Fara í efni

Persónuverndarstefna HEKLU

1. Tilgangur og umfang

Með persónuverndarstefnu þessari upplýsir Hekla hvernig fyrirtækið stendur að vinnslu (söfnun, skráningu, vistun og miðlun) persónugreinanlegra upplýsinga um viðskiptamenn sína, starfsfólk og aðra einstaklinga hvort sem persónuupplýsingarnar eru geymdar rafrænt, á pappír eða með öðrum hætti. Í stefnunni er því enn fremur lýst hve lengi má ætla að upplýsingarnar verði geymdar og með hvaða hætti er gætt að öryggi þeirra. Einnig er að finna upplýsingar um réttindi einstaklinga vegna þeirra persónuupplýsinga sem Hekla vinnur.

Hekla leggur mikla áherslu á að virða réttindi einstaklinga og að öll meðferð/vinnsla persónuupplýsinga sé ávallt í samræmi við gildandi lagaumhverfi og regluverk á hverjum tíma, sem og í samræmi við bestu venjur. Hekla vinnur þannig persónuupplýsingar í samræmi við lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Stefna þessi nær til viðskiptavina Heklu (fyrrverandi, núverandi og verðandi), starfsmanna (fyrrverandi og núverandi), umsækjenda um störf, þá sem koma á starfsstöðvar Heklu, þá sem heimsækja heimasíðu eða samfélagsmiðla sem Hekla notar og aðra einstaklinga sem eiga í einhvers konar samskiptum við Heklu.

2. Um ábyrgðaraðila

Ábyrgðaraðili er Hekla hf., Laugavegi 170-174, 105 Reykjavík, kt. 600169-5139. Hekla er þjónustufyrirtæki sem sérhæfir sig í sölu og þjónustu á bílum með það að leiðarljósi að veita úrvals þjónustu og ráðgjöf. Hekla er umboðsaðili Audi, Volkswagen, Skoda og Mitsubishi á Íslandi. Hekla býður upp á alhliða bifreiðaþjónustu og þar er að finna varahlutasölu, bílaverkstæði og sýningarsali. Hekla starfar undir leyfi frá Heilbrigðiseftirliti Reykjavíkurborgar og Samgöngustofu. Frekari upplýsingar um starfsemi Heklu má finna á vefsíðu félagsins: www.hekla.is.

3. Persónuupplýsingar sem Hekla safnar

Hekla vinnur með persónuupplýsingar frá einstaklingum þegar þeir eiga í samskiptum við félagið. Að jafnaði er um að ræða almennar persónuupplýsingar eins og nafn, kennitölu, heimilisfang, símanúmer og netfang. Einnig getur verið um sérhæfðari upplýsingar að ræða eins og eins og tryggingarfélög, menntun, atvinnusögu eða myndir.

Hekla skráir ýmiss konar samskipti félagsins við einstaklinga þegar þeir hafa samband við félagið, eins og með símtali til þjónustuvers, með tölvupósti, netspjalli, heimsókn, eða í gegnum vefsíðu félagsins. Einnig safnar Hekla hrósum, ábendingum og kvörtunum sem berast frá einstaklingum. Hekla safnar einnig upplýsingum um þær vörur og þjónustu sem einstaklingur hefur aflað sér hjá félaginu. Þegar kemur að slíkum upplýsingum þá safnar Hekla upplýsingum svo sem um dagsetningu viðskipta, hvað var keypt og á hvaða verði. Þetta nær t.d. yfir kaup á ökutækjum, vara- og aukahlutum, verkstæðisþjónustu og bílaleigu. Ef einstaklingur ekur bifreið til reynslu hjá Heklu geymir félagið einnig númer ökuskírteinis, því til staðfestingar að ökuskírteini hafi verið framvísað.

Í sumum tilvikum hefur Hekla viðkvæmar upplýsingar eins og upplýsingar um stéttarfélagsaðild eða pólitísk tengsl.

Að auki aflar Hekla og vinnur með upplýsingar vegna áreiðanleikakönnunar á viðskiptavinum á grundvelli laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Þessar upplýsingar ná yfir ríkisfang, starfsheiti, vinnustað, tengsl við opinbera þjónustu ef þau eru fyrir hendi, upplýsingar um tilgang viðskiptanna

og uppruna fjármagns vegna viðskipta við Heklu. Loks safnar Hekla afritum af viðurkenndum persónuskilríkjum, ýmist vegabréfi eða ökuskírteini eða upplýsingum um rafræn skilríki ef áreiðanleikakönnun er framkvæmd rafrænt.

Ef viðskiptavinur óskar eftir að komast í reikningsviðskipti hjá Heklu getur viðkomandi valið að veita félaginu viðbótar upplýsingar til að gera félaginu kleift að leggja mat á þá beiðni. Það getur verið aðeins mismunandi hvaða upplýsingum er óskað eftir. Í tilfelli lögaðila getur t.d. verið flett upp í ytri skrám til að meta lánshæfi og fjárhagslegan styrk. Í tilfelli einstaklinga getur verið leitað upplýsinga um lánshæfi og möguleg vanskil, með þeirra fyrir fram gefna samþykki.

Þá aflar Hekla persónuupplýsinga frá þriðja aðila, þegar slíkt telst nauðsynlegt og þriðji aðili hefur heimildir til að afhenda félaginu upplýsingar, t.d. frá Þjóðskrá Íslands, Samgöngustofu eða Creditinfo. Upplýsingar frá Creditinfo eru t.d. notaðar í tengslum við áreiðanleikakönnun á viðskiptavinum til að kanna möguleg tengsl við opinbera þjónustu sem og endanlega eigendur lögaðila.

Hekla safnar upplýsingum um þá sem heimsækja heimasíður félagsins s.s. upplýsingum eins og IP-tölum, síðum sem viðskiptavinir heimsækja, tímum og dagsetningum heimsókna og þann tíma sem viðskiptavinir verja á þessum síðum. Þetta á bæði við um heimasíðu félagsins www.hekla.is, en einnig um aðrar síður tengdar Heklu svo sem www.audi.is, www.volkswagen.is, www.skoda.is og www.mitsubishi.is.

Hekla er með eftirlitsmyndavélar við og í starfsstöðvum sínum og geymir upptökur úr þeim myndavélum svo lengi sem geymslan leyfir, en þó ekki lengur en 90 daga. Unnið er með upptökur úr eftirlitsmyndavélum tengt öryggismálum og eignavörslu. Upptökur eru ekki afhentar úr kerfum Heklu nema gegn beiðni Lögreglu vegna rannsóknar á málum sem þegar hafa fengið málsnúmer í málaskrá Lögreglu.

Auk ofangreinds þá safnar Hekla og vinnur með upplýsingar um ökutæki sem Hekla hefur umboð fyrir eftir skráningarnúmeri og VIN númeri (framleiðslunúmer). Það felst m.a. í upplýsingum um þjónustusögu, leigutaka bifreiða sem eru leigðar hjá Heklu og upplýsingar um einstaklinga sem aka bifreiðum til reynslu hjá Heklu.

4. Í hvaða tilgangi eru persónuupplýsingar unnar og á grundvelli hvaða heimilda

Vinnsla persónuupplýsinga hjá Heklu er bundin við tilskyldar heimildir sem byggja á lögum, reglum, viðskiptalegum þáttum og upplýstu samþykki.

Heklu getur reynst nauðsynlegt að vinna með persónuupplýsingar einstaklinga t.d. í þeim tilgangi að veita þjónustu sem byggir á beiðni viðskiptavina um tiltekna vöru eða þjónustu eða sem byggir á samkomulagi milli einstaklings og félagsins. Sem dæmi um vinnslu á þessum grundvelli má nefna vinnslu sem tengist:

· Beiðni/pöntun um kaup á bifreið.

· Skráningarheimild vegna kaupa á bifreið

· Beiðni um viðgerð á bifreið.

· Hvers kyns fyrirspurn um vörur og þjónustur félagsins.

· Sendingu á mikilvægum upplýsingum til viðskiptavina sem tengjast þjónustu félagsins við þá, t.d. samskipti vegna atriða sem upp koma á meðan á viðgerð eða þjónustu við bifreiðar stendur og upplýsingar um breytingar á skilmálum.

· Innköllunum vegna öryggismála á bílum.

· Stofnun aðgangs að þjónustusíðum viðskiptavina hjá Heklu.

· Ákvörðun um viðskiptakjör og hvort stofna eigi til reikningsviðskipta.

· Umsóknum um störf og ýmiss konar launavinnslu og öðrum starfsmannatengdum málefnum

Hekla vinnur með persónuupplýsingar til að vernda lögmæta hagsmuni félagsins. Lögmætir hagsmunir Heklu fela í sér að uppfylla tilgang og skyldur félagsins samkvæmt samþykktum þess, að þróa vörur og þjónustu félagsins svo mæta megi sem best þörfum og væntingum viðskiptavina og til þess að félagið sé samkeppnishæft, að sinna viðskiptasambandi við viðskiptavini Heklu, að hafa umsýslu með starfsmannamálum og skipulagi á framkvæmd starfa félagsins, fylgni við innri og ytri reglur, skjölunarkröfur og meðhöndlun beiðna, kvartana og krafna frá þriðju aðilum.

Heklu ber skylda til þess að safna, geyma og miðla persónuupplýsingum á grundvelli laga, reglugerða, dómsúrskurða og annarra fyrirmæla stjórnvalda. Þá geta yfirvöld eins og Ríkisskattstjóri eða tollgæsluyfirvöld óskað eftir upplýsingum frá félaginu um viðskiptavini, liggi fyrir skýr lagaheimild. Heklu ber skylda til að verða við slíkum beiðnum. Eftirfarandi eru dæmi um vinnslu á þessum grundvelli:

· Áreiðanleikakönnun einstaklinga á grundvelli laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.

· Greining og rannsókn á málum er varða peningaþvætti, fjármögnun hryðjuverka, fjársvik og annars konar refsiverða háttsemi.

· Lögboðið innra eftirlit.

· Á Heklu hvílir einnig lagaskylda til þess að varðveita tilgreind persónugreinanleg gögn, s.s. vegna laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, laga um bókhald og vegna upplýsingagjafar til eftirlitsaðila eða annarra opinberra aðila.

Hekla vinnur með persónuupplýsingar einstaklinga á grundvelli samþykkis þeirra, t.d. með vefkökum á vefsíðum félagsins, eins og nánar er lýst í reglum og skilmálum um vefkökur. Hekla aflar að auki samþykkis einstaklinga ef fyrirséð er að persónuupplýsingar verði notaðar í öðrum tilgangi en þegar þeirra var upphaflega aflað. Um er að ræða tvenns konar samþykki:

· Þegar viðskiptavinur skráir sig á vefsíðu, í gegnum SMS eða út frá tölvupósti sem Hekla sendir í tengslum við tiltekin viðskipti og veitir þar samþykki til vinnslu upplýsinga um kaup á vörum og þjónustu Heklu. Byggt á þessu samþykki samkeyrir Hekla upplýsingar um viðkomandi viðskiptavin úr viðskiptakerfum félagsins, s.s. sölukerfi og CRM-kerfi (e. Customer Relationship Management) til þess að geta veitt viðkomandi betri þjónustu og sent út einstaklingsmiðuð skilaboð, t.d. sérstök tilboð í aukahluti sem henta beint bílaeign viðkomandi viðskiptavinar. Enn fremur sendir Hekla byggt á þessari heimild þjónustukannanir á viðkomandi viðskiptavin eftir að hann hefur t.d. sótt þjónustu til félagsins eða keypt bifreið.

· Þegar einstaklingur hefur skráð sig á póstlista til að fá nýjustu fréttir, fróðleik og boð á viðburði mun Hekla í takmörkuðum mæli senda viðkomandi almennar upplýsingar um afslætti, sýningar, tilboð og ýmsan annan fróðleik.

Einstaklingur getur ávallt afturkallað samþykki sitt með tilkynningu til Heklu. Hægt er að gera það með því að breyta samþykkisstillingu á þjónustusíðu einstaklings hjá Heklu, með því að ýta á þar til gerðan hlekk í póstum eða með því að senda tölvupóst á netfangið hekla@hekla.is. Afturköllun samþykkis hefur ekki áhrif á vinnslu persónuupplýsinga fram að því að tilkynningin berst félaginu.

5. Söfnun persónuupplýsinga um börn

Hekla vinnur með persónuupplýsingar um barn þegar það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. vegna kaupa 17 ára einstaklings á bifreið.

6. Hversu lengi eru persónuupplýsingar geymdar?

Persónuupplýsingar eru varðveittar á meðan samband einstaklings og Heklu er í gildi eða eins lengi og nauðsynlegt er miðað við tilgang vinnslunnar, líftíma ökutækja, skilmála samninga, reglur félagsins, lagakrafna og málefnalegar ástæður gefa tilefni til.

 

Hekla leitast við að varðveita ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er. Af framangreindu leiðir að mismunandi varðveislutími getur átt við eftir tegund og eðli persónuupplýsinga

Persónuupplýsingar sem koma fram á reikningum eru geymdar að lágmarki í sjö ár á pappír samkvæmt bókhaldslögum.

Afrit af persónuskilríkjum, opinberum gögnum og öðrum upplýsingum sem safnað er um einstaklinga á grundvelli laga nr. 140/2018 um peningaþvætti og fjármögnun hryðjuverka eru varðveitt a.m.k. í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur.

Starfsmannatengd gögn, önnur en formlegir samningar, formleg skjöl og gögn í launakerfi eru vistuð að lágmarki í fjögur ár eftir starfslok. Formlegir starfsmanna samningar, önnur formleg skjöl og gögn í launakerfi eru vistuð að lágmarki í 7 ár.

Endurskoðun á geymsluþörf og eyðingu persónuupplýsinga fer fram einu sinni á ári. Ef kemur í ljós við endurskoðun að Hekla þarf ekki vegna eigin þarfa eða lagalegrar skyldu að geyma tilteknar persónuupplýsingar mun Hekla hætta vinnslu persónuupplýsinganna frá þeim tíma.

7. Miðlun persónuupplýsinga

Hekla miðlar persónuupplýsingum ekki til þriðja aðila án þess að samþykki viðskiptavinar fyrir miðluninni liggi fyrir, nema þar sem Heklu er það skylt samkvæmt lögum eða ef um er að ræða bílaframleiðanda eða þjónustuveitanda, umboðsmann eða undirverktaka sem ráðinn er af hálfu Heklu til þess að vinna fyrir fram ákveðna vinnu.

Í slíkum tilfellum gerir Hekla vinnslusamning við viðkomandi aðila sem fær persónuupplýsingarnar til vinnslu. Sá samningur kveður meðal annars á um skyldu vinnsluaðila til að halda persónuupplýsingum öruggum og að nota þær ekki í öðrum tilgangi en um er samið.

Hekla deilir einnig persónuupplýsingum með þriðja aðila þegar slíkt er nauðsynlegt til að vernda brýna hagsmuni félagsins, eins og við innheimtu á vanskilakröfu eða til að uppfylla kröfur bílaframleiðenda um tilkynningu um sölu ökutækja.

8. Öryggi persónuupplýsinga

Hekla tekur öll þau skref sem nauðsynleg eru til þess að vernda persónupplýsingar sem vistaðar eru hjá félaginu. Meðal þeirra skrefa er að meta þá hættu sem steðjar af viðkomandi vinnslu (MÁP), til dæmis hættu á að óviðkomandi fái aðgang að upplýsingunum eða þær skemmist eða verði eytt og að beita ráðstöfunum til að stemma stigu við slíkri hættu.

Komi upp öryggisbrestur við meðferð persónuupplýsinga þar sem staðfest er, eða grunur leikur á um að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Persónuvernd, og eftir atvikum einstaklingnum,

tilkynnt um öryggisbrestinn um leið og hann uppgötvast og frumgreining umfangs hafur farið fram, nema hann hafi ekki í för með sér áhættu fyrir réttindi og frelsi einstaklinga.

9. Réttindi einstaklinga

Einstaklingar eiga rétt á að:

· Fá að vita hvaða persónuupplýsingar Hekla hefur skráð og uppruna þeirra, sem og upplýsingar um hvernig unnið er með persónuupplýsingarnar.

· Fá afrit af þeim persónuupplýsingum sem eru unnar eða óska eftir að þær séu sendar til þriðja aðila, eða eytt þegar slíku verður við komið.

· Persónuupplýsingar séu uppfærðar og leiðréttar ef tilefni er til.

· Hekla eyði persónuupplýsingum ef ekki er málefnaleg eða lagaleg skylda til að varðveita þær.

· Koma á framfæri andmælum ef einstaklingur vill takmarka eða koma í veg fyrir að persónuupplýsingar séu unnar.

· Afturkalla samþykki um að Hekla megi safna, skrá, geyma eða vinna persónuupplýsingar, þegar vinnsla byggist á slíkri heimild.

· Leggja fram kvörtun hjá eftirlitsyfirvaldi. Hægt er að leggja fram kvörtun hjá Persónuvernd með því að senda erindið á netfangið postur@personuvernd.is. Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar.

Vilji einstaklingur nýta rétt sinn getur viðkomandi rætt við persónuverndarfulltrúa eða sent erindi á netfangið gdpr@hekla.is. Hlutverk persónuverndarfulltrúans er að fylgjast með að farið sé eftir ákvæðum laga og reglna um persónuvernd og ákvæðum almennu persónuverndarreglugerðar ESB nr. 2016/679.

Hekla mun staðfesta móttöku á beiðninni og að jafnaði bregðast við svo fljótt sem auðið er og ekki síðar en innan mánaðar frá móttöku. Geti Hekla ekki orðið við slíkri beiðni af einhverjum ástæðum er einstaklingi gerð grein fyrir því.

10. Uppfærsla eða breytingar á persónuverndarstefnunni

Hekla breytir þessari persónuverndarstefnu eftir því sem tilefni gefst til og leitast við að halda henni ávallt uppfærðri og í samræmi við þá starfsemi sem fram fer hjá félaginu hverju sinni. Slíkar breytingar kunna t.d. að vera gerðar til að samræma persónuverndarstefnuna við gildandi lög og reglur er varða persónuvernd hverju sinni. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef félagsins, nema annað sé tilgreint.