Fara í efni

Persónuverndarstefna umboðsmanns skuldara

 

 Um persónuverndarstefnuna

Markmið þessarar stefnu er að veita einstaklingum fræðslu um vinnslu persónuupplýsinga og um lögbundin réttindi þeirra. Upplýsingar teljast persónugreinanlegar ef hægt er að persónugreina einstakling, beint eða óbeint, s.s. með tilvísun í nafn, kennitölu, netauðkenni og lánsnúmer. Með vinnslu persónuupplýsinga er átt við alla mögulega meðferð þeirra, s.s. söfnun, skráningu, varðveislu, skoðun og notkun.

Embættið leggur mikla áherslu á að vernda persónuupplýsingar einstaklinga og virða réttindi þeirra. Embættið framfylgir lögum og reglum um persónuvernd og vinnslu persónuupplýsinga.

Í stefnunni eru m.a. veittar upplýsingar um hvernig unnið er með persónuupplýsingar, í hvaða tilgangi, lagagrundvöll, miðlun þeirra, varðveislutíma og öryggisráðstafanir. Stefna þessi nær til allra umsækjenda sem leitað hafa eða munu leita til embættisins, einstaklinga sem tengjast umsækjendum (fjölskyldumeðlimir, ábyrgðarmenn, umboðshafar) og einstaklinga sem senda embættinu erindi. Eftir því sem við á, tekur stefnan einnig til starfsmanna þeirra einkaaðila og opinberra aðila sem embættið er í samskiptum við vegna málsmeðferðar umsækjenda eða vegna samningssambands.

Hvaða persónuupplýsingar vinnur embættið með?

Með umsókn um úrræði greiðsluaðlögunar og fjárhagsaðstoðar vegna skiptatryggingar ber umsækjanda á grundvelli laga að veita ákveðnar upplýsingar í umsókn, s.s. samskiptaupplýsingar, upplýsingar um hjúskapar-/sambúðarstöðu, fjölskylduaðstæður, fjárhagsupplýsingar og ástæður greiðsluerfiðleika. Óskað er eftir sams konar upplýsingum vegna umsóknar um ráðgjöf, þar sem umboðsmaður skuldara leitast við að greina fjárhagsvanda og leiðbeina um viðeigandi úrræði. Samhliða umsókn um hlutaðeigandi úrræði þarf umsækjandi að veita embættinu heimild til að óska eftir öllum nauðsynlegum fjárhagsupplýsingum frá opinberum aðilum og einkaaðilum, s.s. um tekjur, gjöld, eignir, skuldir, ábyrgðarskuldbindingar og framfærslu- og húsnæðiskostnað.

Upplýsingaöflunin er úrskýrð nánar í því samþykki sem umsækjandi veitir þegar hann sækir um.

Embættið getur þurft að afla upplýsinga sem teljast viðkvæmar, t.d. geta upplýsingar úr færsluyfirlitum bankareikninga talist viðkvæmar. Þá teljast heilsufarsupplýsingar viðkvæmar, en umsækjandi kann að vera beðinn um að afhenda embættinu læknisvottorð til staðfestingar á veikindum.

Upplýsinga er aflað úr ársreikningaskrá (opinberar upplýsingar) ef um eignarhald í félagi er að ræða.

Veiti umsækjandi ekki nauðsynlegar upplýsingar sem honum er einum unnt að afla eða gefa, getur það haft áhrif á málsmeðferð hlutaðeigandi umsóknar, t.d. með synjun umsóknar eða niðurfellingu greiðsluaðlögunarumleitana.

Ef um sértæka þjónustu embættisins er að ræða, t.d. gerð greiðslumats vegna beiðni um afmáningu veðréttinda af fasteign eða aðstoð vegna breytinga á samningi, getur embættið þurft að afla sams konar upplýsinga og gert er vegna umsóknar um úrræði.

Ef einstaklingar heimsækja vefsíðu embættisins, láta þeir af hendi persónuupplýsingar með óbeinum hætti, þ.e. upplýsingar um IP tölu. Nánari upplýsingar um vefkökur, má finna á vefsíðu embættisins. Embættið er jafnframt með rafræna vöktun með eftirlitsmyndavélum á starfsstöð sinni, Kringlunni 1, í öryggisskyni. Embættið gætir þess að fylgja reglum um rafræna vöktun.

Persónuupplýsingar um þá starfsmenn einkaaðila og opinberra aðila sem embættið er í samskiptum við eru eingöngu almennar en þær geta t.d. verið nöfn og aðrar samskiptaupplýsingar.

Tilgangur og lagagrundvöllur

Umboðsmaður skuldara aflar framangreindra upplýsinga til þess að geta afgreitt umsókn um hlutaðeigandi úrræði sem og vegna málsmeðferðar á síðari stigum sé leitað greiðsluaðlögunar. Þannig getur t.d. umsjónarmaður greiðsluaðlögunarmáls aflað allra nauðsynlegra upplýsinga sem hann þarf á að halda vegna vinnslu málsins.

Nánari umfjöllun um hvert úrræði má finna á vefsíðu embættisins.

Embættinu ber að afla samþykkis frá umsækjanda fyrir öflun og vinnslu persónuupplýsinga, sbr. lög um umboðsmann skuldara nr. 100/2010, lög um greiðsluaðlögun einstaklinga nr. 101/2010 og lög um fjárhagsaðstoð til greiðslu tryggingar fyrir kostnaði vegna gjaldþrotaskipta nr. 9/2014.

Á embættinu hvílir rannsóknarskylda en í því felst að umboðsmaður skuldara skal sjá til þess að mál sé nægjanlega upplýst áður en ákvörðun er tekin í því. Vakin skal þó athygli á því að þegar embættið veitir almenna ráðgjöf eru ekki teknar stjórnvaldsákvarðanir, heldur aflar ráðgjafi allra nauðsynlegra upplýsinga til þess að geta veitt ráðgjöf til úrlausnar á fjárhagsvanda.

Embættið leitast við að gæta að meginreglum um vinnslu persónuupplýsinga, m.a. að þær sé fengnar í skýrt tilgreindum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Þá leitast embættið við að gæta að því að persónuupplýsingar séu nægjanlegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.

Embættið miðlar eingöngu upplýsingum til þriðja aðila á grundvelli lagaheimildar eða upplýsts samþykkis.

Þá byggist varðveisla persónuupplýsinga um starfsmenn einkaaðila og opinberra aðila, sem hafa verið í samskiptum við embættið, á lagaskyldu.

Framkvæmd upplýsingaöflunar

Embættið óskar eftir upplýsingum með rafrænum hætti frá öllum þeim aðilum sem embættið hefur vefþjónustu við. Um er að ræða Tryggingastofnun, Ríkisskattstjóra, Lánasjóð íslenskra námsmanna, Arion banka, Íslandsbanka, Landsbankann og Íbúðalánasjóð. Þá eru skrifleg erindi send til Tollstjóra, Motus sem og eftir atvikum til annarra aðila sem ráða má af umsókn, skattframtölum og viðtali við umsækjanda, að geta veitt nauðsynlegar upplýsingar.

Í framkvæmd er því ávallt óskað eftir upplýsingum hjá öllum stærri kröfuhöfum og innheimtuaðilum, hvort þeir eigi kröfu á hendur umsækjanda, til þess að fjárhagsstaða viðkomandi verði sem skýrust.

Vakin skal athygli á því að kröfuhafar sem miðla upplýsingum til embættisins teljast ábyrgðaraðilar fyrir miðluninni.

Viðtakendur persónuupplýsinga

Á vegum embættisins starfa nokkrir vinnsluaðilar sem vinna á grundvelli samnings og laga um persónuvernd og vinnslu persónuupplýsinga. Vinnsluaðili er aðili sem hefur heimild til að vinna með persónuupplýsingar á vegum ábyrgðaraðila.

Eftirfarandi eru vinnsluaðilar embættisins:

Tölvu- og upplýsingatæknifyrirtækið Þekking ehf.

Þekking annast hýsingu á upplýsingakerfum embættisins og annast alhliða tölvu- og rekstrarþjónustu.

Miracle ehf.

Miracle er hugbúnaðarfyrirtæki sem hannað hefur vinnslukerfi embættisins og veitir þjónustu vegna þeirra.

Hugvit hf.

Hugvit er með upplýsingakerfið GoPro sem er málaskráakerfi embættisins.

Stefna ehf.

Stefna er upplýsingatæknifyrirtæki sem hannað hefur vefsíðu embættisins og annast hýsingu hennar.

Vinnsla framangreindra aðila felst í heimild þeirra til að hafa aðgang og þannig skoða ákveðnar persónugreinanlegar upplýsingar, með skýrt skilgreindum og afmörkuðum hætti, sem nauðsynlegt er til þess að geta veitt umsamda þjónustu. Á vinnsluaðilum hvílir rík trúnaðarskylda.

Aðrir viðtakendur

Embættið veitir eingöngu þriðja aðila persónuupplýsingar sem embættið hefur fengið frá umsækjanda eða opinberum aðilum/einkaaðilum, sé mælt fyrir um miðlun slíkra upplýsinga í lögum eða vegna þess að umsækjandi hefur samþykkt það.

Í úrræði greiðsluaðlögunar er um að ræða eftirfarandi miðlun persónuupplýsinga til þriðja aðila (í samræmi við ákvæði laga):

  • Ef umsókn er samþykkt er innköllun birt í Lögbirtingablaði. Í innköllun er skorað á kröfuhafa að lýsa kröfum á hendur umsækjanda (upplýsingar um nafn, kennitölu, heimilisfang).
  • Þekktir kröfuhafar, ábyrgðarmenn og samskuldarar fá sent afrit af innkölluninni ásamt bréfi sem felur í sér tilkynningu um að greiðsluaðlögunarumleitanir séu hafnar.
  • Tillaga að samningi um greiðsluaðlögun (frumvarp til greiðsluaðlögunar) getur verið send til hlutaðeigandi kröfuhafa. Í þessari tillögu að samningi koma fram allar þær persónuupplýsingar sem ber að tilgreina skv. lögunum, þ.e. almennar upplýsingar um viðkomandi, allar viðeigandi fjárhagsupplýsingar og eftir atvikum viðkvæmar persónuupplýsingar, að höfðu samráði við umsækjanda. Frekari upplýsingum kann að vera miðlað vegna samningaviðræðna. Læknisvottorðum er aldrei miðlað til kröfuhafa, nema umsækjandi óski sérstaklega eftir því.
  • Samþykktur samningur (með ofangreindum upplýsingum) er sendur til allra hlutaðeigandi kröfuhafa.
  • Viðeigandi upplýsingum er miðlað til kröfuhafa vegna kröfu umsækjanda um breytingu á samningi og ákvörðunar embættisins vegna þeirrar kröfu.
  • Tilkynningar um lok tímabundinnar frestunar greiðslna (svokallað greiðsluskjól) eru sendar til kröfuhafa með upplýsingum um nafn og kennitölu viðkomandi.
  • Upplýsingum kann að vera miðlað til sýslumanns vegna skráningar/aflýsingar athugasemdar á eign viðkomandi í samræmi við ákvæði laga.
  • Náist ekki frjáls samningur kann frumvarpi til nauðasamnings og/eða eftir atvikum frumvarpi til tímabundinnar greiðsluaðlögunar fasteignaveðkrafna að vera miðlað til kröfuhafa ásamt greinargerð umsjónarmanns (sömu upplýsingar og koma fram í frumvarpi til greiðsluaðlögunar).
  • Auglýst er í Lögbirtingablaði um hvort nauðasamningur hafi verið staðfestur (nafn og kennitala).

Í úrræði ráðgjafar er upplýsingum miðlað til kröfuhafa eingöngu á grundvelli beiðni frá umsækjanda, vegna samningaviðræðna um lausn á fjárhagsvanda. Þær upplýsingar sem kunna að vera sendar eru greiðsluerfiðleikamat með fjárhagsupplýsingum, áætlun um greiðslur, skattframtöl, upplýsingar um laun og eftir atvikum viðkvæmar persónuupplýsingar að höfðu samráði við umsækjanda.

Þegar embættið veitir sértæka þjónustu t.d. vinnur greiðslumat vegna beiðni um afmáningu veðréttinda eða aðstoðar við milligöngu vegna breytinga á samningi, er upplýsingum miðlað til þriðja aðila eingöngu á grundvelli upplýsts samþykkis.

Embættinu er skylt að láta velferðarráðuneytinu eða úrskurðarnefnd velferðarmála í té öll gögn máls og nauðsynlegar upplýsingar vegna meðferðar kærumála.

Varðveislutími

Þar sem embætti umboðsmanns skuldara er afhendingarskyldur aðili á grundvelli laga um opinber skjalasöfn nr. 77/2014, er embættinu óheimilt að eyða hvers konar gögnum sem hafa borist stofnuninni. Afhendingarskyld skjöl skal afhenda opinberu skjalasafni þegar þau hafa náð 30 ára aldri.

Upptökur úr eftirlitsmyndavélum eru varðveittar í 30 daga en síðan er þeim eytt.

Öryggi

Embættið ásamt vinnsluaðilum, viðhefur ákveðnar tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga. Vinnsluaðilum ber að hlíta nákvæmum vinnslusamningum, þar sem skyldur þeirra í tengslum við öryggi persónuupplýsinga er útlistað.

Ráðstafanir embættisins eru m.a. eftirfarandi:

  • Aðgangsstýring mála. Eingöngu þeir starfsmenn sem afgreiða umsókn um úrræði hafa aðgang að máli viðkomandi með ákveðnum undantekningum
  • Læsing skjala með lykilorðum séu þau send rafrænt í tölvupósti. Embættið hyggst taka upp svokallað ,,mitt svæði“ gagnvart umsækjendum, þar sem stýra má samskiptum á öruggari máta.
  • Útgefin öryggisstefna og reglubundið áhættumat
  • Verklagsreglur um vinnslu persónuupplýsinga
  • Eftirlit með vinnslu persónuupplýsinga
  • Fræðsla og þjálfun starfsfólks til að stuðla að öryggisvitund
  • Rafræn vöktun með eftirlitsmyndavélum

Allir starfsmenn embættisins og vinnsluaðila skrifa undir þagnarheit um þær upplýsingar sem þeir verða áskynja í starfi sínu. Þagnarskyldan helst þótt látið sé af starfi. Þá eru starfsmenn embættisins jafnframt bundnir trúnaðarskyldu samkvæmt lögum um réttindi og skyldur starfsmanna ríkisins. Brot á slíkri trúnaðarskyldu getur varðað refsingu samkvæmt almennum hegningarlögum.

Ef embættið verður vart við öryggisbrot við meðferð persónuupplýsinga, er Persónuvernd tilkynnt um brotið nema ólíklegt þyki að brotið leiði til áhættu fyrir réttindi og frelsi einstaklinga. Einstaklingi er jafnframt tilkynnt um brotið ef líklegt er að það leiði af sér mikla áhættu fyrir réttindi og frelsi hans sjálfs.

Réttindi einstaklinga

Réttur til leiðréttingar og eyðingar persónuupplýsinga

Einstaklingur á rétt á að fá óáreiðanlegar persónuupplýsingar er varða hann sjálfan leiðréttar af ábyrgðaraðila án ótilhlýðilegrar tafar. Þar sem embættið er skuldbundið að varðveita persónuupplýsingar sem berast embættinu skv. lögum um opinber skjalasöfn, geta einstaklingar almennt ekki óskað eftir eyðingu persónuupplýsinga. Í einstaka tilfellum gæti réttur til eyðingar þó átt við.

Réttur til þess að fá aðgang að eigin persónuupplýsingum

Einstaklingur á rétt á því að fá staðfestingu frá embættinu um það hvort verið sé að vinna persónuupplýsingar er varða hann sjálfan og, ef svo er, rétt til aðgangs að þeim upplýsingum. Samhliða á viðkomandi rétt á upplýsingum um tilgang vinnslunnar, flokka persónuupplýsinga, viðtakendur þeirra, fyrirhugaðan varðveislutíma, réttindi hans skv. löggjöfinni, hvaðan upplýsingarnar koma og hvort fari fram sjálfvirk ákvörðunartaka. Ákveðnar undantekningar eru á aðgangsréttinum, t.d. gildir hann ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum vega þyngra. Þá má undanþiggja upplýsingar í málum sem eru til meðferðar hjá stjórnvöldum að sama marki og gildir um undantekningar á upplýsingarétti samkvæmt upplýsingalögum og stjórnsýslulögum.

Réttur til þess að flytja persónuupplýsingar

Ef vinnsla persónuupplýsinga byggist á samþykki og er sjálfvirk, skal einstaklingur eiga rétt á að fá persónuupplýsingar er varða hann sjálfan, sem hann hefur sjálfur látið embættinu í té, á skipulegu, algengu, tölvulesanlegu sniði og eiga rétt á að senda þessar upplýsingar til annars ábyrgðaraðila. Ef það er tæknilega framkvæmanlegt á einstaklingur rétt á að senda persónuupplýsingar beint frá einum ábyrgðaraðila til annars.

Réttur til að andmæla og takmarka vinnslu persónuupplýsinga

Ef vinnsla embættisins byggist á almannahagsmunum, á einstaklingur rétt á að andmæla hvenær sem er, vegna sérstakra aðstæðna sinna, vinnslu persónuupplýsinga er varða hann sjálfan. Ber þá embættinu almennt ekki að vinna persónuupplýsingarnar frekar. Þá á einstaklingur rétt til þess að embættið takmarki vinnslu undir ákveðnum kringumstæðum, t.d. ef hann vefengir að persónuupplýsingar séu réttar.

 

Samskipti við embættið og Persónuvernd

Umboðsmaður skuldara, kt. 660710-1080 er ábyrgðaraðili fyrir vinnslu persónugreinanlegra upplýsinga hjá stofnuninni. Embætti umboðsmanns skuldara er staðsett í Kringlunni 1, 103 Reykjavík en opnunartími embættisins er virka daga frá kl. 09:00-15:00. Einnig er hægt að hafa samband í símanúmerið 512-6600 og á netfangið ums@ums.is.

Persónuverndarfulltrúi embættisins hefur eftirlit með að farið sé að ákvæðum laga og reglna um persónuvernd og vinnslu persónuupplýsinga, veitir ráðgjöf og er tengiliður stofnunarinnar við Persónuvernd. Hægt er að beina spurningum og ábendingum varðandi vinnslu persónuupplýsinga og persónuvernd á netfangið personuvernd@ums.is

Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið postur@personuvernd.is. Þá er hægt að senda bréfpóst á heimilisfang Persónuverndar, Rauðarárstígur 10, 105 Reykjavík.