Persónuverndarstefna
Persónuverndaryfirlýsing Atlantsolíu
Með persónuverndaryfirlýsingu þessari er greint frá því hvernig Atlantsolía ehf., kt. 590602-3610, Lónsbraut 2, 220 Hafnarfirði, sem ábyrgðaraðili (hér eftir „Atlantsolía“, „félagið“ eða „við“) stendur að vinnslu persónuupplýsinga um viðskiptavini og aðra einstaklinga í tengslum við starfsemi félagsins.
Öflug persónuvernd er Atlantsolíu kappsmál og leggur félagið mikla áherslu á að virða réttindi einstaklinga og að öll meðferð persónuupplýsinga sé ávallt í samræmi við gildandi lög og reglur um persónuvernd, sem nú eru lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga (hér eftir „persónuverndarlög“).
Hjá Atlantsolíu starfar persónuverndarfulltrúi sem hægt er að leita til með fyrirspurnir, ábendingar eða athugasemdir með því að senda póst á netfangið personuvernd@atlantsolia.is eða hringja í síma 591-3100.
1. Hvaða upplýsingum söfnum við og um hverja?
Hjá Atlantsolíu er unnið með persónuupplýsingar í tengslum við rekstur og þjónustu félagsins. Stefna þessi gildir um vinnslu sem félagið hefur með höndum um viðskiptavini, forsvarsmenn og starfsfólk viðskiptavina ef um lögaðila er að ræða, aðra sem hafa samband við félagið eða heimsækja starfsstöðvar eða nota vefsvæði félagsins (vefsíðu, Mínar síður eða smáforrit Atlantsolíu) verktaka, birgja, samstarfsaðila og umsækjendur um störf (einnig vísað til sem „þú“).
Söfnun og vinnsla persónuupplýsinga er forsenda þess að Atlantsolía geti veitt þér eða fyrirtækjum, sem þú starfar hjá eða ert í forsvari fyrir, þá vöru eða þjónustu sem óskað hefur verið eftir. Ólíkum persónuupplýsingum kann að vera samband eftir eðli viðskiptasambandsins.
Atlantsolía vinnur, eins og við á hverju sinni, einkum eftirfarandi persónuupplýsingar um einstaklinga í viðskiptum við félagið:
-
Auðkennis- og samskiptaupplýsingar: Nafn, kennitala, heimilisfang, póstnúmer, símanúmer, netfang, rafræn skilríki og aðrar grunnupplýsingar.
-
Upplýsingar vegna viðskiptasambandsins og samningsupplýsingar: Upplýsingar um viðskipti og samskipti við félagið hvort sem þau fara fram bréflega, rafrænt, s.s. tölvupósti eða í gegnum netspjall, vefsíðu, samfélagsmiðlasíður Atlantsolíu, smáforrit, með símtali, munnlega eða á annan hátt og aðrar upplýsingar sem leiða af samningssambandi þínu við félagið um einstaka vörur eða þjónustu.
-
Fjárhags- og reikningsupplýsingar: Korta- eða greiðsluupplýsingar og aðrar upplýsingar sem þörf er á svo unnt sé að afhenda þá vöru eða þá þjónustu sem þjónustan eða viðskiptasambandið nær til, s.s. um færslur, greiðslusögu, heimildir, úttektarmörk og afslætti. Í tilviki reikningsviðskipta vinnur félagið með upplýsingar um lánshæfi sem fengnar eru frá lánshæfismatsfyrirtækjum.
-
Upplýsingar sem safnast við beina markaðssetningu: Nafn, netfang, eftir atvikum póstnúmer (í þeim tilvikum er félagið sendir einstaklingum tölvupóst sem skráðir eru á tiltekið póstfang ef ný dælustöð opnar). Til viðbótar kann félagið að vinna með upplýsingar um farsímanúmer og kennitölu viðskiptavina (í tengslum við afmælisafslætti og önnur sérkjör) sem veitt hafa samþykki fyrir móttöku smáskilaboða frá félaginu.
-
Tæknilegar upplýsingar og afleiddar upplýsingar: Upplýsingar um búnað og tæki sem notuð eru til þess að tengjast vefsvæðum félagsins, s.s. IP-tölu, tegund snjalltækis, vefkökur og hvaða aðgerðir þú framkvæmir á vefsvæðunum. Ef við á staðsetningarupplýsingar í tengslum við notkun á smáforriti Atlantsolíu á grundvelli samþykkis.
-
Upplýsingar sem safnast við rafræna vöktun: Hljóð- og myndbandsupptökur sem safnast við rafræna vöktun með eftirlitsmyndavélum eða hljóðupptöku símtala.
-
Upplýsingar sem safnast í tengslum við starfsumsókn: Tengiliðaupplýsingar, s.s. nafn, kennitala, netfang, heimilisfang og símanúmer. Upplýsingar úr starfsumsókn, s.s. um reynslu og menntun, eftir atvikum upplýsingar úr ráðningarviðtölum og frá meðmælendum. Ef til þess kemur að Atlantsolía muni bjóða þér starf kann félagið að óska eftir sakavottorði ásamt annars konar upplýsingum, s.s. afrit af prófskírteini.
-
Aðrar upplýsingar og opinberar upplýsingar: Upplýsingar úr opinberum skráum, s.s. þjóðskrá, ökutækjaskrá, hlutafélagaskrá og öðrum opinberum skrám. Framangreind upptalning er ekki tæmandi en félagið getur unnið aðrar upplýsingar um þig sem eru nauðsynlegar hverju sinni eftir eðli viðskiptasambandsins eða samskipta þinna við félagið.
Atlantsolía vinnur, eins og við á hverju sinni, einkum eftirfarandi persónuupplýsingar um einstaklinga sem koma fram fyrir hönd lögaðila í viðskiptum við félagið:
-
Auðkennis- og samskiptaupplýsingar: Nafn, kennitala, starfsheiti, símanúmer og netfang.
-
Samskiptaupplýsingar: Upplýsingar um samskipti við félagið hvort sem þau fara fram bréflega, rafrænt, s.s. tölvupósti eða í gegnum netspjall, vefsíðu, samfélagsmiðlasíður Atlantsolíu, smáforrit, með símtali, munnlega eða á annan hátt.
-
Upplýsingar sem safnast við rafræna vöktun: Hljóð- og myndbandsupptökur sem safnast við rafræna vöktun með eftirlitsmyndavélum eða hljóðupptöku símtala.
Þá styðst vefsvæði Atlantsolíu við vefkökur, sem eru litlar textaskrár sem komið er fyrir í tölvu eða snjalltæki notanda, sem safna persónuupplýsingum sem nauðsynlegar eru fyrir virkni vefsvæðis félagsins og markaðssetningu. Nánari upplýsingar um vefkökur má finna á vefsíðu Atlantsolíu í sérstökum vefkökuborða þar sem hægt er að leyfa eða hafna vefkökum.
2. Í hvaða tilgangi vinnum við persónuupplýsingar um þig?
Öll vinnsla Atlantsolíu á persónuupplýsingum fer fram í skýrum, yfirlýstum og málefnalegum tilgangi. Atlantsolía vinnur aðallega með persónuupplýsingar þínar í þeim tilgangi að:
-
Hafa samband við þig, auðkenna þig, stofna og viðhalda viðskiptasambandi og heimila reikningsviðskipti, ákveða sjálfsafgreiðsluheimildir og framkvæma efni samnings milli þín og félagsins og veita þá vöru og þjónustu sem boðið er upp á í starfseminni
-
Eiga samskipti við þig, svara fyrirspurnum eða bregðast við ábendingum eða kvörtunum
-
Stofna viðskiptareikning eða vegna umsóknar um reikningsviðskipti, þ.m.t. staðfesta fjárhagslegt hæfi þitt, viðhalda áhættu- og fjárstýringu, innheimta og vakta kröfur í vanskilum í tilefni vanskila
-
Tryggja öryggis- og eignavörslu og vernda viðskiptavini, starfsfólk og aðra sem eiga erindi við félagið, stuðla að rekjanleika viðskipta og rannsaka, upplýsa eða koma í veg fyrir lögbrot og aðra refsiverða og/eða ámælisverða háttsemi
-
Stuðla að net- og upplýsingaöryggi með því að greina, rannsaka og koma í veg fyrir hvers kyns misferli, fjársvik eða netógnir
-
Þróa vöru og þjónustuframboð félagsins, bæta virkni vöru eða þjónustu, í þágu gæða- og umbótastarfs
-
Stunda markaðs- og kynningarstarf m.a. með því að veita persónubundna þjónustu, senda þér upplýsingar um afslætti, fríðindi og önnur sérkjör.
-
Reka vefsvæði og bæta notendaupplifun á vefsvæðum félagsins
-
Vinna úr starfsumsóknum
-
Uppfylla lagaskyldu sem hvílir á félaginu eða starfsfólki þess hverju sinni
3. Hvaðan fær Atlantsolía persónuupplýsingar um þig?
Persónuupplýsingar sem Atlantsolía vinnur eru oftast fengnar frá þér sjálfum t.d. þegar þú sækir um viðskipti eða hefur samband við félagið. Jafnframt lætur þú af hendi persónuupplýsingar með óbeinum hætti, s.s. þegar þú heimsækir eða notar vefsvæði Atlantsolíu þar sem vefkökur eru notaðar og aðgerðarskráning fer fram.
Neitir þú að afhenda Atlantsolíu persónuupplýsingar eða andmælir vinnslu þeirra getur það haft áhrif á það hvernig félagið veitir þér þjónustu.
Í öðrum tilfellum kunna persónuupplýsingar þínar að berast okkur frá þriðja aðila, s.s. lögaðila sem er í viðskiptum við félagið, samstarfs- og vinnsluaðilum eða opinberum aðilum, s.s. Þjóðskrá Íslands eða Creditinfo, þegar fyrrnefndir aðilar hafa heimild til miðlunar slíkra upplýsinga. Áður en persónuupplýsinga er aflað frá þriðja aðila leitast félagið eftir að upplýsa þig um slíkt.
4. Hvaða heimild höfum við til að vinna með persónuupplýsingar þínar?
Söfnun og vinnsla persónuupplýsinga þinna fer fram þar sem hún er nauðsynleg til að gera eða efna samning milli þín og Atlantsolíu eða fullnægja lagaskyldu í samræmi við 2. og 3. tl. 1. mgr. 9. gr. persónuverndarlaga.
Í ákveðnum tilvikum óskar Atlantsolía eftir upplýstu samþykki þínu fyrir vinnslu persónuupplýsinga í samræmi við kröfur persónuverndarlaga. Í þeim tilvikum getur þú hvenær sem er dregið veitt samþykki til baka og er þá þeirri vinnslu sem samþykkið eftir afturköllunina. Afturköllun samþykkis hefur þó ekki áhrif á vinnslu persónuupplýsinga fram að afturkölluninni.
Í ákveðnum tilvikum er unnið með persónuupplýsingar vegna þess að Atlantsolía, þú sjálfur eða þriðji aðili hefur lögmæta hagsmuni af því að upplýsingar séu unnar. Slík vinnsla fer einungis fram ef hagsmunir Atlantsolíu og/eða þriðja aðila af því að vinnslan fari fram vegi þyngra en einkalífshagsmunir þínir að undangengnu sérstöku hagsmunamati þar um. Eftirfarandi vinnsluaðgerðir fara fram á grundvelli lögmætra hagsmuna:
-
Vinnsla í þágu markaðs- og kynningarstarfs félagsins þ.m.t. markhópagreining og í þágu beinnar markaðssetningar sem m.a. felst í rafrænni upplýsingagjöf til þín um þjónustu, afslætti og sérkjör
-
Vinnsla í þágu net- og upplýsingaöryggis, til að tryggja öryggis- og eignavörslu félagsins og rekjanleika viðskiptafyrirmæla, m.a. með öryggismyndavélum, hljóðritun símtala og varðveislu annars konar rafrænna samskipta
-
Vinnsla í þágu þróunar og prófunar á nýjum vörum og þjónustuleiðum, þjónustu- og tölfræðigreiningar og gæðaeftirlits
-
Varðveisla efnis sem verður til við rafræna vöktun t.d. ef nauðsynlegt er að varðveita efni til að afmarka, setja fram eða verjast lagalegum kröfum fyrir dómi eða annars staðar.
Almennt vinnur Atlantsolía ekki með viðkvæmar persónuupplýsingar um viðskiptavini en það er ekki útilokað t.d. ef viðskiptavinur upplýsir félagið sjálfur um heilsufar sitt eða aðrar upplýsingar sem teljast viðkvæmar. Vinnsla viðkvæmra persónuupplýsingar, þar sem við á, byggist ávallt á skýrri heimild í 11. gr. persónuverndarlaga t.d. afdráttarlausu samþykki eða lagaheimild.
5. Með hverjum deilum við persónuupplýsingum þínum og af hverju?
Það er mögulegt að persónuupplýsingar um þig verði afhentar til þriðju aðila ef slíkt er skylt samkvæmt lögum, s.s. til stjórnvalda, löggæslu- og skattyfirvalda, dómstóla, til innheimtuaðila eða fjárhagsupplýsingastofu í tilefni af skráningu í vanskilaskrá. Eins gætu persónuupplýsingar þínar verið afhentar til þriðja aðila, svo sem í tengslum við samningssamband viðkomandi við félagið eða vegna þjónustu til þín eða fyrirtækis sem þú ert tengiliður fyrir. Sem dæmi kann upplýsingum að vera miðlað til fyrirtækja sem annast greiðslumiðlanir(t.d. banka eða kortafyrirtækis), rekstrar- og hýsingaraðila upplýsingakerfa, fjárhagsupplýsingastofu eins og Creditinfo til þess að framkvæma lánshæfismat í tengslum við reikningsviðskipti eða ráðningarfyrirtækis vegna starfsumsókna. Í vissum tilvikum geta slíkir aðilar talist vera vinnsluaðilar og gerir Atlantsolía þá vinnslusamning við viðkomandi aðila, þar sem trúnaður og öryggi þeirra persónuupplýsinga sem unnið er með er tryggt, í samræmi við kröfur persónuverndarlaga.
Framangreindir þriðju aðilar kunna að vera staðsettir utan Íslands. Atlantsolía miðlar þó ekki persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé í samræmi við ákvæði persónuverndarlaga, s.s. á grundvelli staðlaðra samningsskilmála framkvæmdastjórnar Evrópusambandsins eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.
Með notkun á samfélagsmiðlasíðum Atlantsolíu, s.s. Facebook, safnast tölfræðiupplýsingar um heimsóknir á síðuna sem félagið vinnur ásamt viðkomandi samfélagsmiðlaþjónustu. Í tengslum við þá vinnslu koma aðilar fram sem svokallaðir sameiginlegir ábyrgðaraðilar. Við hvetjum þig því til að kynna þér vel persónuverndaryfirlýsingar þeirra.
6. Hver eru réttindi þín samkvæmt persónuverndarlögum?
Persónuverndarlög veita öllum einstaklingum þ.m.t. viðskiptavinum, og öðrum sem Atlantsolía kann að vinna persónuupplýsingar um, ákveðin réttindi. Þú átt almennt rétt á að:
-
fá staðfestingu á því hvort við vinnum persónuupplýsingar um þig og ef svo er rétt til að fá aðgang og afrit af persónuupplýsingum þínum. Þá áttu jafnframt rétt á ákveðnum lágmarksupplýsingum um tilhögun vinnslu sem m.a. eru veittar í yfirlýsingu þessari.
-
ef þú hefur afhent Atlantsolíu persónuupplýsingar á rafrænu formi átt þú rétt á að slíkar upplýsingar verði fluttar til annars ábyrgðaraðila, ef það er tæknilega mögulegt, eða beint til þín. Einungis er um að ræða persónuupplýsingar sem afhentar hafa verið á grundvelli samþykkis þíns eða vegna framkvæmdar samnings og eru unnar með sjálfvirkum hætti.
-
óska eftir að rangar eða tilteknar persónuupplýsingar um þig verði leiðréttar ef þær eru rangar eða óáreiðanlegar. Þú getur einnig hvenær sem er uppfært upplýsingar um þig á Mínum síðum.
-
óska eftir því að persónuupplýsingum um þig sé eytt í afmörkuðum tilvikum ef skilyrði persónuverndarlaga um eyðingu eiga við.
-
andmæla vinnslu persónuupplýsinga sem byggir á lögmætum hagsmunum félagsins eða fer fram í þágu beinnar markaðssetningar.
-
fara fram á að vinnsla persónuupplýsinga þinna sé takmörkuð tímabundið vegna sérstakra aðstæðna hjá þér.
-
að sæta ekki sjálfvirkri ákvarðanatöku nema hún fari fram samkvæmt skilyrðum persónuverndarlaga og þegar hún fer fram átt þú rétt á mannlegri íhlutun og útskýringu á því hvernig sjálfvirk ákvarðanataka er fengin sbr. nánari umfjöllun í kafla 10.
Réttindi þín eru þó ekki fortakslaus og lög eða reglugerðir kunna að heimila eða skylda félagið til að hafna beiðni þinni um að nýta þér umrædd réttindi. Réttur þinn til að andmæla vinnslu persónuupplýsinga þinna til vegna beinnar markaðssetningar er þó ávallt fortakslaus.
Þú hefur einnig rétt á að leita til persónuverndarfulltrúa félagsins og/eða leggja fram kvörtun hjá Persónuvernd teljir þú Atlantsolíu ekki vinna persónuupplýsingar þínar í samræmi við persónuverndarlög. Netfang persónuverndarfulltrúa er personuvernd@atlantsolia.is. Upplýsingar um Persónuvernd má finna á heimasíðu stofnunarinnar, www.personuvernd.is.
7. Hversu lengi geymum við persónuupplýsingar um þig?
Atlantsolía varðveitir aðeins persónuupplýsingar eins lengi og þörf krefur miðað við tilgang vinnslunnar, í samræmi við ákvæði laga og varðveislustefnu félagsins. Almennt eru persónuupplýsingar varðveittar á meðan á viðskiptasambandi stendur, eins lengi og lög kveða á um eða lögmætir hagsmunir félagsins krefjast.
Félagið leitast sem dæmi við að eyða samskipta- og tengiliðaupplýsingum um viðskiptavini eftir að fjögur ár eru liðin frá því að viðskiptasambandi aðila lauk. Það sama á við um upplýsingar um forsvarsmenn viðskiptavina félagsins sem eru lögaðilar. Bókhaldsgögn, þ.m.t. afrit af reikningum, eru þó varðveitt í sjö ár í samræmi við bókhaldslög nr. 145/1995. Umsóknargögnum frá umsækjendum um störf er eytt að ráðningarferli loknu og eigi síðar en innan sex mánaða frá því að umsókn var send félaginu.
Efni sem safnast við rafræna vöktun eða við hljóðupptökur er sjálfvirkt eytt að 30 dögum liðnum, nema lög kveði á um annað eða lögmætir hagsmunir krefjist lengri varðveislu.
8. Öryggi persónuupplýsinga þinna
Atlantsolía leggur ríka áherslu á að tryggja öryggi persónuupplýsinga og hefur innleitt skipulagslegar og tæknilegar öryggisráðstöfunum í þeim tilgangi. Dæmi um slíkar ráðstafanir eru aðgangsstýringar og aðgerðaskráning í upplýsingakerfum og hugbúnaði, notkun eldveggja, örugg innskráning svo dæmi séu tekin auk þess sem starfsfólk fær reglulega þjálfun og fræðslu um persónuvernd og upplýsingaöryggi. Jafnframt er til staðar skjalfest verklag í samræmi við bestu venjur á sviði net- og upplýsingaöryggis sem ætlað er að vernda umhverfi Atlantsolíu, upplýsingaeignir og persónuupplýsingar þínar. Þessum ráðstöfunum er ætlað að koma í veg fyrir mannleg mistök, þjófnað og svik og vernda öll gögn gegn óleyfilegum aðgangi, glötun, eyðileggingu, breytingum fyrir slysni og ólögmætri notkun.
Atlantsolía leggur áherslu á að takmarka skuli aðgang að persónuupplýsingum við þá starfsmenn sem nauðsynlega þurfa slíkan aðgang starfa sinna vegna. Starfsfólk Atlantsolíu er jafnframt skylt til að gæta trúnaðar og tryggja öryggi persónuupplýsinga á meðan og eftir að það lætur af störfum fyrir Atlantsolíu.
Félagið hefur skjalfest verklag til að tryggja lögmæta meðferð og öryggi persónuupplýsinga þ.m.t. um skilvirk viðbrögð við öryggisbrestum eða öryggisatvikum sem og tilkynningarskyldu. Í slíkum tilvikum er Persónuvernd, viðeigandi eftirlitsstofnunum og eftir atvikum einstaklingum tilkynnt um öryggisbrest í samræmi við persónuverndarlög.
9. Sjálfvirk ákvarðanataka
Ef til þess kemur að Atlantsolía útbúi persónusnið um þig s.s. til að meta eða spá fyrir um ákveðna þætti er varða hagi þína, hegðun eða þjónustunotkun mun félagið ávallt tryggja að slík vinnsla fari fram samkvæmt ákvæðum persónuverndarlaga. Sjálfvirk ákvarðanataka og gerð persónusniðs sem hefur mikil áhrif á hagsmuni þína fer einungis fram á grundvelli viðeigandi heimilda þ.m.t samþykkis.
10. Rafræn vöktun öryggismyndavéla og hljóðritun símtala
Rafræn vöktun fer fram með öryggismyndavélum á starfsstöðvum Atlantsolíu og við önnur mannvirki félagsins, s.s. við dælustöðvar félagsins víðsvegar um landið. Vöktunin fer fram á grundvelli lögmætra hagsmuna félagsins í þágu öryggis- og eignavörslu. Þá eru persónuupplýsingar sem safnast við rafræna vöktun einungis notaðar í þágu yfirlýsts tilgangs með söfnun þeirra og ekki afhentar öðrum en löggæsluyfirvöldum vegna lögreglurannsóknar eða öðrum aðilum á grundvelli skýrrar heimildar, t.d. vátryggingafélögum vegna tjónamála.
Þegar þú hringir í Atlantsolíu kann félagið að hljóðrita símtöl og/eða önnur rafræn samskipti eins og upplýst er um í upphafi símtals. Hljóðritun fer fram á grundvelli lögmætra hagsmuna félagsins í þeim tilgangi að tryggja öryggi og rekjanleika í viðskiptum.
Rafræn vöktun samkvæmt framangreindu fer fram á grundvelli lögmætra hagsmuna félagsins í þeim tilgangi að tryggja öryggi, eignavörslu og rekjanleika í viðskiptum. Efni sem safnast við rafræna vöktun er ekki varðveitt lengur en reglur Persónuverndar heimila, eða í 30 daga, nema skýr heimild sé til staðar fyrir lengri varðveislu.
Strangar aðgangstakmarkanir gilda um aðgang að efni sem safnast við rafræna vöktun öryggismyndavéla og hljóðritun símtala og það er eingöngu skoðað ef laganauðsyn er til staðar t.d. í tilefni af ágreiningi, slysi, innbroti, ef uppi er grunur um refsiverða háttsemi eða í þágu innra eftirlits.
11. Endurskoðun og uppfærslur
Atlantsolía áskilur sér rétt til að endurskoða persónuverndaryfirlýsingu þessa reglulega og uppfæra eftir þörfum. Ef um efnislega uppfærslu er að ræða mun þér verða tilkynnt um slíkt áður en uppfærð yfirlýsing tekur gildi. Minni háttar breytingar s.s. orðalagsbreytingar taka gildi við birtingu á vefsvæði Atlantsolíu.
Yfirlýsing þessi var síðast uppfærð þann 3. október 2024.