Persónuvernd
Ytri persónuverndarstefna Stoða hf.
Samþykkt: 23.05.2018
Tók gildi: 24.05.2018
Endurskoðun: 15.11.2021
Almennt
Í starfsemi Stoða ehf. (hér eftir „Stoð“ eða „fyrirtækið“) er nauðsynlegt að safna og vinna með persónuupplýsingar um einstaklinga.
Þær persónuupplýsingar sem fyrirtækið hefur undir höndum geta verið um núverandi og fyrrverandi starfsmenn félagsins, viðskiptavini þess, bæði einstaklinga og starfsmenn viðskiptavina (annarra fyrirtækja) og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.
Með þessari persónuverndarstefnu er kveðið á um hvernig Stoð vinnur persónuupplýsingar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Lögin innleiða reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB ( hér eftir „GDPR“). Persónuverndarstefnan er kaflaskipt. Fyrsti kaflinn snýr að almennum upplýsingum um persónuvernd, annar kafli kjarnastafsemi Stoða sem stoðtækjaþjónustu, þriðji kafli snýr að vefverslun félagsins sem hýst er á stod.is, fjórði kafli fjallar um almennar verklagsreglur sem gilda í starfsemi Stoða um meðferð persónuupplýsinga og fimmti kaflinn lýtur að upplýsingum sem æskilegt er að einstaklingar kynni sér, þar með talið tengiliðaupplýsingum persónuverndarfulltrúa Stoða.
Lög um persónuvernd og meðferð persónuupplýsinga
Í lögum um meðferð persónuupplýsinga nr. 90/2018 er kveðið á um hvernig fyrirtækjum sé heimilt að safna, geyma og meðhöndla persónuupplýsingar að öðru leyti. Gilda þær reglur óháð því á hvaða formi upplýsingar eru geymdar, svo sem hvort það er á rafrænu formi eða pappírsformi.
Ávallt þarf að vera heimild í lögum til að safna persónuupplýsingum. Slík söfnun verður að fara fram með sanngjörnum hætti. Þá má einungis geyma persónuupplýsingar á öruggum stað og óheimilt er að veita óviðkomandi aðila aðgang að þeim.
Stoð mun tryggja að að ávallt sé heimild fyrir hendi til þess að vinna persónuupplýsingar. Stoð fylgir eftirfarandi meginreglum sem byggðar eru á persónuverndarlöggjöfinni. Þær meginreglur eru eftirfarandi:
- að persónuupplýsingar séu unnar með sanngjörnum hætti
- að þeim sé einungis safnað í skýrum tilgangi
- að ekki sé safnað meiri upplýsingum en nauðsynlegt er
- að þær séu nákvæmar og uppfærðar þegar þörf krefur
- að þær séu ekki geymdar lengur en þörf er
- að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum
Kjarnastarfsemi Stoða ehf.
Stoð - verslun
Kjarnastarfsemi Stoða ehf. snýst um þjónustu við viðskiptavini fyrirtækisins, bæði hvað varðar stoðtækjaþjónustu Stoða og rekstur verslunar fyrirtækisins. Persónuupplýsingar sem unnar eru um viðskiptavini verslunar geta t.d. verið: Nafn, kennitala, netfang, símanúmer, viðskiptasaga og greiðsluupplýsingar.
Vinnsla persónuupplýsinga í verslun Stoða miðar að því að gera viðskiptavinum kleift að eiga viðskipti. Grundvöllur vinnslunnar er b-liður 1. mgr. 6. gr. GDPR sem snýr að því að vinnslan er nauðsynleg vegna samningssambands sem hinn skráði á aðild að eða þá að vinnslan sé nauðsynleg vegna ráðstafana sem nauðsynlegar eru til að undirbúa samningssamband að beiðni hins skráða.
Stoð - stoðtækjaþjónusta
Persónuupplýsingar sem unnar eru í starfsemi Stoða sem stoðtækjaþjónustu snúa að því að aðstoða fólk eftir fremsta magni við að fá viðeigandi lausn. Af því leiðir að vinna þarf upplýsingar sem lúta að almennum upplýsingum um viðskiptavini verslunar sbr. það sem upptalið er í kafla 2.1. hér að framan. Auk þeirra almennu upplýsingar þarf að vinna upplýsingar sem snúa að heilsu og líkamlegu atgervi einstaklinga til að tryggja að markmiðið náist. Upplýsingar sem unnar eru í þeim tilgangi geta t.d. verið: Álagspunktar, hreyfanleiki liða, vöðvalengd, lengd fóta, göngufasar, skekkjufrávik og ýmis önnur mál, sem eingöngu eru unnin í þágu viðskiptavinarins og með það fyrir augum að veita honum viðeigandi lausn.
Slíkar upplýsingar eru vistaðar í Navision, auk þess sem þeim er hugsanlega deilt með þriðju aðilum sem sjá um smíði stoðtækja eða annars búnaðar til handa viðskiptavinum Stoða. Einnig kann að koma til að upplýsingum sé deilt með meðferðaraðilum og Sjúkratryggingum Íslands, til að halda utan um réttindi hins skráða til niðurgreiðslu á stoðtækjum.
Grundvöllur verður að vera fyrir allri vinnslu persónuupplýsinga og í starfsemi Stoða er byggt á samningi sem grundvelli almennra persónuupplýsinga í sambandi við stoðtækjaþjónustu fyrirtækisins. Hvað varðar upplýsingar um heilsufar og líkamlegt atgervi er vinnslan grundvölluð á heimild í h-lið 2. mgr. 9. gr. GDPR sem fjallar um nauðsyn þess að vinna viðkvæmar persónuupplýsingar til að láta hinum skráða í té ummönnun eða meðferð á sviði heilbrigðisþjónustu. Þar sem upplýsingum er deilt með Sjúkratryggingum Íslands er vinnslan grundvölluð á b-lið 2. mgr. 9. gr. GDPR og miðar að því að gera hinum skráða kleift að nýta sér réttindi sín samkvæmt löggjöf um almannatryggingar.
Stoð - Vefverslun
Í vefverslun Stoða er nauðsynlegt að safna grunnupplýsingum til að auðkenna viðskiptavini og gera þeim kleift að nýta möguleikana sem vefverslunin býður upp á. Almennur tilgangur vefverslunarinnar er að gera viðskiptavinum kleift að kynna sér og kaupa vörur með þægilegum hætti, án þess að þurfa að mæta í persónu í verslun Stoða. Til að gera Stoð kleift að veita þjónustuna þarf að safna upplýsingum um t.d. (nafn, netfang, kennitala, símanúmer, netfang, vörur sem verslaðar hafa verið og IP tölu.)
Grundvöllur verður að vera fyrir allri vinnslu persónuupplýsinga og í starfsemi Stoða er byggt á samningi sem grundvelli almennra persónuupplýsinga í sambandi við stoðtækjaþjónustu fyrirtækisins. Hvað varðar upplýsingar um heilsufar og líkamlegt atgervi er vinnslan grundvölluð á heimild í h-lið 2. mgr. 9. gr. GDPR sem fjallar um nauðsyn þess að vinna viðkvæmar persónuupplýsingar til að láta hinum skráða í té ummönnun eða meðferð á sviði heilbrigðisþjónustu. Þar sem upplýsingum er deilt með Sjúkratryggingum Íslands er vinnslan grundvölluð á b-lið 2. mgr. 9. gr. GDPR og miðar að því að gera hinum skráða kleift að nýta sér réttindi sín samkvæmt löggjöf um almannatryggingar.
Vefverslun Stoða notar vefkökur. Vefkökum er skipt í vefkökur fyrsta aðila, annars vegar, sem er Stoð og vefkökur þriðja aðila, hins vegar. Vefkökur fyrsta aðila eru eingöngu til þess að heimasíða Stoða geti virkað. Vefkökur þriðja aðila eru notaðar til greiningar á umferð á heimasíðu Stoða. Þeim er safnað af Google. Stoð hefur ekki aðgang að persónuupplýsingum í vefkökum þriðju aðila.
Stoð býður viðskiptavinum uppá að skrá sig á póstlista Stoða á heimasíðu fyrirtækisins. Netföng sem skráð eru á listan eru ekki afhend öðrum ábyrgðaraðilum. Vinnsla persónuupplýsinga vegna póstlista grundvallast á lögmætum hagsmunum Stoða til að markaðssetja vörur til einstaklinga sem hafa skráð sig á póstlista. Enginn verður skráður á póstlista öðruvísi en að netfangið sé skráð í þar til gerðan glugga á heimasíðu fyrirtækisins eða með því að haka við að vilja vera á póstlista við skráningu í vefverslun.
Almennar verklagsreglur varðandi meðferð persónuupplýsinga
Eftirfarandi verklagsreglur sem varða meðferð persónuupplýsinga gilda hjá Stoð:
Einungis þeir starfsmenn sem þurfa þess starfs sín vegna skulu hafa aðgang að persónuupplýsingum.Allir starfsmenn Stoða eru bundnir trúnaði um þær persónuupplýsingar sem þeir meðhöndla í starfi sínu. Sá trúnaður helst þótt látið sé af starfi.
Starfsmönnum er óheimilt að deila persónuupplýsingum sín á milli óformlega.
Starfsmenn fá reglulega fræðslu um þær skyldur sem á þeim hvíla samkvæmt lögum um meðferð persónuupplýsinga.
Aldrei skal deila persónuupplýsingum með óviðkomandi aðilum. Gildir þar einu hvort um sé að ræða annan starfsmann fyrirtækisins eða utanaðkomandi aðila.
Upplýsingar til einstaklinga
Markmið Stoða er að einstaklingar séu meðvitaðir um að fyrirtækið vinni persónuupplýsingar um þá og að þeir skilji hvernig fyrirtækið notar upplýsingar um þá og í hvaða tilgangi. Þar að auki vill Stoð tryggja að allir einstaklingar skilji hvernig þeir geta leitað réttar síns. Réttindi einstaklinga lúta að því að fá að vita hvort fyrirtækið vinnur persónuupplýsingar um þá, í vissum tilfellum eiga einstaklingar rétt á að fá aðgang að þeim persónuupplýsingum sem Stoð hefur um einstaklinga, auk þessa geta einstaklingar átt rétt á að fá óáreiðanlegar upplýsingar um sig leiðréttar og takmarka vinnslu persónuupplýsinga.
Þegar slíkar beiðnir berast mun Stoð grípa til allra nauðsynlegra ráðstafana til að tryggja að um sé að ræða réttan aðila. Beiðnin skal vera einstaklingum að kostnaðarlausu og mun Stoð veita framangreindar upplýsingar innan þeirra tímamarka sem lög um meðferð persónuupplýsinga kveða á um.
Til að óska eftir frekari upplýsingum um vinnslu persónuupplýsinga hjá Stoð geta einstaklingar haft samband við persónuverndarfulltrúa fyrirtækisins sem er:
Kristín Lára Helgadóttir, lögfræðingur Veritas. Netfang: personuvernd@stod.is