Persónuverndarstefna

Samkvæmt lögum um Þjóðskrá Íslands nr. 70/2018 skal stofnunin gæta upplýsinga um einstaklinga með því að safna, varðveita, uppfæra og miðla þeim upplýsingum með öruggum hætti. Þá er það hlutverk Þjóðskrár að gefa út vegabréf og nafnskírteini. Stofnunin gefur einnig út kjörskrá, rekur utankjörfundarkerfi og sinnir verkefnum sem henni eru falin við framkvæmd kosninga.

Markmið persónuverndarstefnu Þjóðskrár er að upplýsa einstaklinga um hvaða persónuupplýsingum er safnað, hvernig þeim er safnað, hvers vegna og hvernig þær eru meðhöndlaðar.

Þjóðskrá leggur áherslu á að tryggja að öll meðferð persónuupplýsinga sé í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Hvað eru persónuupplýsingar ?
Persónuupplýsingar í skilningi stefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar. Þjóðskrá aflar bæði almennra og viðkvæmra persónuupplýsinga.
- Almennar persónuupplýsingar: svo sem nafn, kennitala, símanúmer og netfang.
- Viðkvæmar persónuupplýsingar: upplýsingar um kynþátt, þjóðernislegan uppruna (fæðingarvottorð t.d.), trúarbrögð, lífsskoðun eða aðild að stéttarfélagi. Heilsufarsupplýsingar eru einnig viðkvæmar persónuupplýsingar, en það eru upplýsingar sem varða bæði andlegt og líkamlegt heilbrigði einstakling (læknisvottorð t.d.). Að lokum teljast einnig lífkennaupplýsingar (andlitsmynd eða fingrafar t.d.) eða upplýsingar sem gera það kleift að greina einstakling með einstökum hætti sem viðkvæmar persónuupplýsingar.

Hvaða persónuupplýsingum safnar Þjóðskrá?

Það er m.a. hlutverk Þjóðskrár að annast skráningu einstaklinga í þjóðskrá og gefa út kennitölur, sbr. lög um skráningu einstaklinga nr. 140/2019.

1. Hvaða upplýsingar ber Þjóðskrá Íslands að skrá í þjóðskrá?

Í þjóðskrá eru skráðar eftirfarandi upplýsingar um einstaklinga, eftir því sem við á:

kennitala	fæðingarstaður
nafn	ríkisfang
kyn	trúfélagsaðild
hjúskaparstaða	bannmerking vegna úrtakslista og/eða markpósts
sambúð	forsjá barna
lögheimili	kynforeldrar og feðrun barna
aðsetur ef við á	ættleiðing
fjölskyldunúmer

Auk þess heldur Þjóðskrá Íslands utan um breytingar á ofangreindum skráningum. Upplýsingar um forsjá barna, kynforeldra, feðrun barna og ættleiðingar eru ekki skráðar í þjóðskrá, þ.e. í tölvukerfi þjóðskrár. Í kerfiskennitöluskrá (áður utangarðsskrá), þ.e. skrá sem inniheldur upplýsingar um erlenda ríkisborgara sem hafa ekki skráð lögheimili á Íslandi, eru skráðar eftirfarandi upplýsingar:

nafn	aðsetur á Íslandi
kennitala	lögheimili erlendis
kyn	upplýsingar um umsækjanda kennitölu
ríkisfang	upplýsingar um dvalarleyfisheimild

2. Vegabréf, nafnskírteini og dvalarleyfiskort

Þjóðskrá Íslands annast útgáfu vegabréfa, nafnskírteina og framleiðslu dvalarleyfiskorta. Þjóðskrá heldur skrá, skilríkjaskrá, um öll útgefin vegabréf, nafnskírteini og dvalarleyfiskort.

Þjóðskrá ber ábyrgð á útgáfu nafnskírteina og almennra vegabréfa og þar með heildarferlinu á bak við útgáfuna, allt frá umsókn til afhendingar. Sýslumenn og sendiráð eru vinnsluaðilar að móttöku umsókna um vegabréf og nafnskírteini.

Í skilríkjaskrá eru skráðar og varðveittar þær upplýsingar sem safnað er til útgáfu og/eða framleiðslu á skilríkjum, þ.e. nafn, kennitala, fæðingarland, rithandarsýnishorn, hæð, fingraför og andlitsmynd ásamt upplýsingum um forsjá. Tekin eru fingraför af einstaklingum 12 ára og eldri. Börn yngri en tólf ára og einstaklingar sem líkamlega er ekki hægt að taka fingrafar af eru undanþegnir fingrafaratöku. Börn yngri en tíu ára þurfa ekki að gefa rithandarsýnishorn.

3. Kjörskrá

Þjóðskrá gefur út kjörskrá, rekur utankjörfundarkerfi og sinnir verkefnum sem henni eru falin við framkvæmd kosninga. Í kjörskrá eru skráðar eftirfarandi upplýsingar: nafn, kennitala, lögheimili, kyn og ríkisfang.

Hvaðan berast skráningarupplýsingar til Þjóðskrár?
Beiðnir/tilkynningar um skráningu í þjóðskrá berast ýmist frá opinberum aðilum eða frá einstaklingum.

Frá opinberum aðilum berast t.d. fæðingartilkynningar, lögskilnaðir, hjónavígslur, forsjá barna og nafngjöf.

Frá einstaklingum berast t.d. tilkynningar um búferlaflutninga, nafngjafir barna, skráning sambúðar, bannmerkingar og breytingar á högum fólks sem fara fram í útlöndum, t.d. hjónavígslur, fæðingar, nafnbreytingar og skilnaðir.
Hverjir hafa aðgang að upplýsingum stofnunarinnar
Allir einstaklingar eiga rétt á að fá upplýsingar um hvað er skráð um þá hjá Þjóðskrá. Hægt er að nálgast eigin upplýsingar á mínum síðum á Ísland.is. Upptalningu á hvaða persónuupplýsingar eru skráðar hjá stofnunni er að finna hér. Þjóðskrá gefur einnig út vottorð sem hægt er að panta.

Þjóðskrá miðlar upplýsingum úr skrám sínum til einkaaðila og opinberra aðila. Aðilar sem hafa aðgang að upplýsingum úr skrám stofnunarinnar.
Miðlun upplýsinga úr þjóðskrá
Skráningargögn eru skráð í kerfi þjóðskrár eins fljótt og unnt er. Um leið og skráningu er lokið er mögulegt að miðla upplýsingum.

Upplýsingar eru veittar með vottorðum og með rafrænum hætti.
Vottorð sem byggja á skráningarupplýsingum úr þjóðskrá og varða tiltekinn einstakling eru einungis afhent þeim sem tilgreindur er á vottorðinu eða gegn umboði. Einstaklingur getur einungis pantað vottorð fyrir sjálfan sig og börn sín auk þeirra sem hann kann að hafa forsjá yfir. Vottorðin eru send á lögheimili viðkomandi eða í tölvupósti að því gefnu að viðkomandi hafi auðkennt sig með auðkenningarleiðum ísland.is.

Fyrirtækjum, stofnunum og einstaklingum stendur til boða að nota grunnskrá þjóðskrár vegna starfsemi sinnar. Í þessu felst að þegar tilteknar upplýsingar eru skráðar í tölvukerfi þjóðskrár, t.d. þegar fæðingarstofnun tilkynnir fæðingu barns, þá er barnið skráð í þjóðskrá og að því loknu birtist kennitala þess í uppflettingu hjá þeim sem hafa aðgang að skránni.

Sækja þarf um aðgang og gera samning við Þjóðskrá áður en gögn verða aðgengileg.

Úr þjóðskrá eru unnin ýmis úrtök að hálfu Þjóðskrár eða fyrirtækja sem hafa heimild til úrtaksgerðar. Úrtök Þjóðskrár eru meðal annars íbúaskrár, kjörskrárstofnar, vottorð og sértækar vinnslur. Úrtök vegna til dæmis skoðanakannana eða markaðsrannsókna eru unnin af fyrirtækjum sem hafa gert samning við Þjóðskrá um þess háttar vinnu.

Hjá Þjóðskrá getur fólk undanþegið sig því að vera á úrtakslistum með því að skrá sig á bannskrá.

Rannsóknir sem falla undir svokallaðar vísindarannsóknir eru undanskildar.

Reglur nr. 36/2005 um bannskrá þjóðskrár og 21. gr. laga um persónuvernd nr. 90/2018

Þjóðskrá skiptist í fjórar skrár, þjóðskrá, kerfiskennitöluskrá (áður utangarðsskrá), forsjárskrá og horfinnaskrá. Eftirtaldir aðgangsflokkar eru í boði:
1. Grunnskrá þjóðskrár: Nafn einstaklings, kennitala, lögheimili, póstnúmer, póststöð, bannmerking og ef við á, nafn og póstfang umboðsmanns þess sem búsettur er erlendis.
2. Grunnskrá þjóðskrár með viðbótarupplýsingum: Sömu upplýsingar og í lið 1 og að auki eru aðrar upplýsingar, svo sem fjölskyldunúmer, hjúskaparstaða, kennitala maka, kyn, lögheimili, lögheimiliskóði og fæðingarstaður.
3. Lokað uppflettikerfi: Nafn einstaklings, hjúskaparstaða og kennitala maka, fjölskyldunúmer, kyn og uppfletting á lögheimili. Í lokuðu uppfletti er miðlað grunnskrá. Mögulegt er að fá aðgengi viðbótarupplýsingum með sérstakri heimild frá Þjóðskrá.
4. Kerfiskennitöluskrá 1 (áður utangarðsskrá 1): Nafn einstaklings, kennitala, götuheiti, póstnúmer og póststöð dvalarstaðs, sveitarfélag og kennitölubeiðandi.
5. Kerfiskennitöluskrá 2 (áður utangarðsskrá 2): Nafn einstaklings, kennitala, götuheiti, póstnúmer og póststöð dvalarstaðs, sveitarfélag, kennitölubeiðandi, dagsetning síðustu breytinga, dagsetning nýskráningar, ríkisfang og kyn.
6. Forsjárskrá: Kennitala barns, kennitala forsjáraðila, nafn forsjáraðila, tegund forsjár, heiti tegundar forsjár og fæðingardagur forsjáraðila.
7. Horfinnaskrá 1: Nafn einstaklings, kennitala, lögheimili við andlát, sveitarfélag og andlátsdagur.
8. Horfinnaskrá 2: Nafn einstaklings, kennitala, lögheimili við andlát, sveitarfélag, andlátsdagur, kyn, hjúskaparstaða, kennitala maka.
9. Horfinnaskrá 3: Nafn einstaklings, kennitala, lögheimili við andlát, sveitarfélag, andlátsdagur, kyn, hjúskaparstaða.
10. Breytingasaga: Upplýsingar um breytingasögu einstaklinga, t.d. hjúskaparsögu eða lögheimilissögu, er einungis miðlað til opinberra aðila sem þurfa starfs síns vegna aðgang að slíkum upplýsingum, t.d. Tryggingarstofnun ríkisins og Ríkisskattstjóri.
Önnur upplýsingagjöf til að mynda vegna fyrirspurna sem berast bréfleiðis eða í síma eru metnar í hverju tilfelli fyrir sig. Upplýsingar um núverandi lögheimili einstaklinga og fullt nafn (rithátt) eru dæmi um upplýsingar sem eru almennt veittar til þriðja aðila sé þess óskað. Upplýsingar um kennitölur, hjúskaparstöðu, maka o.s.frv. eru ekki veittar til þriðja aðila. Miðlun getur jafnframt byggt á lagaheimild, eins og t.d. Norðurlandasamnings um almannaskráningar.
Á hvaða heimild er unnið með persónuupplýsingar?
Þjóðskrá Íslands vinnur með persónugreinanlegar upplýsingar til að sinna lögbundnum hlutverkum sínum, sbr:
- Lög um skráningu einstaklinga nr. 140/2019
- Lög um vegabréf nr. 136/1998
- Lög um nafnskírteini nr. 55/2023
- Kosningalög nr. 112/2021
Einnig þarf Þjóðskrá að fylgja eftirfarandi lagaákvæðum
Hversu lengi eru persónuupplýsingarnar varðveittar ?

Stofnunin er afhendingarskyldur aðili á grundvelli laga nr. 77/2014, um opinber skjalasöfn. Stofnuninni er þannig óheimilt að farga nokkru skjali eða ónýta, sem geymir persónuupplýsingar og fellur undir gildissvið laganna, nema að fengnu leyfi þjóðskjalavarðar.

Stofnunin geymir persónuupplýsingar sem ekki falla undir framangreind lög í þann tíma sem nauðsynlegt er til að uppfylla tilgang vinnslu, nema lengri geymslutíma sé krafist eða hann leyfður samkvæmt lögum.
Öryggi persónuupplýsinga

Rík áhersla er lögð á öryggi persónuupplýsinga hjá Þjóðskrá og eru starfsmenn stofnunarinnar sem vinna með slíkar upplýsingar bundnir trúnaði og þagnarskyldu. Vegna þessa er lögð rík áhersla á að öryggi þeirra sé tryggt á öllum stigum vinnslunnar, bæði með skipulagslegum og tæknilegum ráðstöfunum.

Í gildi eru reglur er varða öryggi gagna hjá Þjóðskrá t.d. aðgangstakmarkanir, öryggi upplýsingakerfa auk þess sem í gildi er virk öryggisstefna. Þá er Þjóðskrá vottuð skv. ISO/IEC 27001 staðlinum en hann fjallar um stjórnkerfi upplýsingaöryggis og er ætlað að stuðla að stöðugleika í rekstri upplýsingakerfa og upplýsingaöryggi. Verði öryggisbrestur verður farið með öll slík mál í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.

Þegar nýtt tölvukerfi/afurð með hátt öryggisstig er gefin út er fenginn óháður aðili, með tilheyrandi vottun, til að taka þá tölvukerfi/afurð út með tilliti til upplýsingaöryggis.
Réttindi einstaklinga

Lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga kveða á um ýmis réttindi einstaklinga.

Aðgangur að eigin persónuupplýsingum: Allir einstaklingar eiga rétt á að fá upplýsingar um hvað er skráð um þá hjá Þjóðskrá. Hægt er að nálgast eigin upplýsingar á mínum síðum á Ísland.is. Upptalningu á hvaða persónuupplýsingar eru skráðar hjá stofnunni er að finna hér. Þjóðskrá gefur einnig út vottorð sem hægt er að panta. Einnig er hægt að hafa samband við persónverndarfulltrúa Þjóðskrár Íslands á netfangið personuvernd@skra.is

Flutningur persónuupplýsinga: Réttur til að fá eigin persónuupplýsingar fluttar á einungis við þegar vinnslan byggist á samþykki eða við gerð samnings. Í fæstum tilvikum á það við um vinnslu persónuupplýsinga hjá Þjóðskrá.

Leiðrétting eða eyðing persónuupplýsinga: Alltaf er hægt að krefjast þess að rangar eða óáreiðanlegar persónuupplýsingar séu leiðréttar. Réttur til eyðingar á aftur á móti ekki við um vinnslu stjórnvalda á persónuupplýsingum þar sem þeim er skylt samkvæmt lögum um opinber skjalasöfn að varðveita allar upplýsingar sem þeim berast.

Takmörkun eða andmæli við vinnslu persónuupplýsinga: Í ákveðnum tilvikum er hægt að fara fram á að vinnsla persónuupplýsinga sé takmörkuð. Jafnframt kann að vera hægt að andmæla vinnslunni, en þá ber að sýna fram á lögmætar ástæður fyrir vinnslunni.
Hvernig hef ég samband – persónuverndarfulltrúi

Hlutverk persónuverndarfulltrúa er að upplýsa viðkomandi stofnun eða fyrirtæki og starfsmenn þeirra um skyldur samkvæmt persónuverndarlögum, sinna þjálfun starfsfólks, framkvæma úttektir, veita ráðgjöf og vera til staðar komi upp álitaefni á sviði persónuverndar.

Persónuverndarfulltrúi tekur jafnframt á móti fyrirspurnum og beiðnum frá þeim einstaklingum sem verið er að vinna með upplýsingar um. Þá skal persónuverndarfulltrúinn vera tengiliður við Persónuvernd og vinna með henni, sem og fylgjast með því að farið sé að persónuverndarlögum.

Persónuverndarfulltrúi Þjóðskrár Íslands er Eyrún Magnúsdóttir og hægt er að hafa samband við hana í síma 515-5300 eða senda tölvupóst á personuvernd@skra.is.

Sérstök áhersla er lögð á að réttilega sé gætt að réttindum einstaklinga við vinnslu persónuupplýsinga hjá Þjóðskrá Íslands. Komi engu síður upp ágreiningur um hana getur hinn skráði einstaklingur alltaf leitað til Persónuverndar með því að senda tölvupóst á postur@personuvernd.is.