Lagasafn Pírata | [Fundargerð samþykktar]

Innri öryggisstefna Pírata

1. Markmið innri öryggisstefnu

Það er stefna Pírata, kt. 461212-0690 (hér eftir „félagið“ eða „Píratar“) að tryggja öryggi þeirra upplýsinga og gagna sem félagið hefur í sinni vörslu sem varða einstaklinga og aðrar upplýsingar sem þykja viðkvæms eðlis. Þetta skal gert m.t.t. leyndar, réttleika og tiltækileika. Það er okkar stefna að standa vörð um öryggi gagna og þess búnaðar sem gögnin eru rekin á.

2. Gildissvið

Stefna þessi nær til þeirra persónuupplýsinga sem starfsfólk og sjálfboðaliðar Pírata hafa aðgengi að vegna almennra starfa, verkefna sem og vegna lögbundinna skyldna félagsins. Stefnan nær þar af leiðandi til upplýsinga um starfsfólk, umsækjendur um vinnu, félagsfólk, samstarfsaðila o.s.frv., sem hafa veitt félaginu aðgang að persónuupplýsingum um sig.

3. Réttindi og skyldur aðila

Starfsfólki og sjálfboðaliðum Pírata ber að fylgja öryggisstefnu þessari. Stefnan nær einnig til utanaðkomandi starfsfólks sem vinnur fyrir Pírata í tímabundnum verkefnum, en er ekki samningsbundið til lengri tíma innan félagsins. Almennt nær stefnan til þeirra sem vinna hjá, fyrir eða koma fram fyrir hönd Pírata að öðru leyti og gætu þurft aðgang að persónugreinanlegum gögnum til þess að sinna starfi sínu eða verkefnum sem þeim eru falin.

4. Vinnsla persónuupplýsinga

Í einhverjum tilvikum þarf félagið að vinna með tilteknar persónuupplýsingar til þess að geta sinnt venjubundnum störfum félagsins. Um er að ræða upplýsingar sem eru aðgengilegar hvort heldur sem er á tölvutæki formi eða prentuðu og unnt er að nýta til þess að persónugreina einstaklinga. Þessar upplýsingar geta verið nöfn, heimilisföng, notendanöfn og lykilorð að kerfum, stafræn fótspor, ljósmyndir, kennitölur, fjárhagsupplýsingar o.fl. Félagið safnar þessum upplýsingum á gagnsæjan hátt og einungis ef samþykki liggur fyrir frá hluteigandi aðilum. Þegar félagið hefur fengið aðgang að upplýsingum gildir eftirfarandi um upplýsingaöryggi:

• Upplýsingar er nákvæmar og uppfærðar reglulega.
• Gætt verður meðalhófs við söfnun upplýsinga.
• Upplýsingum er einungis safnað til að uppfylla lögmætan tilgang.
• Persónuupplýsingar eru unnar af félaginu í samræmi við gildandi lög og reglur.
• Þær persónuupplýsingar sem félagið hafa undir höndum eru verndaðar gegn aðgangi óviðkomandi aðila.

Félagið mun ekki:

• Deila persónuupplýsingum hinna skráðu með óviðkomandi aðilum.
• Geyma persónuupplýsingar lengur en þörf krefur
• Flytja persónuupplýsingar til annarra lögaðila, ríkja eða landa sem uppfylla ekki ábyrgð og skyldur samkvæmt almennu persónuverndarreglugerðinni nr. 2016/679.
• Deila persónuupplýsingum hins skráða með öðrum aðilum en þeim sem hinn skráði hefur veitt samþykkt fyrir, eða í þeim tilfellum sem það kann vera nauðsynlegt til að uppfylla lagalega skyldu.

Auk þess að fara með persónuupplýsingar á tiltekinn hátt þá mun félagið einnig tryggja réttindi þeirra einstaklinga sem hafa látið félaginu persónuupplýsingar í té. Það er gert með því að:

• Láta viðeigandi aðila vita um hvers eðlis upplýsingarnar sem er safnað eru.
• Upplýsa hina skráðu um hvernig persónuupplýsingar um þau eru unnar.
• Upplýsa hina skráðu um hverjir hafa aðgang að persónuupplýsingum um þau.
• Geta gripið til ráðstafana ef persónuupplýsingar týnast eða einhverjir brestir verða í geymslu og öryggi upplýsinganna.
• Gera hinum skráðu kleift að leggja fram beiðni um að upplýsingar um þau verði breytt, eytt, takmarkaðar eða leiðréttar.

5. Aðgerðir

Til að tryggja öryggi persónuupplýsinga leitast félagið í hvívetna við að:

• Takmarka og fylgjast með aðgengi að viðkvæmum persónuupplýsingum.
• Þróa gagnsæja ferla þegar persónuupplýsinga er aflað og þær geymdar.
• Þjálfa starfsfólk og fólk í trúnaðarstöðum varðandi gagnaöryggi og friðhelgi einkalífs á Internetinu.
• Tryggja að upplýsingar eru geymdar á öruggan hátt og að öryggi tæknimála sé tryggt með fullnægjandi hætti gagnvart brestum á öryggi.
• Koma upp skýrum ferlum ef upp kunna að koma brestir á öryggi varðandi geymslu og meðför persónuupplýsinga.
• Upplýsa starfsfólk sitt um hvernig meðför persónuupplýsinga er háttað.
• Koma upp ferlum til að tryggja öryggi upplýsinga, t.d. hvernig skal eyða gögnum á fullnægjandi hátt, tryggja örugga aðgangsstjórnun, hamla aðgengi að gögnum o.s.frv.
• Persónuverndarstefna okkar er aðgengileg í starfsmannahandbók Pírata.

6. Brot á stefnu

Telji starfsfólk eða aðilar í trúnaðarstöðum að vernd og leynd persónuupplýsinga þeirra sé ekki tryggð á fullnægjandi máta er unnt að beina fyrirspurnum þess lútandi til persónuverndarfulltrúa Pírata (gdpr@piratar.is). Auk þess er unnt að beina kvörtunum varðandi meðför persónuupplýsinga til Persónuverndar (personuvernd.is).

7. Eftirlit og endurskoðun

Öryggisstefnu þessa skal endurskoða í tengslum við allar meiriháttar breytingar á rekstri eða rekstrarumhverfi félagsins. Framkvæmdaráð og framkvæmdastjóri félagsins skal sjá til þess að viðhalda réttleika öryggisstefnunnar og hafa frumkvæði að reglulegri endurskoðun.

Þessi vefur keyrir á Jekyll og er hýstur á GitHub.