Persónuverndarstefna

PERSÓNUVERNDARSTEFNA

PFAFF HF.

PFAFF hf. (hér eftir nefnt PFAFF eða fyrirtækið), leggur mikla áherslu á að meðferð persónuupplýsinga sé í samræmi við gildandi persónuverndarlöggjöf. PFAFF er ábyrgðaraðili vinnslu persónuupplýsinga sem fram fer af hálfu fyrirtækisins.

Pfaff hf., kt.500269-6699

Grensásvegi 13, 108 Reykjavík

pfaff@pfaff.is

414-0400

Persónuverndarstefnan veitir yfirlit yfir þær persónuupplýsingar sem fyrirtækið safnar um einstaklinga vegna starfsemi sinnar. Þá er látið í ljósi í hvaða tilgangi upplýsinganna er aflað. Að auki er fjallað um aðra viðtakendur upplýsinganna og hvað fyrirtækið geymir þær lengi. Í stefnunni er fjallað um grundvöll upplýsingasöfnunar fyrirtækisins og hvaða réttinda einstaklingar njóta. Þá er í stefnunni að finna ýmsar frekari upplýsingar sem tengjast lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Stefnan er unnin í samræmi við kröfur sem gerðar eru í ákvæðum laga nr. 90/2018 til ábyrgðaraðila. Er uppbyggingu umfjöllunarefna stefnunnar þannig háttað að í henni er í grundvallaratriðum leitast við að svara eftirfarandi spurningum:

  1. Hver er persónuverndarfulltrúi fyrirtækisins?

  2. Hvers vegna safnar fyrirtækið persónuupplýsingum og um hverja?

  3. Hvenær er unnið með persónuupplýsingar?

  4. Hvaða upplýsingum er safnað?

  5. Hvaða heimildir styðst upplýsingasöfnunin við?

  6. Hve lengi eru upplýsingarnar geymdar?

  7. Frá hverjum er upplýsingunum safnað?

  8. Er upplýsingunum miðlað til þriðju aðila og þá af hverju - eru upplýsingarnar fluttar út fyrir Evrópska efnahagssvæðið?

  9. Hver eru réttindi þeirra einstaklinga sem upplýsinga er safnað um hvernig geta menn leitað réttar síns ef þeir eru óánægðir?

  10. Er öryggi upplýsinganna gætt?

1. Persónuverndarfulltrúi fyrirtækisins er:

Birgir Kristmannsson

Gullakri 1, 210 Garðabær

bk@pfaff.is

2. Fyrirtækið safnar persónuupplýsingum af eftirfarandi ástæðum og um eftirgreinda:

PFAFF er fjölskyldufyrirtæki sem annast smásölu á heimilistækjum. Eins og í tilviki annarra fyrirtækja á smásölumarkaði er markaðssetning hluti af daglegum viðfangsefnum fyrirtækisins.

Í daglegri starfsemi á fyrirtækið samskipti við viðskiptavini, starfsmenn og aðra einstaklinga og þarf af þeim sökum oft að skrá og vinna upplýsingar um þá. Slík skráning og vinnsla er fyrirtækinu nauðsynleg til að sinna eðlilegum rekstri og geta haft samskipti við viðskiptavini og sinnt markaðssetningu með nútímalegum hætti.

Þær persónuupplýsingar sem fyrirtækið getur haft undir höndum varða hvað helst starfsmenn þess, viðsemjendur, viðskiptavini, þá sem skrá sig á póstlista fyrirtækisins og aðra þriðju aðila sem fyrirtækinu er nauðsynlegt að eiga samskipti við.

Í stuttu máli er tilgangur fyrirtækisins með söfnun upplýsinganna að:

  • Geta efnt samningsskyldu, til dæmis við starfsmenn og viðskiptavini.

  • Gæta að lögmætum hagsmunum fyrirtækisins, svo sem með rafrænu eftirliti

  • Gæta að lögmætum hagsmunum annarra.

  • Uppfylla lagaskyldu.

3. Fyrirtækið aflar persónuupplýsinga með eftirfarandi hætti:

Í flestum tilvikum fær fyrirtækið persónuupplýsingar beint frá þér þegar:

  • þú leitar til fyrirtækisins, t.d. með tölvupósti eða símtali, vegna mögulegra viðskipta, sendir inn fyrirspurn eða ábendingu, m.a. í gegnum vefsíðu fyrirtækisins, með bréfpósti, tölvupósti eða ef þú heimsækir fyrirtækið,

  • þú hefur skráð þig á póstlista á vegum fyrirtækisins,

  • þú hefur stofnað aðgang á netverslun fyrirtækisins,

  • þú hefur sótt um starf hjá okkur, þ.á.m. sumarstarf,

  • fyrirtækið á í viðskiptum við þig,

  • þú hefur óskað eftir aðgangi að persónuupplýsingum um það samkvæmt ákvæðum laga nr. 90/2018.

Fyrirtækið tekur einnig við persónuupplýsingum frá öðrum en þér sjálfri/sjálfum í eftirfarandi tilvikum:

  • Fyrirtækið hefur átt í samskiptum við fyrirtæki eða stjórnvald sem þú starfar fyrir og viðkomandi aðili hefur gefið upp persónuupplýsingar þínar í svari sínu.

  • Persónuupplýsingar um þig koma fram í tilkynningu um öryggisbrest.

  • Sá sem beinir kvörtun eða öðru erindi til fyrirtækisins vísar til þín í samskiptum sínum við fyrirtækið.

  • Þú kemur fram fyrir hönd fyrirtækis eða stjórnvalds.

  • Umsækjandi um starf vísar til þín sem meðmælanda.

4. Fyrirtækið safnar eftirfarandi upplýsingum:

PFAFF safnar ólíkum persónuupplýsingum um mismunandi hópa einstaklinga eftir því hvaða starfsemi fyrirtækisins er um að ræða. Undir öllum kringumstæðum leitast fyrirtækið við að safna einvörðungu þeim persónuupplýsingum sem nauðsynlegar eru með hliðsjón af tilgangi vinnslunnar. Meðal þeirra upplýsinga sem fyrirtækið safnar eru nauðsynlegar upplýsingar um:

  • Starfsfólk, svo sem upplýsingum um nafn, kennitölu, heimilisfang, símanúmer, samskipti, viðveru, laun og fleira.

  • Tengiliðaupplýsingum, svo sem nafni og netfangi, um starfsmenn viðskiptavina og aðra þriðju aðila.

  • Upplýsingum um viðskiptavini þegar við á, til dæmis nafni, kennitölu, netfangi, símanúmeri, heimilisfangi og upplýsingum um efni pöntunar.

  • Upplýsingum um netföng þeirra sem skrá sig á póstlista.

  • Myndefni úr eftirlitsmyndavélum þar sem finna má persónuupplýsingar.

PFAFF notar vefgreiningarforrit til að greina notkun á vefsíðu fyrirtækisins. Tilgangur þess er að fá fram tölfræðiupplýsingar sem notaðar eru til að betrumbæta og þróa vefsíðuna og þær upplýsingar sem þar eru birtar. Þessar upplýsingar varpa til dæmis ljósi á það hversu margir notendur opna tilteknar undirsíður á vefsíðunni, hversu lengi þær eru skoðaðar, hvaða efni notendur leita að í leitarvélinni á síðunni, frá hvaða vefsíðum notendur koma inn á síðuna og hvers konar vafra þeir nota til að skoða hana.

Til þess að vinna þessar upplýsingar er notast við IP-tölur notenda, en áður en vinnslan fer fram er hluti IP-tölunnar afmáður og þar með eru upplýsingarnar gerðar ópersónugreinanlegar þannig að ekki verður lengur mögulegt að rekja þær til tiltekinna notenda vefsíðunnar. Aðeins fyrstu þrír hlutar IP-tölunnar eru notaðir til þess að taka saman tölfræðiupplýsingar, sbr. framangreint. Sem dæmi má nefna að ef IP-talan er 195.159.103.82 þá er notast við töluna 195.159.103.xx. Þá er ekki unnið með hverja IP-tölu fyrir sig heldur eru gögnin að baki IP-tölum notenda vefsíðunnar sameinuð áður en þau eru unnin.

Sú vinnsla persónuupplýsinga sem fram fer í tengslum við vefgreiningu á vefsíðu PFAFF, sbr. framangreint, styðst við heimild í f-lið 1. mgr. 6. gr. persónuverndarreglugerðar (ESB) 2016/679, sbr. 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, en samkvæmt þessum ákvæðum er heimilt að vinna með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Hinir lögmætu hagsmunir eru hér fólgnir í því að Persónuvernd geti veitt notendum vefsíðunnar betri þjónustu og sinnt fræðslu- og leiðbeiningarhlutverki sínu betur.

Vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvunni þinni eða í öðrum snjalltækjum þegar þú heimsækir vefsíðu. Vefkökur frá fyrsta aðila (e. first-party cookies) koma frá sama léni og vefsíðan sem þú heimsækir (í þessu tilviki pfaff.is), á meðan vefkökur frá þriðja aðila (e. third-party cookies) eru vefkökur sem koma frá öðrum lénum. Vefsíða PFAFF notar þær vefkökur frá fyrsta aðila sem nauðsynlegar eru fyrir virkni vefsins. Þá eru vefkökur jafnframt notaðar í þágu vefgreiningar.

5. Upplýsingaöflun fyrirtækisins byggist á:

Samþykki þínu fyrir upplýsingasöfnuninni, að hún teljist nauðsynleg til að efna samning sem þú ert aðili að, brýnum hagsmunum þínum eða annars einstaklings, lögmætum hagsmunum fyrirtækisins eða þriðja manns sem ekki vega þyngra en grundvallarréttindi og frelsi þitt eða lagaskyldu sem hvílir á fyrirtækinu.

6. Fyrirtækið geymir persónuupplýsingar:

Persónuupplýsingar varðveitir fyrirtækið einvörðungu svo lengi sem það er því nauðsynlegt að hafa þær undir höndum. Þegar fyrirtækinu er ekki lengur er þörf á persónuupplýsingum er þeim eytt með öruggum hætti. 

7. Fyrirtækið safnar persónuupplýsingum:

Fyrirtækið safnar upplýsingum frá þér.

Ef til þess kæmi að fyrirtækið safnaði persónuupplýsingum frá þriðja aðila mun fyrirtækið eftir fremsta megni leitast við að upplýsa þig um það.

8. Persónuupplýsingum er miðlað til annarra:

Fyrirtækið miðlar persónuupplýsingum til þriðju aðila sem eru ráðnir til að vinna fyrirfram ákveðna vinnu, svo sem þjónustuveitenda, umboðsmanna eða verktaka. Í þeim tilfellum gerir fyrirtækið vinnslusamning við viðkomandi aðila. Slíkur samningur kveður meðal annars á um skyldu hans til að fylgja fyrirmælum fyrirtækisins um meðferð og vinnslu persónuupplýsinga og er honum óheimilt að nota þær í öðrum tilgangi. Jafnframt ber honum skylda til að tryggja öryggi upplýsinganna með viðeigandi hætti.

Fyrirtækinu er kunnugt um að ströng skilyrði gilda um flutning persónuupplýsinga til ríkja sem staðsett eru utan Evrópska efnahagssvæðisins. Það gerir fyrirtækið ekki undir neinum kringumstæðum nema fullnægjandi heimild standi til þess samkvæmt lögum nr. 90/2018. 

9. Réttindi þín:

Ef þú veitir samþykki fyrir vinnslu tiltekinna persónuupplýsinga áttu rétt á að afturkalla samþykkið hvenær sem er. Þessi réttur hefur engin áhrif á lögmæti vinnslu sem fram fór fyrir afturköllunina.

Þú átt ýmsan annan rétt, t.d. rétt til aðgangs að skráðum persónuupplýsingum um þig, rétt á að fá rangar eða villandi upplýsingar leiðréttar, rétt á að persónuupplýsingum um þig verði eytt, rétt á að hindra að unnið verði með persónuupplýsingar um þig, rétt á að biðja um að vinnsla sé takmörkuð í ákveðnum aðstæðum og rétt á að flytja eigin gögn þegar þau hafa verið unnin á grundvelli samþykkis eða vegna gerðar samnings.

Hafðu í huga að réttindi þín eru ekki alltaf fortakslaus og eru í ýmsu tilliti háð skilyrðum. 

Ef þú telur að fyrirtækið hafi meðhöndlað persónuupplýsingar um þig í ósamræmi við ákvæði laga nr. 90/2018 getur þú leitað til persónuverndarfulltrúa fyrirtækisins. Þá getur þú lagt fram kvörtun hjá Persónuvernd (www.personuvernd.is).

10. Öryggi persónuupplýsinga:

Fyrirtækið hefur gripið til viðeigandi tæknilegra og skipulegra öryggisráðstafana til að tryggja öryggi persónuupplýsinga í samræmi við ákvæði laga nr. 90/2018. Felur það meðal annars í sér að aðeins þeir starfsmenn hafa aðgang að persónuupplýsingum sem þess þurfa og þá starfs síns vegna. Auk þess stuðlar fyrirtækið að því að starfsmenn fái reglulega viðeigandi fræðslu og þjálfun um öryggismál.