Persónuverndaryfirlýsing Vörumiðlunar

Vörumiðlun ehf. (Vörumiðlun eða VM) er ábyrgðaraðili að vinnslu persónupplýsinga sem það vinnur um einstaklinga í viðskiptum og samskiptum við félagið. VM kappkostar að tryggja vernd persónuupplýsinga og að vinnsla þeirra sé í samræmi við gildandi lög um persónuvernd og vinnslu persónupplýsinga nr. 90/2018 og skyldur félagsins að öðru leyti. Persónuverndaryfirlýsingin tekur til söfnunar og vinnslu persónuupplýsinga í samskiptum Vörumiðlunar við viðskiptamenn sína. Tilgangurinn með persónuverndaryfirlýsingu þessari er að upplýsa viðskiptamenn um hvernig og hvers vegna persónuupplýsingum er safnað og hvernig þær eru meðhöndlaðar.

Hafir þú einhverjar spurningar um efni yfirlýsingar þessarar eða vinnslu persónupplýsinga að öðru leyti þá vinsamlegast hafðu samband með tölvupósti í netfangið personuvernd@vorumidlun.is. Finna má upplýsingar um hvernig hægt er að hafa samband við okkur með öðrum hætti í 5. kafla um Vörumiðlun sem ábyrgðaraðila að vinnslu persónupplýsinga.

  1. Persónuupplýsingar og grundvöllur vinnslu

Vörumiðlun safnar, vinnur og varðveitir persónuupplýsingar um viðskiptamenn sína. Ólíkum persónuupplýsingum kann að vera safnað eftir því hvert samband viðskiptamanns er við VM, þ.e. eðli viðskiptasambands. Með persónuupplýsingum er átt við hvers konar upplýsingar sem rekja má til einstaklings hvort sem er um er að ræða auðkenni einstaklings eða margþættar upplýsingar sem í heild gera það að verkum að rekja má þær til ákveðins einstaklings. Hafi upplýsingar eða gögn verið gerð ópersónugreinanleg teljast þau ekki til persónuupplýsinga. Með vinnslu persónuupplýsinga er átt við hvers konar aðgerðir eða röð aðgerða með upplýsingarnar, þ.m.t. söfnun þeirra, miðlun, varðveislu, flokkun, aðlögun, notkun og eyðingu.

Persónuupplýsingar eru ávallt unnar á grundvelli heimilda persónuverndarlaga og í skilgreindum tilgangi. Vinnsla persónuupplýsinga fer fram í skýrum lögmætum, sanngjörnum og gagnsæjum tilgangi. Þess er gætt að vinnslan sé nægjanleg og viðeigandi miðað við tilganginn og sé ekki meiri en nauðsynlegt er miðað við tilgang hennar. Vörumiðlun mun ekki vinna persónuupplýsingar í öðrum tilgangi en lá að baki upphaflegri söfnun þeirra nema að félagið meti aðra vinnslu sanngjarna og samrýmanlega upphaflegum tilgangi vinnslunnar og er í samræmi við heimildir félagsins að lögum til frekari vinnslu.

Samstarfsaðilar, viðskiptamenn og birgjar, almennt

Vörumiðlun vinnur með tengiliðaupplýsingar samstarfsaðila, viðskiptamanna og birgja sem og tengiliðaupplýsingar forsvarsmanna slíkra aðila til að geta auðkennt aðila og haft samband við þá. Jafnframt er unnið með upplýsingar um viðskiptasögu, samskipti og reikningsupplýsingar einstaklinga í viðskiptum hjá félaginu. Vinnsla þessi er nauðsynleg til að efna samninga VM við umrædda aðila eða til að koma slíkum samningum á að þeirra beiðni. 

Rafræn vöktun í húsnæði Vörumiðlunar

Rafræn vöktun fer fram í starfstöðvum VM með myndavélaeftirliti. Þau svæði sem eru vöktuð eru sérstaklega merkt með þar til gerðum merkingum. Umrædd vöktun fer fram á grundvelli lögmætra hagsmuna VM í eigna- og öryggisvörsluskyni.

Notkun á vefsíðu Vörumiðlunar

Svokölluð fótspor (e. cookies) eru notuð til að telja heimsóknir á vefinn. Það er stefna VM að nota fótspor sparlega og með ábyrgum hætti. Notendur geta stillt vafra sína þannig að þeir láti vita af fótsporum eða hafni þeim með öllu.

Ábendingar og skilaboð í gegnum vefsíðu Vörumiðlunar

Á vefsíðu Vörumiðlunar er hægt að koma að ábendingum og skilaboðum til starfsmanna og einstakra starfsstöðva. Óskað er eftir nafni og netfangi þeirra sem vilja koma að slíkum ábendingum og skilaboðum þannig að hægt sé svara erindinu. Vinnslan fer því fram á grundvelli lögmætra hagsmuna VM.

Umsækjendur um störf hjá Vörumiðlun

Vörumiðlun vinnur með ýmsar persónuupplýsingar um umsækjendur. Ólíkum persónuupplýsingum kann að vera safnað fyrir mismunandi störf og kann vinnsla og söfnun því að fara eftir eðli starfs.

Í tengslum við öll störf vinnur VM með tengiliðaupplýsingar umsækjenda, s.s. nafn, kennitölu, netfang og símanúmer. Þá er einnig unnið með upplýsingar um menntun, starfsreynslu og hæfni, auk annarra upplýsinga sem umsækjendur velja að afhenda með umsókn sinni. Verði umsækjandi boðaður í viðtal vinnur Vörumiðlun jafnframt með þær upplýsingar sem fram koma um umsækjanda í því viðtali og eftir atvikum frá meðmælendum.

Vinnsla persónuupplýsinga umsækjenda er nauðsynleg svo leggja megi mat á umsókn og velja hæfasta umsækjandann til að gegna viðkomandi starfi. Vinnslan verður jafnframt að fara fram til að koma samningi á.

  1. Uppruni persónuupplýsinga og miðlun þeirra

Persónuupplýsingum sem Vörumiðlun vinnur með er almennt safnað frá viðskiptamönnunum en í einhverjum tilfellum kunna upplýsingar að koma frá öðrum eins og þjóðskrá eða öðrum opinberum aðilum. Í þeim tilvikum þar sem upplýsingar eru fengnar frá öðrum aðilum eða öðrum leiðum en fjallað er um hér á eftir mun VM upplýsa viðskiptamenn um það í samræmi við skyldur samkvæmt persónuverndarlögum. Persónuupplýsingum er einnig miðlað til annarra aðila í lögmætum tilgangi og í samræmi við heimildir VM eins og nánar verður fjallað um síðar.

Uppruni persónuupplýsinga

Persónuupplýsingum er almennt safnað beint frá viðskiptamönnum. Dæmi um slíka upplýsingasöfnun eru: upplýsingar sem látnar eru Vörumiðlun í té vegna viðskipta og þjónustu; upplýsingar sem safnast með almennri rafrænni vöktun eins og myndavélavöktun þar sem fylgt er tilhlýðilegum öryggisráðsstöfunum og merkingum.

Vörumiðlun skráir einnig upplýsingar sem upprunnar eru frá þriðja aðila eftir atvikum, t.d. þjóðskrá eða öðrum opinberum aðilum.

Miðlun persónuupplýsinga

Vörumiðlun mun einungis deila persónuupplýsingum viðskiptamanna með öðrum aðilum í samræmi við lögmæta þörf slíkra aðila fyrir upplýsingarnar og heimildir félagsins.

Einnig kann persónuupplýsingum viðskiptamanna að vera miðlað til þriðja aðila til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum, dómsúrskurðum eða eftirlitsheimildum eftirlitsstofnana. Afhending getur einnig verið nauðsynleg í neyðarástandi eða til að tryggja öryggi starfsfólks, viðskiptamanna eða annarra.

Vörumiðlun kann að miðla persónuupplýsingum um viðskiptamenn til þjónustuaðila félagsins í málum er tengjast þeim og eftir atvikum öðrum verkefnum félagsins. Er hér aðallega átt við þjónustuaðila eins og lögmenn, sérfræðinga í vinnuvernd, endurskoðendur eða aðra sérfræðinga. Í flestum tilfellum eru viðkomandi sérfræðingar sjálfir ábyrgðaraðilar að þeirri vinnslu sem fram fer á þeirra vegum en í þeim tilvikum þar sem þeir teljast vera vinnsluaðilar eru gerðir vinnslusamningar um vinnslu persónuupplýsinga sbr. síðari umfjöllun. Einnig gæti persónuupplýsingum verið miðlað til þriðju aðila sem veita félaginu upplýsingatækniþjónustu og aðra þjónustu sem tengist vinnslu og er hluti af rekstri félagsins. Um vinnslu þjónustuaðila sem eru vinnsluaðilar Vörumiðlunar vísast til síðari umfjöllunar í kafla um öryggi persónuupplýsinga. 

  1. Öryggi persónupplýsinga, varðveislutími og vinnsluaðilar

Vörumiðlun tryggir öryggi persónuupplýsinga með viðeigandi tæknilegum og skipulagslegum ráðstöfunum með sérstöku tilliti til eðlis vinnslu og áhættu af vinnslu persónuupplýsinga fyrir frelsi og persónuvernd viðskiptamanna og annarra einstaklinga. Með því er leitast við að koma í veg fyrir að persónupplýsingar glatist eða breytist fyrir slysni eða gegn óleyfilegum aðgangi, afritun, notkun eða miðlun.

Vinnsluaðilar

Í þeim tilvikum þar sem Vörumiðlun nýtir þjónustu þriðju aðila sem krefjast vinnslu persónuupplýsinga viðskiptamanna og slíkir þriðju aðilar teljast vera vinnsluaðilar eru gerðir vinnslusamningar í samræmi við kröfur persónuverndarlaga. Í slíkum samningum er skilgreint hver er tilgangur vinnslu persónuupplýsinganna og á grundvelli hvaða heimilda vinnslan fer fram og hver varðveislutími gagna er. Þá eru einnig skilgreindar öryggiskröfur sem gerðar eru til vinnsluaðila við vinnslu persónuupplýsinga. Vinnsluaðilum er óheimilt að vinna persónuupplýsingar í öðrum tilgangi en skilgreint er í vinnslusamningum og ber að öðru leyti að framfylgja lögmætum kröfum Vörumiðlunar um vinnsluna.

Vörumiðlun geymir persónupplýsingar á Íslandi og gerir þá kröfu til vinnsluaðila að persónupplýsingar séu geymdar á Íslandi eða í undantekningartilvikum í öðrum löndum sem tilheyra Evrópska efnahagssvæðinu (EES ) enda gilda þar sömu reglur um réttindi einstaklinga.

Varðveislutími persónuupplýsinga

Vörumiðlun varðveitir einungis persónuupplýsingar um viðskiptamenn eins lengi og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum, m.a. eins og félaginu er nauðsynlegt til að geta stofnað, haft upp eða varist réttarkröfu.

Allar upplýsingar sem tengjast bókhaldsskyldu eru varðveittar í 7 ár í samræmi við bókhaldslög.

Gögn sem safnast vegna rafrænnar vöktunar eru vistuð í að hámarki 90 daga í samræmi við ákvæði reglna Persónuverndar nr. 837/2006.

Önnur gögn eru vistuð meðan á viðskiptasambandi stendur. Að loknu viðskiptasambandi eru þau gögn varðveitt sem Vörumiðlun hefur málefnalega ástæðu til að geyma á grundvelli lögmætra hagsmuna með hliðsjón af fyrningartíma krafna.

  1. Réttindi skráðra einstaklinga

Réttindi viðskiptamanns í tengslum við vinnslu Vörumiðlunar á persónuupplýsingum hans grundvallast á persónuverndarlöggjöfinni. Verður hér gerð stuttlega grein fyrir helstu réttindum viðskiptamanns og mögulegum takmörkunum þeirra. Vakin er athygli á að Vörumiðlun kann að vera skylt að lögum að hafna beiðnum eða kröfum viðskiptamanns á grundvelli réttinda hans vegna réttinda annarra eða samnings- eða lagaskyldna félaganna.

Hafi viðskiptamaður fyrirspurnir um réttindi sín getur hann haft samband við umsjónaraðila persónuverndarmála í netfangið personuvernd@vorumidlun.is.

Aðgangsréttur

Viðskiptamaður á rétt á að fá aðgang og að meginreglu afrit af persónuupplýsingum sem Vörumiðlun vinnur um hann. Rétturinn til aðgangs getur í undantekningartilvikum ekki átt við vegna hagsmuna annarra sem taldir eru vega þyngra en réttur viðskiptamanns til slíks aðgangs. Viðskiptamaður getur jafnframt óskað eftir frekari upplýsingum um vinnslu á persónuupplýsingum sínum og átt eftir atvikum rétt á slíkum upplýsingum, til að mynda um miðlun þeirra og notkun. Viðskiptamaður á ávallt rétt á að upplýsingabeiðni hans sé skoðuð og afgreidd með málefnalegum hætti og innan eðlilegs tíma, þó að því tilskyldu að beiðni hans sé ekki verulega óhófleg eða bersýnilega lögð fram í þeim tilgangi að valda röskun á starfsemi.

Réttur til leiðréttingar á röngum persónuupplýsingum.

Mikilvægt er að upplýsingar um viðskiptamenn séu réttar og uppfærðar en ef viðskiptamaður verður var við að upplýsingar séu ekki uppfærðar getur hann óskað eftir að upplýsingar séu uppfærðar eða að bætt sé við athugasemdum til skýringar, þ.e. telji viðskiptamaður upplýsingar vera ófullnægjandi og villandi.

Réttur til að persónuupplýsingum sé eytt

Viðskiptamaður getur farið fram á að upplýsingum um hann sé eytt ef fyrirtækið hefur ekki þörf fyrir þær lengur eða engar lögmætar ástæður eru til geymslu upplýsinganna. Óski viðskiptamaður eftir því verður slík beiðni tekin til skoðunar og í framhaldinu verður hann eftir atvikum upplýstur um ástæður þess að réttur hans sé ekki talinn vera fyrir hendi eftir atvikum eða honum send staðfesting á að upplýsingum hafi verið eytt. Sé vinnsla persónupplýsinga unnin einungis á grundvelli samþykkis sem viðskiptamaður hefur veitt á hann rétt á að draga samþykki sitt til baka og óska eftir að upplýsingum verði eytt.

Réttur til að andmæla vinnslu og krefjast tímabundinnar takmörkunar

Viðskiptamaður getur átt rétt á að andmæla vinnslu persónuupplýsinga sem unnar eru á grundvelli lögmætra hagsmuna Vörumiðlunar eða þriðja aðila telji hann að vinnsla persónuupplýsinganna hafi neikvæð áhrif á grundvallarréttindi hans og persónuvernd sem vegi þyngra en lögmætir hagsmunir Vörumiðlunar eða þriðju aðila af vinnslunni. Viðskiptamaður getur jafnframt átt rétt á að krefjast tímabundinnar takmörkunar á slíkri vinnslu á meðan andmæli hans eru tekin til skoðunar og afgreiðslu.

Réttur til að flytja eigin gögn

Viðskiptamaður getur átt rétt á að krefjast flutnings á persónuupplýsingum sínum til annars aðila en það getur átt við um persónuupplýsingar sem unnar eru á grundvelli samþykkis hans eða á grundvelli þess að vinnslan hafi verið nauðsynleg til að uppfylla samning sem hann er aðili að.

Réttur til að kvarta yfir vinnslu

Ef viðskiptamaður telur að Vörumiðlun hafi unnið persónuupplýsingar sínar án lagaheimildar til slíkrar vinnslu eða að öðru leyti í andstöðu við persónuverndarlög eða hafi með ólögmætum hætti hafnað beiðnum hans um að nýta réttindi hans á grundvelli persónuverndarlaganna getur viðskiptamaður tilkynnt það til Persónuverndar og eftir atvikum kvartað með formlegum hætti. Upplýsingar um Persónuvernd má nálgast á www.personuvernd.is.

  1. Um Vörumiðlun sem ábyrgðaraðila að vinnslu persónupplýsinga

Vörumiðlun ber ábyrgð á allri vinnslu persónuupplýsinga sem fram fer af þess hálfu.  Starfsstöðvar Vörumiðlunar eru eftirtöldum stöðum:

  • Eyrarvegur 21, 550 Sauðárkrókur – höfuðstöðvar
  • Norðurlandsvegur 1, 540 Blönduós
  • Strandgötu 1, 530 Hvammstangi
  • Vesturbraut 20, 370 Búðardalur
  • Fitjabraut 1b, 260 Reykjanesbær
  • Suðurlandsvegur 8, 850 Hella
  • Höfðatún 4, 510 Hólmavík
  • Kjalarvogur 7-15, 104 Reykjavík (Afgreiðsla Samskipa)
  • Klettagarðar 15, 104 Reykjavík (Afgreiðsla Eimskip)

Hafa má samband við umsjónaraðila persónuverndar vegna vinnslu persónupplýsinga með tölvupósti í netfangið personuvernd@vorumidlun.is, m.a. vegna aðgangsbeiðna, annarra fyrirspurna um réttindi vegna

  1. Breytingar

Persónuverndaryfirlýsingin var samþykkt þann 25.06.2021

Breytingar geta orðið á persónuverndaryfirlýsingu Vörumiðlunar frá einum tíma til annars til samræmis við breytingar á lögum eða reglugerðum eða ef breytingar verða á hvernig unnið er með persónuupplýsingar hjá félaginu. Vörumiðlun mun vekja athygli á því ef efnislegar breytingar verða á persónuverndaryfirlýsingu þessari. Nýjasta útgáfa persónuverndaryfirlýsingarinnar er birt á vefsíðu Vörumiðlunar hverju sinni.