Valmynd

Vöruflokkar Vöruflokkar

Gagnlegar upplýsingar Gagnlegar upplýsingar

Persónuvernd

         Ytri persónuverndarstefna Stoða hf.

Samþykkt: 23.05.2018

Tók gildi: 24.05.2018

Endurskoðun: 23.05.2019

  1. Almennt

Í starfsemi Stoða hf. (hér eftir „Stoð“ eða „fyrirtækið“) er nauðsynlegt að safna og vinna með persónuupplýsingar um einstaklinga.

Þær persónuupplýsingar sem fyrirtækið hefur undir höndum geta verið um núverandi og fyrrverandi starfsmenn félagsins, viðskiptavini þess, bæði einstaklinga og starfsmenn viðskiptavina (annarra fyrirtækja) og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.

Með þessari persónuverndarstefnu er kveðið á um hvernig Stoð vinni persónuupplýsingar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Persónuverndarstefnan er kaflaskipt. Fyrsti kaflinn snýr að almennum upplýsingum um persónuvernd, annar kafli kjarnastafsemi Stoða sem stoðtækjaþjónustu, þriðji kafli snýr að vefverslun á stod.is, fjórði kafli fjallar um almennar verklagsreglur sem gilda í starfsemi Stoða um meðferð persónuupplýsinga og fimmti kaflinn lýtur að upplýsingum sem æskilegt er að einstaklingar kynni sér, þar með talið tengiliðaupplýsingum persónuverndarfulltrúa Stoða.

 

1.1 Lög um persónuvernd og meðferð persónuupplýsinga

Í lögum um meðferð persónuupplýsinga nr. 90/2018 er kveðið á um hvernig fyrirtækjum sé heimilt að safna, geyma og meðhöndla persónuupplýsingar að öðru leyti. Gilda þær reglur óháð því á hvaða formi upplýsingar eru geymdar, svo sem hvort það er á rafrænu formi eða pappírsformi.

Ávallt þarf að vera heimild í lögum til að safna persónuupplýsingum. Slík söfnun verður að fara fram með sanngjörnum hætti. Þá má einungis geyma persónuupplýsingar á öruggum stað og óheimilt er að veita óviðkomandi aðila aðgang að þeim.

Stoð mun grípa til allra nauðsynlegra ráðstafana til að tryggja að ávallt sé heimild fyrir hendi til þess að vinna persónuupplýsingar. Auk þess mun fyrirtækið grípa til sömu ráðstafana til að tryggja að ávallt sé farið eftir þeim sex meginreglum sem löggjöfin kveður á um. Þær meginreglur sem átt er við eru í stuttu máli eftirfarandi:

  • að persónuupplýsingar séu unnar með sanngjörnum hætti;
  • að þeim sé einungis safnað í skýrum tilgangi;
  • að ekki sé safnað meiri upplýsingum en nauðsynlegt er;
  • að þær séu nákvæmar og uppfærðar þegar þörf krefur;
  • að þær séu ekki geymdar lengur en þörf er ;
  • að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.

 

  1. Kjarnastarfsemi Stoða hf.
  • Stoð - verslun

Kjarnastarfsemi Stoða hf. snýst um þjónustu við viðskiptavini fyrirtækisins, bæði hvað varðar stoðtækjaþjónustu Stoða og rekstur verslunar fyrirtækisins. Persónuupplýsingar sem unnar eru um viðskiptavini verslunar geta t.d. verið: Nafn, kennitala, netfang, símanúmer, viðskiptasaga og greiðsluupplýsingar.

  • Grundvöllur vinnslu persónuupplýsinga í verslun Stoða

Vinnsla persónuupplýsinga í verslun Stoða miðar að því að gera viðskiptavinum kleift að eiga viðskipti. Grundvöllur vinnslunnar er því b-liður 1. mgr. 6. gr. GDPR sem snýr að því að vinnslan sé nauðsynleg vegna samningssambands sem hinn skráði á aðild að eða þá að vinnslan sé nauðsynleg vegna ráðstafana sem nauðsynlegar eru til að undirbúa samningssamband að beiðni hins skráða.

  • Stoð - stoðtækjaþjónusta

Persónuupplýsingar sem unnar eru í starfsemi Stoða hf. sem stoðtækjaþjónustu snúa að því að aðstoða fólk eftir fremsta magni við að fá viðeigandi lausn. Með það markmið í huga þá þarf að vinna upplýsingar sem lúta að almennum upplýsingum um viðskiptavini verslunar sbr. það sem upptalið er í kafla 2.1. hér að framan. Auk þeirra almennu upplýsingar þarf að vinna upplýsingar sem snúa að heilsu og líkamlegu atgervi einstaklinga til að tryggja að markmiðið náist. Upplýsingar sem unnar eru í þeim tilgangi geta t.d. verið: Álagspunktar, hreyfanleiki liða, vöðvalengd, lengd fóta, göngufasar, skekkjufrávik og ýmis önnur mál, sem eingöngu eru unnin í þágu viðskiptavinarins og með það fyrir augum að veita honum viðeigandi lausn.

Slíkar upplýsingar eru vistaðar í Navision, auk þess sem þeim er hugsanlega deilt með þriðju aðilum sem sjá um smíði stoðtækja eða annars búnaðar til handa viðskiptavinum Stoða. Einnig kann að koma til að upplýsingum sé deilt með meðferðaraðilum og Sjúkratryggingum Íslands, til að halda utan um réttindi hins skráða til niðurgreiðslu á stoðtækjum.

  • Grundvöllur vinnslu persónuupplýsinga vegna stoðtækjaþjónustu

Grundvöllur verður að vera fyrir allri vinnslu persónuupplýsinga og í starfsemi Stoða ver byggt á samningi sem grundvelli almennra persónuupplýsinga í sambandi við stoðtækjaþjónustu fyrirtækisins. Hvað varðar upplýsingar um heilsufar og líkamlegt atgervi er vinnslan grundvölluð á heimild í h-lið 2. mgr. 9. gr. GDPR sem fjallar um nauðsyn þess að vinna viðkvæmar persónuupplýsingar til að láta hinum skráða í té ummönnun eða meðferð á sviði heilbrigðisþjónustu. Þar sem upplýsingum er deilt með Sjúkratryggingum Íslands er vinnslan grundvölluð á b-lið 2. mgr. 9. gr. GDPR og miðar að því að gera hinum skráða kleift að nýta sér réttindi sín samkvæmt löggjöf um almannatryggingar.

 

  1. Vefverslun
  • Notendaupplýsingar

Í vefverslun Stoða er nauðsynlegt að safna grunn upplýsingum til að auðkenna viðskiptavini og gera þeim kleift að nýta möguleikana sem vefverslunin býður upp á. Almennur tilgangur vefverslunarinnar er að gera viðskiptavinum kleift að kynna sér og kaupa vörur með þægilegum hætti, án þess að þurfa að mæta í persónu í verslun Stoða. Til að gera Stoð kleift að veita þjónustuna þarf að safna upplýsingum um t.d. (nafn, netfang, kennitala, símanúmer, netfang, vörur sem verslaðar hafa verið og IP tölu.) 

  • Grundvöllur vinnslu persónuupplýsinga vegna vefverslunar

Grundvöllur verður að vera fyrir allri vinnslu persónuupplýsinga og í starfsemi Stoða ver byggt á samningi sem grundvelli almennra persónuupplýsinga í sambandi við stoðtækjaþjónustu fyrirtækisins. Hvað varðar upplýsingar um heilsufar og líkamlegt atgervi er vinnslan grundvölluð á heimild í h-lið 2. mgr. 9. gr. GDPR sem fjallar um nauðsyn þess að vinna viðkvæmar persónuupplýsingar til að láta hinum skráða í té ummönnun eða meðferð á sviði heilbrigðisþjónustu. Þar sem upplýsingum er deilt með Sjúkratryggingum Íslands er vinnslan grundvölluð á b-lið 2. mgr. 9. gr. GDPR og miðar að því að gera hinum skráða kleift að nýta sér réttindi sín samkvæmt löggjöf um almannatryggingar.

 

  • Vefkökur

Vefkökum er skipt í vefkökur fyrsta aðila, annars vegar, sem er Stoð og vefkökur þriðja aðila, hins vegar. Vefkökur fyrsta aðila eru eingöngu til þess að heimasíða Stoða geti virkað. Vefkökur þriðja aðila eru notaðar til greiningar á umferð á heimasíðu Stoða. Þeim er safnað af (Google). Stoð hefur ekki aðgang að persónuupplýsingum í vefkökum þriðju aðila.

 

  • Póstlisti

Hægt er að skrá sig á póstlista Stoða á heimasíðu fyrirtækisins. Netföng sem skráð eru á listan eru ekki afhend öðrum ábyrgðaraðilum.

  • Grundvöllur vinnslu persónuupplýsinga vegna póstlista

Vinnsla persónuupplýsinga vegna póstlista grundvallast á lögmætum hagsmunum Stoða til að markaðssetja sig til einstaklinga sem hafa skráð sig á póstlista. Enginn verður skráður á póstlista öðruvísi en að netfangið sé skráð í þar til gerðan glugga á heimasíðu fyrirtækisins eða með því að haka við að vilja vera á póstlista við skráningu í vefverslun.

 

  1. Almennar verklagsreglur varðandi meðferð persónuupplýsinga

 

Eftirfarandi verklagsreglur sem varða meðferð persónuupplýsinga gilda hjá Stoð:

  • Einungis þeir starfsmenn sem þurfa þess starfs sín vegna skulu hafa aðgang að persónuupplýsingum.
  • Allir starfsmenn Stoða eru bundnir trúnaði um þær persónuupplýsingar sem þeir meðhöndla í starfi sínu. Sá trúnaður helst þótt látið sé af starfi.
  • Starfsmönnum er óheimilt að deila persónuupplýsingum sín á milli óformlega.
  • Starfsmenn fá reglulega fræðslu um þær skyldur sem á þeim hvíla samkvæmt lögum um meðferð persónuupplýsinga.
  • Aldrei skal deila persónuupplýsingum með óviðkomandi aðilum. Gildir þar einu hvort um sé að ræða annan starfsmann fyrirtækisins eða utanaðkomandi aðila.

 

 

  1. Upplýsingar til einstaklinga

Markmið Stoða er að einstaklingar séu meðvitaðir um að fyrirtækið vinni persónuupplýsingar um þá og að þeir skilji hvernig fyrirtækið notar upplýsingar um þá og í hvaða tilgangi. Þar að auki vill Stoð tryggja að allir einstaklingar skilji hvernig þeir geta leitað réttar síns. Réttindi einstaklinga lúta að því að fá að vita hvort fyrirtækið vinnur persónuupplýsingar um þá, í vissum tilfellum eiga einstaklingar rétt á að fá aðgang að þeim persónuupplýsingum sem Stoð hefur um einstaklinga, auk þessa geta einstaklingar átt rétt á að fá óáreiðanlegar upplýsingar um sig leiðréttar og takmarka vinnslu persónuupplýsinga.

Þegar slíkar beiðnir berast mun Stoð grípa til allra nauðsynlegra ráðstafana til að tryggja að um sé að ræða réttan aðila. Beiðnin skal vera einstaklingum að kostnaðarlausu og mun Stoð veita framangreindar upplýsingar innan þeirra tímamarka sem lög um meðferð persónuupplýsinga kveða á um.

Til að óska eftir frekari upplýsingum um vinnslu persónuupplýsinga hjá Stoð geta einstaklingar haft samband við persónuverndarfulltrúa fyrirtækisins sem er:

Dattaca Labs, Grandagarði 16, 101 Reykjavík. Netfangið er dpo@dattacalabs.com og símanúmerið er: 517-3444.