Um verkefnið og tilgang þess:
Rannsókn þessi ber heitið “Identity Management in PUbLic Services” (hér eftir “IMPULSE” eða “verkefnið”) og er Reykjavíkurborg ábyrgðaraðili þess á Íslandi í samstarfi við TREE TECHNOLOGY S.A.
Ábyrgðaraðilar skuldbinda sig til að virða öryggi og friðhelgi persónuupplýsinga sem unnið er með í rannsókn þessari, og viðhafa lögbundið gagnsæi varðandi gerð þeirra gagna sem er safnað og hvernig þau eru meðhöndluð samkvæmt ákvæðum laga um meðferð og vinnslu persónuupplýsinga nr. 90/2018 og Reglugerð (ESB) nr. 2016/679 (GDPR).
IMPULSE er rannsókn til 36 mánaða unnin á grundvelli Horizon 2020 áætlun Evrópusambandsins. Verkefnið er samansett af 16 evrópskum samstarfsaðilum (hér eftir nefndur “starfshópurinn”) og eru meginmarkmiðin þessi:
(1) Að skilja umfang núgildandi rafrænna auðkenningarlausna (eID) í mismunandi Evrópulöndum. eID vísar til þeirra aðferða sem einstaklingur sýnir fram á auðkenni sitt rafrænt til aðgengis að þjónustum á Netinu.
(2) Meta upptöku og áhrif eID lausnar sem byggjast á gervigreind (AI) og bálkakeðjum (BK). AI og BK eru tvær mismunandi gerðir tækni sem talið er að auki öryggi og áreiðanleika rafrænna auðkenninga.
Til að ná þessum rannsóknarmarkmiðum mun starfshópurinn fara fyrir 6 rannsóknartilraunum í eftirfarandi löndum: Búlgaríu, Danmörku, Íslandi, Ítalíu og Spáni. Hver tilraun verður hönnuð með hliðsjón af spurningalistum, viðtölum og vinnustofum. Sem hluti af þessari vinnu verkefnisins, er starfshópurinn nú að undirbúa rannsóknartilraunirnar. Starfshópurinn biðlar til sjálfboðaliða í því skyni að þeir aðstoði við þann hluta verkefnisins sem snýr að vélaþjálfun og vélnámi, þ.e. við söfnun sýna (ljósmynda) af skilríkjum í þeim löndum þar sem tilraunirnar munu fara fram (Ítalíu, Spáni, Búlgaríu, Íslandi og Danmörku).
Vinnsla persónuupplýsinga takmarkast við það sem þykir nauðsynlegt til að framkvæma allt það sem viðkemur undirbúningi tilraunanna innan verkefnisins. Öll vinnsla persónuupplýsinga umfram það sem lýst hefur verið að framan mun ekki fara fram án fyrirfram öflunar samþykkis af hálfu þátttakenda.
Ábyrgðaraðili:
Ábyrgðaraðili vinnslu persónuupplýsinga á Íslandi er TREE TECHNOLOGY S.A. í samvinnu við Reykjavíkurborg.
Flokkar persónuupplýsinga og vinnsluheimild vegna vinnslu:
Þær upplýsingar sem þátttakendur veita í tengslum við rannsóknina eru upplýsingar sem fram koma í vegabréfum (t.d. ljósmynd, nafn, kennitala, fæðingarland, hæð í sentímetrum, númer vegabréfs, undirskrift) auk netfangs. Framangreindar persónuupplýsingar teljast ekki til viðkvæmra persónuupplýsinga.
Aðeins verður unnið með persónuupplýsingar sem veittar eru af hendi þátttakenda af fúsum og frjálsum vilja á grundvelli samþykkis, sbr. 1. tl. 1. mgr. 9. gr. persónuverndarlaga nr. 90/2018 og a-liður 1. mgr. 6. gr. reglugerðar (ESB) nr. 2016/679 (GDPR).
Vakin er athygli á því að ábyrgðaraðilum ber skylda til að vista gögn í tengslum við framkvæmd verkefnisins á grundvelli skjölunarskyldu opinberra aðila. Þannig hefur Reykjavíkurborg skyldu til að afhenda Borgarskjalasafni gögn sem verða til í tengslum við verkefnið á grundvelli laga nr. 77/2014. TREE TECHNOLOGY SA er jafnframt skylt að varðveita gögn vegna verkefnisins í því skyni að sinna lagalegum skyldum sínum, t.d. vegna bókhalds og varðveislu gagna, sbr. 3. mgr. 9. gr. persónuverndarlaga nr. 90/2018 og c-liður 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 (GDPR).
Miðlun persónuupplýsinga:
Ábyrgðaraðilar kunna að miðla persónugreinanlegum upplýsingum sín á milli sem og til þeirra stofnana sem taka þátt í verkefninu. Þá kann ábyrgðaraðilum að vera skylt að miðla persónuupplýsingum sem verða til í tengslum við verkefnið til stjórnvalda sem eiga rétt á afhendingu þeirra á grundvelli laga.
Flutningur persónuupplýsinga til þriðju landa:
Starfshópurinn mun ekki flytja gögn til þriðju landa, þ.e til ríkja utan Evrópska efnahagssvæðisins. Þessi þáttur er þó háður stöðugu eftirliti og uppfærslum. Verði gerðar breytingar á vinnsluaðferðum að þessu leyti verða þátttakendur upplýstir um slíkt. Réttur þátttakenda til þess að andmæla eða neita ábyrgðaraðila um slíkan flutning verður virtur í samræmi við ákvæði persónuverndarlaga nr. 90/2018.
Varðveisla gagna og gagnaöryggi:
Persónuupplýsingar sem unnar eru samkvæmt tilgreindum tilgangi með vinnslu gagnanna verða varðveittar í þann tíma sem er nauðsynlegur til að ná fram þeim tilgangi. Ábyrgðaraðar munu hvor um sig ýmist varðveita persónuupplýsingar í tólf mánuði eftir að þátttöku lýkur, að tólf mánuðum liðnum eftir að starfshópurinn hefur síðast samband við þátttakendur, eða þegar lögmætum varðveislutíma lýkur, hvert svo sem hefur lengstan gildistíma með gildandi fresti til fyrningar þar á eftir.
Ábyrgðaraðilar munu gera ýtrustu kröfur til öryggisráðstafana sem verða viðhafðar í tengslum við framkvæmd verkefnisins í því skyni að tryggja öryggi og vernd persónuupplýsinga.
Réttindi skráðra þátttakenda:
Afturkalla má samþykki vegna þátttöku í rannsóknarverkefninu með því að senda tölvupóst á netfangið: javier.gutierrez[hjá] treetk.com eða kristrun.gunnarsdottir[hjá]reykjavik.is. Athuga skal að afturköllun samþykkis hefur ekki áhrif á lögmæti samþykkis fram að afturkölluninni.
Jafnframt er þátttakendum unnt að óska eftir aðgangi að persónuupplýsingum um sig sem unnar eru í tengslum við verkefnið, láta leiðrétta þær, láta takmarka vinnslu þeirra, flytja þær sem og eyða þeim, ef við á. Um eyðingu persónuupplýsinga af hálfu Reykjavíkurborgar fer samkvæmt lögum um opinber skjalasöfn nr. 77/2014.
Einnig er unnt að leita til persónuverndarfulltrúa í gegnum netfangið personuverndarfulltrui [hja] reykjavik.is, til dæmis ef þú hefur athugasemdir, spurningar eða áhyggjur, eða ef þú vilt leggja fram kvörtun vegna söfnunar og notkunar persónuupplýsinga af hálfu ábyrgðaraðila. Þátttakendum er einnig bent á að hægt er að leggja inn kvörtun til Persónuverndar vegna vinnslu persónuupplýsinga.
Breytingar:
Þátttakendum verður tilkynnt um breytingar á skilmálum vegna vinnslu persónuupplýsinga með tölvupósti eftir því sem við á. Skilmálar og fræðsla voru síðast uppfærð þann 8. nóvember 2021.
