Öll meðferð OR á persónuupplýsingum lýtur lögum um persónuvernd og vinnslu persónuupplýsinga og reglum sem settar eru samkvæmt þeim. OR gætir þess að öll vinnsla persónuupplýsinga innan fyrirtækisins sé í samræmi við framangreind lög og tryggir að vinnsluaðilar sem fá aðgang að persónuupplýsingum fylgi þeim einnig.
OR upplýsa einstaklinga um þá vinnslu persónuupplýsinga sem á sér stað á vegum fyrirtækisins og í hvaða tilgangi hún er unnin. OR tryggir að vinnsla fari ekki fram í öðrum tilgangi en upplýst hefur verið um nema með fullri vitneskju og eftir atvikum með samþykki hlutaðeigandi.
Einstaklingar geta óskað upplýsinga um vinnslu sem á sér stað hjá OR og varðar þá sjálfa. Þeir geta andmælt henni telji þeir að hún samræmist ekki gildandi lögum og reglum og eftir atvikum krafist þess að röngum, villandi eða ófullkomnum persónuupplýsingum um sig verði eytt.
1. Almennt um verkefnið Hlöðum betur
Orkuveita Reykjavíkur ásamt dótturfélögum sínum ON og Veitum fer nú af stað með rannsóknarverkefni þar sem neytendur á veitusvæði Veitna munu taka þátt, alls 150 talsins. Reynt verður að hafa áhrif á hleðsluhegðun þátttakendanna með það að markmiði að hvetja þá til að hlaða betur. Það þýðir að færa hleðsluna yfir á tíma sem er hentugri fyrir kerfið eða uppfylla sömu hleðsluþarfir á annan hátt.
Í þessu afmarkaða rannsóknarverkefni munu þátttakendur nota snjalla hleðslustöð frá ON og snjallmæli frá Veitum. Með því að nota gögn úr þessum mælitækjum ásamt upplýsingum sem þátttakendur veita verður ýmiss konar álagsstýringaraðferðum beitt. Með öðrum orðum þýðir þetta að þátttakendur munu vera á annarri gjaldskrá en venjulegir viðskiptavinir á meðan verkefninu stendur. Breytingarnar munu bæði gilda fyrir verðskrá ON og Veitna. Allar almennar upplýsingar sem viðskiptavinir þessara tveggja fyrirtækja veita í venjulegum kringumstæðum, þ.e.a.s. ON og OR, verður safnað en aukalega verða sótt notkunargögn úr hleðslustöð og snjallmæli en líka upplýsingar úr skráningarformi og könnunum sem þátttakendur þurfa að fylla út á meðan verkefninu stendur. Þátttakendur geta hætt í rannsókninni á hvaða tímapunkti sem er og þá verða öll gögn sem tilheyra honum gerð ópersónugreinanleg.
Á meðan verkefninu stendur verða þessi gögn og upplýsingar notaðar til þess að rannsaka hvernig hægt er að álagsstýra rafbílahleðslu og nýta dreifikerfi rafmagns betur. Þetta er gert með því að taka eiginleika hvers þátttakenda inn í reikninginn, til dæmis hvernig rafbíll er á heimilinu, hversu mikil orkunotkun er á heimilinu og hvaða stór raftæki eru mikið notuð. Síðan er hleðsla hvers þátttakanda og orkunotkun heimilis einnig tekin inn í ferlið við álagsstýringuna.
Niðurstöðurnar verkefnisins munu hins vegar byggja á hegðun og niðurstöðum allra þátttakendanna í heild sinni. Engin persónugreinanleg gögn munu vera birt öðrum á meðan eða eftir að rannsókninni lýkur. Ópersónugreinanleg notkunargögn úr hleðslustöðvum og snjallmælum þátttakenda verða birt á opnu vefsvæði. Fyrstu niðurstöður verkefnisins verða kynntar eftir helming verkefnatímans, í lok árs 2022 en loka niðurstöður verða tilkynntar í lok árs 2023. Niðurstöðurnar úr verkefninu verða öllum aðgengilegar og geta nýst öðrum aðilum á orkumarkaði við greiningar og þróun kerfa. Með því er tryggt að lærdómurinn og reynslan úr þessu verkefni haldi áfram í að gera orkuskiptin hagkvæmari og betri.
Á milli OR/dótturfélaga og þátttakandanna er samningssamband um veitingu á vöru og eða þjónustu. Svo unnt sé að veita og afhenda hana þarf að afla, skrá, vista og vinna persónuupplýsingar um þátttakendur svo framangreindir aðilar geti uppfyllt skyldur sínar gagnvart viðkomandi þátttakanda. Ekki er um vinnslu viðkvæmra persónuupplýsinga að ræða.
Gagnvart þátttakanda ábyrgist OR að öll vinnsla persónuupplýsinga af hálfu fyrirtækisins samræmist persónuverndarstefnu OR, lögum um persónuvernd og vinnslu persónuupplýsinga og reglum sem settar eru samkvæmt þeim. Í skjali þessu sem sett er til fyllingar stefnunni er að finna upplýsingar og fræðslu um þau atriði sem OR ber að veita vegna öflunar og vinnslu persónuupplýsinga um þátttakendur.
2. Tilgangur vinnslu persónuupplýsinga um þátttakendur
OR safnar og vinnur tilgreindar persónuupplýsingar um þátttakendur út frá samþykki þeirra í rannsóknarskyni á meðan verkefninu stendur. Upplýsingarnar og gögnin verða notuð til þess að vinna greiningar í því markmiði að svara þeim spurningum sem rannsóknin leggur upp með að svara. Einnig munu gögnin koma til með að verða notuð áfram eftir að verkefninu lýkur til þess að kortleggja áhrif hleðsluafls á dreifikerfi rafmagns.
OR ábyrgist að persónuupplýsingar um þátttakendur verði ekki notaðar í öðrum tilgangi en þeim sem afmarkaður er hér að framan nema með fullri vitneskju og eða samþykki þátttakanda.
3. Á hvaða heimild byggir vinnsla persónuupplýsinga um þátttakendur
Vinnsla persónuupplýsinga um þátttakanda er einkum nauðsynleg vegna framkvæmdar á samningi milli OR og viðkomandi einstaklings um veitingu fyrirtækisins á vöru og eða þjónustu. Að auki kann einhver vinnsla að byggjast á lögum, t.a.m. lögum um opinber skjalasöfn nr. 77/2014, lögum um bókhald nr. 145/1994 og lögum um ársreikninga nr. 3/2006.
Þar sem samþykki er grundvöllur vinnslu persónuupplýsinga um þátttakendur, gilda um það sérstakir skilmálar sem þátttakandi hefur undirgengist þegar hann veitti samþykkið. Slíkum skilmálum verður ekki breytt nema að fengnu samþykki þátttakanda.
Umsókn um þátttöku í verkefninu og þátttakan sjálf byggir á samþykki umsækjenda á vinnslu og öflun þeirra gagna sem tilgreind eru í þessari greinargerð. Á hvaða tímapunkti sem er geta umsækjendur og einnig þeir sem verða þátttakendur í verkefninu afturkallað þetta samþykki og þar með hætt þátttöku í verkefninu. Ef að rannsóknin er hafin þegar samþykki er afturkallað þá þarf þátttakandi að skila hleðslustöðinni við brotthvarf úr verkefninu. Hætti þátttakandi viðskiptum við Veitur og eða ON uppfyllir viðkomandi ekki lengur skilyrði til þátttöku í verkefninu og verður vinnslu persónuupplýsinga um viðkomandi þar með hætt frá og með þeim tíma.
Hafa þarf í huga að OR samstæðan er í eigu opinberra aðila og lýtur hún því lögum um opinber skjalasöfn og ber því varðveislu- og skilaskyldu samkvæmt þeim. Þess vegna verður ekki hægt að eyða persónuupplýsingum og gögnum umsækjanda og eða þátttakanda og mögulega verður unnið með þau áfram. Þau verða þó alltaf gerð ópersónugreinanleg. Þetta er hægt að lesa betur um í lið 7.
4. Tegund persónuupplýsinga sem unnið er með
OR safnar og vinnur einkum úr eftirfarandi upplýsingum um þátttakendur:
Um umsækjendur sem verða á endanum ekki þátttakendur gilda atriði a. - i. en um þátttakendur gilda öll framangreind atriði.
Þegar þátttakendur eiga í samskiptum við OR á samfélagsmiðlum, t.d. skilar þar álestri eða öðrum upplýsingum, gilda reglur viðkomandi miðils um vernd og vistun persónuupplýsinga. Þar sem við á færir OR viðkomandi samskipti / upplýsingar yfir í sín kerfi og fer þar um vernd og vistun þeirra skv. persónuverndarstefnu OR og reglum settum til innleiðingar á henni.
5. Vafrakökur
OR safnar upplýsingum með notkun á vafrakökum. Vafrakökur eru litlar textaskrár sem geymdar eru á vafra notenda. Við notum vafrakökur á vefsíðu okkar til að auðkenna notendur. Notkun á vafrakökum gerir okkur því kleift að veita notendum betri upplifun og stuðla að frekari þróun vefsíðunnar.
OR styðst við ýmsar tegundir vafrakakna á vefsíðu sinni, en þær er í fyrsta lagi nauðsynlegar vafrakökur sem tryggja rétta virkni vefsíðunnar. Í öðru og þriðja lagi tölfræði- og stillingavafrakökur sem safna nafnlausum tölfræðiupplýsingum og muna stillingar notenda á vefsíðunni og í fjórða lagi vafrakökur sem notaðar eru í markaðslegum tilgangi, en þær safna upplýsingum um virkni notenda í þeim tilgangi að sníða auglýsingar og annað efni að hverjum notanda.
Fyrir nánari upplýsingar um vinnslu persónuupplýsinga hjá OR með vafrakökum vísast til fræðslu um vafrakökur á vefsíðu fyrirtækisins.
6. Viðtakendur persónuupplýsinga um þátttakendur
Upplýsingar um þátttakendur eru vistaðar hjá OR eða á vegum fyrirtækisins á Íslandi eða hjá samstarfsaðila innan EES-svæðisins þar sem reglur um meðferð persónuupplýsinga eru þær sömu og á Íslandi. Ópersónugreinanlegar niðurstöður og gögn úr verkefninu verða birt opinberlega á opnu vefsvæði með það að markmiði að þau nýtist öðrum aðilum á hleðslumarkaði og í þágu orkuskipta í samgöngum. Persónuupplýsingar verða ekki afhentar þriðja aðila nema á grundvelli lagaheimildar, stjórnvaldsfyrirmæla, dómsúrskurðar, vinnslusamnings eða samþykkis þátttakanda.
7. Varðveislutími - Hversu lengi persónuupplýsingar um þátttakendur eru varðveittar
OR vistar persónuupplýsingar um þátttakendur í þann tíma sem lög gera ráð fyrir og nauðsynlegt er m.v. tilgang vinnslunnar. Þar sem OR er í eigu opinberra aðila lýtur fyrirtækið lögum um opinber skjalasöfn og ber því varðveislu- og skilaskyldu samkvæmt þeim. Eru fyrirtækinu því ákveðnar hömlur settar hvað eyðingu gagna varðar. Þeim gögnum sem heimild stendur til að eytt verði skv. sérstöku leyfi Borgarskjalasafns verður eytt í samræmi við veitta heimild hverju sinni.
8. Réttur þátttakenda til andmæla, til aðgangs, leiðréttingar og eyðingar/takmörkunar vinnslu
Þátttakandi hefur rétt til að andmæla söfnun OR á persónuupplýsingum telji hann að hún samræmist ekki tilgangi hennar, meðalhófs sé ekki gætt eða ef hann telur að ná megi sama tilgangi með vægari hætti.
Þátttakandi getur óskað eftir því að fá upplýsingar um þá vinnslu sem á sér stað hjá OR um hann enda standi hagsmunir annarra ekki í vegi fyrir því. Beiðni þar um skal afgreidd eins fljótt og auðið er og ekki síðar en innan mánaðar frá móttöku beiðni þátttakanda þar um.
Þátttakandi á rétt á því að sjá hvaða gögnum er safnað á meðan verkefninu stendur og mun geta krafist þess að þeim verði eytt eða gerð ópersónugeranleg ef að þátttakandi hættir í rannsókninni áður en henni er lokið. Öllum þáttakendum mun vera kleift að skoða sín eigin gögn úr hleðslustöð og snjallmæli í gegnum vefviðmót og þar með sjá hvaða gögnum er verið að safna.
Þátttakandi kann að eiga rétt á að krefjast þess að röngum, villandi eða ófullkomnum persónuupplýsingum um sig verði leiðréttar og eða þeim eytt.
9. Réttur þátttakanda til að leggja fram kvörtun og athugasemdir
Vilji þátttakandi koma andmælum, kvörtun eða athugasemdum á framfæri vegna vinnslu persónuupplýsinga skal henni beint að OR og tölvupóstfangi verkefnisins, hlodumbetur@or.is. Sé ekki brugðist við af hálfu viðkomandi einingar getur þátttakandi leitað til persónuverndarfulltrúa samstæðu OR, personuverndarfulltrui@or.is (sjá nánar hér að neðan).
Þátttakendum er einnig heimilt að bera vinnslu persónuupplýsinga undir Persónuvernd (www.personuvernd.is)
10. Nákvæmni og áreiðanleiki upplýsinga
OR ber ábyrgð á áreiðanleika upplýsinga og að upplýsingar um þátttakanda séu ávallt uppfærðar í samræmi við tilkynningar hans um breytingar og að teknu tilliti til tilgangs vinnslunnar.
Þátttakandi ber ábyrgð á að upplýsa OR um breytingar sem gera þarf á upplýsingum um hann.
11. Öryggi persónuupplýsinga um þátttakendur
OR tryggir öryggi persónuupplýsinga með tæknilegum og skipulagslegum ráðstöfunum. Um þær ráðstafanir er fjallað nánar í upplýsingaöryggisstefnu OR og viðeigandi leiðbeiningaskjölum í rekstrarhandbók OR.
Aðgangur að persónuupplýsingum um þátttakendur er takmarkaður við það starfsfólk sem nauðsynlega þarf slíkan aðgang til að ná fram tilgangi vinnslunnar. Starfsfólk er upplýst og meðvitað um skyldu þeirra til að viðhalda trúnaði og öryggi persónuupplýsinga sem þeir hafa aðgang að. Trúnaður og þagnarskylda þeirra gildir áfram þótt látið sé af störfum.
Að öðru leyti en kveðið er á um hér að framan fer um meðferð persónuupplýsinga um starfsfólk skv. lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, og ráðstöfunum sem innleiddar eru af hálfu OR á grundvelli þeirra.
Persónuverndarfulltrúi OR er Hörður Helgi Helgason, lögmaður á Landslögum, Borgartúni 26, 105 Reykjavík. Sími 520-2900, personuverndarfulltrui@or.is.