Persónuverndarstefna Stafræns Íslands

Með þessari persónuverndarstefnu er ætlunin að taka saman heildstætt yfirlit um þá vinnslu persónuupplýsinga sem á sér stað á Ísland.is og í Ísland.is appinu, auk þess að upplýsa um hvernig tryggt er að hún sé í samræmi við lög og reglur.

Stefnan fjallar þannig um alla vinnslu persónuupplýsinga á vefnum og appinu og nær til allra þeirra sem heimsækja vefinn eða nota appið. Þessari stefnu til fyllingar er vísað til persónuverndarstefnu Stjórnarráðs Íslands, sem er aðgengileg hér www.stjornarradid.is/um-vefinn/medferd-personuupplysinga

Persónuupplýsingar í skilningi stefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings.

Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

Þjónusta á Ísland.is er tvíþætt:

Á ytri vef eru ýmsar almennar upplýsingar um þjónustu hins opinbera. Engra persónuupplýsinga er aflað eða þær unnar að öðru leyti við notkun ytri vefsins.

Á innri vef, sem er „Mínar síður“ og í Ísland.is appinu er hægt að nálgast sértækari upplýsingar og þjónustu frá hinu opinbera.

Opinberar upplýsingar: eru sóttar og birtar notanda á auðkenndu svæði inn á Ísland.is.

Hér að neðan er yfirlit yfir hvaða upplýsingar eru sóttar og birtar:    

• Grunnupplýsingar úr þjóðskrá um auðkenndan notanda, svo sem nafn, kennitala, lögheimili, fæðingarstaður, ríkisfang, kyn, vensl, hjúskaparstaða og skráning í trúfélag.

• Upplýsingar um aðra aðila sem hafa sama fjölskyldunúmer og auðkenndur notandi, svo sem nafn, kennitala, lögheimili, kyn, vensl og hjúskaparstaða.

• Upplýsingar úr fasteignaskrá um fasteignir, lönd og lóðir sem notandi er skráður eigandi að.

• Upplýsingar um námsferil frá þeim framhaldsskólum sem skrá í Innu, svo sem námskeið, skólasókn og einkunnir.

• Upplýsingar um stöðu notanda við ríkissjóð og stofnanir, svo sem framkvæmdar greiðslur, greiðsluseðlar, greiðslukvittanir og yfirlit yfir útistandandi reikninga.

• Upplýsingar um ökuréttindi notanda frá Ríkislögreglustjóra.

Kennitala og auðkenni: Notað til að auðkenna notanda á „Mínar síður“ á Ísland.is. Appið krefst einnig auðkenningar með rafrænum skilríkjum en boðið er upp á notkun PIN númers auk andlitsgreiningar/fingrafaraskanna í síma eftir að notandi hefur auðkennt sig með rafrænum skilríkjum.

Samskiptaupplýsingar: Þegar notandi auðkennir sig á „Mínar síður“ í fyrsta skiptið er óskað eftir því að notandi skrái almennar samskiptaupplýsingar. Þetta eru upplýsingar eins og netfang, símanúmer og tungumálaval. Notandi getur uppfært þessar upplýsingar sjálfur inni á vefnum. Þá er haldin skrá um aðgerðasögu notanda ef samskiptaupplýsingum er breytt.

Rafræn skjöl: undir „Mínar síður“ og í appinu er einnig pósthólf sem inniheldur rafræn skjöl sem opinberar stofnanir og sveitarfélög nota til að miðla upplýsingum eða senda til einstaklinga og fyrirtækja. Pósthólfið er megin samskiptaleið hins opinbera við borgara til framtíðar. Í rafrænum skjölum er til að mynda hægt að nálgast upplýsingar um greiðsluseðla og -kvittanir, tilkynningar um fasteignamat og niðurstöðu álagningar.

Umsóknarferli: Í ákveðnum tilvikum er hægt að sækja beint um tiltekna þjónustu eða nýta sérstök réttindi í gegnum Ísland.is. Umsóknir og gögn sem þeim fylgja eru aðgengileg á vefnum og staða umsókna sýnileg í Ísland.is appinu.

Stafræn ökuskírteini: Upplýsingar um ökuréttindi notanda eru sóttar í ökuskírteinaskrá og birtar á mínum síðum og í Ísland.is appinu.

Í þeim tilvikum sem notandi Ísland.is flyst yfir á vef viðeigandi stofnunar þegar hann vill afla sér tiltekinna upplýsinga eða sækja um þjónustu er það viðeigandi stofnun sem fræðir um vinnslu persónuupplýsinga.

Við meðhöndlun persónuupplýsinga gætir Stafrænt Ísland þess að vinna einungis með þær upplýsingar sem eru nauðsynlegar og viðeigandi miðað við þann tilgang sem stefnt er að hverju sinni.

Stafrænt Ísland vinnur með persónuupplýsingar um notendur í þeim tilgangi að geta veitt rétta þjónustu, og tryggja gæði hennar, sem hinu opinbera er skylt samkvæmt lögum, hvort sem slík þjónusta felst í miðlun upplýsinga til einstaklinga og/eða fyrirtækja eða til að veita þeim tiltekin réttindi.

Jafnframt vinnur Stafrænt Ísland með persónuupplýsingarnar til að veita notendum upplýsingar um þá þjónustu sem sótt er um með því að senda SMS eða tölvupóst.

Efling stafrænnar þjónustu er eitt af forgangsmálum stjórnvalda og unnið er að því markmiði að stafræn samskipti verði megin samskiptaleið almennings við hið opinbera. Hluti af þessari eflingu er að búa til vettvang „Mínar síður“, sem tekur saman og birtir þær opinberu upplýsingar sem til eru um notendur á einum stað. Slík upplýsingagjöf einfaldar yfirsýn notenda og gerir þeim kleift að gera viðeigandi ráðstafanir eða gera breytingar á slíkri skráningu gerist þess þörf.

Kynning og markaðssetning: Stafrænt Ísland notar ópersónugreinanlegar upplýsingar í markaðssetningartilgangi til að kynna eigin vörur og þjónustu í samræmi við gildandi lög og á grundvelli lögmætra hagsmuna, nema notandi hafi sérstfaklega andmælt slíkri vinnslu.

Miðlun hins opinbera á upplýsingum í gegnum Ísland.is byggist öðru jöfnu á 3. og 5. tölulið 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, en þar segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á hinum skráða. Sama á við þegar notendur senda umsókn um þjónustu eða þeir nýta sér réttindi í gengum vefinn.

Persónuupplýsingar á Ísland.is og í Ísland.is appinu stafa ýmist frá einstaklingum eða viðeigandi embætti, stofnun eða sveitarfélagi. Þannig skrá einstaklingar sjálfir tengiliðaupplýsingar, svo sem netfang og símanúmer. Nánari umfjöllun um uppruna upplýsinga sem hið opinbera miðlar í gegnum Ísland.is er að finna í persónuverndarstefnu viðeigandi embættis, stofnunar eða sveitarfélags.

1.1.  Mín gögn

Undir „Mín gögn“ á innri vef og í appi birtast grunnupplýsingar úr þjóðskrá um auðkenndan notanda, svo sem nafn, kennitala, lögheimili, fæðingarstaður, ríkisfang, kyn, vensl, hjúskaparstaða og skráning í trúfélag. Einnig upplýsingar um aðra aðila sem hafa sama fjölskyldunúmer og auðkenndur notandi þar undir, svo sem nafn, kennitala, lögheimili, kyn, vensl og hjúskaparstaða þeirra.

1.2.  Umsóknir

Undir „Umsóknir“ verða birt þau leyfi og umsóknir sem auðkenndur notandi hefur sótt um á Ísland.is, bæði sem einstaklingur og í umboði annarra. Þessar upplýsingar koma frá Umsóknarkerfi Stafræns Íslands sem gerir notendum kleift að sækja um ýmsa þjónustu rafrænt og fylgjast með ferli umsókna.

1.3.  Rafræn skjöl

Undir „Rafræn skjöl“ birtast öll skjöl sem auðkenndur notandi á hjá öllum opinberum stofnunum landsins og sveitarfélögum. Í rafrænum skjölum er hægt að nálgast upplýsingar um, til að mynda, greiðsluseðla og -kvittanir, tilkynningar um fasteignamat og niðurstöðu álagningar.

1.4.  Stillingar

Undir „Stillingar“ eru upplýsingar um aðgang auðkennds notanda, svo sem netfang, símanúmer og tungumálaval. Þessar upplýsingar eru innslegnar frá notendanum sjálfum og getur hann breytt þeim hvenær sem er inn á svæðinu.

1.5.  Fjármál

Undir „Fjármál“ eru upplýsingar um stöðu notandans við ríkissjóð og stofnanir, svo sem framkvæmdar greiðslur, greiðsluseðlar, greiðslukvittanir og yfirlit yfir útistandandi reikninga. Þessar upplýsingar eru fengnar frá öllum opinberu stofnunum landsins.

1.6.  Menntun

Undir „Menntun“ má finna upplýsingar frá Innu og Menntamálastofnun um námsferil auðkends notanda, frá þeim framhaldsskólum sem skrá í Innu, svo sem námsferil, skólasókn og einkunnir.

1.7.  Fasteignir

Undir „Fasteignir“ má finna upplýsingar úr fasteignaskrá sem Þjóðskrá Íslands á og rekur. Upplýsingar líkt og fasteignir, lönd og lóðir sem auðkenndur notandi er skráður eigandi að.

Öðru jöfnu eru persónuupplýsingar sem tengjast Ísland.is einvörðungu aðgengilegar starfsfólki Stafræns Íslands og eftir atvikum verktökum sem veita Stafrænu Íslandi tiltekna afmarkaða þjónustu. Einnig kunna þær að vera aðgengilegar starfsfólki þess embættis, stofnunar eða sveitarfélags sem þær stafa frá. Í einhverjum tilvikum kann að vera skylt að lögum að afhenda öðrum upplýsingar, svo sem til eftirlitsstjórnvalda eða dómstóla.

Þegar sótt er um þjónustu eða réttindi inn á Ísland.is þá hefur sú stofnun og starfsfólk hennar sem veitir þjónustuna aðgang að þeim upplýsingum sem sendar eru í tengslum við umsótta þjónustu eða réttindi.

Opinberir aðilar sem miðla upplýsingum um Ísland.is eru skilaskyldir samkvæmt lögum um opinber skjalasöfn nr. 77/2014. Almennt er þeim því óheimilt að eyða upplýsingunum. Aðrar upplýsingar sem tengjast notkun vefsins eru einungis geymdar jafn lengi og nauðsyn krefur, en það er breytilegt eftir eðli upplýsinganna og aðstæðum að öðru leyti.

Stafrænt ökuskírteini er fyrir alla sem hafa ökuréttindi og eru með snjallsíma. Skírteinið sannar að viðkomandi er með gilt ökuskírteini og á því koma fram sömu upplýsingar og á hefðbundnum ökuskírteinum.

Stafræn ökuskírteini eru jafngild hefðbundnum ökuskírteinum en gilda eingöngu á Íslandi.
Stafrænt ökuskírteini staðfestir að viðkomandi sé með gild ökuréttindi og á því koma fram sömu upplýsingar og á hefðbundnum ökuskírteinum.

Staðfesting stafrænna ökuskírteina

Ísland.is appið inniheldur hugbúnað sem nota má til að skanna stafræn ökuskírteini til staðfestingar á réttmæti þeim upplýsingum sem koma fram á skírteininu. Hugbúnaðurinn er hluti af tæknilausn stafrænna ökuskírteina og er gefin út á grundvelli samkomulags og samvinnu á milli Ríkislögreglustjóra og Stafræns Íslands og fellur undir persónuverndarstefnu Ísland.is.

Skönnun stafræns ökuskírteinis felur í sér uppflettingu á því hvort skírteinishafi sé með gild ökuréttindi, nafni og kennitölu skírteinishafa í ökuskírteinagrunni Ríkislögreglustjóra til staðfestingar á réttmæti ofangreindra upplýsinga. Engar persónuupplýsingar eru geymdar á símtækjum sem notuð eru við skönnun né er unnið frekar með þær eða þeim dreift með nokkrum hætti.

Samþykki fyrir skönnun

Með framvísun stafræns ökuskírteinis veitir skírteinishafi samþykki sitt fyrir því að réttmæti skírteinisins sé staðfest með notkun hugbúnaðarskanna sem sækir upplýsingar í ökuskírteinagrunn Ríkislögreglustjóra.

Staðfesting lögreglu og þriðja aðila á ökuréttindum einstaklinga er framkvæmd á grundvelli reglugerðar 830/2011 um ökuskírteini.

Stafræn ökuskírteini eru gefin út af Ríkislögreglustjóra í gegnum Ísland.is á grundvelli reglugerðar nr. 830/2011 um ökuskírteini.

Ísland.is notar vefgreiningarforrit frá Plausible til þess að greina notkun á vefsíðu stofnunarinnar. Tilgangur þess er að fá fram tölfræðiupplýsingar sem notaðar eru til að betrumbæta og þróa vefsíðuna og þær upplýsingar sem þar eru birtar. Þessar upplýsingar varpa til dæmis ljósi á það hversu margir notendur opna tilteknar undirsíður á vefsíðunni, hversu lengi þær eru skoðaðar, hvaða efni notendur leita að í leitarvélinni á síðunni, frá hvaða vefsíðum notendur koma inn á síðuna og hvers konar vafra þeir nota til að skoða hana. Engum persónugreinanlegum upplýsingum er safnað í þessu skyni.

Rík áhersla er lögð á öryggi persónuupplýsinga sem tengjast Ísland.is og Ísland.is appinu og eru þeir aðilar sem vinna með slíkar upplýsingar bundnir trúnaði og þagnarskyldu. Vegna þessa er lögð rík áhersla á að öryggi þeirra sé tryggt á öllum stigum vinnslunnar, bæði með skipulagslegum og tæknilegum ráðstöfunum. Í því skyni er vefurinn dulkóðaður með HTTPS (hypertext transfer protocol secure) til að stuðla að fullnægjandi öryggi þeirra upplýsinga sem fara um vefsvæðið.

Í gildi eru ýmsar reglur er varða öryggi gagna á Ísland.is, t.d. aðgangstakmarkanir, öryggi upplýsingakerfa auk þess sem í gildi er virk öryggisstefna. Jafnframt gerir Stafrænt Ísland þær kröfur til sinna rekstrar- og hýsingaraðila að þeir séu vottaðir skv. ISO/IEC 27001 staðalinum en hann fjallar um stjórnkerfi upplýsingaöryggis og er ætlað að stuðla að stöðugleika í rekstri upplýsingakerfa og upplýsingaöryggi. Verði öryggisbrestur verður farið með öll slík mál í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.

Í hvert sinn sem ný afurð eða kjarnaþjónusta er gefin út af Stafrænt Ísland er fenginn óháður aðili, sem tilheyrandi vottun, til að taka þá afurð út með tilliti til upplýsingaöryggis.

Lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga kveða á um ýmis réttindi til handa fólki.

Aðgangur að eigin persónuupplýsingum: Skylt er að staðfesta hvort og þá hvaða persónuupplýsingar er unnið með um þig. Þá skal veita aðgang að upplýsingunum sé þess óskað. Jafnframt skal veita ákveðnar lágmarksupplýsingar um tilhögun vinnslu persónuupplýsinga, en þær er bæði að finna í þessari stefnu og stefnum viðeigandi hlutaðeigandi opinberra aðila hverju sinni.

Flutningur persónuupplýsinga: Réttur til að fá eigin persónuupplýsingar fluttar á einungis við þegar vinnslan byggist á samþykki eða við gerð samnings. Í fæstum tilvikum á það við um vinnslu persónuupplýsinga á Ísland.is.

Leiðrétting eða eyðing persónuupplýsinga: Alltaf er hægt að krefjast þess að rangar eða óáreiðanlegar persónuupplýsingar séu leiðréttar. Réttur til eyðingar á aftur á móti ekki við um vinnslu stjórnvalda á persónuupplýsingum þar sem þeim er skylt samkvæmt lögum um opinber skjalasöfn að varðveita allar upplýsingar sem þeim berast.

Takmörkun eða andmæli við vinnslu persónuupplýsinga: Í ákveðnum tilvikum er hægt að fara fram á að vinnsla persónuupplýsinga sé takmörkuð. Jafnframt kann að vera hægt að andmæla vinnslunni, en þá ber að sýna fram á lögmætar ástæður fyrir vinnslunni.        

Almennt séð skal beiðnum einstaklinga sem óska þess að neyta réttar síns beint til ábyrgðaraðila upplýsinganna, sem er öðru jöfnu sá opinberi aðili sem þær stafa frá, svo sem embætti, stofnun eða sveitarfélag. Sömuleiðis er alltaf hægt að beina erindunum til Stafræns Íslands, sem ýmist afgreiðir þau, sendi áfram eða leiðbeinir einstaklingum um hvert þeir skuli snúa sér. Hægt er að hafa samband við Stafrænt Ísland á https://island.is/stafraent-island/hafa-samband.

Sérstök áhersla er lögð á að réttilega sé gætt að réttindum einstaklinga við vinnslu persónuupplýsinga á Ísland.is. Komi engu síður upp ágreiningur um hana getur hinn skráði einstaklingur alltaf leitað til Persónuverndar með því að senda tölvupóst á postur@personuvernd.is.

Stafrænt Ísland sem ber ábyrgð á rekstri og þróun Ísland.is heyrir undir Fjármálaráðuneytið. Persónuverndarfulltrúi þess er Persónuverndarfulltrúi Stjórnarráðsins, sem er hægt að hafa samband við í síma 545-8800 eða með tölvupósti á personuverndarfulltrui@stjornarradid.is. Upplýsingar um persónuverndarfulltrúa annarra opinberra aðila sem nýta sér Ísland.is í samskiptum við fólk eru aðgengilegar á vefsvæði þeirra.