Persónuverndarstefna

Rafeyri ehf. kt. 430594-2229, Norðurtanga 5, 600 Akureyri (einnig vísað til félagsins og okkar) hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem unnið er með innan félagsins.

Persónuverndarstefna þessi nær til persónuupplýsinga er varða viðskiptavini Rafeyrar, forsvarsmenn viðskiptavina og annarra samstarfsaðila sem og annarra sem eiga í samskiptum við félagið, s.s. í tengslum við ábendingar eða styrkbeiðnir (hér eftir sameiginlega vísað til viðskiptavina eða þín).

Persónuverndarstefnu þessari er ætlað að upplýsa þig um hvaða persónuupplýsingum félagið safnar, með hvaða hætti félagið nýtir slíkar persónuupplýsingar og hverjir fá aðgang að upplýsingunum.

Ef þú ert í vafa um það hvernig stefna þessi varðar þig, vinsamlega hafðu samband við Rafeyri á personuvernd@rafeyri.is fyrir frekari upplýsingar. Nánari samskiptaupplýsingar koma fram í lok stefnunnar.

1. Tilgangur og lagaskylda

Rafeyri leitast við að uppfylla í hvívetna persónuverndarlöggjöf og er stefna þessi byggð á lögum nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga (persónuverndarlög), með síðari breytingum.

2. Hvað eru persónuupplýsingar?

Persónuupplýsingar í skilningi stefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

3. Persónuupplýsingar sem Rafeyri vinnur um viðskiptavini, birgja og verktaka

Við söfnum og varðveitum ýmsum persónuupplýsingum um viðskiptavini okkar. Ólíkum persónuupplýsingum kann að vera safnað um þig eftir því hvort þú sért sjálf/ur í viðskiptum við félagið eða hvort þú komir fram fyrir hönd lögaðila í viðskiptum við félagið, t.d. birgja.

Myndavélaeftirlit: Við húsnæði Rafeyrar að Norðurtanga 5 á Akureyri kunna að vera eftirlitsmyndavélar (stafrænar myndavélar) og þeir viðskiptavinir sem heimsækja okkur kunna því að vera teknir upp á mynd. Vinnsla á þeim upplýsingum sem safnast með myndavélaeftirliti byggir á lögmætum hagsmunum félagsins, enda fer vinnslan fram í eigna- og öryggisvörsluskyni.

Viðskiptavinir: Komir þú fram fyrir hönd samstarfsaðila Rafeyrar, s.s. birgja, verktaka eða viðskiptamanns sem er lögaðili, kann Rafeyri að vinna með tengiliðaupplýsingar þínar, s.s. nafn, símanúmer og tölvupóstfang. Þá kann Rafeyri að vinna með samskiptasögu og eftir atvikum reikningsupplýsingar. Þessi vinnsla er félaginu nauðsynleg til að geta uppfyllt skyldur sínar á grundvelli samnings við viðkomandi samstarfsaðila. Þá kann félaginu að vera skylt að vinna með upplýsingar á grundvelli lagaskyldu, s.s. bókhaldslaga og öryggisstjórnunarkerfis rafverktaka.

Kvartanir og ábendingar: Ef þú sendir okkur ábendingu eða kvörtun mun Rafeyri almennt vinna með tengiliðaupplýsingar þínar, s.s. nafn og netfang, og efni þeirrar kvörtunar eða ábendingar sem þú hefur kosið að koma á framfæri.

Styrkumsóknir: Í tengslum við styrkumsóknir vinnur Rafeyri með tengiliðaupplýsingar, s.s. nafn, kennitölu, netfang og símanúmer sem og aðrar upplýsingar sem sendar eru félaginu í slíkri umsókn. Vinnsla þessi fer fram á grundvelli beiðni þinnar um að gera samning um styrkveitingu við félagið.

Fyrst og fremst aflar Rafeyri persónuupplýsinga beint frá viðskiptavini eða forsvarsmanni viðskiptavinar. Upplýsingar kunna þó jafnframt að koma frá þriðju aðilum. Sé persónuupplýsinga aflað frá þriðja aðila mun félagið leitast við að upplýsa viðskiptavini sína um slíkt.

Upplýsingar um viðskiptavini og forsvarsmenn/tengiliði viðskiptavina eru varðveittar í að lágmarki 4 ár frá lokum viðskipta. Sé um að ræða upplýsingar sem falla undir bókhaldslög eru þær varðveittar að lágmarki í 7 ár frá lokum viðkomandi reikningsárs. Vissar upplýsingar kann að vera nauðsynlegt að varðveita lengur, t.d. ef líkur standa til þess að Rafeyri komi til með að þurfa að stofna, hafa uppi eða verja réttarkröfur. Í þeim tilfellum verður varðveislutími miðaður við reglur um fyrningarfrest krafna.

4. Miðlun til þriðju aðila

Rafeyri kann að miðla persónuupplýsingum þínum til þriðju aðila í tengslum við samningssamband þeirra við félagið, t.d. til innheimtuaðila eða aðila sem sjá um upplýsingatækniþjónustu eða annars konar ráðgjöf fyrir hönd félagsins.

Persónuupplýsingar þínar kunna jafnframt að vera afhentar þriðja aðila að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til Ríkisskattstjóra eða annarra eftirlitsaðila. Það sama kann að eiga við sé afhendingar krafist á grundvelli dómsúrskurða eða reynist miðlun nauðsynleg þannig að félagið geti gætt hagsmuna sinna í ágreinings- eða dómsmálum.

Rafeyri mun þó ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar, s.s. á grundvelli staðlaðra samningsskilmála, samþykki þíns eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.

Að lokum gætu persónuupplýsingar um þig verið afhentar að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna eða til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum eða dómsúrskurði.

5. Hvernig er öryggi persónuupplýsinga tryggt?

Rafeyri leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Breytingar og leiðréttingar á persónuupplýsingum

Það er mikilvægt að þær persónuupplýsingar sem Rafeyri vinnur með séu bæði réttar og viðeigandi. Því er mikilvægt að félaginu sé tilkynnt um allar breytingar sem kunna að verða á persónuupplýsingum þínum.

Þú átt rétt á því að óáreiðanlegar persónuupplýsingar um þig séu leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga átt þú jafnframt rétt á að láta fullgera ófullkomnar persónuupplýsingar um þig, þ.m.t. með því að leggja fram frekari upplýsingar. Vinsamlega beindu öllum uppfærslum til personuvernd@rafeyri.is

Öryggisbrot sem leiða til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi eru meðhöndluð samkvæmt leiðbeiningum Persónuverndar um tilkynningar um öryggisbrot: https://www.personuvernd.is/media/leidbeiningar-personuverndar/Leidbeiningar-um-oryggisbrot_16.2.2018_3.pdf Ef ólíklegt þykir að öryggisbrot leiði til áhættu fyrir réttindi og frelsi einstaklinga er ekki skylt að tilkynna Persónuvernd það. Er það þá meðhöndlað af stjórnendum Rafeyrar eins og þeim þykir ástæða til.

6. Réttindi þín hvað varðar þær persónuupplýsingar sem félagið vinnur

Þú átt rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki, og ef svo er getur þú óskað eftir aðgangi að upplýsingunum og hvernig vinnslunni er hagað. Þá kann einnig að vera að þú hafir rétt á að fá afrit af upplýsingunum. Við ákveðnar aðstæður getur þú farið fram á það við félagið að við sendum upplýsingar, sem þú hefur sjálf/ur látið okkur í té eða stafa frá þér, beint til þriðja aðila.

Við ákveðnar aðstæður getur þú óskað eftir því að persónuupplýsingum um þig verði eytt, til að mynda þegar varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða engin önnur heimild liggur til grundvallar henni. Sé vinnslan byggð á samþykki er þér hvenær sem er heimilt að afturkalla samþykki þitt.

Í starfsráðningarsamningum sem gerðir eru eftir 1. júlí 2020 er valkostur fyrir starfsmenn að samþykkja varðveislu námsárangurs, námskeiðsskírteina og slíkra gagna sem að viðkomandi lúta. Framvísun fagskírteina sem varða starfið er hins vegar nauðsynleg og vistun þeirra sömuleiðis.

Viljir þú ekki láta eyða upplýsingum þínum, t.d. vegna þess að þú þarft á þeim að halda til að verjast kröfu, en vilt samt sem áður að þær séu ekki unnar frekar af hálfu félagsins getur þú óskað eftir því að vinnsla þeirra verði takmörkuð.

Sé vinnsla á persónuupplýsingum þínum byggð á lögmætum hagsmunum félagsins átt þú einnig rétt á að mótmæla þeirri vinnslu.

Framangreind réttindi þín eru þó ekki fortakslaus. Þannig kunna lög að skylda félagið til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni þinni vegna réttinda félagsins, s.s. á

grundvelli hugverkaréttar, eða réttinda annarra aðila, s.s. til friðhelgi einkalífs, telji félagið þau réttindi vega þyngra.

Ef upp koma aðstæður þar sem að félagið getur ekki orðið við beiðni þinni mun félagið leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

7. Fyrirspurnir og kvartanir til Persónuverndar

Ef þú vilt nýta þér þau réttindi sem lýst er í 7. gr. í stefnu þessari, eða ef þú hefur einhverjar spurningar varðandi persónuverndarstefnu þessa eða það hvernig félagið vinnur með persónuupplýsingar þínar, vinsamlegast hafðu samband á personuvernd@rafeyri.is.

Samskiptaupplýsingar um félagið:

Rafeyri ehf. Norðurtanga 5 600 Akureyri

Ef að þú ert ósátt/ur við vinnslu félagsins á persónuupplýsingum getur þú sent erindi þess efnis á personuvernd@rafeyri.is.

8. Endurskoðun

Rafeyri getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar.

Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á heimasíðu félagsins.