Persónuverndarstefna [e]signa

Tilgangur og gildissvið

[e]signa – (Brennisteinn ehf. kt. 411122-0260) (hér eftir „félagið“ eða „við“) leggur ríka áherslu á persónuvernd notenda og annarra þeirra sem eiga í samskiptum við félagið í þeim tilgangi að standa vörð um friðhelgi einkalífs og mannréttindi.

Þjónusta félagsins felst í veflausn sem veitir notendum, hvort sem um er að ræða einstaklinga eða lögaðila, aðgang að tölvukerfi þar sem þeir geta upphalað og sent skjöl til rafrænna undirritana og/eða auðkennt einstaklinga með rafrænum skilríkjum.

Stefnan nær til vinnslu persónuupplýsinga í allri starfsemi félagsins og til allra einstaklinga sem eiga samskipti við félagið, heimsækja vefsíðu þess eða veflausn. Við leggjum í öllum tilvikum áherslu á að persónuupplýsingarnar sem við vinnum séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar hverju sinni.

Markmið persónuverndarstefnunnar er að taka saman heildstætt yfirlit yfir þær persónuupplýsingar sem félagið hefur í sinni umsýslu og gera grein fyrir því hvernig söfnun, varðveislu og vinnslu persónuupplýsinga er háttað auk þess að upplýsa um réttindi viðskiptavina/notenda hvað varðar persónuvernd. Öll vinnsla persónuupplýsinga hjá félaginu fer fram í samræmi við gildandi persónuverndarlöggjöf hverju sinni.

Hvaða persónuupplýsingum er safnað

Söfnun og vinnsla persónuupplýsinga er forsenda þess að félagið geti veitt þá þjónustu sem notendur óska eftir. Hvaða persónuupplýsingum er safnað fer eftir þeim þjónustu sem eiga sér stað hverju sinni.

Dæmi um persónuupplýsingar sem notendur afhenda:

  • • Grunnupplýsingar eins og nafn, kennitölu, heimilisfang og símanúmer.
  • • Samskipta- og samningsupplýsingar vegna allra samskipta við félagið svo sem með tölvupósti, netspjalli, skriflega, munnlega eða á samfélagsmiðlum.
  • • Upplýsingar um auðkenni, þ.e. afrit af rafrænum skilríkjum, hvernig notandi auðkennir sig og eftir hvaða leiðum.
  • • Tæknilegar upplýsingar um búnað og tæki sem notandi notar til að tengjast vef félagsins svo sem IP-tala, kjörstillingar, tegund snjalltækis og vafra, þ.e. hvernig notandi tengist okkur, hvaðan og hvaða aðgerðir eru framkvæmdar.
  • • Framangreind upptalning er ekki tæmandi og félagið getur unnið aðrar upplýsingar um notanda sem nauðsynlegar eru vegna eðlis þjónustu sem notandi velur.

Vinnsla og notkun persónuupplýsinga

Upplýsingar um notanda eru unnar í skýrum og yfirlýstum tilgangi sem samræmist persónuverndarlögum og stefnu þessari.

Tilgangur vinnslu er meðal annars svo mögulegt sé að:

  • • Auðkenna notanda og hafa samband við hann í þeim tilgangi að tryggja öryggi og áreiðanleika, t.d. með tölvupóstum og sms.
  • • Framkvæma þá þjónustu sem óskað er og svara fyrirspurnum, t.d. að veflausnin sæki umbeðin skjöl til opinberra stofnana og til að svara tæknilegum fyrirspurnum.
  • • Til að tryggja öryggi notenda, m.a. með því að tryggja rekjanleika þeirra aðgerða sem notendur framkvæma á veflausninni.
  • • Til að þróa þjónustuframboð veflausnarinnar og auka þjónustustig með því að bregðast við ábendingum eða kvörtunum og vinna svör úr mögulegum þjónustukönnunum.
  • • Viðhalda vefsvæðinu og bæta notendaupplifun.
  • • Tryggja upplýsinga- og netöryggi og bregðast við beiðnum opinberra aðila til að koma í veg fyrir misferli.
  • • Í kynningar- og markaðstilgangi til að tryggja notanda sérsniðna og persónubundna lausn, t.d. með því að senda notanda skilaboð um nýjungar og fríðindi.
  • • Til að framkvæma tölfræðilegar greiningar á þjónustu- eða boðleiðum. Slíkar tölfræðigreiningar eru unnar á ópersónugreinanlegan hátt ef unnt er.

Heimildir til vinnslu persónuupplýsinga

Félagið byggir söfnun og aðra vinnslu persónuupplýsinga á samningi, samþykkt notanda á skilmálum félagsins, svo mögulegt sé að veita notanda þá þjónustu sem hann óskar. Í ákveðnum tilvikum gæti verið óskað eftir upplýstu samþykki notanda fyrir vinnslu persónuupplýsinga og er alltaf hægt að draga slíkt samþykki til baka.

Að lokum er mögulegt að persónuupplýsingar notanda verði nýttar ef notandi, félagið eða þriðji aðili hefur af því lögmæta hagsmuni. Í slíkum tilvikum fer fram hagsmunamat og ef ljóst er að hagsmunir notanda vega þyngra en hagsmunir þriðja aðila eða félagsins fer slík vinnsla ekki fram.

Hvaðan berast upplýsingar og hverjir fá þær

Persónuupplýsingar notanda koma yfirleitt beint frá notanda sjálfum þegar viðkomandi skráir sig inn sem notanda eða hefur samband við félagið með öðrum hætti, s.s. á netspjalli eða í tölvupósti.

Í einhverjum tilvikum getur félaginu reynst nauðsynlegt að afhenda persónuupplýsingar notanda til samstarfs- eða þjónustuaðila svo að unnt sé að veita tiltekna þjónustu. Félagið afhendir aðeins persónuupplýsingar ef samstarfs- eða þjónustuaðilar standast kröfur félagsins. Afhending getur einnig farið fram með samþykki notenda ef notandi óskar eftir því, t.d. með framsendingu gagna til annars notanda eða fjármálafyrirtækis.

Mögulega getur félaginu verið skylt að afhenda persónuupplýsingar til stjórnvalda eða eftirlitsaðila á grundvelli lagaskyldu. Félagið leitast ávallt við að tryggja réttindi notenda til persónuverndar og friðhelgi einkalífs og eru slíkar beiðnir afgreiddar eftir skjalfestu verklagi svo tryggt sé að einungis séu afhentar upplýsingar samkvæmt skýrri heimild til afhendingarinnar og að upplýsingarnar séu ekki víðtækari en nauðsynlegt er.

Réttindi notanda

Samkvæmt persónuverndarlögum hefur notandi ákveðin réttindi um hvort félagið vinni persónuupplýsingar um hann og hvernig meðferð persónuupplýsinga fer fram í starfsemi félagsins.

  • • Notandi á rétt á aðgangi að eigin persónuupplýsingum, þ.e. staðfestingu um hvort sé verið að vinna með persónuupplýsingar og aðgang að þeim upplýsingum ásamt upplýsingum um tilhögun vinnslu.
  • • Notandi getur óskað eftir að upplýsingar um hann séu fluttar til annars aðila ef það er tæknilega framkvæmanlegt. Þetta nær þó aðeins til upplýsinga sem aflað hefur verið á grundvelli samþykkis eða hafa verið unnar með sjálfvirkum hætti.
  • • Notandi getur óskað eftir að óáreiðanlegar eða rangar upplýsingar verði leiðréttar og í einhverjum tilvikum eytt.
  • • Notandi á alltaf rétt á að andmæla vinnslu persónuupplýsinga vegna markaðssetningar og að afþakka kynningarefni. Eins er mögulegt að andmæla vinnslu vegna sérstakra aðstæðna. Í ákveðnum tilvikum er hægt að fram á tímabundna takmörkun á vinnslu persónuupplýsinga.
  • • Notandi getur alltaf haft samband á netfanginu [email protected] vegna beiðna um ofangreint eða til að fá nánari upplýsingar um persónuvernd og meðferð persónuupplýsinga í starfsemi félagsins.
  • • Notandi hefur jafnframt rétt á að kvarta til Persónuverndar komi upp ágreiningur um meðferð, notkun og vinnslu persónuupplýsinga og er netfang persónuverndar [email protected].

Öryggi upplýsinga

Þrátt fyrir ýtrustu varúðarráðstafanir og reglufylgni er ekki mögulegt að tryggja fullkomið öryggi allra gagna alltaf.

Ef upp kemur öryggisbrestur hjá félaginu eða tengdum aðilum mun félagið upplýsa notanda um slíkt í samræmi við verklagsreglur.

Mikilvægt er að notandi hafi samband við félagið á netfanginu [email protected] ef mögulegt er að óviðkomandi aðili hafi komist inn á aðgang hans hjá félaginu.

Persónuupplýsingar eru varðveittar í öruggu umhverfi og í samræmi við stefnu félagsins um upplýsingaöryggi.

Veflausn félagsins er hönnuð með öryggi og persónuvernd notanda í huga og er áhætta af vinnslu persónuupplýsinga metin reglulega.

Starfsfólk félagsins fær fræðslu um meðferð og öryggi persónuupplýsinga.

Vefkökur

Vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvu eða í öðrum snjalltækjum þegar notandi heimsækir vefsíðu til að greina notkun á vefsvæði og bæta upplifun notanda og sníða það að þörfum hans.

Félagið vinnur með nokkrar tegundir af vefkökum, viðvarandi kökur sem vistast á tölvu notanda og muna aðgerðir eða val á vefsíðu félagsins, setukökur (session cookies) eyðast almennt þegar notandi yfirgefur vefsvæði. Nauðsynlegar vefkökur virkja eiginleika á vefsíðu félagsins sem eru forsenda fyrir að veflausn félagsins virki eins og til er ætlast. Í þeim hópi eru tölfræðikökur og virknikökur og er ekki krafist samþykkis fyrir notkun þeirra. Flestar nauðsynlegar vefkökur eru setukökur frá fyrsta aðila (e. first-party cookies) koma frá sama léni og vefsíðan sem notandi heimsækir og eru eingöngu notaðar af félaginu.

Fyrsta aðila vefkökur eru ekki nauðsynleg forsenda fyrir notkun veflausnar félagsins en eru mikilvægar fyrir notkun og virkni og auðvelda notkun.

Vefkökur frá þriðja aðila (e. third-party cookies) eru vefkökur sem koma frá öðrum lénum og eru oftast tilkomnar vegna þjónustu sem félagið kaupir af þriðja aðila, t.d. auglýsinga- og greiningarkökur. Þriðju aðila kökur senda upplýsingar um notanda til annars vefsvæðis eins og Facebook eða Google. Stundum koma þeir aðilar fyrir vefkökum í vafra notanda til að nálgast upplýsingar um vefnotkun og hvaða efni notandi hefur áhuga á að skoða.

Hægt er að eyða vefkökum með einföldum hætti og eins er hægt að stilla vafra svo þeir taki ekki á móti vefkökum.

Hversu lengi eru upplýsingar notanda varðveittar

Persónuupplýsingar notanda eru almennt geymdar á meðan á viðskiptasambandi stendur, eins lengi og lög fara fram á eða lögmætir hagsmunir félagsins krefjast.

Félagið varðveitir ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt krefur og tryggir öryggi upplýsinganna svo sem framast er unnt.

Nánari upplýsingar

[e]signa – (Brennisteinn ehf. kt. 411122-0260), Borgartún 29, 105 Reykjavík, er ábyrgðaraðili við vinnslu persónuupplýsinga notanda og ber ábyrgð á því að öll meðferð persónuupplýsinga samræmist lögum og reglum.

Persónuverndarfulltrúi félagsins hefur eftirlit með því að farið sé eftir persónuverndarstefnu, gildandi lögum og reglum í starfsemi félagsins.

Ábendingar, fyrirspurnir eða athugasemdir er varða meðferð og vinnslu persónuupplýsinga berast til persónuverndarfulltrúa í gegnum netfangið [email protected].

Félagið áskilur sér rétt til að uppfæra persónuverndarstefnuna þegar þörf krefur.