Persónuverndaryfirlýsing Vegagerðarinnar

Almennt

Vegagerðinni er umhugað um persónuvernd og leggur því mikla áherslu á að meðferð persónuupplýsinga sé ávallt í samræmi við gildandi persónuverndarlöggjöf.

Vegagerðin starfar samkvæmt lögum nr. 120/2012 um Vegagerðina, framkvæmdastofnun samgöngumála og sinnir fjölbreyttum verkefnum á sviði samgöngumála.

Í þessari persónuverndaryfirlýsingu má sjá hvaða persónuupplýsingum Vegagerðin safnar um einstaklinga og í hvaða tilgangi. Þá má hér finna upplýsingar um aðra viðtakendur upplýsinganna og hvað þær eru geymdar lengi. Auk þess má hér finna upplýsingar um á hvaða grundvelli Vegagerðin safnar persónuupplýsingum, hvaða réttinda einstaklingar njóta og fleiri mikilvægar upplýsingar sem tengjast lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (hér eftir persónuverndarlög).

Hvað eru persónuupplýsingar og vinnsla persónuupplýsinga?

Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira. Í 2. og 3. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á persónuupplýsingum.

Með viðkvæmum persónuupplýsingum er átt við persónuupplýsingar sem njóta sérstakrar verndar samkvæmt persónuverndarlögum, s.s. upplýsingar um þjóðernisuppruna eða kynþátt, stjórnmála- og trúarskoðanir, stéttarfélagsaðild, erfðagögn, heilsu, kynlíf eða kynhneigð.

Með vinnslu persónuupplýsinga er átt við alla meðferð og notkun persónuupplýsinga svo sem söfnun, skráningu, varðveislu, breytingu eða eyðingu. Í 4. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á vinnslu persónuupplýsinga.

Hvernig vinnur Vegagerðin persónuupplýsingar?

Hjá Vegagerðinni fer vinnsla persónuupplýsinga fram á lögmætum grundvelli og í samræmi við persónuverndarlög. Vegagerðin gætir jafnframt að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar.  Vegagerðin gætir að því að farið sé að eftirfarandi meginreglum:

1)     Að persónuupplýsingar séu unnar með sanngjörnum hætti.

2)     Að persónuupplýsingum sé einungis safnað í skýrum tilgangi.

3)     Að ekki sé safnað meiri persónuupplýsingum en nauðsynlegt er.

4)     Að persónuupplýsingar séu nákvæmar og uppfærðar þegar þörf krefur.

5)     Að persónuupplýsingar séu ekki geymdar lengur en þörf er á.

6)     Að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.

Sjálfvirk ákvarðanataka

Sjálfvirk ákvarðanataka er það ferli þegar tekin er ákvörðun með sjálfvirkum hætti án nokkurrar mannlegrar aðkomu. Slíkar ákvarðanir geta verið byggðar á persónusniðum, þ.e. þegar persónuupplýsingar eru notaðar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, o.fl. Dæmi um sjálfvirka ákvarðanatöku væri ef ákvörðun um lánveitingu í gegnum vefsíðu byggði eingöngu á lánshæfismati

Hjá Vegagerðinni fer ekki fram sjálfvirk ákvarðanataka við vinnslu persónuupplýsinga.

Um hverja safnar Vegagerðin persónuupplýsingum?

Í starfsemi Vegagerðarinnar er nauðsynlegt að safna og vinna með persónuupplýsingar um mismunandi hópa einstaklinga. Þær persónuupplýsingar sem Vegagerðin hefur undir höndum geta verið um starfsfólk hennar, viðsemjendur, viðskiptavini og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.

Hvaða persónuupplýsingum safnar Vegagerðin?

Vegagerðin safnar ólíkum persónuupplýsingum um mismunandi hópa einstaklinga eftir því um hvaða starfsemi er að ræða. Undir öllum kringumstæðum leitast Vegagerðin við að safna einungis þeim persónuupplýsingum sem nauðsynlegar eru með hliðsjón af tilgangi vinnslunnar.

Í ákveðnum tilvikum þarf Vegagerðin að safna viðkvæmum persónuupplýsingum, svo sem upplýsingum um heilsufar og aðild að stéttarfélagi starfsmanna. Sérstök aðgát er höfð við meðferð slíkra upplýsinga.

Vegagerðin safnar persónuupplýsingum um starfsfólk, umsækjendur, viðskiptavini, birgja, viðsemjendur, sem og aðra einstaklinga er stofnunin á í samskiptum við eftir þörfum hverju sinni. Mismunandi er hvaða persónuupplýsingum er safnað eftir því hvers eðlis samskipti stofnunarinnar við viðkomandi eru.


Um starfsfólk:

  • grunnupplýsingar (nafn, heimilisfang, netfang o.fl.)
  • andlitsmynd
  • stéttarfélagsaðild
  • bankaupplýsingar
  • skattaupplýsingar
  • heilsufar
  • menntun
  • orlof
  • meðlagsgreiðslur
  • starfslokaupplýsingar
  • námskeiðssókn
  • símanotkun (lengd og tímasetningu símtala)
  • nánustu aðstandendur

Upplýsinga er aflað úr:

  • starfsumsókn
  • ráðningarsamningi
  • tímaskráningu
  • launagreiðslukerfi
  • tölvupóstssamskiptum
  • starfsmannasamtölum
  • símkerfum

Vegagerðin safnar og vinnur með eftirfarandi flokka persónuupplýsinga um viðskiptavini, starfsfólk, viðsemjendur og birgja:

Tölvupóstssamskipti

Við notum m.a. tölvupóst til að eiga í samskiptum við umsækjendur, viðskiptavini og tengiliði birgja og söfnum í þeim tilgangi tengiliðaupplýsingum ásamt samskiptunum sjálfum.

Samningar

Í þeim tilgangi að gera samninga við landeigendur og aðra viðskiptavini og viðsemjendur, söfnum við grunnupplýsingum um þá.

Reikningagerð

Í þeim tilgangi að senda út reikninga og innheimta kröfur, söfnum við grunnupplýsingum um landeigendur og aðra viðskiptavini og viðsemjendur ásamt reikningsupphæð.

Viðskiptamannaskrá

Í þeim tilgangi að halda skrá um núverandi og fyrrverandi viðskiptavini okkar (t.d. birgja og viðsemjendur)  ásamt viðskiptasögu, söfnum við grunnupplýsingum um þá.

Hafa samband í gegnum vefsíðu

Við tökum við tjónstilkynningum frá ökumönnum og öðrum einstaklingum í gegnum vefsíðu okkar í þeim tilgangi að upplýsa um slys o.fl., söfnum við auðkennis- og tengiliðaupplýsingum, bílnúmeri, ásamt innihaldi ábendingar.

Rafræn vöktun

Vegagerðin viðhefur rafræna vöktun á starfsstöðvum Vegagerðarinnar í eignavörslu- og öryggistilgangi. Einnig viðhefur Vegagerðin rafræna vöktun í vissum tækjum og búnaði Vegagerðarinnar í þeim tilgangi að tryggja gæði þjónustu og öryggi starfsfólks.

Tilgangur með söfnun persónuupplýsinga

Tilgangurinn með söfnun upplýsinganna er að:

  • Geta efnt samningsskyldu, til dæmis við starfsfólk.
  • Geta veitt ákveðna þjónustu, til dæmis við vegfarendur.
  • Gæta að lögmætum hagsmunum stofnunarinnar.
  • Gæta að lögmætum hagsmunum annarra.
  • Uppfylla lagaskyldu.

Lagagrundvöllur fyrir vinnslu persónuupplýsinga

Vegagerðin safnar og vinnur persónuupplýsingar á eftirfarandi lagagrundvelli:

  • Til að uppfylla lagaskyldu.
  • Til að uppfylla samningsskyldu.
  • Á grundvelli samþykkis einstaklinga.
  • Við verkefni í þágu almannahagsmuna eða beitingu opinbers valds.
  • Til að unnt sé að stofna, hafa uppi eða verja réttarkröfu.

Hve lengi geymir Vegagerðin persónuupplýsingar?

Vegagerðin er afhendingarskyldur aðili samkvæmt lögum um opinber skjalasöfn nr. 77/2014. Vegna þess er stofnuninni óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið þeirra laga nema með heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem stofnunin vinnur afhentar Þjóðskjalasafni Íslands að þrjátíu árum liðnum. Efni sem verður til við rafræna vöktun er geymt í samræmi við reglur um rafræna vöktun nr. 50/2018. Að öðru leyti eru persónuupplýsingar hjá Vegagerðinni geymdar í þann tíma sem nauðsynlegt er fyrir stofnunina að hafa þær undir höndum.

Frá hverjum safnar Vegagerðin persónuupplýsingum?

Vegagerðin safnar að meginstefnu til persónuupplýsingum beint frá þeim einstaklingum sem um ræðir en styðst einnig við opinberar skrár og upplýsingar frá öðrum stjórnvöldum í vinnslu sinni. Þegar og ef upplýsingum er safnað frá þriðju aðilum reynir stofnunin eftir fremsta megni að upplýsa viðkomandi um það.

Hvenær miðlar Vegagerðin persónuupplýsingum til þriðju aðila og af hverju?

Vegagerðin miðlar persónuupplýsingum til þriðju aðila sem eru ráðnir af stofnuninni til að vinna fyrir fram ákveðna vinnu, svo sem þjónustuveitendur, sem sjá um að geyma gögn meðal annars og verktaka. Í þeim tilfellum gerir stofnunin vinnslusamning við viðkomandi aðila. Slíkur samningur kveður meðal annars á um skyldu hans til að fylgja fyrirmælum stofnunarinnar um meðferð persónuupplýsinga og er honum óheimilt að nota þær í öðrum tilgangi. Jafnframt ber honum skylda til að tryggja öryggi upplýsinganna með viðeigandi hætti.

Í öðrum tilvikum getur einnig verið nauðsynlegt fyrir stofnunina að miðla persónuupplýsingum til þriðju aðila, til dæmis þegar skylda stendur til þess samkvæmt lögum, til skjalasafns í samræmi við lög um opinber skjalasöfn nr. 77/2014, almennings í samræmi við upplýsingalög nr. 140/2012 og aðila stjórnsýslumáls í samræmi við stjórnsýslulög nr. 37/1993. Að auki er stofnuninni heimilt að miðla upplýsingum til lögreglu og rannsóknarnefndar samgönguslysa þegar rannsakað er sakamál, mannshvarf eða samgönguslys, sbr. lög um Vegagerðina, og framkvæmdastofnun samgöngumála, nr. 120/2012.

Flutningur persónuupplýsinga út fyrir Evrópska efnahagssvæðið

Vegagerðinni er kunnugt um að ströng skilyrði gilda um flutning persónuupplýsinga til ríkja sem staðsett eru utan Evrópska efnahagssvæðisins. Vegagerðin gerir það ekki undir neinum kringumstæðum nema fullnægjandi heimild standi til þess samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Öryggi upplýsinganna

Vegagerðin leitast við að grípa til viðeigandi tæknilegra og skipulegra öryggisráðstafana til að tryggja öryggi persónuupplýsinga í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Felur það meðal annars í sér að aðeins það starfsfólk hefur aðgang að persónuupplýsingum sem þess þurfa starfs síns vegna.

Auk þess stuðlar stofnunin að aukinni vitundarvakningu hjá starfsfólki með reglulegri þjálfun og fræðslu um hvernig gæta skal að öryggi persónuupplýsinga.

Vefmyndavélar Vegagerðarinnar

Til að fylgjast með færð, veðri, umferð og ástandi á vegakerfinu og stuðla þannig að auknu samgönguöryggi viðhefur Vegagerðin rafræna vöktun með samgöngumannvirkjum í samræmi við heimild í 4. mgr. 4. gr. laga nr. 120/2012 um Vegagerðina, framkvæmdastofnun samgöngumála. Hluta þeirra upplýsinga sem safnað er með vöktuninni er miðlað áfram til vegfarenda með birtingu á heimasíðu Vegagerðarinnar en leitast er við að tryggja að birt myndefni sé ekki persónugreinanlegt.

Réttindi einstaklinga

Hafi einstaklingar veitt samþykki fyrir vinnslu tiltekinna persónuupplýsinga eiga þeir rétt samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 að afturkalla samþykki sitt hvenær sem er. Sá réttur hefur þó ekki áhrif á lögmæti þeirrar vinnslu sem fram fór áður en samþykki var afturkallað. Þá njóta þeir einnig annarra réttinda, svo sem réttar til að vera upplýstir um vinnslu, réttar til aðgangs að gögnum, réttar til að fá rangar eða villandi upplýsingar leiðréttar, réttar til að persónuupplýsingum verði eytt, réttar til að hindra að unnið verði með persónuupplýsingar um þá og réttar til að flytja eigin upplýsingar. Hafa skal í huga að réttindi einstaklinga eru ekki alltaf fortakslaus og kunna að vera háð ýmsum skilyrðum.

Persónuvernd og upplýsingar til umsækjenda hjá Vegagerðinni 

Vegagerðin vinnur persónuupplýsingar um þá einstaklinga sem sækja um starf hjá stofnuninni. Hér að neðan verða gefnar upplýsingar um þær vinnslur persónuupplýsinga sem eiga sér stað hjá stofnuninni í ráðningarferlinu.

Persónuupplýsingar umsækjenda 

Vegagerðin vinnur úr og safnar meðal annars eftirfarandi persónuupplýsingum um umsækjendur: Nafn, kennitala, menntun, starfsreynsla, meðmæli umsagnaraðila, ferilskrá og prófskírteini. Upplýsingarnar eru unnar í þeim tilgangi að leggja mat á færni og hæfni viðkomandi umsækjenda.

Tilgangur og lögmæti vinnslu persónuupplýsinga 

Vegagerðin safnar og vinnur persónuupplýsingar um umsækjendur í þeim tilgangi að geta metið hvort viðkomandi uppfylli þær kröfur sem gerðar eru vegna ráðninga í störf.  Upplýsingarnar verða ekki notaðar í öðrum tilgangi nema með fullri vitneskju og eða samþykki umsækjenda.


Vinnsla persónuupplýsinga umsækjenda byggir á samþykki umsækjenda sbr. 1. tölul. 1. mgr. 9. gr. laga nr. 90/2018. Umsækjanda er heimilt að afturkalla samþykki sitt hvenær sem er í ráðningarferlinu en slíkt hefur ekki áhrif á lögmæti þeirrar vinnslu sem þegar hefur átt sér stað.

Geymsla persónuupplýsinga 

Vegagerðin er afhendingarskyldur aðili samkvæmt lögum nr. 77/2014. Í því felst að stofnuninni ber skylda til að afhenda opinberu skjalasafni þau gögn sem til verða í starfsemi hennar að ákveðnum tíma liðnum. Því er stofnuninni ákveðnar hömlur settar varðandi eyðingu þeirra gagna sem stofnunin fær í ráðningarferlinu.

Miðlun persónuupplýsinga 

Í ákveðnum tilfellum miðlar Vegagerðin persónuupplýsingum til ráðningarfyrirtækja sem veita stofnuninni ráðgjöf í ráðningarferli. Ráðningarskrifstofur veita Vegagerðinni ráðgjöf og umsagnir um umsækjendur. Vegagerðin getur tekið ákvörðun um ráðningu umsækjenda með hliðsjón af þeirri ráðgjöf.

Enn fremur miðlar Vegagerðin persónuupplýsingum umsækjenda til umsjónaraðila upplýsingatæknikerfa en í slíkum tilfellum liggur fyrir vinnslusamningur um þá vinnslu persónuupplýsinga.

Athugasemdir 

Vilji umsækjandi koma kvörtun eða athugasemdum á framfæri vegna vinnslu persónuupplýsinga, skal henni beint til Persónuverndarfulltrúa Vegagerðarinnar á netfangið: personuvernd@vegagerdin.is sem skal bregðast við erindinu svo fljótt sem auðið er.   

 Umsækjandi hefur einnig heimild til að bera vinnslu persónuupplýsinga undir Persónuvernd.

Samskiptaupplýsingar Vegagerðarinnar

Nafn: Vegagerðin, kt. 680269-2899
Heimilisfang: Suðurhrauni 3, 210 Garðabæ
Netfang: vegagerdin@vegagerdin.isSímanúmer: 522 1000.

 Persónuverndarfulltrúi

Hafi einstaklingar frekari spurningar um persónuverndaryfirlýsingu þessa geta þeir ávallt haft samband við persónuverndarfulltrúa Vegagerðarinnar.

Nafn: Dattaca Labs Iceland ehf.
Heimilisfang: Skeifan 19, 108 Reykjavík.
Netfang: dpo@dattacalabs.isSímanúmer: 517 3444

Réttur til að leggja fram kvörtun hjá Persónuvernd

Dragi einstaklingar í efa að Vegagerðin meðhöndli persónuupplýsingar þeirra í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 hafa þeir rétt til að senda erindi til Persónuverndar (www.personuvernd.is)

Endurskoðun á þessari persónuverndaryfirlýsingu

Persónuverndaryfirlýsing þessi getur frá einum tíma til annars tekið breytingum í samræmi við breytingar á viðeigandi lögum og reglugerðum eða ef breytingar verða gerðar á því hvernig Vegagerðin vinnur með persónuupplýsingar. Verði breytingar gerðar á persónuverndaryfirlýsingu þessari verður tilkynnt um slíkt á heimasíðu stofnunarinnar www.vegagerdin.is 

Eftir að breytingar hafa verið gerðar á persónuverndaryfirlýsingu taka þær gildi þegar uppfærð útgáfa hefur verið birt.

Síðast uppfært í mars 2024.