Persónuverndarstefna

Náttúrufræðistofnun Íslands (NÍ) hefur skv. lögum nr. 60/1992 um Náttúrufræðistofnun Íslands og náttúrustofur víðtækar heimildir og skyldur til að safna upplýsingum um náttúru Íslands. Almenningur og fjölmargir samstarfsaðilar leggja NÍ lið við söfnun heimilda um náttúru landsins, auk þess sem þúsundir manna leita eftir þjónustu stofnunarinnar árlega.  Við slíka upplýsingasöfnun er mikilvægt að halda til haga og skrá persónuupplýsingar til að geta sannreynt sýni og upplýsingar sem sendar eru inn með gögnum og komið upplýsingum aftur til samstarfsaðila. Persónuupplýsingar geta til dæmis verið nafn, heimilisfang, símanúmer eða netfang.  

Vinnsla persónuupplýsinga er aðeins heimil ef tilteknir þættir eru fyrir hendi sbr. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, til dæmis þessir sem eiga við hjá Náttúrufræðistofnun:

• Hinn skráði hafi gefið samþykki sitt fyrir vinnslu á persónuupplýsingum í þágu tiltekinna markmiða. (t.d. starfsfólk og viðskiptavinir).
• Vinnsla sé nauðsynleg til að efna samning 
• Vinnsla sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna
   

Það fer eftir málum og verkefnum NÍ hvaða upplýsingar er unnið með. Í flestum tilvikum skráir stofnunin samskiptaupplýsingar um einstaklinga, sem fengnar eru frá þeim sjálfum, svo sem nafn, heimilisfang, kennitölu, símanúmer, netfang, auk efnis erindis. Eðli máls samkvæmt er meiri umfjöllun um persónuupplýsingar starfsfólks en viðskiptavina.  

Í flestum tilvikum vinnur NÍ með persónuupplýsingar þegar stofnunin er að sinna lögbundnum verkefnum. Stofnunin heldur til dæmis utan um ýmsar persónuupplýsingar í tengslum við ráðningar, stéttarfélagsaðild, launavinnslu, starfsmannasamtöl, framgang í starfi. NÍ fær auk þess persónuupplýsingar beint frá viðskiptavinum og samstarfsaðilum sem senda inn upplýsingar um sig um leið og þeir leita eftir þjónustu, eða koma ábendingum á framfæri eins og nefna má dæmi um: 

• Viðskiptavinir senda inn persónuupplýsingar og óska eftir greiningu á margvíslegum náttúrusýnum svo sem smádýrum, sveppum, fuglum, refum, steindum, plöntum.
• Viðskiptavinir senda inn ábendingar eða kvörtun. 
• Umsækjandi um starf eða starfsnám sendir inn persónuupplýsingar.
• Fulltrúi opinbers stjórnvalds s.s. leyfisveitandi, framkvæmdaraðili  o.fl. sem leitar álits NÍ í samræmi við lög og umsagnarhlutverk stofnunarinnar.
• Áhugamaður um náttúrufræði sem sækir fyrirlestra á Hrafnaþingi skráir sig á póstlista.
• Samstarfsaðili sem merkir fugla í umboði NÍ veitir persónuupplýsingar.
• Samstarfsaðili sem telur fugla í umboði NÍ veitir persónuupplýsingar.
• Einstaklingur sem kemur í bókasafnið og fær að láni bók þarf að skrá nafn og kennitölu.
• Einstaklingur óskar eftir aðgangi að gögnum samkvæmt stjórnsýslulögum, upplýsingalögum eða persónuverndarlögum.  
• NÍ hefur samið við einstakling til að sinna ákveðnum verkefnum fyrir stofnunina, t.d. tölvuvinnslu, öryggisúttektir.
• NÍ hefur myndavélakerfi í bílgeymslu í Urriðaholtsstræti 6-8 í öryggis- og eignavörsluskyni. Tilkynningarskilti um myndatöku er til staðar.

NÍ tekur einnig við persónuupplýsingum frá öðrum en þeim sem sjálfir senda inn upplýsingar:

• NÍ hefur átt í samskiptum við fyrirtæki eða stjórnvald og þaðan berast persónuupplýsingar.
• NÍ fær kvörtun eða ábendingu sem inniheldur persónuupplýsingar.
• NÍ fær persónuupplýsingar vegna eftirlitsverkefna.
• NÍ fær persónuupplýsingar frá öðrum stjórnvöldum.
• Einstaklingur kemur fram fyrir hönd fyrirtækis eða stjórnvalds, t.d. vegna svörunar erinda, beiðni um umsögn.
• Umsækjandi um starf vísar til samstarfsaðila sem meðmælanda.

NÍ leggur ríka áherslu á að öll vinnsla persónuupplýsinga sé í samræmi við meginreglur um vinnslu persónuupplýsinga. NÍ hefur útbúið nokkur eyðublöð sem sett eru á vef stofnunarinnar þar sem fólk getur óskað eftir aðstoð við greiningu á náttúrusýnum. Við útfyllingu eyðublaða heimilar fyrirspyrjandi að persónuupplýsingar séu skráðar enda slíkar upplýsingar oft forsenda fyrir afgreiðslu erindisins. 

Samkvæmt persónuverndarlöggjöfinni (gr. 17.-20.) eiga viðskiptavinir eða samstarfsaðilar ákveðin réttindi sem þeir geta nýtt sér með því að senda beiðni á persónuverndarfulltrúa, á netfangið ni@ni.is eða hafa samband í síma 5900500. Viðskiptavinir þurfa ekki að greiða fyrir að neyta réttinda sinna. NÍ hefur einn mánuð til að svara erindum en hægt er að framlengja frestinn um tvo mánuði sé beiðnin sérstaklega umfangsmikil.

4.1 Aðgangsréttur

Einstaklingar eiga rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem NÍ vinnur um þá t.d. upplýsingar um hve oft þeir hafa sent inn upplýsingar um náttúrusýni. Í sumum tilvikum geta undantekningar frá þessum rétti átt við, s.s. vegna réttinda annarra sem vega þyngra, en almenna reglan er sú að veita skuli aðganginn.

Ítarlegri upplýsingar um réttinn til aðgangs að persónuupplýsingum má nálgast á vef Persónuverndar.  

Einstaklingar geta einnig átt rétt á aðgangi að gögnum um sig samkvæmt 15. gr. stjórnsýslulaga nr. 37/1993, þar sem fjallað er um rétt aðila máls til aðgangs að málsgögnum, og samkvæmt 14. gr. upplýsingalaga nr. 140/2012. Hér getur verið ákveðin skörun á milli lagabálka sem meta þarf hverju sinni.

4.2 Réttur til leiðréttingar

Einstaklingar eiga rétt á því að fá leiðréttar persónuupplýsingar um sig, sem þeir telja rangar. Þó skal tekið fram að með hliðsjón af ákvæðum laga nr. 77/2014 um opinber skjalasöfn er NÍ oft óheimilt að breyta gögnum eða eyða skjölum sem stofnunin býr yfir, en þá kann að vera mögulegt að koma leiðréttingu á framfæri með athugasemd sem látin er fylgja gögnunum þegar við á. Einnig er unnt að biðja NÍ að bæta upplýsingum við þær persónuupplýsingar sem stofnunin hefur um einstakling og hann telur ófullnægjandi.

Ítarlegri upplýsingar um réttinn til leiðréttingar má nálgast á vef Persónuverndar.  

4.3 Rétturinn til eyðingar eða rétturinn til að gleymast

Rétturinn til eyðingar eða rétturinn til að gleymast á ekki við um vinnslu persónuupplýsinga í NÍ þar sem stofnunin er bundin að lögum um opinber skjalasöfn til að varðveita allar upplýsingar sem henni berast sbr. lög nr. 77/2014. Í persónuverndarlögum er sérstaklega tekið fram að réttur til eyðingar persónuupplýsinga og til að gleymast eigi ekki við þegar lög mæla fyrir um að upplýsingarnar skuli varðveittar. Þannig gildir rétturinn til eyðingar/rétturinn til að gleymast ekki um persónuupplýsingar sem NÍ vinnur.

Ítarlegri upplýsingar um réttinn til að gleymast má nálgast á vef Persónuverndar. 
Einstaklingar eiga rétt á að biðja um að vinnsla sé takmörkuð við ákveðnar aðstæður.

4.4 Réttur til að andmæla vinnslu

Einstaklingur á rétt á að andmæla vinnslu persónuupplýsinga þegar NÍ vinnur persónuupplýsingar um hann á grundvelli almannahagsmuna, þ.e. lagaheimildar, eða við beitingu opinbers valds.  Nánari upplýsingar um andmælarétt má finna á vef Persónuverndar.

4.5 Réttur til að flytja eigin gögn

Rétturinn til að flytja eigin gögn á eingöngu við þegar upplýsingar eru unnar á grundvelli samþykkis eða við gerð samnings. NÍ starfar á grundvelli laga og byggir því mjög lítinn hluta sinnar vinnslu á persónuupplýsingum á samþykki eða samningi. Þar af leiðandi er ólíklegt að þessi réttur eigi við um þá vinnslu sem fer fram á NÍ, þar sem hún fer nánast eingöngu fram á grundvelli lagaskyldu eða almannahagsmuna. 

4.6 Kvartanir vegna vinnslu persónuupplýsinga í NÍ

Ef einstaklingur telur að ekki hafi verið unnið með lögmætum hætti með persónuupplýsingar í NÍ þá getur hann haft samband við persónuverndarfulltrúa stofnunarinnar.

4.7 Hver hefur aðgang að persónuupplýsingum í NÍ?

Starfsfólk NÍ vinnur einungis með persónuupplýsingar þegar nauðsyn krefur vegna þeirra verkefna sem það hefur umboð til að sinna. Þess er gætt að vinnsla persónuupplýsinga sé ávallt í samræmi við ákvæði laga og reglugerða um persónuvernd.

Öllu starfsfólki NÍ er skylt að gæta þagmælsku um atriði sem það fær vitneskju um í starfi sínu og leynt skulu fara samkvæmt lögum, fyrirmælum yfirmanna eða eðli málsins. Sú þagnarskylda helst þótt látið sé af starfi.

4.8 Hvernig er öryggi persónuupplýsinga tryggt?

NÍ gerir ríkar kröfur um öryggi persónuupplýsinga hjá stofnuninni og aðgangur að þeim er takmarkaður og aðgangsstýrður. Þannig eru sérstaklega ríkar kröfur gerðar um öryggi húsnæðis og tölvukerfa stofnunarinnar. NÍ vinnur eftir upplýsingaöryggisstefnu en hluti af stefnunni er ábyrg og örugg varsla gagna. Sömu kröfur eru gerðar til þjónustuaðila sem hýsa tölvukerfi og hafa umsjón með skjalavörslukerfi  NÍ. 

4.9 Hversu lengi varðveitir NÍ persónuupplýsingar?

NÍ er skilaskyldur aðili samkvæmt lögum nr. 77/2014 um opinber skjalasöfn og er þar af leiðandi óheimilt að eyða skjölum og gögnum sem stofnuninni berast eða verða til hjá henni, nema að fengnu leyfi Þjóðskjalasafns Íslands. Í skilaskyldu felst jafnframt að öllum skjölum og gögnum sem berast NÍ eða verða til hjá stofnuninni, skal skilað til Þjóðskjalasafns eftir fimm til 30 ár eftir því hvernig þau eru vistuð. Skjölum í stafrænu formi eða afritum þeirra skal skila til Þjóðskjalasafns þegar þau hafa náð fimm ára aldri. Skjöl á pappír og öðrum miðlum skal skila eftir 30 ár. Nánari upplýsingar má finna á vef Þjóðskjalasafn Íslands. 

Fótspor eða vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvu einstaklinga eða í öðrum snjalltækjum þegar þeir heimsækja vef.

5.1 Fótspor eða vefkökur

Fólk skilur eftir sig fótspor þegar það fer á vefinn. Fótspor eða vefkökur frá fyrsta aðila (e. first-party cookies) koma frá sama léni og vefsíðan sem er heimsótt (í þessu tilviki ni.is), á meðan fótspor eða vefkökur frá þriðja aðila (e. third-party cookies) eru fótspor sem koma frá öðrum lénum. 

Þegar notandi heimsækir vefsíðu NÍ eru notuð fótspor eða vefkökur (cookies) til að bæta upplifun og greina umferð um síðuna. NÍ notar eitt fótspor eða vefköku frá þriðja aðila. Fótspor eru notuð til að vista upplýsingar um t.d. hvort notandi hefur áður heimsótt síðuna, hversu lengi hann var á síðunni og frá hvaða vefsvæði notandinn kom. Vefir þriðja aðila sem má nálgast á vef NÍ (t.d. tengill í grein eða vefur samstarfsaðila) gætu safnað saman persónuupplýsingum. Um þá gildir persónuverndarstefna viðkomandi aðila.

NÍ notar Google Analytics til vefmælinga. Þegar notandi kemur inn á vefinn eru nokkur atriði skráð, s.s. tími og dagsetning, leitarorð, frá hvaða vef er komið, og gerð vafra og stýrikerfis. Þessar upplýsingar má nota við endurbætur á vefnum og þróun hans. Meðhöndlun upplýsinga í vefkökum Google er háð reglum Google um persónuvernd. Notendur vefsins geta stillt vafra sína þannig að þeir láti vita af fótsporum eða hafni þeim alfarið. Leiðbeiningar má jafnan fá á vefjum veffyrirtækjanna. Vefurinn er hýstur í Þýskalandi hjá fyrirtæki með alþjóðlega öryggisvottun (ISO27001).

5.2 Let´s Encrypt og SSL skilríki

NÍ notast við Let´s Encrypt og SSL (Secure Sockets Layer) sem er dulkóðunaraðferð notuð við sendingar á samskiptum milli notanda og vefs. Sendingarnar eru dulkóðaðar sem eykur öryggi gagnaflutninga. Þessi dulkóðun hindrar að óviðkomandi aðilar komist yfir viðkvæm gögn líkt og lykilorð eða persónuupplýsingar. Þegar farið er inn á vefi með vefslóð sem hefst á „https“ stendur „s“-ið fyrir secure eða örugg samskipti. 

5.3 Leitarvél

NÍ geymir ekki upplýsingar um hvaða leitarorð notandi slær inn í leitarvél vefsíðunnar. 

5.5 Facebook og Instagram

Einstaklingar geta gerst hollvinir NÍ á Facebook og fengið tilkynningar um fyrirlestra á Hrafnaþingi, fréttatilkynningar o.fl. NÍ safnar ekki persónuupplýsingum þeirra sem fylgjast með fésbókarsíðu stofnunarinnar og sendir ekki út viðkvæmar persónuupplýsingar á síðuna.  

5.6 YouTube

NÍ sendir út fyrirlestra og fleira kynningarefni á YouTube. Persónugreinanlegum upplýsingum er ekki safnað í gegnum aðgang að YouTube.

5.7 LinkedIn

NÍ er skráð sem fyrirtæki á LinkedIn. Ekki er safnað persónugreinanlegum upplýsingum frá þeirri síðu. Mögulegt er að sjá fylgjendur á síðunni.

5.8 Símtöl

Sérfræðingar skrá samtöl í málaskrá eða annars staðar í skjalasafnið þegar það hefur þýðingu fyrir úrlausn máls og er ekki að finna í öðrum gögnum. Náttúrufræðistofnun tekur ekki upp samtöl í síma og ekki er unnt að skilja eftir skilaboð á símsvara.  

5.9 Tölvupóstur

Allur tölvupóstur sem NÍ berst á netfangið ni@ni.is er skimaður fyrir tölvuveirum og vistaður í skjalavörslukerfi stofnunarinnar.  Þau sem hafa samband við NÍ með tölvupósti skulu gæta að því að tölvupóstur þeirra getur verið ódulkóðaður sem þýðir að óviðkomandi geta lesið póstinn í sendingu. Viðskiptavinir eru því vinsamlegast beðnir að senda ekki viðkvæmar persónuupplýsingar í tölvupósti til NÍ. 

5.11 Bréfpóstur

NÍ varðveitir öll bréf sem stofnuninni berast í skjalasafni stofnunarinnar, þau eru öll skönnuð og vistuð í rafrænu skjalastjórnarkerfi. 

5.12 Póstlisti NÍ

Einstaklingar geta skráð sig á póstlista NÍ og fengið tilkynningar um fyrirlestra á Hrafnaþingi, fréttatilkynningar o.fl. Við skráningu á póstlistann er nafn og netfang skráð. Hægt er að afskrá sig af póstlistanum með því að senda tölvupóst á ni@ni.is  Heimilt er að vinna framangreindar upplýsingar á grundvelli samþykkis, sbr. a-lið 1. mgr. 6. gr. pvrg., sbr. 1. tölul. 1. mgr. 9. gr. laga nr. 90/2018.

5.13 Heimsóknir

Þegar viðskiptavinir og gestir koma í heimsókn til sérfræðinga eða á fundi skrifa þeir nöfn sín í gestabók sem liggur frammi í afgreiðslu, kjósi þeir að gera það. Móttökukerfið Edico er notað svo almenningur geti náð í sérfræðinga stofnunarinnar.

5.14 Notkun kennitölu

„Notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu.“   Þannig er eðlilegt og málefnalegt að nota kennitölu við greiðslu launa starfsfólks. Einnig er málefnalegt að fá kennitölur viðskiptavina sem óska eftir greiningu á náttúrusýnum eða fara fram á úttektir á náttúrufari og vilja senda náttúrusýni til útlanda, enda sé tekin greiðsla fyrir þá vinnu. Ekki er kallað eftir kennitölum þegar óskað er eftir almennum greiningum á náttúrusýnum. 

Við lán á bókum í bókasafni NÍ er stuðst við kennitölur, enda byggir bókasafnskerfi landsins á þeim grundvelli. Notaðar eru kennitölur áskrifenda Blika til að geta uppfært heimilisföng og óskað eftir greiðslum í gegnum heimabanka. Óeðlileg söfnun á kennitölum á sér ekki stað í NÍ. 

Þegar einstaklingur hefur samband við NÍ með fyrirspurn eða biður um ráðgjöf vinnur NÍ með persónuupplýsingar um einstaklinginn til að geta svarað honum.

6.1 Fyrirspurnir og ráðgjöf

NÍ vinnur eingöngu með upplýsingar sem nauðsynlegar eru til að geta svarað fyrirspurnum. Til dæmis vinnur NÍ upplýsingar um netfang og nafn þegar fyrirspurnum er svarað í tölvupósti. 

Persónuupplýsingar í fyrirspurnum eru varðveittar í 30 ár í NÍ en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveislu- og skilaskyldu samkvæmt lögum um opinber skjalasöfn. Heimilt er að vinna framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á NÍ, sbr. c-lið 1. mgr. 6. gr. pvrg., sbr. 3. tölul. 9. gr. laga nr. 90/2018.

6.2 Kvörtun til NÍ

Þegar NÍ vinnur úr kvörtunum eru unnar persónuupplýsingar í þeim tilgangi að beita opinberu valdi, sbr. e-lið 1. mgr. 6. gr. pvrg., sbr. 5. tölul. 9. gr. laga nr. 90/2018. Þær upplýsingar sem hér um ræðir geta t.d. verið tengiliðaupplýsingar og aðrar upplýsingar sem eru nauðsynlegar til að vinna úr málinu, svo sem upplýsingar um refsiverðan verknað, heilsufar, mannauðsmál.  Persónuupplýsingar í kvörtunarmálum eru varðveittar í 30 ár í NÍ en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveislu- og skilaskyldu samkvæmt lögum um opinber skjalasöfn.

NÍ er heimilt að vinna framangreindar upplýsingar því þær eru nauðsynlegar við beitingu opinbers valds sem NÍ fer með, sbr. e-lið 1. mgr. 6. gr. pvrg., sbr.  5. tölul. 9. gr. laga nr. 90/2018. Heimilt er að vinna viðkvæmar persónuupplýsingar í tengslum við kvartanir ef slík vinnsla er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fer fram á grundvelli laga, sbr. g-lið 2. mgr. 9. gr. pvrg., sbr. 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018.

6.3 Leyfisveitingar

Þegar NÍ berst umsókn um leyfi til útflutnings á náttúrusýnum eru skráðar persónuupplýsingar þess einstaklings sem sækir um leyfið og eftir atvikum tengiliðaupplýsingar þess sem kemur fram f.h. þess sem afhendir upplýsingar. Þá er eftir atvikum unnið með aðrar persónuupplýsingar sem veittar eru í umsókninni, en einkum eru það upplýsingar um nöfn, símanúmer og netföng annarra einstaklinga sem koma að umsókninni. Á NÍ hvílir lagaskylda til að afgreiða leyfisumsóknir sem henni berast og eru tengiliðaupplýsingarnar nauðsynlegar svo hægt sé að afhenda leyfi réttum aðila.

Umsóknir um leyfi, ásamt fylgigögnum, eru varðveittar í 30 ár í NÍ en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveislu- og skilaskyldu samkvæmt lögum um opinber skjalasöfn.

Öll vinnsla persónuupplýsinga í tengslum við leyfisveitingar byggist á lagaskyldu sem hvílir á NÍ, sbr. c-lið 1. mgr. 6. gr. pvrg., sbr. 3. tölul. 9. gr. laga nr. 90/2018.

6.4 Ábendingar

NÍ skráir ábendingar sem henni berast í málaskrárkerfi sitt. Berist ábendingin með tölvupósti er netfang og nafn sendanda skráð. Berist NÍ skriflegt erindi sem ekki snertir starfssvið hennar, áframsendir hún erindið á réttan stað svo fljótt sem unnt er, sbr. 2. mgr. 7. gr. stjórnsýslulaga. Er það almennt gert að höfðu samráði við þann sem sendi erindið, sé þess nokkur kostur. Berist ábendingin á símatíma án þess að nafn sé uppgefið, er eingöngu efni ábendingarinnar skráð.

Ábendingar eru varðveittar í 30 ár í NÍ en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Heimilt er að vinna framangreindar upplýsingar því þær eru nauðsynlegar við beitingu opinbers valds sem NÍ fer með, sbr. e-lið 1. mgr. 6. gr. pvrg., sbr. 5. tölul. 9. gr. laga nr. 90/2018. Heimild til vinnslu viðkvæmra persónuupplýsinga er í g-lið 9. gr. pvrg., sbr. 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018.

NÍ miðlar að jafnaði ekki persónuupplýsingum til þriðja aðila nema þar sem lög og upplýst samþykki heimila annað. Þannig fara t.d. upplýsingar um kennitölur og bankareikninga starfsfólks til banka þegar greiða þarf út laun. 

Persónuupplýsingum s.s. nöfnum og heimilis- og netföngum viðskiptavina er ekki dreift til þriðja aðila. Á því eru þó undantekningar. Þegar finnandi að fugli og fuglamerki sendir upplýsingar til NÍ um fugl sem merktur er erlendis eru upplýsingar um finnanda jafnan áframsendar til stofnunar í því landi sem hefur umsjón með viðkomandi fuglamerkingum. Í stöku tilvikum gæti upprunalandið viljað fá frekari upplýsingar um fuglinn og fundarstað og því mikilvægt að senda með persónuupplýsingar (þ.e. nafn og heimilisfang), en móttökulandið hefur einnig samband við NÍ ef áhugi er á frekari upplýsingum um endurheimt fuglamerki. Þegar gögn eru send til til Gbif þá eru nöfn finnanda og greinanda tilgreind.

7.1 Persónuupplýsingum ekki miðlað til þriðja aðila

Upplýsingar um greiningar á náttúrusýnum til þriðja aðila eru metnar af sérfræðingi í hverju tilviki fyrir sig. Ef einstaklingar eða fyrirtæki óska eftir greiningu á náttúrusýnum (sveppum, smádýrum eða öðrum sýnum) þá eru ekki veittar persónuupplýsingar um slíkar greiningar. Ef óskað er upplýsinga um hvort náttúrusýni hafi verið greind í tilteknum húsum (sveppir eða skordýr) er aðeins sagt frá því hvort greining hefur farið fram eða ekki. 

Ekki eru veittar persónuupplýsingar um nöfn og heimilisföng veiðimanna fugla, refa eða minka sem skila sýnum til NÍ. Þegar viðskiptavinir óska eftir greiningu á náttúrugripum s.s. pöddum, sveppum, rjúpnavængjum eða refum er upplýsingum ekki miðlað til annarra. 

7.2 Persónuupplýsingum miðlað til þriðja aðila

Veittar eru almennar upplýsingar um nöfn manna ef upplýsingar eru taldar þeim að meinalausu s.s. þegar spurt er um heiti á tegundum flóru eða fánu. Ef til dæmis fréttamenn spyrja um sjaldgæfan fugl er talið heimilt að greina frá nöfnum þeirra sem sáu hann fyrstir og hvar fuglinn var að finna. 

Unnt er að fá nöfn á fuglamerkingarmönnum eða fuglatalningarmönnum í tilteknum héruðum eða aðrar upplýsingar sem mætti ætla að væri mönnum að meinalausu. 

Persónuupplýsingar þ.e. nöfn og fundarstaðir eru í stöku tilvikum fluttar frá NÍ til þriðja ríkis. Þannig er persónuupplýsingum um flóru Íslands miðlað til gagnasafnsins GBif erlendis þar sem sjá má nöfn finnanda. Vísindamenn erlendis sem vilja bera saman flóru eða fánu Íslands og sinna heimalanda hafa fengið persónugreinanleg gögn þ.e. nöfn og fundarstaði að sýnum. 

EURING eru alþjóðleg samtök fuglafræðinga sem rannsaka ferðir fugla. Það er m.a. gert með því að merkja fugla. Þegar merktur fugl finnst aftur er upplýsingum komið til þess lands þar sem fuglinn var upprunalega merktur. NÍ er sá aðili hér á landi sem hefur umsjón með fuglamerkingum. Þegar merktur fugl finnst á Íslandi eru upplýsingar sendar til þess lands þar sem fuglinn var merktur. 

Upplýsingum um frjókorn í lofti er miðlað til gangabanka í Vínarborg en persónuupplýsingar fylgja ekki með. 

Verkefni NÍ er sbr. 4. gr. laga 60/1992 m.a. „að leiðbeina um hóflega nýtingu náttúrulegra auðlinda og aðstoða með rannsóknum við mat á verndargildi vistkerfa og náttúruminja og áhrifum mannvirkjagerðar og annarrar landnotkunar á náttúruna.“ Við vernd náttúru Íslands þarf í sumum tilvikum að gæta þess að upplýsa ekki um tiltekin náttúrufyrirbrigði s.s. dropasteina í hellum, varpstaði sjaldgæfra fugla, staðsetningu einstakra jurta. Til þess að það sé unnt þá getur þurft að takmarka aðgang að persónuupplýsingum. 

Óski verkkaupi eftir því að úttekt á náttúrufari á tilteknu svæði sé ekki miðlað til þriðja aðila er orðið við því. Slík takmörkun er jafnan tímabundin.

Starfsfólk NÍ vinnur einungis með persónuupplýsingar þegar nauðsyn krefur vegna þeirra verkefna sem það hefur umboð til að sinna. Þess er gætt að vinnsla persónu¬upplýsinga sé ávallt í samræmi við ákvæði laga og reglugerða um persónuvernd. Að jafnaði er oftast aðeins einn eða fáeinir sérfræðingar sem hafa aðgang að persónuupplýsingum á sínu sérsviði. Lykilorð þarf til að komast í gagnasöfn með viðkvæmum persónuupplýsingum. 

NÍ vinnur með persónuupplýsingar um starfsfólk sitt til að geta greitt þeim laun.

11.1 Starfsfólk

Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun, s.s. kennitala, launaflokkur, tímaskráningar, skattþrep, stéttarfélagsaðild, bankaupplýsingar, lífeyrissjóðs¬upplýsingar og skuldir við innheimtumann ríkissjóðs. Aðrar upplýsingar eru tengdar starfslýsingu starfsfólks.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að efna samning sem hinn skráði er aðili að , sbr. b-lið 1. mgr. 6. gr. pvrg., sbr. 2. tölul. 9. gr. laga nr. 90/2018. Heimilt er að vinna upplýsingar um stéttarfélagsaðild á grundvelli samþykkis starfsfólks, sbr. a-lið 9. gr. pvrg., sbr. 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Öllu starfsfólki er frjálst að gefa upp hvort, og þá í hvaða stéttarfélag þeir eru skráðir, og hefur það engin áhrif á ráðningar í störf hjá stofnuninni.

Framangreindar upplýsingar eru skráðar í skjalastjórnarkerfi stofnunarinnar.

11.2 Umsækjendur um störf

NÍ vinnur með persónuupplýsingar um einstaklinga sem sækja um starf hjá stofnuninni. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna, s.s. nafn, kennitala, ferilskrá, kynningarbréf, upplýsingar um menntun, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. b-lið 1. mgr. 6. gr. pvrg., sbr. 2. tölul. 9. gr. laga nr. 90/2018.

Framangreindar upplýsingar eru skráðar í skjalastjórnarkerfi stofnunarinnar.

Nokkur fjöldi sérfræðinga leitar fyrir sér um störf í NÍ án auglýsinga. Þeirra erindi eru jafnan skráð í skjalastjórnarkerfi stofnunarinnar og svarað þaðan. 

Erlendir nemendur leita í nokkrum mæli að starfsþjálfun í NÍ, enda skylda við marga erlenda háskóla að taka hluta náms úti í atvinnulífinu. Haldið er utan um þeirra umsóknir í skjalastjórnarkerfi stofnunarinnar. 

Náttúrufræðistofnun vinnur að því að útbúa upplýsingaöryggiskerfi til að tryggja vernd persónuupplýsinga í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga.

12.1 Upplýsingaöryggi

Upplýsingaöryggiskerfið nær til allra helstu lykilkerfa stofnunarinnar. 

12.2 Vinnsluaðilar NÍ

Tölvukerfi NÍ eru rekin innan stofnunarinnar og hjá ytri þjónustuaðila, Sensa. Það er krafa NÍ að þjónustuaðilar hennar starfi á Íslandi og að unnið sé með öll gögn á Íslandi skv. ISO27001 öryggisstaðlinum. 

Vefur NÍ er hýstur hjá 1XINTERNET í Þýskalandi. Tengingar eru á milli vefsins og annarra kerfa Náttúrufræðistofunnar, t.a.m. PowerBI sem er hluti af M365 og vistað hjá Sensa og API tengingar við gagnagrunna.

Stærsti vinnsluaðili NÍ er Sensa sem þjónustar AD netþjón. Eldveggur er í umsjón Símans og póstþjónninn er í umsjón Umbru (Microsoft 365). 

Málaskrárkerfið GoPro er vistað hjá Hugviti hf. sem er ISO 27001 vottað.

Afritataka er í umsjón Sensa og Öruggrar afritunar og fer fram í gegnum dulkóðaða tengingu. Auk þess tekur tölvunarfræðingur NÍ reglulega afrit af öllu tölvukerfinu. 

Tímaskráning starfsfólks fer fram í Vinnustund, sem er hluti af Orra (fjárhags- og mannauðskerfi ríkisins). Þá er NÍ í greiðslu- og bókhaldsþjónustu hjá Fjársýslu ríkisins.

„Til þess að sýna fram á að farið sé að þessari reglugerð ætti ábyrgðaraðilinn eða vinnsluaðilinn að halda skrár yfir vinnsluaðgerðir sem eru á hans ábyrgð.“  Í 30. gr. pvrg. er fjallað um það sem ætti að skrá um vinnslustarfsemi ábyrgðaraðila. Persónuvernd býður viðskiptavinum að nýta eyðublað, ættað frá systurstofnun Persónuverndar í Noregi, sem stofnunin hefur sett á vefinn hjá sér og aðilar geta notað sem skapalón fyrir slíkar vinnsluskrár.  Því hefur verið tekin saman vinnsluskrá eða listi yfir þær tölvuskrár þar sem koma fyrir persónuupplýsingar. 

Í þessum skrám er ekki fjallað um viðkvæmar persónuupplýsingar, að frátöldum þeim sem þegar hefur verið greint frá. 

Lagaákvæði: 

• Lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 
• Reglugerð Evrópuþingsins og -ráðsins um persónuvernd (ESB) 2016/679 frá 27. apríl 2016. [pvrg] 
• Reglur nr. 299/2001 um öryggi persónuupplýsinga 
• Reglur nr. 50/2023 um rafræna vöktun 
• Stjórnsýslulög nr. 37/1993  
• Upplýsingalög nr. 140/2012