Persónuverndarstefna Samkeppniseftirlitsins
Öll vinnsla Samkeppniseftirlitsins á persónuupplýsingum skal vera í samræmi við lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlögin“) og reglugerð Evrópuþingsins og Ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB („almenna persónuverndarreglugerðin“).
Persónuverndarstefna þessi inniheldur m.a. upplýsingar um lögmæti og tilgang vinnslu Samkeppniseftirlitsins á persónuupplýsingum, upplýsingar um miðlun persónuupplýsinga, réttindi einstaklinga og tengiliðsupplýsingar persónuverndarfulltrúa Samkeppniseftirlitsins.
Persónuverndarstefnan er endurskoðuð reglulega og birt á vefsíðu Samkeppniseftirlitsins.
Upplýsingar um ábyrgðaraðila
Ábyrgðaraðili er sá sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Persónuupplýsingar eru allar upplýsingar sem unnt er að tengja við einstakling, svo sem nafn, kennitala, staðsetningargögn, netauðkenni o.fl.
Samkeppniseftirlitið er sjálfstæð eftirlitsstofnun sem annast framkvæmd samkeppnislaga nr. 44/2005 („samkeppnislög“). Samkeppniseftirlitið er ábyrgðaraðili samkvæmt persónuverndarlögum.
Aðsetur Samkeppniseftirlitsins er í Borgartúni 26, 105 Reykjavík. Nánari upplýsingar um Samkeppniseftirlitið er að finna á vefsíðu stofnunarinnar, www.samkeppni.is.
Tilgangur vinnslu persónuupplýsinga
Samkeppniseftirlitið vinnur persónuupplýsingar í þeim tilgangi að sinna lögbundnu eftirlitshlutverki stofnunarinnar í samræmi við ákvæði samkeppnislaga. Helstu viðfangsefni Samkeppniseftirlitsins eru:
a) að framfylgja boðum og bönnum samkeppnislaga og eftir atvikum 53. og 54. gr. EES-samningsins og leyfa undanþágur samkvæmt samkeppnislögum,
b) að ákveða aðgerðir gegn samkeppnishamlandi hegðun fyrirtækja,
c) að gæta þess að aðgerðir opinberra aðila takmarki ekki samkeppni og benda stjórnvöldum á leiðir til að gera samkeppni virkari og auðvelda aðgang nýrra keppinauta að markaðnum,
d) að fylgjast með þróun á samkeppnis- og viðskiptaháttum á einstökum mörkuðum í íslensku viðskiptalífi og kanna stjórnunar- og eignatengsl á milli fyrirtækja.
Lögmæti vinnslu persónuupplýsinga
Samkeppniseftirlitið vinnur að meginstefnu til með ópersónugreinanlegar upplýsingar tengdar fyrirtækjum. Samkeppniseftirlitið býr þó yfir persónuupplýsingum þegar almenningur beinir ábendingum eða sendir inn erindi til eftirlitsins, t.a.m. nafn, heimilisfang, kennitala og netfang viðkomandi. Þá aflar Samkeppniseftirlitið sambærilegra persónuupplýsinga um m.a. stjórnendur og tengiliði fyrirtækja í tengslum við verkefni stofnunarinnar, ýmist frá einstökum fyrirtækjum, fyrirtækjahópum og samtökum fyrirtækja eða frá öðrum stjórnvöldum á grundvelli lagaskyldu eða lagaheimildar.
Vinnsla Samkeppniseftirlitsins á persónuupplýsingum er í flestum tilfellum á grundvelli 3. eða 5. tl. 9. gr. persónuverndarlaga, þ.e. á grundvelli lagaskyldu, almannahagsmuna eða beitingar opinbers valds. Eftir atvikum getur vinnslan þó byggst á 1. og 2. tl. 9. gr. laganna, þ.e. á grundvelli samþykkis eða samnings.
Miðlun persónuupplýsinga
Persónuupplýsingum getur verið miðlað innan Samkeppniseftirlitsins að því marki sem nauðsynlegt er vegna starfa eftirlitsins. Einnig getur persónuupplýsingum verið miðlað til annarra stjórnvalda á grundvelli lagaskyldu eða lagaheimildar. Þannig getur persónuupplýsingum t.a.m. verið miðlað til áfrýjunarnefndar samkeppnismála ef ákvarðanir Samkeppniseftirlitsins eru kærðar, eða til lögreglu í samræmi við samkeppnislög. Persónuupplýsingum getur jafnframt verið miðlað til dómstóla, svo sem ef aðili unir ekki úrskurði áfrýjunarnefndar og höfðar mál til ógildingar fyrir dómstólum, eða sem liður í lögbundnu réttarvörslu- eða eftirlitshlutverki Samkeppniseftirlitsins.
Einnig getur persónuupplýsingum verið miðlað til stofnana og samkeppnisyfirvalda innan EES í samræmi við samkeppnislög og í tengslum við samstarf á grundvelli EES samningsins og skyldur sem leiða af samningnum.
Persónuupplýsingum getur jafnframt verið miðlað til vinnsluaðila Samkeppniseftirlitsins og unnar þar frekar. Þá getur persónuupplýsingum verið miðlað til ráðgjafa og verktaka eftirlitsins til að aðstoða eftirlitið við að sinna lögbundnu hlutverki þess samkvæmt samkeppnislögum.
Samkeppniseftirlitið gætir að því í hvívetna að nauðsyn standi til að miðla persónuupplýsingum.
Geymslutími persónuupplýsinga
Samkeppniseftirlitið leggur áherslu á að geyma persónuupplýsingar ekki lengur en nauðsynlegt er miðað við tilgang vinnslu þegar lög kveða ekki á um lengri geymslutíma.
Samkeppniseftirlitið fellur undir gildissvið laga nr. 77/2014, um opinber skjalasöfn. Samkvæmt þeim lögum skal afhenda opinberu skjalasafni skjöl, þ. á m. skjöl sem innihalda persónuupplýsingar, þegar þau hafa náð 30 ára aldri.
Ekki er heimilt að eyða skjölum í skjalasöfnum aðila sem undir lögin falla nema með heimild þjóðskjalavarðar, reglum sem settar eru á grundvelli laga um opinber skjalasöfn eða samkvæmt sérstöku lagaákvæði.
Öryggi persónuupplýsinga
Samkeppniseftirlitið leggur ríka áherslu á að tryggja öryggi við vinnslu persónuupplýsinga. Samkeppniseftirlitið starfar í samræmi við ISO/IEC 27001:2013 staðalinn sem Staðlaráð Íslands hefur gefið út. Á grundvelli staðalsins hefur Samkeppniseftirlitið sett sér upplýsingaöryggisstefnu til að tryggja öryggi upplýsinga, upplýsingakerfa og samskiptakerfa. Samkeppniseftirlitið gerir kerfisbundið áhættumat til þess að ákveða hvort þörf sé á frekari ráðstöfunum varðandi tiltekin gögn eða upplýsingakerfi.
Rík þagnarskylda hvílir á starfsmönnum Samkeppniseftirlitsins samkvæmt 34. gr. samkeppnislaga. Sú þagnarskylda helst eftir starfslok. Einnig hvílir þagnarskylda á þeim sem vinna persónuupplýsingar fyrir hönd Samkeppniseftirlitsins.
Réttindi aðila samkvæmt persónuverndarlögum
Persónuverndarlögin veita skráðum einstaklingum ýmis réttindi í tengslum við persónuupplýsingar þeirra. Réttindin er að finna í III. kafla laganna.
Aðgangsréttur
Hinn skráði hefur rétt á að fá aðgang að öllum persónuupplýsingum sem ábyrgðaraðili vinnur um sig. Rétturinn sætir þó undantekningum sem tilteknar eru í lögunum.
Réttur til leiðréttingar
Hinn skráði hefur rétt á að láta ábyrgðaraðila leiðrétta rangar persónuupplýsingar um sig.
Réttur til eyðingar (rétturinn til að gleymast)
Skráður aðili á rétt á að ábyrgðaraðili eyði persónuupplýsingum um sig. Þessi réttur gildir þó ekki fullum fetum þegar um er að ræða afhendingarskyldan aðila samkvæmt lögum um opinber skjalasöfn, líkt og Samkeppniseftirlitið.
Réttur til takmörkunar á vinnslu
Hinn skráði á rétt á að ábyrgðaraðili takmarki vinnslu við ákveðnar aðstæður.
Réttur til að andmæla vinnslu
Hinum skráða er heimilt, vegna sérstakra aðstæðna sinna, að andmæla vinnslu persónuupplýsinga sem fer fram á grundvelli almannahagsmuna, beitingu opinbers valds eða lögmætra hagsmuna.
Réttur til að flytja eigin gögn
Hinn skráði á rétt á að persónuupplýsingar sem varða hann sjálfan séu sendar til annars ábyrgðaraðila að ákveðnum skilyrðum uppfylltum. Þetta á einungis við þegar vinnsla ábyrgðaraðila byggist á samþykki eða samningi, og á því að öllu jöfnu ekki við um vinnslu Samkeppniseftirlitsins á persónuupplýsingum.
Réttur til að senda kvörtun til Persónuverndar
Hinn skráði hefur ávallt rétt á því að leggja inn kvörtun hjá Persónuvernd vegna vinnslu persónuupplýsinga hjá ábyrgðaraðila.
Frekari upplýsingar um réttindi má finna á vefsíðu Persónuverndar, www.personuvernd.is.
Vefsíða Samkeppniseftirlitsins
Vefsíða
Samkeppniseftirlitsins safnar ekki sjálfkrafa neinum persónurekjanlegum gögnum
um notkun og notendur. Umferð um vefsvæðið er mæld með Google Analytics, en þær
upplýsingar eru ekki persónurekjanlegar, heldur eru þær eingöngu til að mæla
umferð á vefnum.
Þegar send er inn ábending eða fyrirspurn í gegnum vefinn er óskað eftir nafni
og netfangi, en þær upplýsingar eru nauðsynlegar til að Samkeppniseftirlitið
geti svarað fyrirspurninni. Upplýsingarnar eru ekki geymdar í vefkerfi
þjónustuaðila og þar fer ekki fram nein frekari söfnun eða úrvinnsla gagna.
Persónuverndarfulltrúi
Samkeppniseftirlitið hefur skipað persónuverndarfulltrúa sem hefur það hlutverk að fylgjast með því að farið sé að lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, ákvæðum reglugerðar ESB nr. 2016/679 og eftir atvikum öðrum lögum er varða meðferð persónuupplýsinga.
Persónuverndarfulltrúinn er tengiliður Samkeppniseftirlitsins við Persónuvernd.
Hægt er að hafa samband við persónuverndarfulltrúann með því að senda tölvupóst á netfangið personuvernd@samkeppni.is.
Síðast uppfært 1. nóvember 2019