Upplýsingaöryggisstefna

Tilgangur
Samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 ber Sparnaði að tryggja viðunandi öryggi persónuupplýsinga. Upplýsingaöryggisstefna þessi lýsir áherslum fyrirtækisins á mikilvægi þeirrar skyldu. Verja þarf persónuupplýsingar hjá fyrirtækinu fyrir öllum ógnum, bæði innri og ytri, og gildir einu hvort þær ógnanir stafi af ásetningi eða gáleysi. Með þessari stefnu geta starfsmenn, viðskiptavinir og aðrir treyst ásetningi Sparnaðar til að standa vörð um öryggi persónuupplýsinga, m.t.t. til leyndar, réttleika og tiltækileika.

Umfang
Upplýsingaöryggisstefna þessi nær til umgengni og vistunar allra persónuupplýsinga í vörslu Sparnaðar. Hún tekur til innri starfsemi fyrirtækisins og þjónustu sem Sparnaður veitir viðskiptavinum sínum á samnýttum eða sértækum búnaði, auk allra innri kerfa, hug- og vélbúnaðar í eigu og undir fullri stjórn Sparnaðar. Jafnframt tekur hún til húsnæðis þar sem persónuupplýsingar eru meðhöndlaðar, starfsmanna og samningsbundinna aðila sem aðgang hafa að upplýsingunum.

Markmið
Markmið Sparnaðar ehf. með upplýsingaöryggisstefnu þessari er að:
• Persónuupplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimild hafa.
• Leynd persónuupplýsinga og trúnaði sé viðhaldið í samræmi við lög og reglur þar að lútandi.
• Persónuupplýsingar séu varðar gegn skemmdum, eyðingu eða uppljóstrun, án tillits til þess hvort það komi til vegna ásetnings eða gáleysis.
• Persónupplýsingar sem fara um kerfi Sparnaðar komist til rétts viðtakanda, óskaddaðar og á réttum tíma.
• Að áhætta sem fylgir því að vinna með persónuupplýsingar sé innan skilgreindra áhættumarka.
• Að fylgja öllum lögum, reglugerðum og reglum sem varða meðferð persónuupplýsinga.
• Fylgja öllum samningum sem fyrirtækið er aðili að og varða vernd persónuupplýsinga.
• Frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
• Unnið sé að stöðugum umbótum þegar kemur að upplýsingaöryggi.

Leiðir að markmiði
Leiðir Sparnaðar að framangreindum markmiðum eru að:
• Halda skrár yfir upplýsingaeignir þar sem finna má persónuupplýsingar, hvort sem þær eru á rafrænu formi eða á pappír, og flokka þær eftir eðli og mikilvægi leyndar.
• Greina reglulega, með formlegu áhættumati, þá áhættu sem vinnsla persónuupplýsinga getur haft í för með sér fyrir einstaklinga.
• Stjórna áhættu vegna vinnslu persónuupplýsinga innan skilgreindra marka með því að starfrækja stjórnkerfi upplýsingaröryggis.
• Framkvæma mat á áhrifum á persónuvernd ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir frelsi og réttindi einstaklinga, svo sem þegar til stendur að taka ný kerfi í notkun sem hýsa eða vinna persónuupplýsingar að öðru leyti.
• Viðhalda gæðahandbók með verklagsreglum og verkferlum vegna vinnslu persónuupplýsinga.
• Allir starfsmenn Sparnaðar fái reglulega þjálfun og fræðslu varðandi öryggi persónuupplýsinga og um þá ábyrgð sem á þeim hvílir.
• Allir starfsmenn fylgi gildandi lögum og reglum.
• Tryggja að afrit af persónuupplýsingum sé til og varðveitt á öruggan hátt.

Ábyrgð
• Stjórn Sparnaðar ber ábyrgð á þessari upplýsingaöryggisstefnu og endurskoðar hana reglulega.
• Framkvæmdastjóri Sparnaðar er ábyrgur fyrir framkvæmd stefnunnar.
• Umsjónarmaður öryggismála sér um daglega stjórnun upplýsingaöryggis.
• Persónuverndarfulltrúi skal sjá til þess að starfsfólk hljóti viðeigandi fræðslu um öryggi persónuupplýsinga.
• Öllum starfsmönnum Sparnaðar ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi. Þeir sem ógna upplýsingaöryggi Sparnaðar af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðferðir.

Endurskoðun
Þessa stefnu skal endurskoða árlega og oftar ef þörf krefur til að tryggja að hún samrýmist markmiðum Sparnaðar.

Samþykki
Samþykkt af stjórn Sparnaðar ehf. 19.12.2019.