Persónuvernd
Húsnæðis- og mannvirkjastofnun er umhugað um persónuvernd í starfsemi sinni og leggur áherslu á að lögmæta, sanngjarna og gagnsæja meðferð persónuupplýsinga. Hjá HMS skal unnið með eins lítið af persónuupplýsingum og þörf krefur á grundvelli hins lögbundna hlutverks hans.
Persónuverndarstefna Húsnæðis- og mannvirkjastofnunar er sett í þágu skráðra einstaklinga hjá HMS. Þar má fá upplýsingar um stefnu HMS hvað varðar persónuvernd og vinnslu persónuupplýsinga.
Markmið stefnunnar
Hjá Húsnæðis- og mannvirkjastofnun (hér eftir „HMS“ eða ,,stofnunin“) er unnið með margs kyns persónuupplýsingar, einkum um þá sem sækja þjónustu til stofnunarinnar og starfsfólk hennar (hér einu nafni nefnd „hin skráðu“).
Markmið þessarar stefnu er að veita almenningi en þó einkum hinum skráðu upplýsingar um þá vinnslu persónuupplýsinga sem fram fer hjá HMS, aðallega hvaða persónuupplýsingar er unnið með og hvaðan þær eru fengnar, í hvaða tilgangi og með hvaða heimild, hvert upplýsingunum kann að verða miðlað og hversu lengi þær verða geymdar. Þá er í stefnunni tilgreint hvaða réttindi hin skráðu hafa vegna vinnslunnar og hvert þau geta beint kvörtunum vegna hennar. Loks kemur fram hver sé ábyrgðaraðili vinnslunnar og persónuverndarfulltrúi stofnunarinnar.
Þessari upplýsingagjöf er ætlað að veita hinum skráðu yfirsýn yfir vinnslu persónuupplýsinga um þá hjá HMS og gera þeim kleift að nýta réttindi sín sem tengjast vinnslunni, auk þess að uppfylla fræðsluskyldur HMS gagnvart hinum skráðu sem hvíla á stofnuninni samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga (pvl.), nú lög nr. 90/2018.
Verkefni HMS og heimildir til vinnslu persónuupplýsinga
Um HMS gilda lög nr. 137/2019 um Húsnæðis- og mannvirkjastofnun. Stofnuninni var komið á fót með lögunum og tók meðal annars við hlutverki og verkefnum Mannvirkjastofnunar og hluta Íbúðalánasjóðs. Þá tók HMS við ýmsum verkefnum frá Neytendastofu og Þjóðskrá á árunum 2021-22, sbr. breytingarlög nr. 18/2021 og 36/2022.
Um verkefni HMS fer samkvæmt lögum um mannvirki, lögum um húsnæðismál, lögum um almennar íbúðir, lögum um húsnæðisbætur, lögum um byggingarvörur, lögum um brunavarnir, lögum um timbur og timburvöru, lögum um meðferð elds og varnir gegn gróðureldum, lögum um öryggi raforkuvirkja, neysluveitna og raffanga, efnalögum, lögum um visthönnun vöru sem tengist orkunotkun, lögum um merkingar og upplýsingaskyldu varðandi vörur sem tengjast orkunotkun, lögum um öryggi vöru og opinbera markaðsgæslu, lögum um mælingar, mæligrunna og vigtarmenn, lögum um skráningu og mat fasteigna, húsaleigulögum og öðrum lögum eftir því sem við getur átt, sbr. 3. gr. laga um stofnunina.
HMS stundar vinnslu persónuupplýsinga fyrst og fremst til þess að stofnunin geti sinnt lögbundnu hlutverki sínu og því eru heimildir fyrir nánast allri slíkri vinnslu að finna í ákvæðum framtalinna laga. HMS kann einnig að vera nauðsynlegt að vinna með persónuupplýsingar til að efna samning við hinn skráða eða að beiðni hins skráða áður en samningur er gerður við stofnunina. HMS gætir að því að afla samþykkis með fullnægjandi hætti þegar upplýsinga er óskað á þeim grundvelli. Af þeim verkefnum sem HMS eru falin í framantöldum lögum verður ráðið hvaða persónuupplýsingar stofnuninni er falið að vinna með og að hvaða marki. Er þar einkum um að ræða persónuupplýsingar um þá sem sækja þjónustu til stofnunarinnar og leggja inn ýmiss konar umsóknir, kvartanir, kærur eða önnur erindi til hennar, um þá einstaklinga sem slík erindi snúa að og um fyrirsvarsmenn eða tengiliði lögaðila sem inn komin erindi snerta.
Persónuverndarstefna Dags. 18.10.2023 Útgáfunúmer: 2.0 STE-003 Bls. 2 af 4 Að auki er stofnuninni nauðsynlegt að vinna með persónuupplýsingar um þá einstaklinga eða fyrirsvarsmenn lögaðila sem tengjast málum sem stofnunin tekur upp að eigin frumkvæði eða kemur að fyrir tilstilli annarra stjórnvalda. Auk þeirra laga sem fela HMS tiltekin verkefni leggja lög um meðferð stjórnsýslumála, svo sem stjórnsýslulög, upplýsingalög og lög um opinber skjalasöfn, skyldur á stofnunina til að vinna með persónuupplýsingar til þess að uppfylla þær kröfur sem gerðar eru til stofnunarinnar sem stjórnvalds við meðferð stjórnsýslumála.
Til þess að rækja hlutverk sitt reiðir HMS sig á starfsfólk stofnunarinnar og stjórn. HMS ber ýmsar skyldur sem snúa að þessum mannauði, einkum er varðar aðbúnað, laun, starfskjör og önnur réttindi. Þær skyldur er aðallega að finna í lögum um réttindi og skyldur starfsmanna ríkisins, lögum um aðbúnað, hollustuhætti og öryggi á vinnustöðum, lögum um tekjuskatt, lögum um tekjustofna sveitarfélaga, lögum um staðgreiðslu opinberra gjalda, lögum um orlof, lögum um fæðingar- og foreldraorlof og lögum um jafna stöðu og jafnan rétt kvenna og karla. Það er mikilvægt verkefni stofnunarinnar að uppfylla þær skyldur í hvívetna og í því skyni er henni nauðsynlegt að vinna með margs kyns persónuupplýsingar.
Vinnsla persónuupplýsinga hjá HMS
Þeir sem leita til stofnunarinnar
HMS er nauðsynlegt að vinna með persónuupplýsingar um þá sem leita með erindi til stofnunarinnar í þeim tilgangi að tryggja rétta persónugreiningu, staðreyna viðkomandi réttindi eða skyldur þeirra sem erindin lúta að, uppfylla rannsóknarregluna og aðrar málsmeðferðarreglur stjórnsýslunnar og varðveita nægilegar upplýsingar um meðferð viðkomandi máls til að uppfylla lagaskyldur stofnunarinnar, svo sem samkvæmt lögum um opinber skjalasöfn. HMS aflar því persónuupplýsinga um erindisbeiðendur, að meginstefnu frá þeim sjálfum, einkum um nöfn þeirra, kennitölur, tengsl við viðkomandi mál og málavexti, auk tengiliðaupplýsinga. Þá kann stofnunin að afla viðbótarupplýsinga úr eigin skrám eða annars staðar frá í framangreindum tilgangi, svo sem um önnur skyld mál eða atvik. Loks vinnur HMS með viðkomandi persónuupplýsingar í því skyni að komast að niðurstöðu sem er svo jafnan birt hinum skráðu og eftir atvikum öðrum hlutaðeigandi.
Þegar um er að ræða valkvæð erindi til stofnunarinnar ber hinum skráðu ekki skylda til að veita umbeðnar persónuupplýsingar en verði þær ekki veittar leiðir það jafnan til þess að ekki sé hægt að taka viðkomandi erindi til meðferðar.
Þeir sem erindi til stofnunarinnar snúa að
Í þeim erindum sem leitað er til HMS með kunna að koma fyrir persónuupplýsingar um aðra einstaklinga en erindisbeiðendur, svo sem gagnaðila eða eigendur annarra réttinda sem koma þar við sögu. Stofnunin vinnur með slíkar persónuupplýsingar í þeim tilgangi að tryggja rétta meðferð viðkomandi máls, ganga úr skugga um að stofnunin hafi að fullu uppfyllt lagaskyldur sínar svo sem varðandi andmælarétt, önnur atriði sem varða rannsókn viðkomandi máls og framangreindar skyldur samkvæmt lögum um opinber skjalasöfn. Kann stofnunin af þessu tilefni að afla viðbótarupplýsinga, svo sem úr opinberum skrám eða frá hinum skráðu sjálfum, svo sem að framan greinir.
Þeir sem koma fyrir í frumkvæðismálum eða málum frá öðrum stjórnvöldum
Þegar HMS tekur upp mál að eigin frumkvæði eða eftir að hafa tekið við málum frá öðrum stjórnvöldum er henni skylt að vinna með persónuupplýsingar um þá sem málið lýtur að í þeim tilgangi að upplýsa málið, gæta að andmælarétti viðkomandi og uppfylla aðrar kröfur sem gerðar eru til málsmeðferðarinnar, þar á meðal um meðferð upplýsinganna að máli loknu.
Starfsfólk og umsækjendur um störf
Mikilvægt er fyrir HMS að afla og viðhalda réttum upplýsingum um starfsfólk sitt til að uppfylla réttilega skyldur sínar gagnvart þeim. Auk almennra lýðupplýsinga er þar einkum um að ræða upplýsingar um starfs- og launakjör og atriði sem hafa áhrif á þau, svo sem starfsréttindi, menntun og starfsaldur. Þá ber HMS að vinna með upplýsingar um viðveru, orlof og fjarveru, svo sem vegna veikinda. Einnig vinnur stofnunin með upplýsingar um launagreiðslur og staðgreiðslu opinberra gjalda til að uppfylla skyldur sínar á því sviði.
Miðlun persónuupplýsinga til annarra ábyrgðaraðila og vinnsluaðila
HMS er stofnun í eigu ríkisins og miðlar þeim persónuupplýsingum sem hún sýslar með til tvenns konar móttakenda. Annars vegar til annarra ábyrgðaraðila, ýmist sjálfstæðra eða sameiginlegra með HMS, á grundvelli lagaskyldu, svo sem til hinna skráðu sjálfra, annarra ríkisstofnana, fjölmiðla eða almennings á grundvelli stjórnsýslulaga, upplýsingalaga, persónuverndarlaga eða annarra laga. Hins vegar miðlar stofnunin persónuupplýsingum til vinnsluaðila sem hún felur á grundvelli vinnslusamninga að annast framkvæmd hluta af þeirri vinnslu sem hún ber ábyrgð á.
HMS vistar og vinnur með allar persónuupplýsingar innan Evrópska efnahagssvæðisins. Allir vinnsluaðilar stofnunarinnar starfa innan þess svæðis.
Sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs
Ekki fer fram sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs, hjá HMS.
Geymslutími persónuupplýsinga
HMS er afhendingarskyldur aðili samkvæmt ákvæðum laga um opinber skjalasöfn. Í því felst að stofnuninni er óheimilt að eyða skjölum úr skjalasafni sínu nema með grisjunarheimild þjóðskjalavarðar. Almennt skulu skjöl afhendingarskylds aðila varðveitt hjá honum í a.m.k. 30 ár skv. gildandi lögum og þá afhent Þjóðskjalasafni. Vörsluútgáfur hvers skjalavistunartímabils eru einnig sendar með reglulegu millibili til Þjóðskjalasafns. Mælt er fyrir um varðveislu gagna með ítarlegri hætti í geymslu- og grisjunaráætlun HMS. Af þessu leiðir að HMS varðveitir jafnan þær persónuupplýsingar sem stofnunin vinnur með og er óheimilt að verða við óskum hinna skráðu um að þeim verði eytt.
Réttindi hinna skráðu
Hinir skráðu eiga margs kyns réttindi sem mikilvægt er að þeir viti af:
- Hinn skráði á jafnan rétt á að óska eftir aðgangi að og afriti af persónuupplýsingum sínum hjá HMS og láta stofnunina skrá leiðréttingu við þær ef þær eru rangar eða villandi. Hins vegar eiga hinir skráðu, vegna fyrrnefndrar skilaskyldu til Þjóðskjalasafns, jafnan ekki rétt til að láta eyða persónuupplýsingum sínum sem er unnið með hjá HMS. Þessum réttindum og takmörkunum á þeim er nánar lýst í lögum um persónuvernd, sbr. nú 17. og 20. gr. pvl. Þá eiga hinir skráðu samkvæmt síðarnefndu lagagreininni rétt á að flytja eigin gögn eða að láta takmarka vinnslu persónuupplýsinga um sig, að uppfylltum nánar tilgreindum skilyrðum. Loks eiga hinir skráðu rétt til að andmæla vinnslunni skv. 21. gr. laganna.
- Hinir skráðu eiga rétt til að leggja fram kvörtun hjá Persónuvernd vegna vinnslunnar. Skrifstofa Persónuverndar er að Rauðarárstíg 10, 105 Reykjavík og netfang hennar er postur@personuvernd.is.
Upplýsingaröryggi
HMS notar skjalfest stjórnkerfi upplýsingaöryggis til að tryggja vernd persónuupplýsinga í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga. Upplýsingaöryggiskerfið nær til allra helstu lykilkerfa stofnunarinnar. Þannig hefur HMS sett sér upplýsingaöryggisstefnu, gert áhættumat og innleitt viðeigandi öryggisráðstafanir til að tryggja öryggi vinnslu persónuupplýsinga hjá stofnuninni. Þá hefur HMS aflað sér vottunar á upplýsingaöryggisstjórnkerfi sínu samkvæmt staðlinum ÍST ISO/IEC 27001 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur.
Ábyrgðaraðili vinnslu persónuupplýsinga hjá HMS
HMS er ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fram fer hjá og af hálfu stofnunarinnar. Hægt er að hafa samband við stofnunina í tölvupósti á netfangið, hms@hms.is eða bréfleiðis á starfsstöðvar HMS hvort sem er að Borgartúni 21, 105 Reykjavík, Ártorgi 1, 550 Sauðárkróki eða Hafnarstræti 107, 600 Akureyri.
Persónuverndarfulltrúi HMS
HMS hefur tilnefnt persónuverndarfulltrúa í samræmi við skyldur sínar sem stjórnvald, sbr. 35. gr. persónuverndarlaga. Hægt er að hafa samband við persónuverndarfulltrúa stofnunarinnar í tölvupósti á netfanginu persona@hms.is og bréfleiðis á póstfangið Persónuverndarfulltrúi HMS, Húsnæðis- og mannvirkjastofnun, Borgartúni 21, 105 Reykjavík.
Gildistími og endurskoðun
Persónuverndarstefna þessi var samþykkt af stjórn HMS þann 22. desember 2022 og verður endurskoðuð innan tveggja ára. Hún er birt á heimasíðu stofnunarinnar.
Stefnunni var breytt á fundi stjórnar HMS þann 28. september 2023.