I. ALMENNT

Stefna þessi tekur til persónuupplýsinga hvort sem þeim er safnað og þær varðveittar með rafrænum hætti, á pappír eða með öðrum sambærilegum hætti. Stefnan tekur til skráningar, vörslu og vinnslu á persónuupplýsingum sem falla undir stefnuna. Stefnan er aðgengileg á vef Skógræktarinnar. Hún var fyrst samþykkt 1. febrúar 2019.

II. PERSÓNUVERNDARLÖGGJÖF

Um meðferð persónuupplýsinga gilda lög um persónuvernd og meðferð persónuupplýsinga eins og þau eru á hverjum tíma, sem og viðkomandi hlutar samningsins um Evrópska efnahagssvæðið. Taka lögin m.a. á vinnslu, vörslu og miðlun persónuupplýsinga.

III. ÁBYRGÐ

Skógræktin ber ábyrgð á skráningu persónuupplýsinga og meðferð þeirra upplýsinga í starfsemi sinni. Hægt er að hafa samband við Skógræktina í höfuðstöðvum stofnunarinnar að Miðvangi 2-4, 700 Egilsstöðum, með því að senda skriflega fyrirspurn á skogur@skogur.is og með því að hringja í 470 2000

IV. SÖFNUN OG NOTKUN

Hlutverk Skógræktarinnar er að hafa forystu um uppbyggingu skógarauðlindar á Íslandi með víðtækri samvinnu, vinna að vernd og friðun skóga og draga fram hagrænan, umhverfislegan og samfélagslegan ávinning af sjálfbærri nýtingu skóga. Skógræktin rækir hlutverk sitt með því að veita framlög og ráðgjöf til skógræktenda, rækta og hirða um þjóðskógana, endurheimta birkiskóga, sinna rannsóknum innan lands og í samstarfi við aðrar þjóðir og hafa forystu um að afla og miðla þekkingu á skógrækt á Íslandi. Jafnframt með því að hvetja til samvinnu og veita ráðgjöf á sviði skógræktar á Íslandi með áherslu á sjálfbærni, eflingu byggðar, verðmætasköpun og mótvægisaðgerðir gegn loftslagsbreytingum.

Til þess að heimilt sé að vinna með persónuupplýsingar þarf ávallt að vera fyrir því lögmætur grundvöllur. Öll vinnsla persónuupplýsinga verður að byggjast á einni af eftirfarandi sex heimildum til þess að hún teljist fara fram á lögmætum grundvelli:

  • Samþykki: Hinn skráði hafi gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða.
  • Samningur: Vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
  • Lagaskylda: Vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.
  • Brýnir hagsmunir: Vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.
  • Almannahagsmunir eða opinbert vald: Vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
  • Lögmætir hagsmunir: Vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn.

Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Heimildir til að vinna með viðkvæmar persónuupplýsingar:

  • Samþykki: Hinn skráði hafi veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða.
  • Vinnulöggjöf, kjarasamningar og almannatryggingar: Vinnslan sé nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
  • Brýnir hagsmunir: Vinnslan sé nauðsynleg til að verja brýna hagsmuni hins skráða eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt.
  • Einstaklingur gert opinberar: Vinnslan taki einungis til upplýsinga sem hinn skráði hefur augljóslega sjálfur gert opinberar.
  • Réttarkrafa: Vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.
  • Almannahagsmunir eða lagaheimild: Vinnslan sé nauðsynleg, af ástæðum sem varða verulega almannahagsmuni, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
  • Heilbrigðisástæður: Vinnslan sé nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu.
  • Tölfræði-, sagnfræði- eða vísindarannsóknir: Vinnslan sé nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lög þessi og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
  • Skjalavistun: Vinnslan sé nauðsynleg vegna skjalavistunar í þágu almannahagsmuna og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, einkum þagnarskyldu.
  • Skjal: Hvers konar gögn, jafnt rituð sem í öðru formi, er hafa að geyma upplýsingar og hafa orðið til, borist eða verið viðhaldið við starfsemi á vegum stofnunar eða einstaklings.

Þegar unnið er með persónuupplýsingar þarf alltaf að hafa meginreglur persónuverndarlaganna í huga og vinna með upplýsingarnar í samræmi við þær. Reglurnar eru:

Sanngirnisreglan: Að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart einstaklingnum

Tilgangsreglan: Að persónuupplýsingar séu unnar í skýrum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi.

Meðalhófsreglan: Að persónuupplýsingar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilganginn með vinnslu þeirra.

Áreiðanleikareglan: Að persónuupplýsingar séu áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar skal eyða eða þær leiðréttar án tafar.

Varðveislureglan: Að persónuupplýsingar séu varðveittar í því formi að ekki sé unnt að bera kennsl á einstaklinga lengur en þörf krefur miðað við tilganginn með vinnslu þeirra. Heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni eingöngu skjalavistun í þágu almannahagsmuna, rannsókna á svið ivísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt.

Öryggisreglan: Að persónuupplýsingar séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.

V. MIÐLUN

Skógræktinni er heimilt að miðla persónuupplýsingum til þriðja aðila (vinnsluaðila) sem er þjónustuveitandi, umboðsmaður eða verktaki í þeim tilgangi að ljúka við verkefni eða veita þá þjónustu eða vöru sem óskað hefur verið eftir eða hefur verið samþykkt. Skógræktinni er einnig heimilt að deila upplýsingum með vinnsluaðilum þegar það er nauðsynlegt til að vernda brýna hagsmuni. Skógræktin deilir einnig upplýsingum, í tölfræðilegum tilgangi, með vinnsluaðilum sem vinna að hverskyns greiningarstarfi fyrir stofnunina. Vinnsluaðilar fá einungis afhentar þær persónuupplýsingar sem eru nauðsynlegar fyrir þá í framangreindum tilgangi og gerir við þá samning þar sem þeir undirgangast skyldu um að halda upplýsingum öruggum og nota þær einungis í framangreindum tilgangi.

Þá er athygli vakin á að allt efni sem einstaklingar birta eða deila á samfélagsmiðlasíðum Skógræktarinnar eru opinberar upplýsingar. Athygli er vakin á að með því að tengja saman persónulegan síðureikning og persónulegan samfélagsmiðlareikning, gefur eintaklingur Skógræktinni leyfi til að deila upplýsingum með veitanda samfélagsmiðlaþjónustunnar og notkun þeirra upplýsinga sem Skógræktin deilir stjórnast af stefnu samfélagsmiðilsins um persónuvernd. Ef einstaklingur vill ekki að persónuupplýsingum hans sé deilt með öðrum notendum eða með veitanda samfélagsmiðlaþjónustunnar, skal ekki tengja samfélagsmiðlareikning við síðureikning eða deila efni inn á samfélagsmiðla frá síðunni.

VI. ÞRIÐJU AÐILAR

Persónuverndarstefnan nær ekki til upplýsinga eða vinnslu þriðju aðila en Skógræktin hefur enga stjórn á né ber ábyrgð á notkun, birtingu eða öðrum verkum þeirra. Notendur eru hvattir til að kynna sér persónuverndarstefnu þriðju aðila, þ. á m. vefhýsingaraðila þeirra síðna sem geta vísað á Skógræktina, hugbúnaðarfyrirtækja á borð við Facebook, Apple, Google og Microsoft ásamt þeirri greiðsluþjónustu sem þeir kjósa að nota.

VII. VERNDUN

Skógræktin leggur mikla áherslu á að vernda vel allar persónuupplýsingar og hefur því á að skipa innra eftirlitskerfi sem á að tryggja að ávallt skuli gerðar viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir.

Tilkynnt verður án ótilhlýðilegrar tafar ef upp koma öryggisbrot er varða persónuupplýsingarnar og hafa í för með sér mikla áhættu fyrir einstaklinginn. Með öryggisbroti í framangreindum skilningi er átt við brot á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

Athygli er þó vakin á því að einstaklingar bera ábyrgð á persónuupplýsingum, t.d. nafni, kennitölu og mynd, sem þeir kjósa að deila eða senda á almennum vettvangi, t.d. í gegnum Facebook-síðu Skógræktarinnar.

VIII. VARÐVEISLA

Skógræktin reynir eftir fremsta megni að halda persónuupplýsingum nákvæmum og áreiðanlegum og uppfærir þær eftir þörfum. Persónuupplýsingar eru varðveittar og fyrir því eru eðlilegar og lögmætar ástæður. Skoðað er reglulega hvort stofnuninni sé heimilt að varðveita persónuupplýsingar áfram. Ef svo reynist ekki vera, verður allri vinnslu hætt frá þeim tíma. Ef möguleiki er á að persónuupplýsinganna kunni að vera þörf síðar til að uppfylla lagaskyldur, t.d. gagnvart skattyfirvöldum, eða til að höfða eða verjast réttarkröfu, verður tekið afrit af hlutaðeigandi persónuupplýsingum og þær varðveittar á öruggu formi eins lengi og nauðsyn ber til.

IX. RÉTTINDI EINSTAKLINGA

Einstaklingar eiga rétt á og geta óskað eftir eftirfarandi upplýsingum með því að senda skriflega fyrirspurn á skogur@skogur.is:

  • að fá að vita hvaða persónuupplýsingar eru skráðar um þá og hvernig þær eru tilkomnar og fá aðgang að persónuupplýsingunum,
  • að fá upplýsingar um hvernig persónuupplýsingar um þá eru unnar,
  • að persónuupplýsingar um þá séu uppfærðar og leiðréttar,
  • að persónuupplýsingum um þá verði eytt, ef ekki er lengur málefnaleg ástæða til að varðveita þær,
  • að andmæla og/eða takmarka hvernig persónuupplýsingar séu unnar,
  • að fá afhentar persónuupplýsingar sem þeir hafa látið í té eða að þær séu sendar beint til annars aðila með þeim takmörkunum sem réttindi og frelsi annarra setja,
  • að afturkalla samþykki til vinnslu þegar vinnsla byggist á þeirri heimild, með sama hætti og þeir gáfu það eða með því að senda skriflega fyrirspurn,
  • að fá upplýsingar um hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs og þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu.

Beiðni verður tekin til greina og upplýsingarnar afhentar (þegar það á við) innan hæfilegs tíma, þó með þeim takmörkunum sem réttindi og frelsi annarra gera. Athygli er vakin á að innheimt er sanngjarnt gjald byggt á umsýslukostnaði sé farið fram á meira en eitt eintak. Einstaklingum verður tilkynnt og gefin skýring ef töf verður á afgreiðslu eða ef ekki er unnt að verða við beiðninni að fullu eigi síðar en mánuði frá móttöku hennar. Hægt er að kvarta til Persónuverndar ef Skógræktin neitar að afhenda upplýsingar.

X. PERSÓNUVERND BARNA

Persónuupplýsingum um börn yngri en 18 ára er ekki safnað nema með samþykki forráðamanns.

Þegar óskað er eftir samþykki barns eða annars einstaklings sem á erfiðara með að meðtaka upplýsingarnar, t.d. sökum fötlunar á borð við blindu eða heyrnarleysi, vegna sjúkdóms eða ellisljóleika skal þess gætt að óskin sé sett fram með einföldum, skýrum og aðgengilegum hætti og henni fylgi fullnægjandi fræðsla með tilliti til þroska og færni viðkomandi.

XI. BREYTINGAR

Persónuverndarstefnan er endurskoðuð reglulega og kann því að taka breytingum. Einstaklingum er ráðlagt að kynna sér persónuverndarstefnuna reglulega en breytingar á stefnunni öðlast gildi við birtingu á vef stofnunarinnar, skogur.is. Þegar efnislegar breytingar eru gerðar sem hafa áhrif á réttindi einstaklinga verður tilkynnt sérstaklega um þær með tölvupóstskilaboðum og/eða með SMS-skeyti.

Öryggi net- og upplýsingakerfa

Í samræmi við 3. mgr. 16. gr. laga nr. 78/2019 um öryggi net- og upplýsingakerfa mikilvægra innviða hefur Umbra gert samning við netöryggissveit Fjarskiptastofu (CERT-IS) um vöktunarþjónustu fyrir hönd Stjórnarráðsins, sbr 21. gr. 480/2021 um reglugerð um netöryggissveit Póst- og fjarskiptastofnunar. Í þjónustunni felst sending gagna úr kerfum Umbru til miðlægs búnaðar CERT-IS sem geta gefið vísbendingar um atvik, áhættu eða aðra atburði. Á meðal þess eru gögn úr aðgerðarskrám þeirra Microsoft kerfa og lausna sem Umbra hefur umsjón með sem rekstraraðili skýjageira fyrir hönd fjármála- og efnahagsráðuneytisins, líkt og upplýsingar um inn- og útskráningar úr kerfum, notendanöfn og IP-tölur. Samkvæmt 7. gr. þjónustuskilmála Umbru fyrir rekstur skýjageira stofnana ber rekstraraðili ábyrgð á öryggi skýjageira og öryggi gagna í skýjageiranum samkvæmt tækniforskrift Arkitektaráðs.

Þessi gögn varða notkun starfsfólks ríkisstofnana á Microsoft-kerfum eru persónugreinanlegar. CERT-IS hefur heimild til vinnslu persónuupplýsinga í 21. gr. nr. 78/2019 um öryggi net- og upplýsingakerfa mikilvægra innviða og telst ábyrgðaraðili þeirrar vinnslu samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Tilgangurinn með vöktuninni er að fyrirbyggja og draga úr hættu á netárásum og öðrum öryggisatvikum í netumdæmi CERT-IS eins og kostur er og sporna við og lágmarka tjón á ómissandi upplýsingainnviðum sem af slíku kann að hljótast.

Upplýsingar um CERT-IS

  • Heiti: Netöryggissveit Fjarskiptastofu (CERT-IS)
  • Heimilisfang: Suðurlandsbraut 4, 108 Reykjavík
  • Sími / netfang: 510 1500 / cert@cert.is

Ítarefni um rafræna vöktun

Hugtakalisti

Persónuupplýsingar:

  • Upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“): Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.

Viðkvæmar persónuupplýsingar:

  • Upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífsskoðun eða aðild að stéttarfélagi.
  • Heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun.
  • Upplýsingar um kynlíf manna og kynhneigð.
  • Erfðafræðilegar upplýsingar, þ.e. persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heilbrigði einstaklingsins og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi.
  • Lífkennaupplýsingar, þ.e. persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem andlitsmyndir eða gögn um fingraför, enda sé unnið með upplýsingarnar í því skyni að persónugreina einstakling með einkvæmum hætti.

Vinnsla:

  • Aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.

Ábyrgðaraðili:

Einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga.

Vinnsluaðili:

  • Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila.