PERSÓNUVERNDARSTEFNA

Læknisfræðileg myndgreining ehf, rekstraraðili Röntgen Domus, (LM) vinnur með viðkvæm persónugreinanleg gögn um sjúklinga og starfsmenn og vistar í upplýsingakerfum sínum. Félagið hefur sett sér persónuverndarstefnu sem er birt hér á vef fyrirtækisins.

Þeim einstaklingum sem óska eftir upplýsingum um vinnslu persónuupplýsinga um sig á grundvelli laga nr. 90/2018, gefst kostur á að leita til afgreiðslu félagsins, Egilsgötu 3, 101 Reykjavík. Þar má nálgast eyðublöð með beiðni um aðgang að eigin upplýsingum. Gerð er krafa um að viðkomandi einstaklingur sýni fullgild persónuskilríki með mynd um leið og upplýsingabeiðni er skilað, til að tryggja örugga auðkenningu.

Ekki er tekið við beiðnum um upplýsingar um vinnslu persónuupplýsinga í gegnum síma eða með tölvupósti, því slíkir samskiptamiðlar uppfylla ekki persónuverndarkröfur. Einstaklingar eru hvattir til þess að senda aldrei viðkvæmar persónuupplýsingar um sig með tölvupósti.

Pósthólf persónuverndarfulltrúa er: personuvernd@rd.is

1. Inngangur

Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til einstaklings. Öll vinnsla félagsins á persónuupplýsingum fer fram í samræmi við lög um persónuvernd nr. 90/2018 og almennu persónuverndarreglugerðina (ESB) 2016/679. Vinnsla með persónuupplýsingar sem flokkast sem heilbrigðisupplýsingar er um margt frábrugðin annars konar vinnslu persónuupplýsinga, m.a. hvað varðar hagsmuni hinna skráðu. Af þeim sökum er að finna mörg sérákvæði um slíka vinnslu í persónuverndarlögum sem taka mark af hinu sérstaka eðli vinnslunnar. Persónuverndarstefna félagsins tekur mið af þessari sérstöðu. Í henni er að finna lýsingu á því hvaða persónuupplýsingum félagið safnar og vinnur með, hvers vegna, hve lengi megi ætla að upplýsingarnar verði geymdar og með hvaða hætti sé gætt að öryggi þeirra.

2. Tegundir persónuupplýsinga sem unnið er með.

Félagið notast við gögn sem veitt eru af viðskiptavinum í þjónustu við þá. Um er að ræða bæði persónuupplýsingar og viðkvæmar persónuupplýsingar þ.m.t. heilbrigðisupplýsingar sem skv. lögum skal vinna með sérstakri varúð.

Á félaginu hvílir einnig lagaskylda sem almennt hvílir á öllum íslenskum rekstraraðilum sem vinna ákveðin persónugreinanleg gögn, t.d. vegna starfsmannahalds og ákvæða bókhalds- og skattalaga.

3. Tilgangur og heimildir fyrir vinnslu persónuupplýsinga. 

Tilgangur félagsins og heimild til vinnslu persónuupplýsinga er sótt í 5. og 6. gr. pvrg. en sérstök heimild til vinnslu viðkvæmra persónuupplýsinga vegna meðferðar á sviði heilbrigðis- eða félagsþjónustu er í h-lið, 2. mgr. 9. gr. pvrg. Ef upplýsinga er aflað frá öðrum en viðkomandi einstaklingum sjálfum er það gert í samræmi við heimildir laga. Félagið notar persónuupplýsingar um viðskiptavini eingöngu í þeim tilgangi sem viðskiptavinir voru upplýstir um við söfnun þeirra. Ef félagið telur sig þurfa að nota upplýsingarnar í öðrum og óskyldum tilgangi þá verða hinir skráðu upplýstir um það og á hvaða lagagrundvelli félagið telur slíka notkun heimila.

4. Hversu lengi geymum við gögnin? 

Almennar upplýsingar um viðskiptavini eru varðveittar í 1 ár frá lokum viðskipta nema ef um er að ræða upplýsingar sem falla undir lög eða reglugerðir þ.m.t. um sjúkraskrár. Sé um að ræða upplýsingar sem falla undir bókhaldslög eru þær varðveittar í 7 ár frá lokum viðkomandi reikningsárs.

5. Hvert er persónuupplýsingum miðlað? 

Félagið miðlar ekki persónuupplýsingum eða persónugreinanlegum gögnum til annarra aðila nema með samþykki hins skráða eða skv. heimild í h-lið, 2. mgr. 9. gr. pvrg.

6. Hvernig tryggjum við öryggi persónuupplýsinga? 

Félagið leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Öll gögn og vinnuferli eru varin þannig að einungis þeir sem hafa heimildir til að vinna með gögnin, geta séð þau og/eða breytt. Aðrir geta ekki skoðað gögnin. LM er með skilgreinda gildandi öryggisstefnu vegna upplýsingaöryggis. Allar uppflettingar í sjúkraskrár eru skráðar og rekjanlegar.

7. Vefur RD.IS

LM notar Google Analytics mælitæki til þess að greina umferð um upplýsingavefinn. Það er gert til þess að geta gert hann enn betri og leggja áherslu á þær upplýsingar sem fólk leitar helst að. Upplýsingarnar eru ekki persónugreinanlegar og eru ekki notaðar í markaðslegum tilgangi af LM.

VAFRAKÖKUR SEM ERU VISTAÐAR OG LÍFTÍMI ÞEIRRA

WORDPRESS

rd.is keyrir á vefumsjónarkerfinu WordPress, kerfi sem er forritað í forritunarmálinu PHP. PHP er forritunarmál sem er notað til að búa til gagnvirkar vefsíður.

  • PHPSESSID – PHPSESSID vafrakakan er innbyggð í PHP og gerir vefsíðum kleift að geyma raðbundin gögn. PHPSESSID er notað til að koma á notendalotu og til að miðla stöðu gagna í gengnum  og til að koma gögnum yfir ástand í gegnum tímabundna vafraköku, sem venjulega er nefn lotukaka „session cookie“. (Þessi vafrakaka rennur út þegar þú lokar vafranum þínum).

GOOGLE ANALYTICS

Google Analytics stillir eftirfarandi vafrakökur:

  • _ga – Ákvarðar fjölda einstaka gesta á vefnum (rennur út eftir 2 ár)
  • _gid – Ákvarðar fjölda einstaka gesta á vefnum (rennur út eftir 2 ár)
  • _gat – Notaðar til að takmarka fjölda fyrirspurna fyrir Google Analytics (rennur út eftir 1 mínútu)
  • NID – Notuð af Google til að geyma upplýsingar um stillingar á t.d. tungumál.

GDPR COOKIE CONSENT

rd.is notar WordPress viðbótina GDPR Cookie Consent til að upplýsa notendur vefsins um vafrakökunotkun og gera þeim kleift að stýra hvernig henni er háttað.

  • cookielawinfo-checkbox-non-necessary – Notað til að halda utan um stillingar notenda á vafrakökustillingum (rennur út eftir 1 ár)
  • cookielawinfo-checkbox-necessary – Notað til að halda utan um stillingar notenda á vafrakökustillingum (rennur út eftir 1 ár)

8. Réttur einstaklinga. 

Einstaklingur á rétt á að að fá upplýsingar um hvaða persónuupplýsingar eru unnar um hann innan þeirra marka og með þeim takmörkunum sem persónuverndarlög tilgreina, auk þess sem persónuverndarlög veita skráðum einstaklingum margháttuð réttindi sem varða meðferð á persónuupplýsingum um þá. Einnig eiga viðskiptavinir sem veitt hafa upplýst samþykki rétt á að draga til baka samþykki hvenær sem er og án sérstakra skýringa og verður þá persónuupplýsingum um þá eytt, nema þeim sem bera að halda skv. lögum. Þá hefur einstaklingur rétt á að leggja fram kvörtun til Persónuverndar ef þeir telja að ekki hafi verið fylgt ákvæðum persónuverndarlaga um meðferð á persónuupplýsingum. Nánari upplýsingar má finna á vefsíðu Persónuverndar, personuvernd.is

9. Hvernig uppfærum við eða breytum persónuverndarstefnunni? 

Félagið getur breytt þessari persónuverndarstefnu og bætt við hana hvenær sem er og taka slíkar breytingar gildi án fyrirvara. Slíkar breytingar kunna t.d. að vera gerðar til að samræma persónuverndarstefnuna við gildandi lög og reglur er varða persónuvernd hverju sinni. Allar breytingar á stefnunni verða birtar á vefsíðunni: rd.is

Persónuverndarstefna þessi tók gildi 4. nóvember 2020.