- Markmið og gildissvið
Reglur þessar eru settar í samræmi við kröfur 19. gr. b. laga nr. 161/2002 um fjármálafyrirtæki og gilda um upplýsingar sem T Plús hf. (hér eftir nefnt „T Plús“ eða „Félagið“) vistar um einstaka viðskiptamenn sína.
Markmið reglna þessara er að stuðla að því að T Plús fari með upplýsingar sem varða viðskiptamenn sína í samræmi við kröfur laga um fjármálafyrirtæki og um persónuvernd og friðhelgi einkalífs sem koma m.a. fram í lögum nr. 90/2018, um persónuvernd og meðferð persónuupplýsinga sem og í samræmi við þagnarskylduákvæði 58. gr. laga nr. 161/2002, um fjármálafyrirtæki.
Reglurnar gilda fyrir alla starfsmenn, stjórnarmenn, endurskoðendur og hverja aðra sem taka að sér verk í þágu T Plús (hér eftir sameiginlega nefndir „Starfsmenn“).
Reglurnar gilda jafnt um upplýsingar sem viðskiptamenn hafa sjálfir veitt T Plús, sem og upplýsingar sem Félagið hefur aflað um viðskiptamenn sína. Reglurnar gilda um sérhverja rafræna vinnslu upplýsinga sem og handvirka vinnslu þeirra.
- Varðveisla upplýsinga um einstaka viðskiptamenn
T Plús varðveitir upplýsingar sem viðskiptamenn hafa veitt Félaginu við upphaf viðskipta. Sama á við um upplýsingar sem Félagið hefur aflað eftir að viðskipti hófust. Upplýsingar sem T Plús kann að fá frá þriðja aðila, t.d. Creditinfo, Þjóðskrá Íslands eða Fasteignamati ríkisins, eru einnig vistaðar.
Upplýsingar um viðskiptamenn T Plús eru vistaðar eftir atvikum á rafrænu eða pappírsformi. Rafræn vistun gagna skal vera á öruggum miðli þar sem öryggisráðstafanir eru uppfærðar í samræmi við ýtrustu kröfur hverju sinni. Upplýsingar um viðskiptamenn á pappír eru vistaðar í öruggri skjalageymslu.
Þegar ekki er lengur notagildi í upplýsingum sem eru persónugreinanlegar þá er þeim eytt eða að lágmarki auðkennanlegar upplýsingar afmáðar ef upplýsingarnar hafa t.d. sögulegt gildi. Gögnum með upplýsingum um viðskiptamenn er eytt með tryggilegum hætti, pappír er sendur til eyðingar og rafrænum gögnum er markvisst eytt.
- Aðgengi starfsmanna að upplýsingum um viðskiptamenn
Upplýsingar um viðskiptamenn T Plús eru aðgangsstýrðar. Starfsmenn Félagsins hafa almennt eingöngu aðgang að upplýsingum um viðskiptamenn sem starf þeirra krefst.
Yfirmenn hafa að öllu jöfnu aðgang að öllum upplýsingum sem undirmenn þeirra hafa aðgang að nema reglur um hagsmunaárekstra takmarki aðgang að upplýsingum frekar en hér er kveðið á um. Starfsmenn sem sinna almennt takmörkuðum hópi viðskiptavina skulu eingöngu hafa aðgang að upplýsingum sem varða þeirra viðskiptavini. Regluvörður hefur eftirlit með aðgangsstýringu starfsmanna og skal sjá til þess að viðkomandi starfsmaður eða starfseining hafi einungis aðgang að upplýsingum sem eru nauðsynlegar í tengslum við starf þeirra.
- Miðlun upplýsinga
Starfsmenn eru bundnir þagnarskyldu um allar upplýsingar sem þeim áskotnast um viðskiptamenn T Plús, sbr. 58. gr. laga nr. 161/2002, um fjármálafyrirtæki. Þagnarskylda helst þótt látið sé af starfi.
T Plús miðlar eingöngu upplýsingum sem varða viðskiptamenn sína þegar fyrir því er skýr lagaskylda og fram kemur lögmæt beiðni um slíkt frá viðskiptamanninum sjálfum eða opinberum aðilum s.s. lögreglu, Fjármálaeftirlitinu, Samkeppniseftirlitinu eða öðru lögbæru yfirvaldi.
Miðlun fjárhagsupplýsinga kann jafnframt að vera að frumkvæði T Plús þar sem Félagið telst tilkynningaskyldur aðili samkvæmt lögum nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
- Öryggisráðstafanir
T Plús ber ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við lög og reglur og gerir viðeigandi öryggisráðstafanir til að tryggja að svo sé.
Allar upplýsingar er varða viðskipta- og eða einkamálefni viðskiptamanna skulu meðhöndlaðar af fyllstu varúð svo að tryggt sé að þær glatist ekki eða komist í hendur óviðkomandi aðila. Sérstök aðgæsla skal viðhöfð við varðveislu þeirra, ljósritun, sendingu, tölvuskráningu og eyðingu.
Rafræn vistun gagna skal vera á öruggum miðli þar sem öryggisráðstafanir eru í samræmi við kröfur hverju sinni. Öryggisráðstafanir skulu taka mið af áhættu af vinnslu gagna og eðli þeirra hverju sinni.
- Upplýsingaréttur viðskiptamanna
Viðskiptamenn eiga rétt á að fá afrit af gögnum sem innihalda upplýsingar er varða málefni þeirra hjá T Plús. Óski viðskiptamaður eftir afriti af gögnum skal hann senda regluverði T Plús beiðni þess efnis þar sem fram kemur á skýran og afmarkaðan hátt hvaða gögnum er óskað eftir.
Regluvörður kann að hafna beiðni viðskiptamanns ef afhending upplýsinganna er andstæð persónuverndar-sjónarmiðum og trúnaðarskyldu T Plús, skv. 58. gr. laga nr. 161/2002, um fjármálafyrirtæki.
Þrátt fyrir rétt viðskiptamanna til að fá afrit af gögnum mun T Plús ekki afhenda upplýsingar um viðskiptamenn sem koma fram í vinnugögnum starfsmanna, s.s. tölvupóstum, minnisblöðum eða öðrum ónákvæmum gögnum.
- Eftirlit
Regluvörður T Plús hefur eftirlit með því að aðgangur Starfsmanna að upplýsingum sé í samræmi við þau verkefni sem að viðkomandi starfsmaður eða starfseining innan Félagsins er að sinna.
- Gildistaka og birting
Reglur þessar öðlast gildi við undirritun stjórnar T Plús. Reglur þessar skulu vera aðgengilegar viðskiptamönnum T Plúsar og eru birtar á vefsíðu Félagsins.
Akureyri, 17. febrúar 2020
Stjórn T Plús hf.