Hvað eru persónuupplýsingar?
Persónuupplýsingar í skilningi þessarar stefnu eru hvers kyns upplýsingar um einstaklinga sem hægt er að rekja beint eða óbeint til viðkomandi einstaklings. Ópersónugreinanleg gögn teljast ekki til persónuupplýsinga.
Eðli persónuupplýsingar sem félagið vinnur um viðskiptavini.
Félagið safnar og varðveitir ýmsar persónuupplýsingar um starfsmenn sína og viðskiptavini meðan þeir eru í viðskiptum við félagið. Gætt er að því að vinnsla persónuupplýsinga fari fram í skýrum tilgangi og byggist á lögmætum grundvelli samkvæmt gildandi persónuverndarlöggjöf.
Dæmi um upplýsingar sem varðveittar eru um viðskiptavini félagsins:
- Nafn, kennitala, heimilisfang, símanúmer og netfang viðskiptavinar
- Samskipti við viðskiptavin.
- Reikningsupplýsingar viðskiptavinar.
- Upplýsingar og gögn sem viðskiptavinir láta félaginu sjálfir í té.
- Upplýsingar sem félagið aflar á grundvelli umboðs frá viðskiptavini.
- Upplýsingar um skuldastöðu og reikninga viðskiptavinar hjá félaginu.
Þær upplýsingar sem félagið aflar eru fyrst og fremst sóttar til að geta efnt þjónustusamninga sem félagið gerir við viðskiptavini sína. Þá kunna upplýsingar að vera unnar á grundvelli lagaskyldu og óháð þeirri þjónustu sem félagið hefur tekið að sér að veita viðskiptavinum, t.d. vegna reglna um peningaþvætti eða bókhaldslög.
Ef félagið aflar upplýsinga frá þriðja aðila er viðskiptavinur upplýstur um þá gagnaöflun.
Við ráðgjöf og mat á líkamstjóni varðveitir félagið persónuupplýsingar um einstaklinga sem ekki eru eiginlegir viðskiptavinir félagsins. Gögnin eru fengin frá þriðja aðila, í flestum tilfellum lögmönnum einstaklinga eða tryggingafélögum. Um varðveislu og vinnslu þeirra persónuupplýsinga fer eftir sömu reglum og eiga við um aðrar persónuupplýsingar sem félagið varðveitir og vinnur með.
Félagið vinnur persónuupplýsingar um einstaklinga sem hafa samband við félagið án þess að vera í viðskiptum við félagið, dæmi um slíkar upplýsingar eru samskiptaupplýsingar, svo sem nafn, tölvupóstfang og símanúmer og upplýsingar úr samskiptum við viðkomandi.
Símtöl: Símtöl eru ekki tekin upp en efni þeirra getur verið skráð í minnisblað ef upplýsingarnar eru þess eðlis að skráningar sé þörf, t.a.m. vegna hagsmunagæslu fyrir viðkomandi einstakling, þriðja aðila eða félagið. Þá getur nafn og símanúmer verið skráð í sama tilgangi og jafnframt ef líklegt er að til frekari samskipta komi á milli félagsins og einstaklings.
Tölvupóstur: Þegar þú hefur samband við félagið í tölvupósti skal hafa í huga að tölvupósturinn þinn getur verið ódulkóðaður sem þýðir að mögulegt er fyrir óviðkomandi að lesa póstinn í sendingu. Því skaltu forðast að tölvupósturinn innihaldi viðkvæmar persónuupplýsingar um þig eða aðra. Félagið sendir ekki viðkvæmar persónuupplýsingar í tölvupósti, þar sem ekki er hægt að tryggja öryggi upplýsinganna í slíkri sendingu, nema að um dulkóðuð skjöl sé að ræða sem læst eru með lykilorði og lykilorð sent viðtakanda með öðrum leiðum. Tölvupóstar sem félaginu berast eru oftast vistaðir í möppu í tölvupósthólfinu og jafnvel í skjalamöppu í tölvu félagsins og/eða prentaðir út og sett í möppu viðskiptavinar í skjalaskáp. Í einstaka tilfellum er tölvupóstum eytt að afgreiðslu lokinni. Möppum viðskiptavinar er eytt úr tölvupósthólfi að liðnum fjórum árum frá því að viðskiptasambandi lýkur nema í sérstökum tilfellum þar sem hagsmunir stofunnar eða viðskiptavinar krefjast lengri vistunar gagna.
Fyrirspurnir af vefsíðu félagsins: Farið er með fyrirspurnir af vefsíðu félagsins með sama hætti og tölvupósta, enda berast þær í tölvupósthólf félagsins líkt og um tölvupóst væri að ræða.
Bréfpóstur: Í sumum tilfellum er bréfpóstur skannaður inn í möppu í viðkomandi máli í tölvu félagsins. Ef um gögn er að ræða sem varða hagsmunagæslu fyrir einstaklinga eða lögaðila eru þau jafnframt sett í möppu sem geymd er í skjalaskáp félagsins.
Heimsókn á skrifstofu félagsins: Ekki eru skráðar upplýsingar um það hverjir koma á skrifstofu félagsins, en í sumum tilfellum eru fundartímar skráðir í skriflega og/eða rafræna dagbók undir nafni viðkomandi einstaklings. Í ákveðnum tilfellum eru skráð minnisblöð um það sem fer fram á fundum á skrifstofu félagsins eða utan hennar og þau minnisblöð ýmist varðveitt í möppu í tölvu eða í möppu í skjalaskáp félagsins.
Persónuvernd á vefsíðu félagsins og samfélagsmiðlum
Allir geta heimsótt vefsíðu félagsins án þess að skrá þurfi inn persónuupplýsingar. Í fyrsta skipti sem þú heimsækir heimasíðu félagsins https://medial.is getur þú samþykkt notkun á vafrakökum. Vafrakökur eru litlar textaskrár sem vefsvæði senda í tölvuna þína eða snjalltæki þegar þú heimsækir síðuna. Fæstar vafrakökur safna upplýsingum sem auðkenna þig, en leitast þess í stað við að sækja öllu almennari upplýsingar eins og hvernig notendur koma á síðuna og nota hana, eða almennar upplýsingar um staðsetningu notanda. Annars vegar er um að ræða nauðsynlegar vafrakökur sem eru ómissandi til að vefsíðan virki eins og ætlast er til. Hins vegar er um að ræða frammistöðuvafrakökur sem fylgjast með afköstum og frammistöðu vefsíðunnar. Þá er jafnframt notast við vafrakökur frá þjónustuaðilum eins og Google Analytics en það er frítt vefgreiningartól sem býr yfir mikilli nákvæmni og útbýr skýrslur sem innihalda ýmsa tölfræði eins og fjölda heimsókna, hvort þær komi frá leitarvélum, samfélagsmiðlum eða annarsstaðar frá o.s.frv.
Hægt er að loka á vafrakökur í stillingum vafrans sem þú notar til að skoða vefsíðuna. Í flestum vöfrum er að finna leiðbeiningar um hvernig hægt er að slökkva á vafrakökum og jafnfamt má finna góðar upplýsingar um hvernig hægt er að hafa umsjón með vafrakökum í flestum tegundum vafra á heimasíðunni https://www.aboutcookies.org/.
Öflun persónuupplýsinga
Yfirleitt aflar félagið persónuupplýsinga beint frá viðskiptavini eða umboðsmanni/tengilið hans. Upplýsingum kann þó einnig að vera aflað frá þriðju aðilum, s.s. heilbrigðisstofnunum, stjórnvöldum, dómstólum, þjónustuveitendum viðskiptamanna, gagnaðilum og fleirum að fengnu umboði frá viðskiptavini til gagnaöflunar. Jafnframt kann persónuupplýsingum að vera safnað af veraldarvefnum, eftir atvikum af heimasíðum, samfélagsmiðlum og úr gagnabönkum. Félagið upplýsir viðskiptavini um þá gagnaöflun sem á sér stað.
Varðveisla persónuupplýsinga
Rafrænar persónuupplýsingar eru varðveittar í möppu í tölvu félagsins, á skrifstofu þess og eftir atvikum í skýi, Office 365.
Bréflegar persónuupplýsingar eru varðveittar í möppu í lokuðum skáp á skrifstofu félagsins á meðan vinnsla málsins er í gangi, en eftir að vinnslu lýkur og mál er enn í geymslu hjá félaginu eru bréflegar persónuupplýsingar varðveittar í lokuðum kassa í skjalageymslu félagsins.
Varðveislutími
Sá tími sem upplýsingar eru varðveittar getur varað allt upp í fjórtán ár eftir að viðskiptum lýkur og mismunandi er eftir eðli upplýsinganna hversu lengi þær eru varðveittar. Upplýsingar sem falla undir bókhaldslög eru varðveittar í sjö ár frá lokum viðkomandi reikningsárs. Í sumum tilfellum eru upplýsingar varðveittar í allt að fjórtán ár á grundvelli fyrningarfrests viðkomandi krafna þar sem nauðsynlegt getur verið að varðveita upplýsingarnar til að stofna, hafa uppi eða verja réttarkröfur viðskiptavina. Í flestum tilfellum verður persónuupplýsingum þó eytt að fjórum árum liðnum frá því að viðskiptasambandi lýkur nema viðskiptavinur óski eftir að upplýsingar verði varðveittar til lengri tíma. Miðað er við lok þess árs sem viðskiptasambandi lauk.
Eyðing persónuupplýsinga
Bréflegum persónuupplýsingum er eytt í vottaðri gagnaeyðingarstöð. Rafrænum persónuupplýsingum er eytt með hefðbundnum hætti úr tölvukerfi félagsins, þ.e. þær eru settar í „ruslakörfu“ sem síðan er tæmd og upplýsingum þannig eytt varanlega.
Viðskiptavinur getur alltaf farið fram á að persónuupplýsingum um hann sé eytt hjá félaginu, en félagið áskilur sér rétt til að halda eftir upplýsingum ef fyrirsjáanlegt er að nauðsyn krefji vegna hagsmunagæslu fyrir viðskiptavin eða félagið, viðskiptavinur er þá upplýstur um þá ákvörðun.
Miðlun persónuupplýsinga til þriðju aðila
Félagið kann að miðla persónuupplýsingum til þriðju aðila í ákveðnum tilfellum. Slík tilfelli eru ávallt í tengslum við hagsmunagæslu fyrir viðskiptavini. Dæmi um þriðju aðila sem persónuupplýsingum gæti verið miðlað til í tengslum við hagsmunagæslu fyrir viðskiptavini eru innheimtuaðilar, tryggingafélög, stjórnvöld og gagnaðilar. Við gagnaöflun þarf til að mynda að senda umboð lögmanns fyrir viðskiptavin til þeirra aðila sem gagna er aflað frá og þar þurfa að koma fram upplýsingar um viðfangsefnið. Auk þess gæti upplýsingum verið miðlað til utanaðkomandi ráðgjafa í tengslum við hagsmunagæslu fyrir viðkomandi viðskiptavin.
Persónuupplýsingum kann að vera miðlað til þriðja aðila að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til stjórnvalda, dómstóla, gagnaðila í ágreiningi, vitna, barnaverndaryfirvalda eða annarra slíkra aðila. Auk þess gæti persónuupplýsingum verið miðlað til þriðja aðila til að bregðast við aðgerðum eins og húsleit, stefnu eða dómsúrskurði.
Þá gæti persónuupplýsingum verið miðlað til þriðju aðila sem veita félaginu þjónustu, til að mynda bókhaldsstofu, upplýsingatæknifyrirtækis eða annarra sem þjónusta félagið með hugbúnað eða rekstrarlega þætti.
Öryggi persónuupplýsinga í varðveislu félagsins
Félagið grípur til viðeigandi ráðstafana til að vernda persónuupplýsingar sem unnar eru af félaginu. Dæmi um slíkar ráðstafanir eru öryggisráðstafanir á tölvubúnaði félagsins. Þjónustuaðilar félagsins starfa innan evrópska efnahagssambandsins og því gilda sambærilegar reglur um verndun persónuupplýsinga hjá þeim aðilum og eru í gildi á Íslandi. Þessir aðilar eru fyrst og fremst Google og Microsoft Office.
Réttindi viðskiptavina í tengslum við persónuupplýsingar sem félagið vinnur
Einstaklingar eiga rétt á að fá upplýsingar um hvort félagið vinni persónuupplýsingar um sig og þá hvernig þeirri vinnslu er hagað. Einstaklingar eiga jafnramt rétt á að fá slíkar upplýsingar leiðréttar og að fá afrit af persónuupplýsignum um sig en ef um mikið magn upplýsinga er að ræða og einstaklingur óskar eftir ljósriti af þeim getur félagið farið fram á greiðslu vegna kostnaðar sem af því hlýst.
Í flestum tilfellum geta einstaklingar afturkallað samþykki sitt til vinnslu persónuupplýsinga um sig og farið fram á að þeim verði eytt án tafar. Þá geta einstaklingar líka óskað eftir að persónuupplýsingar verði settar í skjalageymslu en þeim verði ekki eytt fyrr en að ákveðnum tíma liðnum og óskað eftir takmörkun á vinnslu þeirra.
Félagið getur í sumum tilfellum hafnað beiðni einstaklinga um upplýsingar, eyðingu, takmörkun eða afrit af persónuupplýsingum á grundvelli réttinda félagsins og skal félagið þá rökstyðja þá ákvörðun.
Kvörtun til Persónuverndar
Ef upp kemur ósætti með vinnslu persónuupplýsinga hjá félaginu getur þú sent erindi til Persónuverndar vegna þess. Bæði er hægt að senda inn fyrirspurn og kvörtun. Inni á heimasíðu Persónuverndar, https://personuvernd.is eru upplýsingar um hvernig best er að bera sig að við fyrirspurnir og/eða kvartanir.
Fyrirspurnir vegna persónuverndarstefnu félagsins
Allar fyrirspurnir vegna persónuverndarstefnu félagsins og vinnslu persónuupplýsinga má senda í tölvupósti á jona@medial.is eða hafa samband í síma 8698650. Félagið leitast við að svara fyrirspurnum og leiðbeina einstaklingum um réttindi þeirra samkvæmt þessari stefnu og persónuverndarlöggjöfinni.
Breytingar á persónuverndarstefnu félagsins og gildistími
Persónuverndarstefna þessi kann að taka breytingum vegna nýrra lagafyrirmæla eða túlkunar á framkvæmd laga um persónuvernd auk þess sem breytingar geta orðið á stefnu félagsins við persónuvernd.
Persónuverndarstefna félagsins gildir frá 11. febrúar 2019.