Um vinnslu persónuupplýsinga um verktaka og starfsfólk þeirra á grundvelli persónuverndarstefnu OR og dótturfélaga.
Orkuveita Reykjavíkur og dótturfélög hennar starfa skv. lögum nr. 136/2013 um Orkuveitu Reykjavíkur. Fyrirtækin stunda vinnslu, framleiðslu og sölu raforku og heits og kalds vatns og gufu og rekstur grunnkerfa, svo sem dreifiveitu rafmagns, hitaveitu, vatnsveitu, fráveitu og ljósleiðara, auk annarrar starfsemi sem hefur sambærilega stöðu. Hjá samstæðu OR starfar fjölbreyttur hópur starfsfólks í margvíslegum störfum og kemur hver og einn að því að veita viðskiptavinum umsamda vöru og þjónustu.
Í sumum tilvikum nýtir OR sér aðstoð verktaka í þágu ýmissa verkefna á vegum samstæðu OR. Gagnvart verktaka og starfsfólki verktaka ábyrgist OR að öll vinnsla persónuupplýsinga af hálfu fyrirtækisins samræmist Stefnu um upplýsingaöryggi og persónuvernd (STE-050), lögum um persónuvernd og vinnslu persónuupplýsinga og reglum sem settar eru samkvæmt þeim. Í skjali þessu sem sett er til fyllingar stefnunni er að finna upplýsingar og fræðslu um þau atriði sem OR ber að veita vegna öflunar og vinnslu persónuupplýsinga um verktaka og starfsfólk þeirra.
Tilgangur með vinnslu persónuupplýsinga um verktaka og starfsfólk þeirra lýtur aðallega að skyldum verktaka gagnvart OR. Að meginstefnu er verið að vinna með persónuupplýsingar um starfsfólk verktaka vegna verksamningsgerðar þ.e. mat tilboða, hæfismats, undirritunar samnings og upplýsingar um tengiliði verktaka.
Tilgangurinn er aðallega sá að tryggja að verktaki uppfylli lög- og samningsbundnar kröfur sem gerðar eru til hans. Þar á meðal að hann uppfylli tiltekin hæfisskilyrði og/eða matsþætti vegna réttinda eða menntunar starfsfólks sem OR setur á grundvelli laga nr. 120/2016 um opinber innkaup, skyldur sínar gagnvart OR skv. samningi aðila og öðrum lögbundnum kröfum sem gerðar eru til verktaka. Þannig þarf verktaki að uppfylla skyldur sínar gagnvart starfsfólki sínu, t.d. vegna greiðslu launa, lífeyrisgreiðslna, greiðslna til stéttarfélaga og staðgreiðslu opinberra gjalda. Jafnframt er unnið með persónuupplýsingar til að tryggja að samningar berist réttum einstaklingum til undirritunar og að samskipti fari í gegnum rétta aðila.
OR ábyrgist að persónuupplýsingar um vertaka og starfsfólk þeirra verði ekki notaðar í öðrum tilgangi en þeim sem afmarkaður er hér að framan nema með fullri vitneskju starfsmanns og fullnægjandi heimild samkvæmt persónuverndarlögum
Vinnsla persónuupplýsinga um starfsfólk er einkum nauðsynleg vegna framkvæmdar og gerðar verksamnings milli OR og verktaka, felur það t.d. í sér mat tilboða, hæfismats, undirritunar samnings og upplýsingar um tengiliði verktaka.
OR safnar einkum og vinnur úr eftirfarandi upplýsingum um verktaka og starfsfólk þeirra.
* Nafni.
* Kennitölu.
* Netfangi.
* Símanúmeri.
* Upplýsingar vegna tæknilegrar og faglega getu verktaka.
Í undantekningartilvikum er unnið með eftirfarandi upplýsingar:
* Upplýsingar um fyrri háttsemi vertaka, einkum hvort vertaki, stjórn eða helstu eigendur verktakans hafi áður:
* Fjárhagsstöðu verktaka, svo sem t.d. meðalveltu og eiginfjárhlutfall verktaka.
* Upplýsingar um að verktaki sé í skilum við lífeyrissjóði starfsmanna sinna og ríkissjóð.
* Upplýsingar um viðskiptasögu stjórnenda og helstu eigenda verktaka.
OR safnar einkum og vinnur úr eftirfarandi upplýsingum um starfsfólk verktaka.
* Nafn.
* Kennitölu.
* Upplýsingar um menntun og reynslu starfsfólks verktaka, t.d. hvort þau hafi tilskilin réttindi
Upplýsingar um verktaka og starfsfólk þeirra eru vistaðar hjá OR eða á vegum fyrirtækisins innan EES. Þær eru ekki afhentar þriðja aðila nema á grundvelli lagaheimildar eða lagaskyldu, stjórnvaldsfyrirmæla, dómsúrskurðar, vinnslusamnings, samkomulags sameiginlegra ábyrgðaraðila, lögmætra hagsmuna starfsfólks eða OR eða samþykkis þess aðila er persónuupplýsingarnar varða.
OR vistar persónuupplýsingar í þann tíma sem lög gera ráð fyrir og nauðsynlegt er m.v. tilgang vinnslunnar. Þar sem OR er í eigu opinberra aðila lýtur fyrirtækið lögum um opinber skjalasöfn og ber því varðveislu- og skilaskyldu samkvæmt þeim. Eru fyrirtækinu því ákveðnar hömlur settar hvað eyðingu gagna varðar. Þeim gögnum sem heimild stendur til að eytt verði skv. sérstöku leyfi Borgarskjalasafns verður eytt í samræmi við veitta heimild hverju sinni.
Aðili hefur rétt til að andmæla söfnun OR á persónuupplýsingum telji hann að hún samræmist ekki tilgangi hennar, meðalhófs sé ekki gætt eða ef hann telur að ná megi sama tilgangi með vægari hætti.
Aðili getur þá óskað eftir því að fá upplýsingar um þá vinnslu sem á sér stað hjá OR um hann enda standi hagsmunir annarra ekki í vegi fyrir því. Þá hefur hann rétt til aðgangs að upplýsingunum og til að fá afrit af þeim. Beiðni þar um skal afgreidd eins fljótt og auðið er og ekki síðar en innan mánaðar frá móttöku beiðni þar um.
Aðili kann að eiga rétt á að krefjast þess að rangar, villandi eða ófullkomnar persónuupplýsingar um hann verði leiðréttar og eða þeim eytt.
Vilji aðili koma andmælum, kvörtun eða athugasemdum á framfæri vegna vinnslu persónuupplýsinga skal henni beint að tengilið verktaka innan OR eða stjórnanda þeirra einingar sem ábyrg er fyrir vinnslunni hverju sinni. Sé ekki brugðist við af hálfu viðkomandi einingar getur aðili leitað til persónuverndarfulltrúa samstæðu OR, personuverndarfulltrui@or.is.
Einnig er heimilt að bera vinnslu persónuupplýsinga undir Persónuvernd (www.personuvernd.is)
OR ber ábyrgð á áreiðanleika upplýsinga og að upplýsingar um verktaka eða starfsfólk hans séu ávallt upp-færðar í samræmi við tilkynningar hans og/eða þeirra þar um og að teknu tilliti til tilgangs vinnslunnar.
Verktaki eða starfsmaður hans sem um ræðir ber ábyrgð á að upplýsa OR um breytingar sem gera þarf á upplýsingum um hann.
OR tryggir öryggi persónuupplýsinga með tæknilegum og skipulagslegum ráðstöfunum. Um þær ráðstafanir er fjallað nánar í Upplýsingaöryggisstefnu OR og viðeigandi leiðbeiningaskjölum í rekstrarhandbók OR.
Aðgangur að þeim persónuupplýsingum sem hér um ræðir er takmarkaður við það starfsfólk OR, sem nauðsynlega þurfa slíkan aðgang til að ná fram tilgangi vinnslunnar. Starfsfólk OR er upplýst og meðvitað um skyldu þeirra til að viðhalda trúnaði og öryggi persónuupplýsinga sem það hefur aðgang að. Trúnaður og þagnarskylda gildir áfram þótt látið sé af störfum.
Stjórnunarkerfi upplýsingaöryggis er byggt upp samkvæmt ÍST ISO/IEC 27001:2017 staðlinum. Öryggisráðstafanir í starfsemi OR eru innleiddar í samræmi við staðalinn. Stjórnunarkerfið er vottað af faggiltum vottunaraðila (BSI).
Að öðru leyti en kveðið er á um hér að framan fer um meðferð persónuupplýsinga skv. lögum um persónuvernd og vinnslu persónuupplýsinga, og ráðstöfunum sem innleiddar eru á grundvelli hennar. Hún er aðgengileg á vefsvæði fyrirtækisins www.or.is
Persónuverndarfulltrúi OR er Hörður Helgi Helgason, lögmaður á Landslögum, Borgartúni 26, 105 Reykjavík, Sími 520-2900, personuverndarfulltrui@or.is.
STE-050; Stefna um upplýsingaöryggi og persónuvernd. STE-150; Stefna Veitna um upplýsingaöryggi og persónuvernd. STE-250: Stefna ON um upplýsingaöryggi og persónuvernd. STE-350; Stefna Ljósleiðarans um upplýsingaöryggi og persónuvernd. STE-450; Stefna Carbfix um upplýsingaöryggi og persónuvernd.