Persónuverndarstefna Smáralindar

Inngangur

Smáralind ehf. (hér eftir „Smáralind“) í hlutverki sínu sem ábyrgðaraðili kappkostar að tryggja vernd persónuupplýsinga og að vinnsla þeirra sé í samræmi viðlög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. síðari breytingar, auk annarra laga og reglugerða sem settar eru á sama grundvelli. Persónuverndarstefna þessi tekur til söfnunar og vinnslu persónuupplýsinga í samskiptum Smáralindar við viðskiptavini sína. Tilgangur persónuverndarstefnunnar er að upplýsa viðskiptavini Smáralindar um hvernig og hvers vegna persónuupplýsingum er safnað og hvernig þær eru meðhöndlaðar. Smáralind vinnur aðeins með persónuupplýsingar í lögmætum tilgangi og ýmist samkvæmt lagaskyldu, með upplýstu samþykki eða á grundvelli lögmætra hagsmuna sem við gætum.

Hvað eru persónuupplýsingar?

Persónuupplýsingar eru hvers kyns persónugreindar eða persónugreinanlegar upplýsingar sem rekja má beint eða óbeint til tiltekins einstaklings. Dæmi um persónuupplýsingar eru nöfn, kennitölur, netföng, símanúmer o.s.frv. Ópersónugreinanleg gögn teljast þar af leiðandi ekki til persónuupplýsinga. Um nánari skilgreiningu á því hvað teljist persónuupplýsingar og hvað teljist viðkvæmar persónuupplýsingar vísast til 2. og 3. tl. 3. gr. laga nr. 90/2018.

Í hvaða tilgangi vinnur Smáralind persónuupplýsingar?

Smáralind vinnur persónuupplýsingar í skýrum og yfirlýstum tilgangi líkt og persónuverndarlögin, reglugerðir og innri reglur gera kröfur um. Í flestum tilvikum er upplýsingunum safnað beint frá viðskiptavinum Smáralindar. Megintilgangur með vinnslu persónuupplýsinga er að inna af hendi þjónustu sem viðskiptavinir óska eftir. Dæmi um tilgang með slíkri upplýsingasöfnun eru:

  • að senda viðskiptavinum sem skrá netfang sitt á póstlista Smáralindar upplýsingar um tilboð og atburði á vegum Smáralindar.
  • að gefa út gjafakort sem viðskiptavinir hafa keypt á heimasíðu Smáralindar eða á þjónustuborði.
  • að lána barnakerrur og hjólastóla sem hægt er að nálgast á þjónustuborði Smáralindar.
  • að eiga samskipti við viðskiptavini Smáralindar í gegnum netfangið smaralind@smaralind.is.
  • að grípa til nauðsynlegra aðgerða ef við á vegna tjóna og þjófnaða í Smáralind, m.a. með öryggismyndavélavöktun.
  • að taka á móti styrkbeiðnum sem berast í gegnum heimasíðu Smáralindar.
  • að greina heimsóknir á heimasíðu Smáralindar.
  • skráning IP-talna þegar viðskiptavinir skrá sig inn á þráðlaust net Smáralindar (e. wifi), en þær upplýsingar eru ekki notaðar í markaðslegum tilgangi.
  • að búa til viðburði á samfélagsmiðlum, t.d. á Facebook-síðu Smáralindar, svo sem gjafaleiki, þar sem einstaklingar geta líkað við eða sett athugasemdir sínar á stöðuuppfærslu og átt þannig möguleika á að vinna t.d. gjafakort í Smáralind.

Hvaða heimildir hefur Smáralind fyrir vinnslu persónuupplýsinga?

Heimildir Smáralindar fyrir vinnslu persónuupplýsinga byggja ýmist á samningi, samþykki, lögum eða lögmætum hagsmunum. Nánar tiltekið eru heimildir vegna vinnslu persónuupplýsinga sem hér segir:

  • Framkvæmd samnings um kaup viðskiptavina á gjafakortum en skráning persónuupplýsinga er nauðsynleg í þeim tilfellum til að inna af hendi umbeðna þjónustu.
  • Skráning á póstlista Smáralindar er framkvæmd á grundvelli samþykkis viðskiptavinar.
  • Smáralind hefur auk þess lögmæta hagsmuni af því að viðhalda skrá yfir einstaklinga sem skráðir eru á póstlista Smáralindar og uppfæra hana í samræmi við skráningar og afskráningar einstaklinga af póstlista Smáralindar.
  • Vinnsla persónuupplýsinga í tengslum við móttöku og svörun fyrirspurna frá einstaklingum, þ.m.t. styrkbeiðnir, er framkvæmd á grundvelli samþykkis einstaklingsins sem hefur samband við Smáralind.
  • Smáralind hefur lögmæta hagsmuni af því að halda utan um hverjir hafa fengið lánaðar barnakerrur og hjólastóla í eigu Smáralindar til að geta gengið eftir kerrum og hjólastólum sé þeim ekki skilað.
  • Einstaklingar sem skrá sig inn á þráðlaust net Smáralindar samþykkja þar með vinnslu persónuupplýsinga sem safnast við slíka innskráningu.
  • Vinnsla persónuupplýsinga í tengslum við þjófnað eða tjón í Smáralind, þ.m.t. öryggismyndavélaeftirlit, er framkvæmt á grundvelli lögmætra hagsmuna Smáralindar í öryggis- og eignarvörsluskyni.
  • Í sumum tilvikum kann að koma til vinnslu viðkvæmra persónuupplýsinga í tengslum við slík mál, svo sem heilsufarsupplýsinga. Vinnsla viðkvæmra persónuupplýsinga getur slíkum tilvikum verið nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur.
  • Smáralind hefur lögmæta hagsmuni af því að halda skrá yfir leigutaka sína og tengiliði þeirra, þjónustuaðila, notendur og aðra einstaklinga sem félagið á í samskiptum við í því skyni að hafa samband við þá og viðhalda viðskiptasambandinu. Smáralind hefur enn fremur lögmæta hagsmuni af því að gera tölfræðilegar eða aðrar rekstrarlegar greiningar á starfseminni til notkunar innanhúss.
  • Vinnsla Smáralindar á persónuupplýsingum samkvæmt lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, s.s. með gerð áreiðanleikakannana og auðkenningu viðskiptamanna, er eingöngu framkvæmd í þeim tilgangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverkja og samræmist ávallt lögum um persónuvernd og vinnslu persónuupplýsinga.
  • Litið er svo á að umsækjendur um störf gefi samþykki fyrir að persónuupplýsingar sem þeir láta Smáralind í té séu notaðar í ráðningarferlinu, enda fari vinnsla persónuupplýsinga ekki fram í öðrum tilgangi en að meta hæfni umsækjenda og hvort þeir komi til greina í starf hjá Smáralind. Verði af ráðningu umsækjanda byggist sú vinnsla á samningi, þ.e. ráðningarsamningi milli umsækjanda og Smáralindar, að því marki sem vinnslan er nauðsynleg vegna framkvæmdar slíks samnings.

Hvernig og hversu lengi eru persónuupplýsingarnar varðveittar?

Smáralind varðveitir persónuupplýsingar á öruggan hátt og í samræmi við gildandi lög og reglur um persónuvernd, þ.m.t. reglur Persónuverndar um rafræna vöktun. Gerðar hafa verið tæknilegar og skipulagslegar ráðstafanir til að verja persónuupplýsingar gegn t.d. eyðingu og óheimilum aðgangi. Smáralind varðveitir persónuupplýsingar samkvæmt þessari persónuverndarstefnu eins lengi og nauðsynlegt er til að uppfylla tilganginn með vinnslu þeirra. Í eftirfarandi töflu er viðmiðum um varðveislutíma fyrir hverja tegund vinnslu nánar lýst:

 

 Vinnsla

Varðveislutími (viðmið)

Símtöl Símanúmer þeirra sem hringja á skiptiborð Smáralindar eru ekki skráð sjálfkrafa. Óski einstaklingur eftir að skilja eftir erindi til starfsmanna Smáralindar er skráð nafn, símanúmer og eftir atvikum hvert erindið er. Þeim upplýsingum er eytt í lok dags. Ekki eru skráðar viðkvæmar persónuupplýsingar.
Útgáfa gjafakorta Persónuupplýsingar tengdum kaupum á gjafakortum eru varðveittar þar til öllum gjafakortum viðskiptavinar er eytt.
Póstlisti Smáralindar Viðskiptavinir eru skráðir á póstlista Smáralindar þar til þeir afskrá sig. Persónuupplýsingum um þá er eytt úr kerfum Smáralindar við afskráningu.
Móttaka og afgreiðsla styrkbeiðna Styrkbeiðnir sem leiða til þess að styrkur er veittur eru varðveittar í kerfum Smáralindar í samræmi við ákvæði bókhaldslaga. Styrkbeiðnir þeirra sem ekki fá jákvætt svar eru varðveittar í kerfum Smáralindar eins lengi og nauðsynlegt er miðað við tilgang vinnslunnar hverju sinni, þó ekki lengur en 12 mánuði.
Almenn móttaka og svörun skilaboða í tölvupósti Almenn samskipti í tölvupósti eru varðveitt eins lengi og nauðsynlegt er miðað við tilgang vinnslunnar.
Utanumhald með útlánum á barnakerrum og hjólastólum Persónuupplýsingum í tengslum við útlán á barnakerrum og hjólastólum er eytt í lok hvers dags.
Mál vegna tjóna og/eða þjófnaðar Myndefni úr öryggismyndavélum er varðveitt í fjórar vikur. Myndefni sem nota þarf vegna sönnunar í lögreglumálum er varðveitt þar til lögreglu hefur verið afhent myndefnið.

Undanskilið frá framangreindum viðmiðum eru bókhaldsgögn, en slík gögn eru varðveitt í sjö ár frá lokum viðkomandi reikningsárs, í samræmi við lög um bókhald. Frá framangreindum viðmiðum eru einnig undanskilin gögn sem félaginu kann að vera skylt að varðveita lengur á grundvelli lagaskyldu, vegna málaferla, að beiðni yfirvalda eða á öðrum sambærilegum grundvelli.

Öryggismyndavélar (rafræn vöktun)

Rafræn vöktun með öryggismyndavélum í og við húsnæði Smáralindar byggir á lögmætum hagsmunum og er metin nauðsynleg í öryggis- og eignavörsluskyni. Tilgangur vöktunarinnar er að varna því að eigum sé stolið, þær skemmdar eða farið sé um húsnæði Smáralindar í leyfisleysi. Öryggismyndavélarnar eru staðsettar víða í Smáralind, s.s. við innganga, á göngum, opnum rýmum. Lóð Smáralindar og bílastæði eru einnig vöktuð á völdum stöðum. Sérstakar merkingar eru við lóðamörk og innganga til að þeir sem eiga leið um svæðið viti af tilvist myndavélanna. Myndefnið er eingöngu skoðað ef upp koma atvik sem varða eignavörslu eða öryggi, s.s. ef þjófnaður hefur átt sér stað, skemmdarverk eða slys. Myndefnið er geymt í 30 daga og eyðist sjálfkrafa. Myndefni sem verður til við vöktun er ekki afhent öðrum og ekki unnið með það nema með samþykki þess sem upptakan er af eða með heimild Persónuverndar. Undantekning frá þessu er að heimilt er að afhenda lögreglu eða tryggingarfélagi upptökur, varði þær upplýsingar um slys eða refsiverða háttsemi, eins og kveðið er á um í reglum nr. 50/2023 um rafræna vöktun.

Hverjir geta verið viðtakendur persónuupplýsinga?

Smáralind kann að miðla persónuupplýsingum samkvæmt persónuverndarstefnu þessari til ráðgjafa og þjónustuaðila, t.d. þeim sem hýsa hugbúnaðarkerfin sem notuð eru hjá félaginu og þeim sem sinna úfgáfu gjafakorta. Ráðgjafar og þjónustuaðilar þessir eru bundnir trúnaði. Í tengslum við slíka miðlun er engum persónuupplýsingum miðlað út fyrir EES-svæðið, nema þegar stuðst er við MailChimp til að senda upplýsingar um tilboð og atburði með tölvupósti til meðlima á póstlista Smáralindar, en þá er viðtakandi persónuupplýsinga The Rocket Science Group LLC d/b/a MailChimp sem staðsett er í Bandaríkjunum og fylgir EU-U.S. Data Privacy regluverkinu. Smáralind kann að afhenda löggæsluyfirvöldum og öðrum bærum þriðju aðilum persónuupplýsingar um viðskiptavini sína ef það er nauðsynlegt, svo sem vegna réttarkrafna eða samkvæmt lögum. Þá kann Smáralind að afhenda persónuupplýsingar til þriðja aðila í tengslum við samruna, yfirtöku, félagsslit og önnur sambærileg tilvik.

Hver eru réttindi einstaklinga?

Einstaklingar samkvæmt þessari persónuverndarstefnu eiga rétt á að fá upplýsingar um og aðgang að persónuupplýsingum um þá sjálfa sem Smáralind hefur með höndum. Þeir eiga enn fremur rétt á að afturkalla samþykki sitt fyrir vinnslu persónuupplýsinga sem byggð er á samþykki hvenær sem er. Þeir eiga einnig rétt á að óska eftir að láta leiðrétta, í sumum tilvikum eyða eða takmarka vinnslu slíkra persónuupplýsinga eða andmæla slíkri vinnslu. Þessum réttindum er nánar lýst í lögum um persónuvernd, sbr. nú 17. og 20. gr. laga nr. 90/2018. Í ákveðnum tilvikum geta einstaklingar átt rétt á að fá persónuupplýsingar sínar sem þeir láta Smáralind í té fluttar til annars ábyrgðaraðila. Framangreindum réttindum kunna þó að vera sett takmörk í gildandi lögum og reglum. Telji einstaklingar að vinnsla Smáralindar á persónuupplýsingum samrýmist ekki gildandi persónuverndarlögum er þeim bent á að hægt er að leggja fram kvörtun hjá lögbæru eftirlitsstjórnvaldi, Persónuvernd. Frekari spurningum um réttindi einstaklinga eða vinnslu Smáralindar á persónuupplýsingum skal vinsamlegast beint til personuvernd@heimar.is.

Vefgreining og kökur (e. cookies)

Vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvunni þinni eða í öðrum snjalltækjum þegar þú heimsækir vefsíðu. Heimasíða okkar virkar best þegar notkun á kökum (cookies) er samþykkt. Kökur eru litlar textaskrár sem eru vistaðar á tölvu eða snjalltæki þegar einstaklingur heimsækir vefsíðu Smáralindar. Allar persónuupplýsingar sem kunna að verða til við notkun á kökum eru meðhöndlaðar í samræmi við persónuverndarlög og reglur. Kökur eru m.a. notaðar til að mæla umferð um heimasíðu Smáralindar og til þess að bæta þjónustu notenda. Eftirfarandi upplýsingum er safnað á vef Smáralindar:

  • Fjöldi gesta á heimasíðu
  • Lengd heimsókna á heimasíðu
  • Tími og dagsetning heimsóknar á vefsíðunni
  • Vefaðsókn af vefborðum og samfélagsmiðlum inn á tiltekna hluta heimasíðunnar
  • Hvaða efni er skoðað á síðunni og hversu oft
  • Aldursbil, kyn og landfræðileg staðsetning notenda
  • Tegund vafra, stýrikerfa og tækja sem notendur notast við á síðunni

Breytingar

Smáralind áskilur sér rétt til að breyta persónuverndarstefnu þessari hvenær sem er, s.s. ef breytingar verða á vinnslu persónuupplýsinga eins og henni er lýst í persónuverndarstefnu þessari eða ef þess gerist þörf á grundvelli breytinga á lögum eða reglum um persónuvernd og meðferð persónuverndarupplýsinga. Tilkynnt verður um efnislegar breytingar sem verða á persónuverndarstefnu þessari. Auk þess má alltaf nálgast nýjustu útgáfu stefnunnar á vefsíðu Smáralindar, www.smaralind.is.

Persónuverndarstefna er endurskoðuð árlega eða oftar ef sérstök þörf krefur.

Persónuverndarstefna þessi er sett þann 17. september 2024.


Smáralind ehf.
Hagasmára 1,
201 Kópavogi

personuvernd@smaralind.is