Meðferð upplýsinga

Tilgangur

Er að stuðla að því að Sjóvá fari með upplýsingar í samræmi við grundvallarsjónarmið um persónuvernd og friðhelgi einkalífs, sbr. lög nr. 77/2000 um Persónuvernd og meðferð persónuupplýsinga auk annarra réttarreglna sem við eiga hverju sinni og varða meðferð persónuupplýsinga og trúnaðarskyldu.

Umfang

Nær til allra starfsmanna, stjórnarmanna, endurskoðenda og annarra sem taka að sér verk í þágu félagsins.

Regla

Reglurnar gilda jafnt um upplýsingar sem viðskiptavinir/tjónþolar hafa sjálfir veitt Sjóvá, sem og upplýsingar sem Sjóvá hefur aflað um þessa aðila. Reglurnar gilda um sérhverja rafræna vinnslu upplýsinga sem og handvirka vinnslu þeirra.

Varðveisla upplýsinga um einstaka viðskiptavini og tjónþola

Upplýsingar um viðskiptavini/tjónþola Sjóvá eru vistaðar eftir atvikum á rafrænu eða pappírsformi. Rafræn vistun gagna skal vera á öruggum miðli þar sem öryggisráðstafanir eru uppfærðar í samræmi við skilgreindar kröfur hverju sinni. Upplýsingar um viðskiptavini/tjónþola á pappírsformi eru vistaðar í öruggri skjalageymslu.

Félagið hefur sett sér verklagsreglur um vistun og eyðingu persónugreinanlegra gagna. Gögnum með upplýsingum um viðskiptavini/tjónþola er eytt með tryggilegum hætti, pappír er sendur til eyðingar og rafrænum gögnum er markvisst eytt í samræmi við fyrrnefndar verklagsreglur.

Aðgengi starfsmanna að upplýsingum um viðskiptamenn og tjónþola

Upplýsingar um viðskiptavini/tjónþola Sjóvá eru aðgangsstýrðar. Aðgangsheimildir til starfsmanns byggjast á hlutverki hans og starfssviði innan félagsins. Starfsmaður skal einungis leita eftir þeim upplýsingum sem hann þarf á að halda í starfi sínu.

Aðgangsheimildir og eftirlit með þeim eru í samræmi við staðalinn ISO-27001 um upplýsingaöryggi.

Þagnarskylda starfsmanna:

Í ráðningarsamningum starfsmanna, og/eða með sérstakri trúnaðaryfirlýsingu verktaka, er kveðið á um þagnar – og trúnaðarskyldu. Starfsmaður skal gæta fyllsta trúnaðar um hvaðeina er hann verður áskynja í starfi sínu varðandi fyrirtækið og viðskiptavini/tjónþola þess og skaðað getur hagsmuni þessara aðila. Eðli starfs síns vegna ber honum að meðhöndla allar upplýsingar, skjöl og gögn sem hann hefur aðgang að í starfi sínu af fyllsta trúnaði. Trúnaður þessi gildir áfram eftir starfslok.

Upplýsingaréttur viðskiptamanna

Viðskiptamenn eiga rétt á að fá afrit af gögnum sem innihalda upplýsingar er varða málefni þeirra hjá Sjóvá. Óski viðskiptamaður eftir afriti af gögnum skal beiðni þess efnis vera skýr og tekið fram á afmarkaðan hátt hvaða gögnum er óskað eftir. Gögn er eingöngu látin af hendi til viðskiptavina/tjónþola gegn framvísun persónuskilríkja eða send á lögheimili hans. Jafnframt eru gögn látin af hendi ef framvísað er gildu umboði s.s. frá lögmanni.

Þrátt fyrir rétt viðskiptamanna/tjónþola til að fá afrit af gögnum mun Sjóvá ekki afhenda upplýsingar um viðskiptamenn sem koma fram í vinnugögnum starfsmanna, s.s. tölvupóstum, minnisblöðum o.fl. nema samkvæmt dómsúrskurði.

Miðlun upplýsinga

Sjóvá miðlar eingöngu upplýsingum sem varða viðskiptavini/tjónþola sína þegar fyrir því er skýr lagaskylda og fram kemur lögmæt beiðni um slíkt frá viðskiptavini/tjónþola sjálfum eða opinberum aðilum s.s. lögreglu, skattyfirvöldum, Fjármálaeftirlitinu eða öðru lögbæru yfirvaldi.

Þó er félaginu heimilt að afhenda gögn til verktaka sem vinna fyrir félagið í einstaka málum. Skulu þeir verktakar falla undir reglur þessar og undirrita sérstaka trúnaðaryfirlýsingu þar sem kveðið er á um þagnarskyldu þeirra. Tilkvaddir matsmenn, innan eða utan réttar, þurfa þó ekki að undirrita slíka yfirlýsingu enda þekki þeir þagnar- og trúnaðarskyldur sínar.

Öryggisráðstafanir

Sjóvá ber ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við lög og reglur og gerir viðeigandi öryggisráðstafanir til að tryggja að svo sé.

Allar upplýsingar er varða viðskipta- og eða einkamálefni viðskiptamanna skulu meðhöndlaðar af fyllstu varúð svo að tryggt sé að þær glatist ekki eða komist í hendur óviðkomandi aðila. Sérstök aðgæsla skal viðhöfð við skráningu þeirra, varðveislu, afritun, sendingu, og eyðingu.

Rafræn vistun gagna skal vera á öruggum miðli þar sem öryggisráðstafanir eru í samræmi við kröfur hverju sinni og staðalinn ISO-27001. Öryggisráðstafanir skulu taka mið af áhættu af vinnslu gagna og eðli þeirra hverju sinni.

Eftirlit

Framkvæmdastjórar rýna árlega aðganga starfsmanna sinna. Forstöðumaður gæðamála hefur eftirlit með því að aðgangur starfsmanna að upplýsingum sé í samræmi við þau verkefni sem að viðkomandi starfsmaður eða starfseining innan félagsins er að sinna. Birting Reglur þessar skulu vera aðgengilegar viðskiptavinum/tjónþolum Sjóvá og skulu birtar á vefsíðu félagsins.

 

SJ-WSEXTERNAL-3