Persónuverndarstefna starfsmanna Samkaupa

Fyrsta útgáfa – 24.09.2018

Samkaup er leiðandi fyrirtæki í viðskiptaháttum, vörugæðum og þjónustu. Gildi Samkaupa, Kaupmennska, Áræðni og Sveigjanleiki, eru leiðarljós í starfi starfsmanna og stjórnenda Samkaupa. Allar ákvarðanir er varða vinnslu persónuupplýsinga hjá Samkaupum eru teknar af lykilstjórnendum og stjórn fyrirtækisins með aðstoð ráðgjafa á sviðum persónuverndarmála.

Með þessari persónuverndarstefnu fyrir starfsfólk vill Samkaup kynna grundvallarstefnu sína í persónuvernd og veita upplýsingar um vinnslu persónuupplýsinga sem fram fer á vegum fyrirtækisins, meðal annars hvaða upplýsingum er safnað og hvers vegna, um öryggisráðstafanir fyrirtækisins, réttindi einstaklinga og hvernig hægt er að hafa samband til að nálgast frekari upplýsingar er varðar persónuvernd hjá Samkaupum.

Þegar unnið er með persónuupplýsingar um starfsmenn í samræmi við persónuverndarstefnu þessa, telst Samkaup vera ábyrgðaraðili í skilningi persónuverndarlaga. Ábyrgðaraðili er sá sem ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga og ber meginábyrgð á öll vinnsla sé í samræmi við meginreglur um persónuvernd og að vinnslan sé byggð á lögmætum heimildum.

Mikilvægt er að lesa persónuverndarstefnuna vel til að öðlast góðan skilning á vinnslu persónuupplýsinga. Athugið að stefna þessi verður endurskoðuð reglulega og getur tekið breytingum eftir því sem tilefni er til og með því markmiði að endurspegla starfsemi Samkaupa og meðferð persónuupplýsinga hjá fyrirtækinu hverju sinni.

Persónuverndarstefna þessi er birt á vef Samkaupa ásamt því að vera aðgengileg starfsmönnum í gegnum innri vef. Hafir þú athugasemdir eða óskir um nánari upplýsingar vegna vinnslu persónuupplýsinga hjá Samkaupum þá er velkomið að hafa samband við næsta yfirmann eða með því að senda tölvupóst á personuvernd@samkaup.is.

Athugið að persónuverndarstefnan er ekki hluti af ráðningarsamningi, heldur til upplýsingar að teknu tilliti til réttar þíns samkvæmt viðeigandi lögum hverju sinni.

Samkaup er umhugsað um persónuvernd og er það markmið fyrirtækisins að öll vinnsla persónuupplýsinga sé í samræmi við gildandi lög og reglur um persónuvernd og vandaða vinnsluhætti með persónuupplýsingar.

Samkaup leggur áherslu á að:

  • Með vinnslu persónuupplýsinga hjá Samkaupum eru gerðar allar nauðsynlegar skipulagslegar og tæknilegar ráðstafanir sem gildandi lög og reglur kveða á um.
  • Vinnsla sem fer fram í þágu Samkaupa sé byggð á gildum vinnslusamningi.
  • Bjóða starfsmönnum Samkaupa upp á stuðning vegna persónuverndar og aðstoðar þegar við á.
  • Tryggt sé að ýtrustu öryggisráðstafanir séu viðhafðar og endurskoðaðar með reglubundnu millibili í samstarfi við vinnsluaðila.
  • Geta sem ábyrgðaraðili uppfyllt kröfur um rétt einstaklinga samkvæmt gildandi lögum.

Samkaup hefur ekki skipað persónuverndarfulltrúa en til að fá nánari upplýsinga er hægt að hafa samband við Samkaup að senda tölvupóst á personuvernd@samkaup.is eða með því að senda bréfpóst á eftirfarandi heimilisfang:

Samkaup hf.
Krossmóa 4
260 Reykjanesbær
Ísland

Samkaup leitast ávallt við að uppfylla skilyrði persónuverndarlaga og er stefna þessi byggð á gildandi persónuverndarlögum, sem og á almennu persónuverndarreglugerðinni.

Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um einstakling, sem beint eða óbeint má rekja til hans. Eftirfarandi getur til dæmis verið persónuupplýsingar:

  • Nafn
  • Kennitala
  • Heimilisfang
  • Símanúmer
  • Raðnúmer snjalltækja
  • Tölvupóstfang
  • Ljósmyndir

Samkvæmt persónuverndarlögum er lögð sérstök áhersla á að aðgát sé sýnd við vinnslu á viðkvæmum tegundum upplýsinga, svo sem upplýsingar um kynþátt, uppruna, stjórnmálaskoðanir, trúarbrögð, heilsufar eða upplýsingar um stéttarfélagsaðild.

Með orðinu vinnsla er átt við allar þær aðgerðir sem eru unnar með persónuupplýsingar, til dæmis söfnun, skráning, flokkun, varðveisla, skoðun, notkun, dreifing og eyðing.

Sem vinnuveitandi vinnur Samkaup ýmsar tegundir persónuupplýsinga um starfsfólk og er fyrirtækið ábyrgðaraðili á þeim upplýsingum. Ólíkum tegundum persónuupplýsinga kann að vera safnað eftir eðli starfsins sem um ræðir og aðstæðum hverju sinni.

Þegar við á eru eftirfarandi persónuupplýsingum safnað og skráðar:

  • Almennar samskiptaupplýsingar, svo sem nafn, heimilisfang, símanúmer og netfang
  • Upplýsingar um nánasta aðstandanda til að nálgast í neyð.
  • Kennitala.
  • Kyn.
  • Upplýsingar um menntun og starfsreynslu.
  • Upplýsingar um skil á gjöldum í lífeyrissjóði.
  • Upplýsingar um laun, orlof og áunnin réttindi.
  • Launaseðlar.
  • Starfsaldur.
  • Starfsstöð.
  • Upptökur úr öryggismyndavélum í verslunum.
  • Upplýsingar sem verða til í tengslum við ágreiningsmála.
  • Upplýsingar sem verða til við rafrænt eftirlit á starfsstöðvum.
  • Ljósmyndir.
  • Upplýsingar sem verða til við notkun facebook for work.
  • Aðrar upplýsingar sem starfsmaður lætur Samkaupum í té.

Þegar við á vinnur Samkaup eftirfarandi viðkvæmar persónuupplýsingar um starfsfólk:

  • Heilsufarsupplýsingar sem starfsmaður lætur Samkaupum í té.
  • Upplýsing um stéttarfélagsaðild
  • Þjóðerni

Þegar Samkaup vinnur viðkvæmar persónuupplýsingar er sýnd sérstök aðgát og gætt ítrasta öryggis, nánar er fjallað um það í kafla um öryggisráðstafanir.

Tilgangurinn með söfnun og vinnslu þessara persónuupplýsinga sem fjallað er um í kaflanum hér fyrir ofan er til að gera Samkaup kleift að eiga í samskiptum við starfsfólk og efna þær skyldur sem hvíla á fyrirtækinu sem vinnuveitanda. Sem slíkur þarf Samkaup að vinna ýmsar persónuupplýsingar um starfsfólk í tengslum við starfsemi sína. Samkaup vinnur eingöngu persónuupplýsingar sé það heimilt samkvæmt lögum og telur nauðsyn til.

Þegar Samkaup vinnur með persónuupplýsingar er það nær eingöngu gert í eftirfarandi tilgangi:

  • Vegna ráðstafana að beiðni starfsmanns áður en ráðningarsamningur er gerður;
    Dæmi: Upplýsingar sem koma fram í ráðningarferli til að leggja mat á það hvort komi til ráðningar eða ekki.
  • Vegna framkvæmd á samning milli starfsmanns og Samkaupa;
    Dæmi: Upplýsingar sem fram koma á ráðningasamningi t.d. nafn, kennitala, samskiptaupplýsingar,lífeyrissjóður, stéttarfélag og reikningsnúmer til að greiða þér laun samkvæmt ráðningarsamningi.
  • Vegna lögmætra hagsmuna eða til að gæta lögmætra hagsmuna þriðja aðila;
    Dæmi: Ef kemur til ágreinings þá gæti þurft að vinna persónuupplýsingar til að gæta hagsmuna okkar eða annarra.
  • Eftirlit með tölvukerfum, viðkvæmum svæðum og aðgangsstýringum í öryggis og eignavörsluskyni. Þannig er hægt að tryggja rekjanleika upplýsinga og draga úr líkum á öryggisbrestum.
  • Eftirlit með öryggismyndavélum. Þannig er hægt að tryggja öryggi starfsmanna en myndefni er aðeins skoðað ef grunur liggur á ólögmætu athæfi.
  • Vegna þess að Samkaup ber skylda til þess að vinna persónuupplýsingar samkvæmt lögum;
    Dæmi: Til þess að standa skil á félagsgjöldum í stéttarfélag og lögbundnum lífeyrisiðgjöldum þurfum við upplýsingar um aðild að stéttarfélagi og lífeyrissjóði.
  • Samkaup byggir á samþykki fyrir tiltekinni vinnslu persónuupplýsinga;
    Dæmi: Ljósmyndir af starfsmannaviðburðum eða ósk um starfsmannakort.
  • Til samskipta við starfsmann í gegnum facebook for work.
  • Í undantekningartilfellum er vinnsla persónuupplýsingar til að vernda brýna hagsmuni þinna eða annars einstaklings.
    Dæmi: Ef upp kemur neyðartilfelli gæti þurft að afhenda upplýsingar um heilsufar eða aðrar upplýsingar til að vernda brýna hagsmuni einstaklingsins.

Þegar Samkaup vinnur með viðkvæmar persónuupplýsingar er það nær eingöngu gert í eftirfarandi tilgangi:

  • Upplýsingar um heilsufar:
    • Starfsfólk á ákveðin réttindi í tengslum við veikindi samkvæmt lögum, kjarasamningum eða ráðningarsamningi og gæti Samkaup þurft að vinna heilsufarsupplýsingar til að uppfylla skyldur í tengslum við þessi réttindi. Samkaup þarf til dæmis að skrá hvort eða hvenær starfsfólk veikist til að uppfylla skyldur sínar samkvæmt lögum.
  • Upplýsingar um aðild að stéttarfélagi:
    • Samkaup vinnur upplýsingar um stéttarfélagsaðild til að geta staðið skil á lögbundnum félagsgjöldum einstaklinga í stéttarfélag samkvæmt lögum og kjarasamningum.
  • Upplýsingar um þjóðerni:
    • Í ráðningasamningum Samkaupa áður en ný persónuverndarlög tóku gildi, voru upplýsingar um þjóðerni skráð. Þessar upplýsingar eru ekki skráðar í dag í nýjum ráðningasamningum en upplýsingarnar eru til um þá starfsmenn sem hafa undirritað fyrri ráðningasamninga.

Vinnsla persónuupplýsinga er nauðsynleg til að Samkaup geti sinnt starfsemi sinni. Ef starfsmaður Samkaupa afhendir ekki upplýsingar þar sem það er nauðsynlegt í þágu þess tilgangs sem lýst er hér fyrir ofan, getur það meðal annars orðið til þess að ekki er hægt að koma á og efna ráðningarsamning ásamt því að Samkaup getur ekki fullnægt lagalegum skuldbindingum sínum sem vinnuveitandi.

Samkaup kann að miðla persónuupplýsingum til þriðju aðila þegar lögmætar ástæður eru fyrir hendi. Samkaup afhendir persónuupplýsingar um starfsmenn til þriðja aðila sem framkvæmir launavinnslu fyrir hönd Samkaupa.

Persónuupplýsingar kunna jafnframt að vera afhentar þriðja aðila að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til stjórnvalda og dómstóla eða til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum eða dómsúrskurði.

Einnig gæti persónuupplýsingum verið miðlað til þriðju aðila sem veita Samkaupum upplýsingatækni-, fjarskiptaþjónustu og aðra þjónustu sem tengist vinnslu og er hluti af rekstri félagsins.

Samkaup miðlar engum persónuupplýsingum út fyrir Evrópska efnahagssvæðið nema slíkt sé heimilt á grundvelli persónuverndarlöggjafar, til dæmis á grundvelli staðlaðra samningsskilmála, samþykki einstaklingsins eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.

Samkaup sem ábyrgðaraðili leggur mikla áherslu á að öll vinnsla persónuupplýsinga sé með þeim hætti að viðeigandi öryggi sé tryggt þ.e. með ytra öryggi auk skipulagslegra og tæknilegra öryggisráðstafana. Öryggisráðstöfunum er ætlað að verja persónuupplýsingarnar gegn því að þær glatist, séu misnotaðar, þeim breytt og gegn allri ólöglegri vinnslu.

Allar öryggisráðstafanir sem gerðar eru taka mið af eðli gagna og áhættu við vinnslu þeirra hverju sinni. Fyrirtækið er með skriflega öryggisstefnu og gagnaeyðslustefnu ásamt því að fara reglulega yfir skráningu á persónuupplýsingum. Athugun og mat á skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslu fer fram reglulega og Þekking ehf. þeirri framkvæmd.

Allar upplýsingar er varða starfsmenn Samkaupa eru meðhöndlaðar af fyllstu varúð svo að tryggt sé að þær glatist ekki eða komist í hendur óviðkomandi aðila.

Aðgangsheimildir starfsmanna að kerfum sem geyma persónuupplýsingar starfsmanna Samkaupa byggjast á hlutverki og starfssviði þeirra innan fyrirtækisins. Upplýsingar um starfsmenn eru aðgangsstýrðar og skal starfsmaður einungis leita eftir þeim upplýsingum sem hann þarf á að halda í starfi sínu.

Framkvæmdastjóri mannauðssviðs Samkaupa rýnir reglulega aðgang starfsmanna að upplýsingum sem snúa að launavinnslu og öðrum stafsmannaupplýsingum ásamt því að hafa eftirlit með því að aðgangur starfsmanna að persónuupplýsingum sé í samræmi við þau verkefni sem viðkomandi starfsmaður eða starfseining innan fyrirtækisins er að sinna. Ef starfsmaður lætur af störfum er öllum aðgangi lokað án tafar.

Þá fá starfsmenn Samkaupa sem vinna með persónuupplýsingar reglulega fræðslu í meðferð persónuupplýsingar.

Þagnarskylda starfsmanna

Allir stafsmenn Samkaupa sem vinna með persónuupplýsingar undirrita siðareglur Samkaupa þar sem kveðið er á um trúnað – og þagnarskyldu. Starfsmaður skal gæta fyllsta trúnaðar um hvaðeina er hann verður áskynja í starfi sínu varðandi fyrirtækið, viðskiptavini og aðra starfsmenn þess. Starfsmenn skulu rækta þessa skyldu sína af ábyrgð til að fyrirbyggja að mögulega hljótist skaði á hagsmunum annarra starfsmanna. Trúnaðar og – þagnarskylda helst eftir að starfsmaður hefur látið af starfi.

Viðbrögð við öryggisbrotum

Samkaup sem ábyrgðaraðili mun tilkynna öryggisbrot til Persónuverndar í samræmi við það sem lög og reglur kveða á um. Lagt er áherslu á skýrar verklagsreglur um viðbrögð ef til öryggisbrots kemur við meðferð persónuupplýsinga.

Áhrif öryggisbrotsins og áhætta fyrir réttindi og frelsi viðkomandi einstaklinga verður metin og ef líklegt er að öryggisbrotið leiði af sér mikla áhættu er skráðum einstaklingum tilkynnt um brotið og þær ráðstafanir sem gripið verður til. Samkaup skráir og greinir öryggisbrotið, áhrif þess og hvaða úrbætur eru nauðsynlegar í samstarfi við vinnsluaðila, Þekkingu ehf.

Allir starfsmenn Samkaupa eiga rétt á að vita hvað persónuupplýsingar eru skráðar um þá hjá fyrirtækinu. Í þessari persónuverndarstefnu fyrir starfsmenn hefur verið gerð grein fyrir hvaða upplýsingum er safnað hjá Samkaupum og í hvaða tilgangi.

Einnig á hver og einn samkvæmt beiðni, rétt til aðgangs að persónuupplýsingum sem Samkaup vinnur, rétt til að láta leiðrétta upplýsingar sem ekki eru réttar, takmarka vinnslu persónuupplýsinga ef þeir telja að ekki sé tilgangur með vinnslunni og að mótamæla vinnslu sem fer fram á grundvelli lögmætra hagsmuna Samkaupa.

Við ákveðnar aðstæður er hægt að biðja um að að Samkaup afhendi persónuupplýsingar sem starfsmaður hefur látið fyrirtækinu í té, beint til þriðja aðila.

Þá eiga allir jafnframt rétt á að láta eyða upplýsingum við ákveðnar aðstæður, til dæmis þegar vinnsla upplýsinganna er ekki lengur nauðsynleg að teknu tilliti til tilgangs hennar. Ef vinnslan hvílir á samþykki þínu átt þú hvenær sem er rétt á að afturkalla það og láta eyða upplýsingunum.

Framangreind réttindi eru ekki fortakslaus. Þannig kunna lög að skylda Samkaupa til að hafna ósk um eyðingu eða aðgang að gögnum. Þá geta Samkaup hafnað beiðni þinni, til dæmis vegna réttinda annarra aðila, s.s. til friðhelgi einkalífs, telji Samkaup þau réttindi vega þyngra.

Vilji starfsmaður Samkaupa nýta sér þennan rétt, skulu beiðnir sendar til Samkaupa í tölvupósti á netfangið personuvernd@samkaup.is eða senda okkur bréfpóst á heimilisfangið:

Samkaup hf.
Krossmóa 4
260 Reykjanesbær
Ísland

Ef starfsmaður telur að vinnsla persónuupplýsinga hjá Samkaupum sé ekki í samræmi við gildandi löggjöf og vandaða vinnsluhætti er hægt að senda athugasemdir til Samkaupa á netfangið personuvernd@samkaup.is.

Þá hafa allir rétt til að leita til stofnunarinnar Persónuvernd ef þeir telja að brotið sé á rétti þeirra til persónuverndar. Upplýsingar um kvörtun til Persónuverndar má finna á vefsíðu Persónuverndar https://www.personuvernd.is/hafa-samband/

Samkaup kann að gera breytingar á þessari persónuverndarstefnu starfsmanna og getur hún tekið breytingum eftir því sem tilefni er til og með því markmiði að endurspegla starfsemi Samkaupa og meðferð persónuupplýsinga hjá fyrirtækinu hverju sinni.

Persónuverndarstefna þessi er birt á innri vef Samkaupa og er þar ávallt að finna gildandi útgáfu. Athugasemdir eða óskir um nánari upplýsingar vegna vinnslu persónuupplýsinga hjá Samkaupum skulu sendar á personuvernd@samkaup.is.