Persónuverndarstefna HEGAS – viðskiptavinir

HEGAS er umhugað um persónuvernd og öryggi gagna sem fyrirtækið meðhöndlar. Í persónuverndarstefnu HEGAS kemur fram í hvaða tilgangi persónuupplýsingum er safnað og hvernig farið er með slík gögn. Markmið okkar er að viðskiptavinir, aðrir viðsemjendur og einstaklingar, eins og við á hverju sinni, séu upplýstir um hvernig fyrirtækið safnar og vinnur persónuupplýsingar.

HEGAS ehf. kt. 680388-1809, Smiðjuvegi 1, 200 Kópavogi, er ábyrgðaraðili þeirra persónuupplýsinga sem veittar eru fyrirtækinu. Hægt er senda skriflega fyrirspurn til fyrirtækisins um meðferð persónuupplýsinga á netfangið hegas@hegas.is.

Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, samkvæmt skilgreiningu persónuverndarlaga. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

Um meðferð HEGAS á persónuupplýsingum fer samkvæmt gildandi lögum um persónuvernd og meðferð persónuupplýsinga eins og þau eru á hverjum tíma hér á landi.

Söfnun og meðhöndlun persónuupplýsinga

HEGAS safnar persónuupplýsingum um viðskiptavini, tengiliði og forsvarsmenn viðskiptavina í þeim tilvikum sem viðskiptavinir eru lögaðilar sem og tengiliði birgja og annarra samstarfsaðila.

HEGAS safnar persónuupplýsingum um viðskiptavini sína til að veita þeim aðgang að vörum og þjónustu í samræmi við ákvæði viðskiptasamninga, til að tryggja að þjónusta sé löguð að þeirra þörfum og til að miðla til þeirra upplýsingum í markaðslegum tilgangi. Markmiðið með upplýsingasöfnun er fyrst og fremst til þess að þjónusta viðskiptavini betur og aðlaga og bæta upplifun þeirra af þjónustu HEGAS.

HEGAS safnar einungis persónuupplýsingum sem nauðsynlegar eru til að veita ráðgjöf eða þjónustu hverju sinni. Kjósi viðskiptavinur að veita ekki persónuupplýsingar er möguleiki á að HEGAS geti ekki útvegað viðkomandi aðila vörur eða veitt þjónustu.

HEGAS nýtir aldrei persónuupplýsingar í öðrum tilgangi en þeim sem þær voru safnaðar fyrir. Gögn eru geymd eins lengi og nauðsynlegt er miðað við tilgang vinnslu og skilmála samninga, nema þegar lög og reglur kveða á um lengri geymslutíma.

HEGAS safnar og varðveitir ýmsar persónuupplýsingar um viðskiptavini. Ólíkum persónuupplýsingum kann að vera safnað eftir því hvort einstaklingur er sjálfur í viðskiptum við félagið eða hvort hann komi fram fyrir hönd lögaðila í viðskiptum við félagið, t.d. birgja.

Viðskipti einstaklinga

HEGAS safnar upplýsingum um viðskiptavini sína í tengslum við einstök viðskipti. Þannig safnar HEGAS m.a. samskiptaupplýsingum viðskiptavina, upplýsingum um þá vöru/þjónustu sem keypt er, t.d. vörunúmer og verðsamning, samskiptaupplýsingar og um upphæð úttektarheimildar. Byggir vinnslan á samningi eða beiðni viðskiptavinar um að gera samning við félagið. Sé um reikningsviðskipti að ræða kann að vera unnið með upplýsingar um lánshæfismat og úr vanskilaskrá á grundvelli lögmætra hagsmuna félagsins.

Gerist viðskiptavinur brotlegur kann að vera unnið með upplýsingar um brot, t.d. um óheimil reikningsviðskipti eða skráningarnúmer ökutækis tengist það broti, á grundvelli lögmætra hagsmuna félagsins. Þá kann brot að vera tilkynnt til lögreglu.

Póstlisti

HEGAS vinnur með tölvupóstfang, sem einstaklingur hefur skráð og samþykkt notkun á fyrirfram, í útsendingum á markpósti til einstaklinga á póstlista félagsins. Enn fremur getur einstaklingur skráð upplýsingar eins og t.d. nafn, kennitölu, heimilisfang, símanúmer. Þá er óskað eftir samþykki til þess að vinna með upplýsingar um kaup hans á vörum og þjónustu HEGAS í því skyni að stunda markaðssetningu á vörum og þjónustu HEGAS. Með skráningu þessara valkvæðu upplýsinga samþykkir einstaklingur að HEGAS megi samkeyra upplýsingar um hann úr öðrum viðskiptakerfum félagsins, s.s. sölukerfi og CRM-kerfi (e. Customer relationship management), til þess að geta veitt betri þjónustu og sent út einstaklingsmiðaðri skilaboð. Þessi vinnsla byggir á samþykki og er einstaklingi alltaf heimilt hvenær sem er að afturkalla samþykki sitt og afskrá sig af póstlista félagsins með því að ýta á þar til gerðan hlekk í markpóstum, senda póst á netfangið hegas@hegas.is eða hafa samband við HEGAS í síma 580-6700.

Rafrænt eftirlit

HEGAS er með rafrænar eftirlitsmyndavélar í kringum húsnæði sitt á Smiðjuvegi 1 og þeir viðskiptavinir sem heimsækja HEGAS kunna því að vera teknir upp á mynd. Vinnsla á þeim upplýsingum sem safnast með myndavélaeftirliti byggir á lögmætum hagsmunum félagsins, enda fer vinnslan fram í eigna- og öryggisvörsluskyni. Myndefni er geymt eins lengi og nauðsynlegt er miðað við tilgang vinnslu en myndefni er alla jafna eytt eftir 90 daga.

Forsvarsmenn fyrirtækja og stofnana

Komi einstaklingur fram fyrir hönd samstarfsaðila HEGAS, s.s. birgja, verktaka eða viðskiptamann sem er lögaðili, kann HEGAS að vinna með tengiliðaupplýsingar hans, s.s. nafn, símanúmer og tölvupóstfang. Þá kann HEGAS að vinna með samskiptasögu og eftir atvikum reikningsupplýsingar. Þessi vinnsla er félaginu nauðsynleg til að geta uppfyllt skyldur sínar á grundvelli samnings við viðkomandi samstarfsaðila. Þá kann félaginu að vera skylt að vinna með upplýsingar á grundvelli lagaskyldu, s.s. bókhaldslaga.

Ábendingar og/eða athugasemdir frá viðskiptavinum

Ef einstaklingur sendir inn ábendingu eða kvörtun mun HEGAS almennt vinna með samskiptaupplýsingar hans, s.s. nafn og netfang, og efni þeirrar kvörtunar eða ábendingar sem hann hefur kosið að koma á framfæri. Upplýsingar eru geymdar eins lengi og nauðsynlegt er miðað við tilgang vinnslu. Upplýsingum er alla jafna eytt eftir 90 daga.

Styrkumsóknir

Í tengslum við styrkumsóknir vinnur HEGAS með samskiptaupplýsingar, s.s. nafn, kennitölu, netfang og símanúmer sem og aðrar upplýsingar sem sendar eru félaginu í slíkri umsókn. Vinnsla þessi fer fram á grundvelli beiðni einstaklings um að gera samning um styrkveitingu við félagið. Upplýsingar eru geymdar eins lengi og nauðsynlegt er miðað við tilgang vinnslu. Upplýsingum er alla jafna eytt eftir 180 daga.

Miðlun persónuupplýsinga

HEGAS nýtir aldrei persónuupplýsingar í öðrum tilgangi en þeim sem þær voru safnaðar í.

HEGAS miðlar ekki persónuupplýsingum til þriðja aðila nema að fengnu samþykki, í samræmi við ákvæði viðskiptasamninga, á grundvelli lögmætra hagsmuna félagsins eða á grundvelli lagaskyldu.

HEGAS áskilur sér rétt til að miðla persónuupplýsingum til þriðja aðila (vinnsluaðila) sem er þjónustuveitandi, umboðsmaður eða verktaki HEGAS í þeim tilgangi að veita þjónustu sem beðið hefur verið um.

HEGAS deilir upplýsingum, í tölfræðilegum tilgangi, með vinnsluaðilum sem vinna með fyrirtækinu við gæða- og markaðsstarf. HEGAS afhendir vinnsluaðilunum einungis þær persónuupplýsingar sem eru nauðsynlegar fyrir þá í framangreindum tilgangi og gerður er við þá samningur þar sem þeir undirgangast skyldu um að halda upplýsingum um einstaklinga öruggum og nota þær einungis í framangreindum tilgangi.

Allir vinnsluaðilar HEGAS og samstarfsaðilar hafa undirritað viðeigandi trúnaðaryfirlýsingu og vinnslusamning í samræmi við ákvæði persónuverndarlaga. HEGAS tryggir þannig vernd persónuupplýsinga í samræmi við lög og reglur um persónuvernd eins og þau eru á hverjum tíma. Þar á meðal með mótun öryggisstefnu um meðferð og öryggi persónuupplýsinga og setningu öryggis- og verklagsreglna eins og krafist er í persónuverndarlögum.

Í þeim tilfellum þegar þriðji aðili (vinnsluaðili) fær aðgang að persónuupplýsingum, tryggir HEGAS trúnað og að gögnum sé eytt að vinnslu lokinni. HEGAS leigir aldrei eða selur persónuupplýsingar um viðskiptavini.

Öryggi gagna

HEGAS leggur áherslu á að tryggja að varðveislu persónuupplýsinga sé háttað á öruggan máta. HEGAS tryggir að viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir séu gerðar til að tryggja mesta öryggi gagna hverju sinni.

Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Breytingar og leiðréttingar á persónuupplýsingum

Öll samskipti við vefþjóna HEGAS eru að sjálfsögðu dulkóðuð yfir öruggar vefslóðir (HTTPS).

Réttindi þín

Einstaklingur á rétt á og getur óskað eftir að HEGAS veiti honum upplýsingar um þær persónuupplýsingar sem fyrirtækið býr yfir sem og um vinnslu og meðferð upplýsinga um hann. Þá kann einnig að vera að einstaklingur hafi rétt á að fá afrit af upplýsingunum. Við ákveðnar aðstæður getur einstaklingur farið fram á það við félagið að við sendum upplýsingar, sem hann hefur sjálfur látið okkur í té eða stafa frá honum, beint til þriðja aðila.

Einstaklingur á rétt á því í vissum tilvikum að persónuupplýsingar um hann séu leiðréttar eða þeim eytt, t.d. ef upplýsingarnar eru ekki lengur nauðsynlegar í þágu þess tilgangs sem þeirra var upphaflega aflað.

Vilji einstaklingur ekki láta eyða upplýsingum sínum, t.d. vegna þess að hann þarf á þeim að halda til að verjast kröfu, en vill samt sem áður að þær séu ekki unnar frekar af hálfu félagsins getur hann óskað eftir því að vinnsla þeirra verði takmörkuð.

Sé vinnsla á persónuupplýsingum einstaklings byggð á lögmætum hagsmunum félagsins á hann einnig rétt á að mótmæla þeirri vinnslu.

Framangreind réttindi einstaklingsins eru þó ekki fortakslaus. Þannig kunna lög að skylda félagið til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni hans vegna réttinda félagsins, s.s. á grundvelli hugverkaréttar, eða réttinda annarra aðila, s.s. til friðhelgi einkalífs, telji félagið þau réttindi vega þyngra. Réttindi þín til að mótmæla vinnslu í markaðssetningar tilgangi er þó fortakslaus.

Einstaklingi verður tilkynnt og gefin skýring ef töf verður á afgreiðslu eða ef ekki er unnt að verði við beiðninni að fullu eigi síðar en mánuði frá móttöku hennar. Einstaklingur getur kvartað til Persónuverndar (www.personuvernd.is) ef HEGAS neitar að afhenda honum ákveðnar upplýsingar eða ef einstaklingur er ósáttur við vinnslu HEGAS á persónuupplýsingum.

Ef upp koma aðstæður þar sem að félagið getur ekki orðið við beiðni einstaklings mun félagið leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

Endurskoðun stefnu

Persónuverndarstefna HEGAS er endurskoðuð reglulega og stefna félagsins er að vera eins skýr og berorð um hvernig félagið safnar persónuupplýsingum og í hvaða tilgangi upplýsingarnar eru notaðar.

HEGAS áskilur sér rétt til þess að breyta persónuverndarstefnunni hvenær sem er, án fyrirvara. Persónuverndarstefnu HEGAS má finna á https://hegas.is/ og tekur uppfærð stefna gildi þegar hún hefur verið birt á heimasíðu félagsins. Allar fyrirspurnir um meðhöndlun persónuupplýsinga og persónuverndarstefnu HEGAS skal senda á netfangið hegas@hegas.is.

Þessi persónuverndarstefna var sett þann 7. maí 2021