Persónuverndarstefna
Eftirfarandi persónuverndarstefna gildir frá og var síðast uppfærð:
- fyrir notendur Dokobit-gáttarinnar þann 28.05.2023,
- fyrir notendur Dokobit API þann 18.06.2023.
Þessi persónuverndarstefna myndar samning á milli þjónustuveitanda og viðskiptavinar, er hluti af þjónustuskilmálunum og lýtur þeim. Í persónuverndarstefnunni er lýst hvaða upplýsingum við söfnum um þig, hvernig við notum þær og hvaða upplýsingum er miðlað til þriðju aðila. Það er okkar helsta forgangsatriði að vernda friðhelgi og heilleika persónuupplýsinga þinna.
1. Upplýsingar sem við kunnum að safna um þig
1.1. Við söfnum mismunandi tegundum upplýsinga til að veita þér þjónustuna á áreiðanlegan og öruggan hátt.
- Persónuupplýsingar — upplýsingar sem tengjast persónugreindum eða persónugreinanlegum einstaklingi.
- Reikningsupplýsingar þínar — Þegar þú notar þjónustuna söfnum við og tengjum við notandaaðgang þinn þeim upplýsingum sem þú lætur okkur í té, svo sem fornafni og eftirnafni, netfangi, farsímanúmeri, kennitölu, heimilisfangi, kreditkortaupplýsingum og (eða) öðrum greiðsluupplýsingum, ásamt upplýsingum um farsíma (ef farsímaforrit er notað). Við komum fram sem ábyrgðaraðili (e. Data Controller) gagnvart þessum upplýsingum. Allar þessar upplýsingar eru geymdar og unnar innan Evrópusambandsins / Evrópska efnahagssvæðisins (ESB/EES). Við vinnum þessi gögn til að veita þér þjónustu á grundvelli samningsins og í lagalegum tilgangi (til að svara beiðnum þínum varðandi persónuupplýsingar, til að veita lögreglu eða öðrum ríkisstofnunum upplýsingar, og til að verja réttindi og hagsmuni Dokobit).
- Gögn sem þú hleður upp (gögn viðskiptavinar) — Hvers kyns gögn sem viðskiptavinur hleður upp eða lætur í té. Til að veita þjónustuna geymum við, vinnum og miðlum skjölum sem þú hleður upp og upplýsingum sem þeim tengjast. Þessi gögn eru eingöngu unnin samkvæmt fyrirmælum frá þér (viðskiptavini eða notanda). Við komum fram sem vinnsluaðili (e. Data Processor) gagnvart þessum upplýsingum. Allar þessar upplýsingar eru geymdar og unnar innan Evrópusambandsins / Evrópska efnahagssvæðisins (ESB/EES).
- Upplýsingar um notkun þína — Við söfnum upplýsingum um hvernig þú notar þjónustuna. Við kunnum að safna upplýsingum á borð við IP-tölur, gerð vafra, tæki, stýrikerfi sem þú notar eða þær aðgerðir sem þú framkvæmir þegar þú notar þjónustu okkar. Við notum þessar upplýsingar á grundvelli lögmætra hagsmuna okkar til að fylgjast með aðgengi og gæðum þjónustu okkar og einstakra eiginleika, bæta þjónustuna, þróa nýjar vörur og virkni, og tryggja öryggi aðgangs þíns og gagna. Ef þessi tilgangur krefst þess að við vinnum með gögn viðskiptavinar, verða þau gögn eingöngu notuð á ópersónugreinanlegu eða samanteknu formi. Við kunnum einnig að nota tól frá þriðju aðilum til að safna upplýsingum um hegðun gesta og lýðfræðilegar upplýsingar í þjónustu okkar. Ef við höfum samþykki þitt, notum við þessar upplýsingar einnig til að sníða vefsíðu okkar og auglýsingar sem við sýnum þér betur að þínum áhugamálum. Ef þú veitir okkur leyfi til að senda þér tölvupósta í markaðsskyni, notum við þessar upplýsingar einnig til að senda þér persónusniðna markaðspósta. Nánari upplýsingar er að finna í kafla þessarar stefnu um vafrakökur, greiningu, markaðssetningu og áhugamiðuð auglýsingastarfsemi. Við komum fram sem ábyrgðaraðili gagnvart þessum upplýsingum.
- Aðrar upplýsingar — Við kunnum að mótaka upplýsingar um þig, þar á meðal persónuupplýsingar þínar, frá þriðju aðilum sem við vinnum náið með (svo sem fullgildum traustþjónustuveitendum, öðrum þjónustuveitendum sem samþættir eru þjónustu okkar, viðskiptafélögum, undirverktökum, greiðsluþjónustuveitendum, lánshæfismatsfyrirtækjum) á grundvelli samnings, eða úr vafrakökum á grundvelli samþykkis. Við munum meðhöndla þessar upplýsingar sem persónuupplýsingar í samræmi við þessa persónuverndarstefnu. Við komum fram sem ábyrgðaraðili gagnvart þessum upplýsingum.
- Samskiptaupplýsingar — Til að svara spurningum þínum og athugasemdum vinnum við persónuupplýsingar sem þú lætur okkur í té þegar þú notar samskiptaform á vefsíðum okkar og í farsímaforriti, svo sem nafn og eftirnafn, netfang, símanúmer, skipulagsheild, innihald skilaboða og önnur gögn sem þú gefur upp. Við komum fram sem ábyrgðaraðili gagnvart þessum upplýsingum.
2. Miðlun upplýsinga þinna
2.1. Við deilum ekki neinum persónuupplýsingum með þriðju aðilum nema eitt af eftirfarandi tilvikum eigi við:
- Með aðgangsstjórum — ef aðgangsstjóri stýrir notandaaðgangi þínum fyrir þína hönd, mun sá aðgangsstjóri hafa fullan aðgang að notandaaðgangi þínum. Aðgangsstjórinn getur nálgast öll gögn sem þú hefur hlaðið upp (gögn viðskiptavinar), frestað eða lokað aðgangi þínum og fengið upplýsingar um notkun þína.
- Vegna vinnslu hjá fyrirtækjum innan samstæðu okkar og tengdum félögum — við kunnum að deila upplýsingum þínum með öðrum fyrirtækjum sem tengjast okkur. Fyrirtæki telst tengjast okkur ef það er í beinni eða óbeinni eigu móðurfélags okkar, Signicat AS. Sem hluti af þessari miðlun upplýsinga til móðurfélags, dótturfélaga og tengdra félaga, þýðir þetta að þegar þú lætur okkur í té upplýsingar, getur hvert sem er af tengdum félögum okkar notað upplýsingar þínar, þar með talið í markaðsskyni, í samræmi við ákvæði þessarar persónuverndarstefnu og samninga á milli félaga innan samstæðunnar.
- Vegna vinnslu hjá utanaðkomandi aðilum — við kunnum að afhenda persónuupplýsingar til traustra viðskiptafélaga okkar (sem geta verið þjónustuveitendur, endurskoðendur, ráðgjafar og aðrir viðurkenndir samstarfsaðilar) til að þeir vinni þær fyrir okkar hönd, byggt á okkar fyrirmælum og í samræmi við þessa persónuverndarstefnu.
- Lögmætar beiðnir — við kunnum að miðla persónuupplýsingum þegar við teljum í góðri trú að aðgangur, notkun, varðveisla eða miðlun slíkra upplýsinga sé nauðsynleg til að:
- uppfylla hvers kyns gildandi lög, reglugerðir, lagalega málsmeðferð eða réttmæta beiðni stjórnvalda;
- uppfylla gildandi lög, sérstaklega gagnvart fjármálafyrirtækjum sem bera frekari skyldur vegna endurskoðunar eða úttekta;
- fylgja eftir þjónustuskilmálum okkar, þar með talið rannsókn á hugsanlegum brotum;
- verjast yfirvofandi skaða á réttindum okkar, eignum eða öryggi, eða okkar notenda eða almennings eins og lög krefjast eða heimila.
- Viðskiptatilflutningar — við kunnum að deila og (eða) framselja persónuupplýsingar þínar ef við tökum þátt í hvers kyns samruna, kaupum, endurskipulagningu, sölu eigna eða gjaldþroti.
3. Upplýsingaöryggi
3.1. Öll þjónusta okkar er hönnuð frá grunni með öryggi í huga.
3.2. Við höfum innleitt stjórnkerfi upplýsingaöryggis (e. Information Security Management System eða ISMS) í samræmi við ISO/IEC 27001 staðalinn. Kerfið nær yfir margvíslegar persónuverndar- og öryggisstefnur, ferla og verklagsreglur, þar á meðal stjórnunarlegar, efnislegar og tæknilegar verndarráðstafanir sem vernda með sanngjörnum og viðeigandi hætti trúnað, heilleika og tiltækileika persónuupplýsinga þinna og gagna viðskiptavinar.
3.3. Stjórnkerfi upplýsingaöryggis okkar fer í gegnum úttekt ár hvert og er vottað af faggiltum úttektaraðilum. Vottunin nær til „skýjalausna fyrir rafrænar undirskriftir, rafræna stimpla, rafræna auðkenningu, sannvottun rafrænna undirskrifta og rafrænna stimpla, auk tilheyrandi hugbúnaðarþróunar, afhendingar og þjónustu“.
3.4. Þjónustan er veitt í gegnum TLS-tengingu með 256-bita dulkóðun. Öll gögn eru geymd í gagnaverum sem uppfylla ISO 27001, ISO 27017, ISO 27018 og PCI DSS Level 1 staðla. Öll gögn viðskiptavinar eru dulkóðuð með AES-256 dulkóðunartækni.
4. Reglur um varðveislu gagna
4.1. Þegar þú eyðir notandaaðgangi þínum úr þjónustunni er innihaldinu (gögnum viðskiptavinar) eytt innan 7 daga frá þeim degi sem aðganginum er lokað. Reikningsupplýsingar þínar og greiðsluupplýsingar eru varðveittar í 10 ár í samræmi við litháísk lög um bókhald og skatta.
4.2. Við varðveitum upplýsingar um virkni þína (þær aðgerðir sem þú framkvæmir þegar þú notar þjónustu okkar) í kerfisskrám (e. system logs) til að tryggja að þjónusta okkar sé veitt á áreiðanlegan og öruggan hátt. Slíkar upplýsingar tengdar virkni þinni geta innihaldið gögn viðskiptavinar og (eða) persónuupplýsingar. Þessar upplýsingar eru geymdar í öryggisafritum okkar í 90 daga.
4.3. Ofangreindar upplýsingar verða fjarlægðar úr öryggisafritum okkar innan einnar viku eftir að varðveislutíma þeirra lýkur.
4.4. Ókeypis notandaaðgöngum er eytt eftir tveggja ára óvirkni í samræmi við þjónustuskilmála okkar.
5. Ábyrgðaraðili
5.1. Þú kemur fram sem ábyrgðaraðili (e. Data Controller) gagnvart þeim gögnum sem þú hleður upp (gögnum viðskiptavinar) sem innihalda persónuupplýsingar. Við berum ekki ábyrgð á neinum persónuupplýsingum sem geymdar eru að ákvörðun viðskiptavina okkar, þar á meðal en ekki takmarkað við færslur í tengiliðaskrá, boð eða skjöl.
5.2. Við berum hvorki ábyrgð á því með hvaða hætti viðskiptavinir okkar safna, meðhöndla, miðla eða dreifa slíkum gögnum, né hvernig þeir vinna úr þeim á annan hátt.
5.3. Skilmálar fyrir slíka gagnavinnslu eru skilgreindir í vinnslusamningi (e. Data Processing Agreement).
6. Vafrakökur, greining, markaðssetning og áhugamiðuð auglýsingastarfsemi
6.1. Við notum vafrakökur í allri þjónustu okkar og á vefsíðu okkar. Ítarlegar upplýsingar um notkun okkar á vafrakökum er að finna í stefnu okkar um vafrakökur (e. Cookie Policy).
6.2. Við kunnum að nota tæknilega greiningarþjónustu frá þriðju aðilum til að vaka yfir tiltækileika og gæðum þjónustu okkar eða einstakra eiginleika, sem og til að skilja betur þarfir notenda okkar og fínstilla þjónustuna og upplifun þína hjá okkur (t.d. hvaða eiginleika fólk hefur tilhneigingu til að nota, hversu miklum tíma það eyðir á hvaða síðum, hvaða hlekki það smellir á, hvað notendum líkar og líkar ekki o.s.frv.) og bjóða upp á verkfæri fyrir markviss samskipti byggð á hegðun notenda. Gögnin sem safnað er eru notuð til að búa til sérsniðnar skýrslur og mæla virkni og varðveislu notenda, ásamt því að skilgreina þjónustutengd samskipti út frá þáttum eins og samskiptum þínum við vefsíðuna okkar, staðsetningu eða reikningsupplýsingum, svo við getum sérsniðið þjónustutillögur okkar fyrir þig til að tryggja sem besta og notendamiðaða þjónustuupplifun og mæta betur þörfum notenda okkar.
6.3. Greiningartæknin notar vafrakökur, bakvinnsluatburðahlustun (e. backend event listeners) og aðrar aðferðir til að safna gögnum um þjónustunotkun og hegðun notenda okkar og tæki þeirra. Við munum biðja um samþykki þitt ef setja á greiningar- eða frammistöðuvafraköku í geymslu tækis þíns.
6.4. Greiningartæknin gerir okkur kleift að safna og leggja mat á persónuupplýsingar, til dæmis notandavirkni (þar á meðal tegund reiknings, kjörna auðkenningaraðferð, síður sem hafa verið heimsóttar og þætti sem smellt hefur verið á; tíma sem notandinn eyðir á síðum; tungumálið sem valið er til að birta vefsíðu okkar o.s.frv.) og upplýsingar um tæki og vafra (sérstaklega IP-tölu, tækjaauðkenni (e. device ID) og stýrikerfi, skjástærð tækis, gerð tækis, einkvæm tækjaauðkenni, vafraupplýsingar og landfræðilega staðsetningu).
6.5. Við notum þjónustu þriðju aðila til að birta persónusniðnar auglýsingar og efni, mæla virkni í tengslum við auglýsingar og efni, fá innsýn í markhópinn og vegna vöruþróunar.
Til þess að sýna auglýsingar sem eiga betur við þig miðað við áhugamál þín, nota samstarfsaðilar okkar á sviði auglýsinga margvíslegar vafrakökur og rakningartæki fyrir farsíma. Við munum biðja um samþykki þitt ef setja á vafraköku í markaðsskyni (e. targeting cookie) í geymslu tækis þíns. Að fengnu samþykki þínu heimilum við þeim að sýna persónusniðnar auglýsingar ásamt því að nota vafrakökur sem tengjast persónusniðnum auglýsingum. Vafrakökur þriðju aðila í auglýsingaskyni og rakningartæki fyrir farsíma kunna að vera notuð í þeim tilgangi að virkja samhengisbundnar auglýsingar (e. contextual advertising) eða markvissar herferðir.
Byggt á leyfi þínu til að setja vafrakökur á tækið þitt, leggjum við einnig mat á notandasnið undir dulnefni (e. pseudonym). Í þeim tilvikum er persónugreining ekki möguleg. Við höfum ekki stjórn á þessari rakningartækni þriðju aðila né notkun hennar. Samstarfsaðilar okkar á sviði auglýsinga hvíla á trúnaðarskyldu samkvæmt samningum við okkur og (eða) lúta öðrum lagalegum takmörkunum. Vafrakökur þriðju aðila falla undir persónuverndarstefnur viðkomandi þriðju aðila. Við miðlum upplýsingum um samþykki þitt eða höfnun á notkun vafrakaka og tengda vinnslu persónuupplýsinga í þeim tilgangi að persónusníða auglýsingar til samstarfsaðila okkar á sviði auglýsinga.
7. Staðsetning gagna
7.1. Við vinnum persónuupplýsingar þínar innan ESB/EES. Við val á samstarfsaðilum gætum við þess að þeir bjóði upp á þann möguleika að takmarka gagnavinnslu við ESB/EES, sé þess kostur. Komi til þess að gögn þín séu flutt út fyrir ESB/EES af hálfu eins af samstarfsaðilum okkar, tryggjum við í samningum okkar að það eigi sér stað í samræmi við gildandi persónuverndarlög. Undir engum kringumstæðum munum við flytja gögn viðskiptavinar út fyrir ESB/EES.
8. Réttindi þín
8.1. Samkvæmt almennu persónuverndarreglugerðinni (GDPR) eiga skráðir einstaklingar eftirfarandi réttindi (sem kunna að vera háð skilyrðum, takmörkunum og undanþágum sem kveðið er á um í lagalegum ákvæðum um persónuvernd):
- Rétturinn til að fá upplýsingar um þau gögn sem við söfnum og notum og rétturinn til að fá aðgang að persónuupplýsingum sem geymdar eru um þá, eða krefjast afrits af gögnunum.
- Rétturinn til að andmæla, hvenær sem er, af ástæðum sem tengjast sérstökum aðstæðum hans eða hennar, vinnslu persónuupplýsinga sem varða hann eða hana og byggir á e- eða f-lið 1. mgr. 6. gr. reglugerðarinnar, þar með talið gerð persónusniðs (e. profiling) sem byggir á þeim ákvæðum (þegar söfnun og notkun byggist á verkefni sem unnið er í þágu almannahagsmuna, beitingu opinbers valds eða lögmætum hagsmunum). Þú átt einnig rétt á að andmæla vinnslu persónuupplýsinga þinna í þágu beinnar markaðssetningar.
- Rétturinn til að fá gögnin sem þú hefur látið í té á skipulögðu, algengu og tölvulesanlegu sniði og til að flytja þessi gögn til annars ábyrgðaraðila eða, þar sem það er tæknilega gerlegt, að láta Dokobit flytja þau (að því tilskildu að lagaleg skilyrði séu uppfyllt).
- Rétturinn til að draga samþykki til baka hvenær sem er, ef þú hefur veitt okkur slíkt samþykki. Þú getur dregið til baka samþykki þitt fyrir því að við sendum þér fréttabréf okkar með því að breyta stillingum á Dokobit-aðgangi þínum.
- Rétturinn til að andmæla sjálfvirkri ákvarðanatöku.
- Rétturinn til að láta uppfæra persónuupplýsingar ef þær eru rangar og, eftir því hver tilgangur söfnunar og notkunar er, láta fullgera ófullkomnar upplýsingar (réttur til leiðréttingar).
- Rétturinn til að krefjast takmörkunar á söfnun og notkun gagna þinna, að því tilskildu að lagaleg skilyrði séu uppfyllt (réttur til takmörkunar á vinnslu).
- Rétturinn til að gleymast (krefjast eyðingar gagna þinna), að því tilskildu að réttmæt ástæða sé fyrir hendi.
- Rétturinn til að leggja fram kvörtun hjá eftirlitsstofnun (á Íslandi er það Persónuvernd) vegna vinnslu ábyrgðaraðila, óháð öðrum úrræðum að lögum.
8.2. Þú getur nýtt hvers kyns réttindi þín er varða persónuupplýsingar þínar með því að senda beiðni til persónuverndarfulltrúa okkar (e. Data Protection Officer) með tölvupósti á netfangið dpo@dokobit.com.
8.3. Beiðni þín verður að innihalda nægilegar upplýsingar sem gera okkur kleift að staðreyna með sanngjörnum hætti að þú sért sá einstaklingur, eða umboðsbær fyrirsvarsmaður þess einstaklings, sem við höfum safnað persónuupplýsingum um (nafn, eftirnafn, netfang þitt og aðrar upplýsingar sem við kunnum að óska eftir í auðkenningarskyni). Þú verður að lýsa beiðni þinni með nægilega ítarlegum hætti til þess að við getum skilið hana rétt, lagt mat á hana og svarað henni, auk þess að leggja fram staðfestingu undir refsiábyrgð um að þú sért sá einstaklingur sem persónuupplýsingarnar varða.
Ef beiðni þín er lögð fram af umboðsmanni verður skriflegt umboð og upplýsingar sem staðreyna auðkenni umboðsmannsins að fylgja beiðninni.
Við getum ekki afhent þér upplýsingar eða gert þér kleift að nýta önnur réttindi þín ef við getum ekki staðreynt deili á þér eða umboð þitt til að leggja fram beiðnina og staðfest að upplýsingarnar varði þig.
9. Breytingar og uppfærslur
9.1. Við kunnum að endurskoða þessa persónuverndarstefnu reglulega og munum birta nýjustu útgáfuna á vefsíðu okkar. Ef endurskoðun leiðir til verulegra breytinga munum við láta þig vita.
10. Hafðu samband
10.1. Ef þú hefur einhverjar spurningar, athugasemdir eða kvartanir varðandi þessa persónuverndarstefnu, getur þú haft samband við persónuverndarfulltrúa okkar (e. Data Protection Officer) með tölvupósti á netfangið dpo@dokobit.com.