Upplýsingaöryggisstefna

Upplýsingaöryggisstefna 

KFC ehf.

Tilgangur

Samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 ber KFC að tryggja viðunandi öryggi persónuupplýsinga. Upplýsingaöryggisstefna þessi lýsir áherslum fyrirtækisins á upplýsingaöryggi og öruggri meðferð gagna og upplýsinga í vörslu og eigu þess. Verja þarf persónuupplýsingar hjá KFC fyrir öllum ógnum, bæði innri og ytri, og gildir einu hvort þær ógnanir stafi af ásetningi eða gáleysi. Með þessari stefnu geta starfsmenn, viðskiptavinir og aðrir treyst ásetningi KFC til að standa vörð um öryggi persónuupplýsinga, m.t.t. til leyndar, réttleika og tiltækileika. 

Umfang

Upplýsingaöryggisstefna þessi nær til umgengni og vistunar allra persónuupplýsinga í vörslu KFC. Hún tekur til innri starfsemi fyrirtækisins og þeirrar þjónustu sem KFC veitir viðskiptavinum sínum, þ.m.t. allra innri kerfa, hug- og vélbúnaðar í eigu og undir fullri stjórn KFC. Jafnframt tekur hún til húsnæðis þar sem persónuupplýsingar eru meðhöndlaðar, starfsmanna og samningsbundinna aðila sem aðgang hafa að upplýsingunum.

Stefna KFC í upplýsingaöryggismálum er bindandi fyrir alla starfsmenn og nær til allra þjónustuaðila sem veita fyrirtækinu þjónustu.

Markmið

Markmið KFC með upplýsingaöryggisstefnu þessari er að:

● Persónuupplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimild hafa.

● Leynd persónuupplýsinga og trúnaði sé viðhaldið í samræmi við lög og reglur þar að lútandi.

● Persónuupplýsingar séu varðar gegn skemmdum, eyðingu eða uppljóstrun, án tillits til þess hvort það komi til vegna ásetnings eða gáleysis.

● Persónuupplýsingar sem fara um kerfi fyrirtækisins komist til rétts viðtakanda, óskaddaðar og á réttum tíma.

● Að áhætta sem fylgir því að vinna með persónuupplýsingar sé innan skilgreindra áhættumarka.

● Að fylgja öllum lögum, reglugerðum og almennum reglum sem varða meðferð persónuupplýsinga.

● Fylgja öllum samningum sem KFC er aðili að og varða vernd persónuupplýsinga.

● Að frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.

● Unnið sé að stöðugum umbótum þegar kemur að upplýsingaöryggi.

Leiðir að markmiði

Leiðir KFC að framangreindum markmiðum eru að:

● Halda skrár yfir upplýsingaeignir þar sem finna má persónuupplýsingar, hvort sem þær eru á rafrænu formi eða á pappír, og flokka þær eftir eðli og mikilvægi leyndar.

● Greina reglulega, með formlegu áhættumati og innri úttektum, þá áhættu sem vinnsla persónuupplýsinga getur haft í för með sér fyrir einstaklinga. Einnig til þess að ákveða hvort frekari aðgerða sé þörf og meta tækifæri til stöðugra umbóta. 

● Framkvæma mat á áhrifum á persónuvernd ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir frelsi og réttindi einstaklinga, svo sem þegar til stendur að taka ný kerfi í notkun sem hýsa eða vinna persónuupplýsingar að öðru leyti.

● Allir starfsmenn fái reglulega fræðslu varðandi öryggi persónuupplýsinga og um þá ábyrgð sem á þeim hvílir.

● Starfsmenn og þjónustuaðilar eru hvattir til að tilkynna upplýsingaöryggisatvik og -frávik sem upp koma í þeim tilgangi að stuðla sífellt að stöðugum umbótum.

● Starfsmönnum og þjónustuaðilum, núverandi og fyrrverandi, er óheimilt að veita upplýsingar um innri mál fyrirtækisins, ytri aðila eða annarra starfsmanna.

● Tryggja að afrit af persónuupplýsingum sé til og varðveitt á öruggan hátt.

● Persónuverndarfulltrúi veitir ráðgjöf á sviði upplýsingaöryggis- og persónuverndarmála eftir því sem kveðið er á um í lögum um persónuvernd og vinnslu persónuupplýsinga.

Ábyrgð

● Stjórn KFC ber ábyrgð á þessari upplýsingaöryggisstefnu.

● Umsjónarmaður öryggismála sér um daglega stjórnun upplýsingaöryggis.

● Persónuverndarfulltrúi skal sjá til þess að starfsfólk hljóti viðeigandi fræðslu um öryggi persónuupplýsinga.

● Öllum starfsmönnum KFC ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi. Þeir sem ógna upplýsingaöryggi KFC af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir.

● Allir starfsmenn KFC eru skuldbundnir til að vernda gögn og upplýsingakerfi gegn óheimilum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu, tapi eða flutningi.

Endurskoðun

Þessa stefnu skal endurskoða árlega og oftar ef þörf krefur til að tryggja að hún samrýmist markmiðum KFC

Samþykki

Samþykkt af stjórn KFC þann 23.apríl.2025.