stjórnarmenn, endurskoðendur, ytri aðila og hverja aðra sem taka að sér verk í þágu iCert (hér eftir sameiginlega nefndir starfsmenn). Reglurnar ná til allra upplýsinga í vörslu iCert er varða viðskipta- eða einkamálefni viðskiptavina, á hvaða formi sem slíkar upplýsingar kunna að vera.
3. Vistun upplýsinga um viðskiptavini
iCert vistar allar upplýsingar sem viðskiptavinir veita iCert við upphaf viðskipta og á meðan viðskiptasambandi stendur. Upplýsingar sem iCert kann að fá frá þriðja aðila, t.d. viðskiptavinum viðskiptavina, hagsmunaaðilum eða öðrum aðilum, geta einnig verið vistaðar. Vistun gagna er gerð í samræmi við verklagsreglur iCert um skjölun gagna og lög og reglur og eru eftir atvikum á rafrænu formi eða pappírsformi.
iCert eyðir upplýsingum um viðskiptavini þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða að iCert vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra.
Um upplýsingaöryggi og varðveislu gagna og meðferð upplýsinga hefur iCert sett sér verklagsreglur fyrir skjalastjórn og varðveislu og eyðingu gagna.
4. Þagnarskylda og miðlun upplýsinga
Starfsmenn eru bundnir þagnarskyldu um allt það sem þeir fá vitneskju um við framkvæmd starfa sinna og varðar viðskipta- eða einkamálefni viðskiptavina iCert, nema skylt sé að veita upplýsingar lögum samkvæmt. Þagnarskylda helst þótt látið sé af starfi.
Einungis er heimilt að veita utanaðkomandi aðilum upplýsingar um viðskiptavini iCert ef fyrir liggur skýr lagaheimild og skal koma fram til hvaða upplýsinga heimildin tekur, til hvaða aðila er heimilt að miðla upplýsingum á grundvelli þess og í hvaða tilgangi upplýsingum er miðlað.
Opinberir eftirlitsaðilar, s.s. Samkeppniseftirlitið, lögregla og skattayfirvöld hafa heimild að lögum til að óska eftir upplýsingum um viðskiptamenn iCert og kann iCert að vera skylt lögum samkvæmt að verða við slíkum beiðnum. Við miðlun upplýsinga til þriðja aðila skulu starfsmenn iCert fylgja innri verkferlum og reglum iCert eftir því sem við á. iCert upplýsir viðskiptavini um afhendingu gagna og upplýsinga með skriflegri tilkynningu, að því marki sem gildandi lög leyfa.
5. Öryggisráðstafanir
iCert ber ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við lög og reglur og gerir viðeigandi öryggisráðstafanir til að tryggja að svo sé.
Allar upplýsingar er varða viðskipta- eða einkamálefni viðskiptavina skulu meðhöndlaðar af fyllstu varúð svo að tryggt sé að þær glatist ekki eða komist í hendur óviðkomandi aðila. Sérstök aðgæsla skal viðhöfð við varðveislu þeirra, ljósritun, sendingu, tölvuskráningu og eyðingu.
Rafræn vistun gagna skal vera á öruggum miðli þar sem öryggisráðstafanir eru í samræmi við kröfur hverju sinni. Við val öryggisráðstafana skal taka mið af áhættu af vinnslunni og eðli þeirra gagna sem á að verja.
6. Upplýsingaréttur viðskiptavina
Viðskiptavinir geta óskað eftir afriti af gögnum sem varða viðskipti og þjónustu iCert enda standi lögmætir hagsmunir hans til þess.
Beiðni þar um skal skilað til iCert með skriflegum hætti þar sem fram koma rökstuddar og málefnalegar ástæður fyrir beiðninni. Tekið skal fram að viðskiptavinir eiga ekki rétt á persónugreinanlegum upplýsingum um þá starfsmenn iCert sem unnið hafa með eða haft að aðgang að upplýsingum um viðkomandi viðskiptavin. Við mat á beiðnum leggur iCert til grundvallar sjónarmið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
7. Aðgangur starfsmanna að upplýsingum um viðskiptavini
Heimildir starfsmanna iCert til aðgangs og vinnslu upplýsinga um viðskiptavini iCert ná eingöngu til þess sem nauðsynlegt er starfa þeirra vegna. Þannig er starfsmönnum óheimilt að fletta upp upplýsingum um viðskiptavini úr kerfum iCert nema það sé nauðsynlegt starfa þeirra vegna.
Markmiðum þessum er m.a. náð fram með því að:
- aðgangi að upplýsingum og starfsstöðvum er stýrt, m.a. með úthlutun aðgangs- og lykilorða;
- fræða starfsmenn um ábyrgð sína og skyldur við meðferð upplýsinga um viðskiptavini.
8. Eftirlit
Gæðastjóri iCert hefur eftirlit með að aðgangur starfsmanna að upplýsingum sé í samræmi við þau verkefni sem viðkomandi starfsmaður eða starfseining innan iCert sinnir. Eftirlit þetta skal viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af þeirri áhættu sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af eftirlitinu.
9. Viðurlög
Brot á reglum þessum geta varðað starfsmenn iCert viðurlögum, í formi áminningar eða brottreksturs allt eftir alvarleika brotsins. Þá geta brot varðað viðurlögum samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.