Frímúrarareglan á Ísandi er sjálfstætt félag karlmanna úr öllum hópum þjóðfélagsins sem hefur mannrækt að markmiði. Í tengslum við starf og rekstur Frímúrarareglunnar kann félaginu að vera skylt og nauðsynlegt að safna, skrá, nota og varðveita persónuupplýsingar um félagsmenn, maka þeirra og í ákveðnum tilvikum um aðra einstaklinga.
Persónuupplýsingar teljast allar persónugreinanlegar upplýsingar um skráðan einstakling eða upplýsingar sem hægt er að nota til að persónugreina einstakling, beint eða óbeint, af upplýsingunum einum og sér eða með frekari gögnum. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
Öll vinnsla persónuupplýsinga sem tengist starfi Frímúrarareglunnar á Íslandi á einn eða annan hátt fer fram í samræmi við gildandi lög og reglur um persónuvernd, sbr. lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlögin“).
Persónuverndaryfirlýsingunni er ætlað að veita almenna fræðslu þannig að tryggt sé að félagsmenn og aðrir einstaklingar séu upplýstir um það hvernig félagið safnar, skráir, vistar og varðveitir persónuupplýsingar og hvernig einstaklingur getur neytt réttar sins á grundvelli persónuverndarlaganna. Félagið mun þó einnig leitast við að veita frekari fræðslu til einstaklinga eftir þörfum í tengslum við fyrirspurnir sem berast um persónuvernd og meðhöndlun persónuupplýsinga. Fyrirspurnum má beina á netfangið: skrifstofa@frimur.is eða senda bréfpóst til: Frímúrarareglan á Íslandi, Bríetartún 5, 105 Reykjavík, Ísland.
1. Um hverja safnar félagið persónuupplýsingum?
Vinnsla persónuupplýsinga um félagsmenn:
- Algengast er að félagið safni og móttaki persónuupplýsingar beint frá félagsmönnum sjálfum og er þá einna helst um að ræða persónuupplýsingar sem skilgreinast sem auðkennis- og samskiptaupplýsingar, s.s. nafn, kennitala, heimilisfang, netfang og símanúmer. Við viðbótar er skráð hvaða deild þess viðkomandi félagsmaður tilheyrir og eðli starfa innan félagsins ef einhver eru. Félagsmönnum er ætíð heimilt að hafna því að afhenda persónuupplýsingar þegar eftir því er leitað. Félagið kann einnig að safna persónuupplýsingum í formi ljósmyndar af félagsmanni, s.s. í tengslum við útgáfu félagatals, við viðburði og samkomur sem félagsskapurinn stendur fyrir.
- Skráðar upplýsingar eru m.a. nýttar í eftirfarandi tilgangi: til að halda utan um félagatal, í tengslum við fundaþátttöku og aðra þátttöku í samkomum eða viðburðum sem félagsskapurinn stendur fyrir, í tengslum við innheimtu og greiðslu félagsgjalda og annarra þátttökugjalda eftir því sem við á, til þess að senda afmkarkaðar upplýsingar sem tengjast félaginu á netfang einstakra félaga eða á tiltekinn afmarkaðan hóp félaga sem tilheyra sömu deild.
Vinnsla persónuupplýsinga um aðra en félagsmenn:
- Félaginu getur einnig verið nauðsynlegt að safna og meðhöndla persónuupplýsingar um aðra einstaklinga en félagsmenn, s.s. auðkennis- og samskiptaupplýsingar um maka félagsmanna þannig að hægt sé að senda þeim upplýsingar um samkomur sem þeir eiga kost á að sækja, um aðra sem sinna ákveðnu verki eða þjónustu í þágu félagsins og um gesti sem koma inn í húsnæði félagsins.
Vinnsla persónuupplýsinga um starfsmenn félagsins:
- Félaginu er skylt og nauðsynlegt að safna, vinna og varðveita ýmsar persónuupplýsingar um launaða starfsmenn þess. Persónuupplýsingar sem unnar eru um starfsmenn félagsins eru eingöngu varðveittar í þann tíma sem ráðningarsamband varir og eftir það í eins langan tíma og nauðsynlegt er hverju sinni eða lög og reglur kveða á um.
Vinnsla persónuupplýsinga um þá sem heimsækja og nota vefsíðuna:
Félagið kann einnig að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíðu félagsins. Slíkum persónuupplýsingum er safnað með notkun á vafrakökum, atvikaskráningu og svipaðri tækni.
Vinnsla persónuupplýsinga í tengslum við rafræna vöktun:
- Í og við húsakynni félagsins fer fram rafræn vöktun með eftirlitsmyndavélum. Upplýsingarnar eru varðveittar í öryggis- og eignavörsluskyni. Öll notkun slíkra eftirlitsmyndavéla er í samræmi við ákvæði persónuverndarlaga og reglna nr. 837/2006 um rafræna vöktun. Farið er með allt efni sem safnast við vöktun sem trúnaðarmál. Upplýsingar sem verða til við öryggismyndavélavöktun eru aldrei varðveittar lengur en í 90 daga nema lög heimili eða dómsúrskurður liggi fyrir. Upptökur og gögn sem verða til við rafræna vöktun verða almennt ekki afhentar öðrum en lögreglu og þá aðeins ef um slys eða meintan refsiverðan verknað er að ræða.
2. Heimildir fyrir vinnslu persónuupplýsinga
Félagið ber ábyrgð á meðhöndlun þeirra persónuupplýsinga sem unnið er með í starfsemi félagsins og telst því ábyrgðaraðili persónuupplýsinganna í skilningi persónuverndarlaganna, þ.e. sá aðili sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga. Félagið vinnur aðeins persónuupplýsingar um einstaklinga á grundvelli heimilda í persónuverndarlögunum og hagar allri vinnslu í samræmi við meginreglur laganna.
Vinnsla almennra persónuupplýsinga fer einungis fram þegar a.m.k. eitt af eftirfarandi skilyrðum laganna er uppfyllt:
- Einstaklingur hefur gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða;
- Vinnsla persónuupplýsinga telst nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
- Vinnsla persónuupplýsina telst nauðsynleg til að uppfylla lagaskyldu;
- Vinnsla persónuupplýsinga telst nauðsynleg til að vernda brýna hagsmuni hins skráða einstaklings eða annars einstaklings;
- Vinnsla persónuupplýsinga telst nauðsynleg vegna lögmætra hagsmuna félagsins, viðskiptavinar eða annars þriðja aðila, þ.e. þegar hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vega ekki þyngra.
3. Aðgangur að og miðlun persónuupplýsinga
- Allir félagsmenn hafa aðgang að félagatali, á prentuðu formi. Aðgangur allra félagsmanna að félagatali á rafrænu formi á heimasíðu félagsins, er háður aðgangsstýringum. Auk þess hafa tilteknir starfsmenn félagsins aðgang að félagatali frá starfsstöðvum sínum með aðgangsstýringum. Hver og einn félagi getur séð yfirlit yfir allar upplýsingar sem skráðar eru um hann. Aðgengi að upplýsingum um aðra félaga er takmarkað við almennar upplýsingar. Stjórnandi hverrar deildar hefur rýmra aðgengi að skráðum upplýsingum. Aðeins stjórnendur (yfirstjórn og vefstjóri) hafa aðgang að öllum upplýsingum sem skráðar eru.
Ákveðnir vinnsluaðilar kunna að fá aðgang að persónuupplýsingum í tengslum við þjónustu sem þeir veita félaginu. Slíkir vinnsluaðilar geta ýmist verið þjónustuveitendur eða verktakar sem sinna ákveðinni þjónustu eða vinna ákveðið verk í þágu félagsins en einungis er leitað til vinnsluaðila sem geta veitt nægilegar tryggingar fyrir því að vinnsla persónuupplýsinga og réttindi einstaklinga uppfylli þær kröfur sem persónuverndarlög áskilja. Slík vinnsla byggir ætíð á samningi aðila þar sem vinnsluaðilinn undirgengst þær skyldur að tryggja trúnað og öryggi upplýsinganna og nota þær eingöngu í þeim tilgangi sem getið er um í samningi aðila.
Miðlun persónuupplýsinga á milli starfsmanna félagsins getur verið nauðsynleg en starfsmenn félagsins eru bundir þagnar- og trúnaðarskyldum. Félaginu kann einnig að vera skylt eða nauðsynlegt að miðla persónuupplýsingum til þriðju aðila, sbr. til ákveðinna vinnsluaðila, og þá aðeins þeim persónuupplýsingum sem eru nauðsynlegar vegna tilgangs vinnslunnar. Félagið kann að miðla afmörkuðum persónuupplýsingum úr landi, þ.e. til viðtökulands sem veitir persónuupplýsingum fullnægjandi vernd, sbr. öll lönd innan EES-svæðisins. Persónuupplýsingum er þó aldrei miðlað til landa utan EES-svæðisins.
4. Varðveislutími persónuupplýsinga
Meginhluti þeirra upplýsinga sem safnað er í starfsemi félagsins er geymdur ótímabundið enda hafa þær sögulegt gildi fyrir félagsstarfið. Aðrar upplýsingar eru ekki varðveittar á persónugreinanlegu formi lengur en nauðsynlegt er miðað við upphaflegan tilgang með söfnun þeirra og vinnslu. Félagið framkvæmir reglulega úttekt á varðveislu persónuupplýsinga og er þá þeim persónuupplýsingum eytt sem ekki er lengur þörf á að varðveita eða þær gerðar ópersónugreinanlegar, nema lög krefjist þess að slíkar upplýsingar séu varðveittar í lengri tíma.
5. Réttindi einstaklinga er varða vinnslu persónuupplýsinga
Persónuverndarlög kveða á um og tryggja einstaklingum ákveðin réttindi varðandi meðhöndlun persónuupplýsinga. Félagið virðir réttindi eigenda persónuupplýsinga en eftirtalin réttindi geta þó verið háð takmörkunum sem leiða m.a. af lögum eða hagsmunum annarra sem upplýsingarnar varða.
Í ákveðnum tilvikum eiga einstaklingar meðal annars rétt á að: óska eftir aðgangi að og afriti af persónuupplýsingum, að persónuupplýsingar séu leiðréttar og/eða að þeim sé eytt; að mótmæla og takmarka vinnslu persónuupplýsinga; og að draga til baka samþykki fyrir vinnslu. Vilji einstaklingur leggja fram beiðni er varðar neðangreind réttindi hans skal það gert með því að senda inn formlega persónuverndarbeiðni á netfangið: skrifstofa@frimur.is
Berist félaginu formleg persónuverndarbeiðni frá einstaklingum um að neita ofangreindra réttinda upplýsir félagið beiðanda um þær aðgerðir sem gripið verður til, eins fljótt og auðið er í síðasta lagi innan tveggja vikna frá viðtöku hennar. Svo unnt sé að afgreiða slíkar beiðnir er félaginu nauðsynlegt að afla persónuupplýsinga um beiðanda til að tryggja auðkenningu. Formleg afgreiðsla persónuverndarbeiðni getur því ekki hafist fyrr en auðkenning vegna beiðninnar hefur farið fram.
6. Öryggi við meðferð og vinnslu persónuupplýsinga
Félagið hefur einsett sér að tryggja öryggi persónuupplýsinga sem það ber ábyrgð á. Félagið leitast þannig við að grípa til viðeigandi tæknilegra og skipulagslegra ráðstafana til að vernda persónuupplýsingar og tekur í því samhengi tillit til eðlis upplýsinganna sem um ræðir og umfangs. Verði öryggisbrestur, sem hefur í för með sér áhættu fyrir einstaklinga, mun félagið meðhöndla slíkt í samræmi við persónuverndarlögin þannig að tryggt sé að slík tilvik séu tilkynnt með viðeigandi hætti innan þeirra tímamarka sem lög og reglur krefjast.
Ef einstaklingar verða varir við öryggisbrest er varðar persónuvernd og vinnslu persónuupplýsinga eru þeir vinsamlegast beðnir um að láta vita, án ótilhlýðilegrar tafar, með því að senda tölvupóst á netfangið: skrifstofa @frimur.is. Dæmi um öryggisbrest sem félagið vill fá vitneskju um er t.d. ef einstaklingur fær sendan tölvupóst sem inniheldur persónuupplýsingar sem eru móttakandanum óviðkomandi.
7. Fyrirspurnir og kvartanir til Persónuverndar
Öllum fyrirspurnum í tengslum við persónuvernd hjá Frímúrarareglunni á Íslandi skal beint í gegnum netfangið personuvernd@frimur.is. Einnig er hægt að hafa samband í síma 510-7800.
Ef einstaklingur er ósáttur við vinnslu félagsins á persónuupplýsingum og afgreiðslu erinda er hægt að leggja fram kvörtun til Persónuverndar með því að senda tölvupóst á netfangið: eða með því að senda bréfpóst til: Persónuvernd, Rauðarárstígur 10, 105 Reykjavík, Ísland. Félagið óskar þó eftir því að einstaklingur hafi fyrst samband við skrifstofu félagsins þannig að félagið fái tækifæri til að leysa úr ágreiningi áður en kvörtun er send til Persónuverndar.
8. Endurskoðun
Persónuverndaryfirlýsing Frímúrarareglunnar er yfirfarin reglulega til að sjá til þess að hún endurspegli þá vinnslu persónuupplýsinga sem á sér stað á hverjum tíma innan og í tengslum við félagsstarfið og til að tryggja rétta upplýsingagjöf. Efni yfirlýsingarinnar kann að taka breytingum í samræmi við breytingar á lögum og reglum um notkun og meðferð persónuupplýsinga. Breytingar á yfirlýsingunni öðlast gildi við birtingu uppfærðrar yfirlýsingar á vefsíðu félagsins: www.frimurarareglan.is
Febrúar 2022
Frímúrarareglan á Íslandi.