Persónuverndarstefna Smáralindar

lnngangur

Smáralind ehf. (hér eftir „Smáralind“) í hlutverki sínu sem ábyrgðaraðili kappkostar að tryggja vernd persónuupplýsinga og að vinnsla þeirra sé í samræmi við persónuverndarlög og reglur. Persónuverndarstefna þessi tekur til söfnunar og vinnslu persónuupplýsinga í samskiptum Smáralindar við viðskiptavini sína. Tilgangur hennar er að upplýsa viðskiptavini Smáralindar um hvernig og hvers vegna persónuupplýsingum er safnað og hvernig þær eru meðhöndlaðar.

Hvað eru persónuupplýsingar

Persónuupplýsingar eru hvers kyns persónugreindar eða persónugreinanlegar upplýsingar sem rekja má beint eða óbeint til tiltekins einstaklings. Dæmi um persónuupplýsingar eru nöfn, kennitölur, netföng, símanúmer o.s.frv. Ópersónugreinanleg gögn teljast þar af leiðandi ekki til persónuupplýsinga. 

Í hvaða tilgangi vinnur Smáralind persónuupplýsingar?

Í flestum tilvikum er upplýsingunum safnað beint frá viðskiptavinum Smáralindar. Megintilgangur með vinnslu persónuupplýsinga er að inna af hendi þjónustu sem viðskiptavinir óska eftir. Dæmi um tilgang með slíkri upplýsingasöfnum eru: 

  • að senda viðskiptavinum sem skrá netfang sitt á póstlista Smáralindar upplýsingar um tilboð eða atburði á vegum Smáralindar.
  • að gefa út gjafakort sem viðskiptavinir hafa keypt á heimasíðu Smáralindar eða á þjónustuborði. 
  • að lána barnakerrur og hjólastóla sem hægt er að nálgast á þjónustuborði Smáralindar.
  • að eiga samskipti við viðskiptavini Smáralindar í gegnum netfangið smaralind@smaralind.is
  • að grípa til nauðsynlegra aðgerða ef við á vegna tjóna og þjófnaða í Smáralind, m.a. með öryggismyndavélavöktun. 
  • að taka á móti styrkbeiðnum sem berast í gegnum heimasíðu Smáralindar. 
  • að greina heimsóknir á heimasíðu Smáralindar 
  • skráning IP-talna þegar viðskiptavinir skrá sig inn á þráðlaust net Smáralindar (e. wifi), en þær upplýsingar eru ekki notaðar í markaðslegum tilgangi. 
  • að búa til viðburði á samfélagsmiðlum, t.d. á Facebook-síðu Smáralindar, svo sem gjafaleiki, þar sem einstaklingar geta líkað við eða sett athugasemdir sínar á stöðuuppfærslu og átt þannig möguleika á að vinna t.d. gjafakort Smáralindar.

Hvaða heimildir hefur Smáralind fyrir vinnslu Persónuupplýsinga.

  • Heimildir Smáralindar fyrir vinnslu persónuupplýsinga byggja ýmist á samningi, samþykki, lögum eða lögmætum hagsmunum. Nánar tiltekið eru heimildir vegna vinnslu persónuupplýsinga sem hér segir.
  • Framkvæmd samnings um kaup viðskiptavina á gjafakortum en skráning persónuupplýsinga er nauðsynleg í þeim tilfellum til að inna af hendi umbeðna þjónustu. 
  • Skráning á póstlista Smáralindar er framkvæmd á grundvelli samþykkis viðskiptavinar.
  • Smáralind hefur auk þess lögmæta hagsmuni af því að viðhalda skrá yfir einstaklinga sem skráðir eru á póstlista Smáralindar og uppfæra hana í samræmi við skráningar og afskráningar einstaklinga af póstlista Smáralindar. 
  • Vinnsla persónuupplýsinga í tengslum við móttöku og svörum fyrirspurna frá einstaklingum, þ.m.t. styrkbeiðnir, er framkvæmd á grundvelli samþykkis einstaklingsins sem hefur samband við Smáralind. 
  • Smáralind hefur lögmæta hagsmuni af því að halda utan um hverjir hafa fengið lánaðar barnakerrur og hjólastóla í eigu Smáralindar til að geta gengið eftir kerrum og hjólastólum sé þeim ekki skilað. 

 

Einstaklingar sem skrá sig inn á þráðlaust net Smáralindar samþykkja þar með vinnslu persónuupplýsinga sem safnast við slíka skráningu. •  Vinnsla persónuupplýsinga í tengslum við þjófnað eða tjón í Smáralind, þ.m.t. öryggismyndavélaeftirlit, er framkvæmt á grundvelli lögmætra hagsmuna Smáralindar í öryggis- og eignavörsluskyni. 

Í sumum tilvikum kann að koma til vinnslu viðkvæmra upplýsinga. Vinnsla viðkvæmra persónuupplýsinga getur í slíkum tilvikum verið nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur.

Hvernig og hversu lengi eru persónuupplýsingar varðveittar?

Smáralind varðveitir persónuupplýsingar á öruggan hátt og í samræmi við gildandi lög og reglur um persónuvernd, þ.m.t. Persónuverndar um rafræna vöktun. Gerðar hafa verið tæknilegar og skipulagslegar ráðstafanir til að verja persónuupplýsingar gegn t.d. eyðingu eða óheimilum aðgangi.
Smáralind varðveitir persónuupplýsingar samkvæmt þessari persónuverndarstefnu eins lengi og nauðsynlegt er til að uppfylla tilganginn með vinnslu þeirra. Í eftirfarandi töflu er viðmiðum um varðveislutíma fyrir hverja tegund vinnslu nánar lýst:

 

 Vinnsla

Varðveislutími (viðmið)

Útgáfa gjafakorta

 Persónuupplýsingar tengdum kaupum á gjafakortum eru varðveittar þar til öllum gjafakortum viðskiptavinar er eytt.
Póstlisti Smáralindar Viðskiptavinir eru skráðir á póstlista Smáralindar þar til þeir afskrá sig.
Móttaka og afgreiðsla styrkbeiðna Styrkbeiðnir sem leiða til þess að styrkur er veittur eru varðveittar í kerfum Smáralindar í samræmi við ákvæði bókhaldslaga. Styrkbeiðnir þeirra sem ekki fá jákvætt svar eru varðveittar í kerfum Smáralindar eins lengi og nauðsynlegt er miðað við tilgang vinnslunnar hverju sinni, þó ekki lengur en 12 mánuði.
Almenn móttaka og svörun skilaboða í tölvupósti Almenn samskipti í tölvupósti eru varðveitt eins lengi og nauðsynlegt er miðað við tilgang vinnslunnar.

Utanumhald með útlánum á barnakerrum og hjólastólum

Persónuupplýsingum í tengslum við útlán á barnakerrum og hjólastólum er eytt í lok hvers dags.

Mál vegna tjóna og/eða þjófnaðar

Myndefni úr öryggismyndavélum er varðveitt í fjórar vikur. Myndefni sem nota þarf vegna sönnunar í lögreglumálum er varðveitt þar til lögreglu hefur verið afhent myndefnið.

Undanskilið frá framangreindum viðmiðum eru bókhaldsgögn, en slík gögn eru varðveitt í sjö ár frá lokum viðkomandi reikningsárs, í samræmi við lög um bókhald. Frá framangreindum viðmiðum eru einnig undanskilin gögn sem félaginu kann að vera skylt að varðveita lengur á grundvelli lagaskyldu, vegna málaferla, að beiðni yfirvalda eða á öðrum sambærilegum grundvelli.

Hverjir geta verið viðtakendur persónuupplýsinga?

Smáralind kann að miðla persónuupplýsingum samkvæmt persónuverndarstefnu þessari til ráðgjafa og þjónustuaðila, t.d. þeim sem hýsa hugbúnaðarkerfin sem notuð eru hjá félaginu og þeim sem sinna úfgáfu gjafakorta. Ráðgjafar og þjónustuaðilar þessir eru bundnir trúnaði. Í tengslum við slíka miðlun er engum persónuupplýsingum miðlað út fyrir EES-svæðið, nema þegar stuðst er við MailChimp til að senda upplýsingar um tilboð og atburði með tölvupósti til meðlima á póstlista Smáralindar, en þá er viðtakandi persónuupplýsinga The Rocket Science Group LLC d/b/a MailChimp sem staðsett er í Bandaríkjunum og fylgir EU-U.S. Privacy Shield regluverkinu.

Smáralind kann að afhenda löggæsluyfirvöldum og öðrum bærum þriðju aðilum persónuupplýsingar um viðskiptavini sína ef það er nauðsynlegt, svo sem vegna réttarkrafna eða samkvæmt lögum.

Þá kann Smáralind að afhenda persónuupplýsingar til þriðja aðila í tengslum við samruna, yfirtöku, félagsslit og önnur sambærileg tilvik.

Hver eru réttindi einstaklinga?

Einstaklingar samkvæmt þessari persónuverndarstefnu eiga rétt á að fá upplýsingar um og aðgang að persónuupplýsingum um þá sjálfa sem Smáralind hefur með höndum. Þeir eiga enn fremur rétt á að afturkalla samþykki sitt fyrir vinnslu persónuupplýsinga sem byggð er á samþykki hvenær sem er. Þeir eiga einnig rétt á að óska eftir að láta leiðrétta, í sumum tilvikum eyða eða takmarka vinnslu slíkra persónuupplýsinga eða andmæla slíkri vinnslu. Í ákveðnum tilvikum geta einstaklingar átt rétt á að fá persónuupplýsingar sínar sem þeir láta Smáralind í té fluttar til annars ábyrgðaraðila. Framangreindum réttindum kunna þó að vera sett takmörk í gildandi lögum og reglum.

Frekari spurningum um réttindi einstaklinga eða vinnslu Smáralindar á persónuupplýsingum skal vinsamlegast beint til personuvernd@smaralind.is. Telji einstaklingar að vinnsla Smáralindar á persónuupplýsingum samrýmist ekki gildandi persónuverndarlögum er þeim bent á að hægt er að leggja fram kvörtun hjá lögbæru eftirlitsstjórnvaldi, s.s. Persónuvernd.

Kökur (e. cookies)

Kökur eru litlar textaskrár sem eru vistaðar á tölvu eða snjalltæki þegar einstaklingur heimsækir vefsíðu Smáralindar. Allar persónuupplýsingar sem kunna að verða til við notkun á kökum eru meðhöndlaðar í samræmi við persónuverndarlög og reglur. Kökur eru m.a. notaðar til að mæla umferð um heimasíðu Smáralindar og til þess að bæta þjónustu notenda. Eftirfarandi upplýsingum er safnað á vef Smáralindar:

  • Fjöldi gesta á heimasíðu
  • Lengd heimsókna á heimasíðu
  • Tími og dagsetning heimsóknar á vefsíðunni
  • Vefaðsókn af vefborðum og samfélagsmiðlum inn á tiltekna hluta heimasíðunnar
  • Hvaða efni er skoðað á síðunni og hversu oft
  • Aldursbil, kyn og landfræðileg staðsetning notenda
  • Tegund vafra, stýrikerfa og tækja sem notendur notast við á síðunni

Breytingar

Smáralind áskilur sér rétt til að breyta persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Allar breytingar verða birtar á heimasíðu Smáralindar, www.smaralind.is, þegar uppfærð útgáfa hefur verið birt á heimasíðunni.

Persónuverndarstefna þessi er sett þann 16. ágúst 2018 af Smáralind ehf.