Persónuverndarstefna Lögmannsstofunnar Fortis
1. Almennt
Starfsfólk lögmannsstofunnar Fortis leggur áherslu á að tryggja öryggi allra persónuupplýsinga sem unnið er með í starfseminni og virða reglur laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga. Í því felst m.a. að lágmarka vinnslu persónuupplýsinga eins og kostur er og vinna aðeins með upplýsingarnar í lögmætum tilgangi.
Fortis leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar með sérstöku tilliti til eðlis þeirra. Eitt dæmi um öryggisráðstafanir sem við grípum til eru aðgangsstýringar í öllum okkar kerfum.
Þá virðir starfsfólk Fortis og hefur í hávegum þagnarskyldu samkvæmt 1. mgr. 22. gr. laga nr. 77/1998 um lögmenn. Þagnarskyldan nær til allra persónuupplýsinga sem starfsfólki er trúað fyrir í starfi sínu. Starfsfólk Fortis hefur 6. gr. siðareglna lögmanna einnig að leiðarljósi en reglan kveður á um lögmönnum og starfsfólki þeirra beri að halda öllum upplýsingum sem það fær í starfi frá óviðkomandi, þótt lögboðin þagnarskylda banni ekki.
2. Vinnsla persónuupplýsinga
Samkvæmt lögum nr. 90/2018 eru persónuupplýsingar hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Með því er átt við upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
Hjá Fortis er einkum unnið með persónuupplýsingar um viðskiptavini og gagnaaðila þeirra, í tengslum við hagsmunagæslu fyrir dómstólum og/eða á öðrum vettvangi. Eftir atvikum kann einnig að vera unnið með upplýsingar um einstaklinga sem tengjast málum viðskiptavinar, s.s. vitni, eru tengiliðir viðskiptavinar og/eða hafa samband við stofuna.
Það ræðst af eðli máls hvaða persónuupplýsingar Fortis vinnur með hverju sinni og er ekki hægt að telja flokka þeirra upp með tæmandi hætti. Dæmi um persónuupplýsingar sem unnið er með af hálfu Fortis eru persónuauðkenni, samskiptaupplýsingar (s.s. heimilisfang, símanúmer og netfang), heilsufarsupplýsingar, upplýsingar um starf og stéttarfélag. Upplýsingarnar eru fyrst og fremst unnar til að við getum sinnt þörfum viðskiptavina okkar og veitt þeim viðeigandi þjónustu. Unnið er með ákveðnar persónuupplýsingar á grundvelli lagaskyldu og óháð þeirri þjónustu sem stofan hefur tekið að sér að veita, t.d. hvað varðar lög og reglur um bókhald.
Þegar vefsíður Fortis eru heimsóttar safna þær upplýsingum um notendur. Athygli nýrra notenda skal vakin á því þegar heimasíðurnar eru heimsóttar og notendum í sjálfsvald sett hvort þeir heimili vinnsluna. Vinnsla í gegnum vefsíður Fortis fer því ávallt fram á grundvelli samþykkis einstaklings.
3. Miðlun til þriðju aðila
Fortis miðlar persónuupplýsingum til þriðju aðila í ákveðnum tilvikum, t.d. ef það er nauðsynlegt vegna vinnslu máls viðskiptavinar og/eða viðskiptavinur hefur gefið sérstakt leyfi fyrir því. Þriðju aðilar í þessu sambandi geta t.d. verið dómstólar, heilbrigðisstofnanir, aðrar opinberar stofnanir, fyrirtæki, læknar/annað heilbrigðisstarfsfólk, aðrir lögmenn o.s.frv.
Fortis kann jafnframt að þurfa að afhenda þriðja aðila persónuupplýsingar að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til stjórnvalda og dómstóla.
Þá felur Fortis þriðju aðilum í vissum tilvikum vinnslu persónuupplýsinga fyrir sína hönd, t.d. vinnslu í formi rafrænnar skjalavistunar og annarrar upplýsingatækniþjónustu. Þessir þriðju aðilar kunna að vera staðsettir utan Íslands. Í slíkum tilvikum er okkur ávallt skylt að gera samninga við þriðju aðila og taka tillit til reglna um vinnsluaðila samkvæmt 25. gr. laga nr. 90/2018 og 1. þætti IV. kafla reglugerðar ESB 2016/679.
Fortis miðlar almennt ekki persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli persónuverndarlöggjafarinnar. Það getur t.d. reynst nauðsynlegt vegna málareksturs.
4. Réttindi einstaklinga í tengslum við persónuvernd o.fl.
Einstaklingar njóta ýmissa réttinda samkvæmt lögum nr. 90/2018, og geta t.d. óskað eftir aðgangi að persónuupplýsingum, leiðréttingu, eyðingu, takmörkun vinnslu og/eða flutningi þeirra. Þá eiga einstaklingar í ákveðnum tilvikum andmælarétt auk þess sem þeir njóta sérstakra réttinda í þeim tilvikum þar sem um öryggisbrot er að ræða við meðferð persónuupplýsinga.
Einstaklingar sem hyggjast leggja fram beiðni í tengslum við ofangreind réttindi eru beðnir um að hafa samband í síma 520-5800 eða með tölvupósti á netfangið [email protected].
Athygli er vakin á því að ofangreind réttindi eru ekki fortakslaus. Ef upp koma aðstæður þar sem Fortis getur ekki orðið við beiðni munum við leitast við að útskýra hvers vegna henni hefur verið hafnað.
Í samræmi við rétt einstaklinga samkvæmt 17. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga geta viðskiptavinir nálgast sérstakt upplýsingablað um vinnslu persónuupplýsinga hjá Fortis á skrifstofunni að Laugavegi 7, Reykjavík.
5. Tengiliðaupplýsingar
Ef óskað er eftir frekari upplýsingum varðandi vinnslu persónuupplýsinga er unnt að hafa samband í síma 520-5800 eða með tölvupósti á netfangið [email protected].
6. Gildistími og endurskoðun
Persónuverndarstefna þessi var sett í ágúst 2019. Fortis kann að þurfa að breyta persónuverndarstefnu þessari, t.d. í samræmi við breytingar á lögum eða reglugerðum eða vegna breytinga á því hvernig við vinnum með persónuupplýsingar.