Persónuverndarstefna Rannís
Hlutverk Rannís er skilgreint í lögum um stofnunina og er samkvæmt því að treysta stoðir íslensks þekkingarsamfélags með stuðningi við rannsóknir, nýsköpun, menntun og menningu. Rannís starfar á grundvelli laga nr. 3/2003 um opinberan stuðning við vísindarannsóknir. Til að uppfylla lagalegar skyldur sínar þarf Rannís að vinna úr persónuupplýsingum. EN
Rannís leggur áherslu á örugga meðferð og varðveislu persónuupplýsinga og að þess sé gætt að öll vinnsla persónuupplýsinga sé í samræmi við gildandi persónuverndarlög. Ávallt er stefnt að því að takmarka vinnslu persónuupplýsinga eins og hægt er og safna ekki persónuupplýsingum umfram það sem telst nauðsynlegt. Vinnsla persónuupplýsinga fer oftast fram til að uppfylla lögbundið hlutverk stofnunarinnar og er kveðið á um heimild stofnunarinnar til vinna slíkar upplýsingar að því marki sem nauðsynlegt er í 12 gr. laga nr. 3/2003.
Hvað telst vera persónuupplýsingar
Persónuupplýsingar teljast hvers kyns upplýsingar sem hægt er að tengja við einstaklinga, t.d. nafn kennitala, staðsetningargögn, IP-tölur/netauðkenni eða einn eða fleiri þættir sem einkenna einstakling með einhverjum hætti. Persónuupplýsingar eru almennt ekki upplýsingar um fyrirtæki eða dýr. Sjá nánar um persónuupplýsingar.
Persónuverndarfulltrúi
Persónuverndarfulltrúi Rannís er Elísabet María Andrésdóttir. Hægt er að hafa samband við hana í síma 515 5800, með tölvupósti á netfangið personuverndarfulltrui(hja)rannis.is, eða senda erindi til skrifstofu Rannís:
Rannís – Rannsóknamiðstöð Íslands
b.t. persónuverndarfulltrúa
Borgartúni 30
105 Reykjavík
Söfnun persónuupplýsinga og tilgangur vinnslu
Rannís safnar persónuupplýsingum í tengslum við verkefni sem stofnuninni hafa verið falin á grundvelli laga og reglna sem um stofnunina og verkefni hennar gilda. Stofnunin safnar upplýsingum ýmist sem ábyrgðaraðili eða vinnsluaðili.
Rannís vinnur eingöngu með persónuupplýsingar þegar lagalegur grundvöllur er fyrir hendi. Hinn lagalegi grundvöllur getur verið mismunandi eftir því hver tilgangurinn er með vinnslunni. Í nær öllum tilvikum er lagalegi grundvöllurinn sem hér segir:
- Þegar vinnsla persónuupplýsinga er nauðsynleg vegna mats á styrkumsókn og greiðslu styrks.
- Þegar vinnsla persónuupplýsinga er nauðsynleg vegna umsókna um starf sem auglýst hefur verið á vegum stofnunarinnar og þegar að ráðningarsamningur er gerður við starfsmann.
- Þegar Rannís er skylt að vinna með persónuupplýsingar til að uppfylla lög og/eða reglur.
- Þegar einstaklingur veitir Rannís heimild til að vinna með persónuupplýsingar í ákveðnum tilgangi.
- Í þeim tilvikum þar sem vinnsla persónuupplýsinga er háð öðrum lögum, þá getur lagalegur grundvöllur vinnslu verið annar en fram kemur hér að ofan. Í slíkum tilvikum gæti vinna með persónuupplýsingar verið háð samþykki.
- Myndavélakerfi í móttöku Rannís fylgist með komu viðskiptavina í rauntíma og tryggir að þeir fái afgreiðslu. Myndirnar eru vistaðar í 3 mánuði og einungis skoðaðar ef afbrot á sér stað og þá í samráði við lögreglu og tæknimann sem nálgast afmarkaðan hluta efnis.
Hvaða persónuupplýsingar er unnið með?
Það fer eftir málum eða verkefnum, hvaða persónuupplýsingar Rannís vinnur með, en í flestum tilfellum eru skráðar upplýsingar sem koma frá einstaklingunum sjálfum og Þjóðskrá Íslands, eins og nafn, heimilisfang, kennitala, sími, netfang, o.þ.h.
Vinnsla persónuupplýsinga tengist oftast umsóknum um styrki úr sjóðum eða umsókn um réttindi sem Rannís hefur til umsýslu. Þegar sótt er um styrk í gegnum Rannís getur hluti umsóknarferlisins falið í sér þátttöku samstarfsaðila Rannís. Í þeim tilfellum eru samstarfsaðilar skilgreindir sem vinnsluaðilar samkvæmt persónuverndarlögum.
Persónuverndarstefna Rannís á við í hvert sinn sem sótt er um styrk úr einhverjum þeirra sjóða eða réttindi, sem Rannís annast. Við móttöku umsókna er persónuupplýsingum safnað í þeim tilgangi að meta og afgreiða umsókn, og ef umsókn er samþykkt, geta frekari skilyrði og skilmálar átt við. Mikilvægt er að kynna sér reglur viðkomandi sjóðs til að kanna hvort frekari skilyrði eða skilmálar eigi við.
Frekari vinnsla persónuupplýsinga fer fram vegna tölfræðilegra greininga á umsækjendum til að uppfylla lagalegar skyldur sem lagðar eru á Rannís. Rannís vinnur tölfræði um umsóknir í sjóði fyrir stjórnvöld. Tölfræðigreiningin byggir á upplýsingum umsækjenda sem koma fram í umsóknum. Sem dæmi um persónuupplýsingar sem við gætum notað í tölfræðilegri greiningu er aldur, kyn, menntun, staðsetning o.fl.
Miðlun persónuupplýsinga til þriðja aðila
Rannís nýtir ekki persónuupplýsingar í öðrum tilgangi en þeim sem þær voru safnaðar fyrir og persónuupplýsingum er ekki miðlað til þriðja aðila nema að fengnu samþykki eða í samræmi við samninga og/eða lög. Í þeim tilfellum þegar þriðji aðili, þ.e. vinnsluaðili fær aðgang að persónuupplýsingum, tryggir Rannís trúnað.
Nánari upplýsingar um meðferð persónuupplýsinga í tengslum við umsóknarferli og utanumhald verkefna í sjóðum:
Persónuupplýsingar eru notaðar til að meta umsóknir um styrki eða réttindi. Til dæmis:
- Nafn, heimilisfang, netfang, upplýsingar um tengilið, fæðingardagur og kyn.
- Núverandi starf, menntun, verk, tilvísanir og frammistaða í rannsóknum.
- Upplýsingar um aðra meðlimi verkefnateymis, ef við á.
- Upplýsingar um verkefni.
- Aðrar upplýsingar sem tengjast umsókn.
Upplýsingar sem aflað er til að hægt sé að greiða styrki:
- Bankaupplýsingar, svo sem reikningsupplýsingar og aðrar greiðsluupplýsingar.
Upplýsingar um fyrri styrki:
- Skýrslur sem lýsa fyrri verkefnum og styrkjum sem greiddir hafa verið af Rannís og/eða öðrum aðilum.
Upplýsingar um fyrri samskipti:
- Upplýsingar um samskipti við viðskiptavini geta verið skráðar og vistaðar.
Hvenær og hvers vegna er „viðkvæmum persónuupplýsingum“ safnað?
Í sumum tilvikum er unnið með persónuupplýsingar sem teljast vera „viðkvæmar persónuupplýsingar“. Sérstakir flokkar persónuupplýsinga, svo sem er varða trúarbrögð, þjóðerni eða heilsufar, krefjast aukinnar verndar samkvæmt persónuverndarlögum. Þessir flokkar eru nefndir „viðkvæmar persónuupplýsingar“. Rannís mun aðeins vinna úr þessum gagnaflokkum við sérstakar aðstæður.
Eftirfarandi eru dæmi þar sem Rannís gæti unnið með viðkvæmar persónuupplýsingar:
Umsækjendur með fötlun geta í vissum tilvikum átt rétt á sérstökum eða viðbótarstyrkjum. Til þess að Rannís geti metið umsóknir um slíka viðbótarstyrki þurfa umsækjendur að veita upplýsingar um fötlun sína sjá 12. gr laga 3/2003.
Varðveisla persónuupplýsinga og hversu lengi eru þær geymdar
Erindi sem berast Rannís s.s. umsóknir, umsóknargögn og önnur erindi sem berast Rannís eru geymd í rafrænni málaskrá undir ákveðnu málsnúmeri. Þar eru allar upplýsingar um viðkomandi mál.
Starfsemi Rannís heyrir undir lög nr. 77/2014 um opinber skjalasöfn. Í því felst að Rannís er skylt að varðveita umsóknir um styrki ótímabundið nema heimild til grisjunar liggi fyrir sbr. 24. r. laganna.
Ef upp kemur lagalegur ágreiningur eða kröfur
Rannís gæti notað persónuupplýsingar ef upp kemur lagalegur ágreiningur t.d. í málum sem tengjast ólöglegri starfsemi eða svikum.
Í stjórnsýslulegum tilgangi
Í einstökum tilfellum eru persónuupplýsingar vistaðar, þar með taldar upplýsingar úr umsókn, í stjórnsýslulegum tilgangi sem getur t.d. tekið til bókhalds, endurskoðunar, varna gegn svikum (þ.m.t. fjárhagsleg áreiðanleikakönnun af hálfu til þess bærra stofnana), kerfisprófana, viðhalds og þróunar.
Vefmælingar
Rannís notar Google Analytics til vefmælinga á vefjum sínum. Við hverja komu inn á vefi Rannís eru atriði skráð, svo sem tími og dagsetning, leitarorð, frá hvaða landi heimsótt er, gerð vafra og stýrikerfis. Þessar upplýsingar má nota við markaðsgreiningar, endurbætur á vefnum og þróun hans, t.d. um það efni sem notendur sækjast mest eftir. Engar tilraunir eru, eða verða gerðar, til að komast yfir frekari upplýsingar vegna heimsókna á vefi Rannís eða tengja þær saman við persónugreinanlegar upplýsingar.
Ruslvarnir
Í þeim vefformum sem notendur þurfa að fylla út vegna umsókna um styrki hefur Rannís virkjað sjálfvirka vörn gegn ruslpósti, svokallaða ReCAPTCHA ruslpóstvörn frá Google. Notendur gætu orðið varir við hana á þann hátt að þeir eru beðnir um að leysa verkefni sem erfitt er fyrir forritaða sjálfvirkni að leysa.
ReCAPTCHA safnar gögnum um vafrann og notkun hans og greinir þau til að greina hvort hið innsenda form kemur frá raunverulegri manneskju eða forriti. Strangt til tekið fellur þessi virkni undir skilgreiningar á lögum um persónuvernd. Gögnin sem send eru til Google eru nafnlaus og innihalda engar upplýsingar sem notandi sendir inn.
Þessi tegund af forvörn gegn ruslpóstum hefur reynst nauðsynleg fyrir virkni vefsíðunnar. Ef notandi er ekki reiðubúinn til að gangast undir gagnasöfnun ReCAPTCHA getur hann haft samband við Rannís.
Öryggi persónuupplýsinga
Hjá Rannís er lögð rík áhersla á að gæta öryggis persónuupplýsinga. Umsókna- og upplýsingarkerfi Rannís er hýst og rekið af Upplýsingatæknisviði Háskóla Íslands.
Til að tryggja öryggi persónuupplýsinga hafa verið innleiddar skipulagslegar og tæknilegar ráðstafanir, eins og:
- dulkóðun gagnagrunna, samskipta og gagna við flutning,
- aðgangsstýringar þannig að einungis þeir sem þurfa persónuupplýsingar starfa sinna vegna hafi aðgang að þeim,
- almennar tölvuvarnir, eins og vírusvarnir og eldveggir, sem eru uppfærðar reglulega,
- virk fræðsla fyrir starfsfólk um öryggismál.
Þá hvílir þagnarskylda á öllu starfsfólki Rannís samkvæmt lögum um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996.
Afturköllun samþykkis
Einstaklingur sem hefur veitt samþykki sitt fyrir vinnslu persónuupplýsinga getur afturkallað samþykki sitt. Til að afturkalla samþykki skal hafa samband við Rannís með því að senda tölvupóst á personuverndarfulltrui@rannis.is, eða senda erindi til skrifstofu Rannís:
Rannís – Rannsóknamiðstöð Íslands
b.t. persónuverndarfulltrúa
Borgartúni 30
105 Reykjavík
Ísland
Beiðni um afrit af persónuupplýsingum og hvernig er hægt að leggja fram kvörtun
Samkvæmt persónuverndarlögum er hægt að óska eftir afriti af persónuupplýsingum sem unnið hefur verið með. Rannís mun kappkosta að svara beiðni innan 30 daga frá því hún berst.
Beiðnin skal vera skrifleg og innihalda eftirfarandi upplýsingar:
- Nafn og heimilisfang.
- Hvaða upplýsingum er óskað eftir.
- Allar upplýsingar sem auðvelda samantekt þeirra gagna sem óskað er eftir, til dæmis upplýsingar um umsókn eða bréfaskipti sem geta tengst persónuupplýsingunum.
- Netfang, símanúmer og aðrar samskiptaupplýsingar.
Að auki er farið fram á:
- Afrit af skilríkjum, svo sem vegabréfi eða ökuskírteini. Þetta er nauðsynlegt svo hægt sé að staðfesta hver leggur fram beiðnina.
- Undirritun og dagsetning beiðninnar.
- Ef upplýsinga er óskað fyrir hönd þriðja aðila þarf undirritað umboð frá viðkomandi aðila.
Beiðni um afrit af persónuupplýsingum og/eða kvörtun skal senda á netfangið persónuverndarfulltrui@rannis.is eða með erindi á skrifstofu Rannís:
Rannís – Rannsóknamiðstöð Íslands
b.t. persónuverndarfulltrúa
Borgartúni 30
105 Reykjavík
Þeir sem telja vinnslu persónuupplýsinga hjá Rannís brjóta gegn rétti sínum geta sent erindi eða kvörtun til Persónuverndar.
Hægt er að hafa samband við Persónuvernd með því að senda tölvupóst á netfangið postur@personuvernd.is eða í síma 510 9600. Stofnunin er til húsa að Rauðarárstíg 10, 105 Reykjavík.
Sjá nánar á vef Persónuverndar.
Persónuverndarstefnan er uppfærð annað hvort ár eða þegar þörf krefur.
Persónuverndarstefna Rannís uppfærð og samþykkt í janúar 2022.