Persónuverndarstefna
Atlantsolía ehf. (einnig vísað til sem „félagsins“) hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi þeirra persónuupplýsinga sem félagið vinnur með.
Persónuverndarstefna þessa gildir um þá vinnslu sem félagið hefur með höndum um umsækjendur um störf, viðskiptavini félagsins, þ. á m. handhafa dælulykla, forsvarsmenn viðskiptavina og aðra þá sem setja sig í samband við félagið.
Í persónuverndarstefnu þessari er jafnframt vísað sameiginlega til umsækjenda um störf, viðskiptavina félagsins og forsvarsmanna viðskiptavina félagsins sem „þín“.
1. Tilgangur og lagaskylda
Félagið leitast við að uppfylla í hvívetna persónuverndarlöggjöf og er stefna þessi byggð á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“).
2. Hvað eru persónuupplýsingar?
Persónuupplýsingar í skilningi stefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
3. Persónuupplýsingar sem félagið safnar og vinnur
Félagið vinnur með eftirfarandi persónuupplýsingar í þeim tilgangi sem nánar er lýst í tengslum við hvern flokk af þeim einstaklingum sem unnið er með upplýsingar um.
3.1 Umsækjendur og handhafar dælulykla
Í tengslum við umsókn um dælulykil vinnur félagið með upplýsingar um nafn, kennitölu, netfang, farsímanúmer, heimilisfang og póstnúmer umsækjanda. Þessar upplýsingar eru annars vegar fengnar beint frá umsækjanda og hins vegar frá Þjóðskrá. Auk þess er unnið með upplýsingar um fjölda dælulykla sem óskað er eftir og eftir atvikum efni athugasemda sem umsækjandi sendir með umsókn sinni. Félaginu er nauðsynlegt að vinna með þessar upplýsingar til að verða við beiðni umsækjanda um útgáfu dælulykils og vinnslan byggir því á samningi.
Við notkun á dælulykli safnast upplýsingar um eldsneytisnotkun handhafa. Auk þess vinnur félagið með upplýsingar um úttektarheimild á viðkomandi lykli og greiðsluleið, þ.e. hvort greitt er fyrir eldsneyti með greiðslukorti eða með reikningsviðskiptum. Þá vinnur félagið eftir atvikum með upplýsingar um heimildir, úttektarmörk og afslætti í tengslum við tilgreinda dælulykla sem og upplýsingar um týnda lykla. Þessi vinnsla byggir á samningi félagsins við handhafa.
Í tilviki reikningsviðskipta er jafnframt unnið með upplýsingar um lánshæfi sem fengnar eru frá CreditInfo. Slík vinnsla byggir á lögmætum hagsmunum félagsins. Óski handhafi dælulykils eftir því að fá afrit af kvittunum er unnið með slík afrit og þær sendar handhafa. Sú vinnsla byggir á samþykki.
Stofni handhafi dælulykils mínar síður á vefsíðu félagsins er þar unnið með upplýsingar um kennitölu handhafa og netfang. Inn á mínum síðum getur handhafi nálgast upplýsingar um eldsneytisnotkun og hvar eldsneyti er tekið. Ef lyklar eru skráðir á tilgreind bílnúmer er eldsneytisnotkun skráð á hvert bílnúmer. Inn á mínum síðum má jafnframt finna upplýsingar um afslætti, séu þeir til staðar, hægt er að læsa fyrirtegund , breyta kortaupplýsingum sem og sólarhringsheimild á dælulykil. Þessi vinnsla byggir á samningi félagsins við handhafa dælulykils.
Félagið miðlar ekki upplýsingum um umsækjendur og handhafa dælulykla til þriðja aðila, að því undanskildu að félagið kann að nýta utanaðkomandi þjónustuaðila til að greiðslur og framkvæma lánshæfismat í tengslum við reikningsviðskipti.
Hafi handhafi dælulykils veitt samþykki sitt fyrir móttöku smáskilaboða frá félaginu sendir félagið honum upplýsingar um afmælisafslætti og önnur sérkjör. Í tengslum við slík skilaboð er unnið með upplýsingar um nafn, farsímanúmer og kennitölu (í tengslum við afmælisafslætti).
Þegar umsókn um dælulykil hefur verið send félaginu en lykill ekki virkjaður sendir félagið umsækjanda áminningu í tölvupósti. Í tengslum við slíka áminningu er unnið með nafn og netfang umsækjanda. Þessi vinnsla byggir á lögmætum hagsmunum félagsins.
Láti handhafi af notkun á dælulykli kann félagið jafnframt að setja sig í samband við viðkomandi og kalla eftir upplýsingum um ástæðu fyrir því að notkun hefur verið hætt. Í tengslum við slíka brottfallskönnun vinnur félagið með upplýsingar um nafn, símanúmer og upplýsingar um notkun á lykli. Þessi vinnsla byggir á lögmætum hagsmunum félagsins.
Þá sendir félagið handhöfum dælulykla upplýsingar um þjónustu sína í tölvupósti, s.s. ef ný dælustöð opnar. Í tengslum við slíka pósta vinnur félagið með upplýsingar um nafn og netfang og eftir atvikum póstnúmer í þeim tilvikum er tölvupóstar eru aðeins sendir á íbúa tilgreindra póstnúmera. Þessi vinnsla er byggð á lögmætum hagsmunum félagsins og getur handhafi dælulykils hvenær sem er afskráð sig af póstlista félagsins.
3.2 Forsvarsmenn viðskiptavina sem eru lögaðilar
Í þeim tilvikum er viðskiptavinir félagsins eru lögaðilar er félaginu nauðsynlegt að vinna með tengiliðaupplýsingar forsvarsmanna viðskiptavina í þeim tilgangi að geta átt í samskiptum við viðskiptavin. Þær upplýsingar sem unnið er með eru upplýsingar um nafn viðkomandi forsvarsmanns, stöðu hans, tölvupóst og símanúmer. Vinnsla þessi byggir á samningi.
3.3 Einstaklingar sem setja sig í samband við félagið
Í gegnum vefsíðu félagsins geta einstaklingar sett sig í samband við félagið í gegnum netspjall eða með því að senda félaginu skilaboð í gegnum síðuna („senda fyrirspurn“). Auk þess geta einstaklingar sent félaginu tölvupóst. . Þessi vinnsla er nauðsynleg félaginu til að hægt sé að svara fyrirspurninni og eftir atvikum veita ráðgjöf og byggir vinnslan því á samningi. Það sama á við sendi einstaklingar félaginu skilaboð í gegnum Facebook síðu félagsins.
Með notkun á Facebook síðu félagsins safnast tölfræðiupplýsingar um heimsóknir á síðuna sem félagið vinnur ásamt Facebook og koma aðilar fram sem svokallaðir sameiginlegir ábyrgðaraðilar í tengslum við þá vinnslu.
3.4 Þegar einstaklingar hringja í félagið eru slík símtöl tekin upp, eins og upplýst er um í upphafi símtals. Félagið vinnur með hljóðupptökur símtala á grundvelli lögmætra hagsmuna sinna og fyrst og fremst í þeim tilgangi að geta sannað samskipti aðila ef til ágreinings kemur og í þeim tilgangi að gæta að öryggi starfsmanna félagsins. Hljóðupptökur eru varðveittar í 90 daga.
3.5. Umsækjendur um störf
Sendi einstaklingur félaginu umsókn um starf, hvort sem um er að ræða almenna umsókn eða umsókn um tilgreint auglýst starf, vinnur félagið með upplýsingar um nafn viðkomandi, kennitölu og þær upplýsingar sem umsækjandi velur að senda félaginu, s.s. upplýsingar um menntun og reynslu. Þessi vinnsla er byggð á samningi, þ.e. beiðni umsækjanda um að gera ráðningarsamning við félagið.
Auk þeirra persónuupplýsinga sem tilgreindar eru í köflum 3.1-3.4. í persónuverndarstefnu þessari viðhefur félagið myndavélaeftirlit við dælustöðvar sínar. Slíkt eftirlit fer fram í öryggis- og eignavörsluskyni og á grundvelli lögmætra hagsmuna félagsins. Persónuupplýsingum sem safnast með myndavélaeftirliti er sjálfvirkt eytt að 90 dögum liðnum, nema lengri varðveislutími sé nauðsynlegur svo félagið geti gert kröfu eða varist kröfu. Upplýsingum sem safnast með myndavélaeftirliti er almennt ekki miðlað til þriðja aðila, að undanskilinni lögreglu ef um slys eða meintan refsiverða háttsemi er að ræða, nema ríkir lögvarðir hagsmunir félagsins standi til slíkrar miðlunar, s.s. til tryggingafélags félagsins.
4. Miðlun
Líkt og tilgreint er í kafla 3 í stefnu þessari miðlar félagið almennt ekki persónuupplýsingum þeim sem unnið er með til þriðja aðila. Félagið kann þó að nýta utanaðkomandi aðila til að sinna ráðgjafa- og upplýsingatækniþjónustu fyrir sína hönd og í tengslum við slíka þjónustu kunna viðkomandi aðilar að hafa aðgang að þeim persónuupplýsingum sem félagið vinnur. Þetta kann t.a.m. að eiga við um ráðningarskrifstofur í tengslum við vinnslu á persónuupplýsingum um umsækjendur um störf og fyrirtæki sem veita félaginu hýsingarþjónustu eða þjónusta kerfi félagsins. Undir slíkum kringumstæðum gengur félagið frá skriflegum samningum við viðkomandi aðila þar sem trúnaður og öryggi þeirra persónuupplýsinga sem unnið er með er tryggt.
Séu viðkomandi þjónustuaðilar með staðfestu utan Evrópska efnahagssvæðisins tryggir félagið að gengið hafi verið frá fullnægjandi ráðstöfunum til að tryggja vernd upplýsinganna áður en til miðlunar kemur, s.s. með því að ganga frá samningi við viðtakanda er byggir á stöðluðum samningsskilmálum framkvæmdastjórnar Evrópusambandsins.
5. Öryggi persónuupplýsinga
Félagið leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar, með sérstöku tilliti til eðlis þeirra. Dæmi um slíkar öryggisráðstafanir eru aðgangsstýringar að kerfum þar sem upplýsingar eru vistaðar og notkun eldveggja. Þá gætir félagið að því að starfsmenn þess séu meðvitaðir um þær kröfur sem á þeim hvíla á grundvelli persónuverndarlaga. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.
6. Varðveisla persónuupplýsinga
Félagið varðveitir aðeins persónuupplýsingar eins lengi og þörf krefur miðað við tilgang vinnslunnar. Hvað varðar varðveislutíma þeirra persónuupplýsinga sem unnar eru um handhafa dælulykla þá leitast félagið við að eyða samskipta- og tengiliðaupplýsingum handhafa eftir að fjögur ár eru liðin frá því að viðskiptasambandi aðila lauk. Það sama á við um upplýsingar um forsvarsmenn viðskiptavina félagsins sem eru lögaðilar. Bókhaldsögn, þ.m.t. afrit af reikningum, eru þó varðveitt í sjö ár í samræmi við lagaskyldu.
Sé dælulykill ekki virkjaður innan tólf mánaða frá því að umsókn er send félaginu er umsókn viðkomandi eytt að þeim tíma liðnum. Umsóknargögnum frá umsækjendum um störf er eytt að ráðningarferli loknu og eigi síðar en innan sex mánaða frá því að umsókn var send félaginu.
Upplýsingum sem safnast með myndavélaeftirliti er almennt eytt að 90 dögum liðnum. Það sama á við um hljóðupptökur. Sjá nánar kafla 3 í persónuverndarstefnu þessari.
7. Réttindi varðandi persónuupplýsingar sem félagið vinnur
Þú átt rétt á að fá aðgang og í ákveðnum tilvikum afrit af þeim persónuupplýsingum sem félagið vinnur um þig sem og upplýsingar um vinnsluna. Við ákveðnar aðstæður kannt þú jafnframt að hafa heimild til að óska eftir því að persónuupplýsingum um þig verði eytt eða að vinnsla þeirra verði takmörkuð. Þá átt þú rétt á að fá persónuupplýsingar þínar leiðréttar, séu þær rangar eða óáreiðanlegar. Því er mikilvægt að þú tilkynnir félaginu um allar breytingar sem kunna að verða á persónuupplýsingum þeim sem þú hefur látið félaginu í té, á þeim tíma sem við á. Handhafar dælulykla geta hvenær sem er uppfært upplýsingar sínar inn á mínum síðum.
Auk þess kann að vera að þú eigir rétt á afriti af þeim upplýsingum sem þú hefur afhent félaginu á tölvutæku formi, eða að félagið sendi þær beint til þriðja aðila. Þegar félagið vinnur persónuupplýsingar þínar á grundvelli lögmætra hagsmuna sinna getur þú andmælt þeirri vinnslu. Þá átt þú alltaf rétt til að afturkalla samþykki þitt í þeim tilvikum er vinnsla byggir á samþykki. Inn á mínum síðum geta handhafar dælulykla afturkallað samþykkið sitt fyrir sendingu smáskilaboða sem og afþakkað afrit af kvittunum.
Ofangreind réttindi þín eru þó ekki fortakslaus. Þannig kunna lög eða reglugerðir að heimila eða skylda félagið til að hafna beiðni þinni um að nýta þér umrædd réttindi. Réttur þinn til að andmæla vinnslu persónuupplýsinga þinna vegna beinnar markaðssetningar er þó fortakslaus.
8. Fyrirspurnir og kvörtun til Persónuverndar
Ef þú vilt nýta þér þau réttindi sem lýst er í 7. gr. í stefnu þessari, eða ef þú hefur einhverjar spurningar varðandi persónuverndarstefnu þessa eða það hvernig félagið vinnur með persónuupplýsingar þínar, vinsamlegast hafðu samband við félagið sem mun leitast við að svara fyrirspurnum og leiðbeina þér um réttindi þín samkvæmt persónuverndarstefnu þessari.
Samskiptaupplýsingar félagsins eru eftirfarandi:
Atlantsolía ehf. - Lónsbraut 2 - 220 Hafnarfirði - s. 5913100 - netfang: atlantsolia@atlantsolia.is
Ef þú ert ósátt/ur við vinnslu félagsins á persónuupplýsingum getur þú jafnframt sent erindi til Persónuverndar (www.personuvernd.is).
9. Endurskoðun
Félagið getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Verði gerðar breytingar á persónuverndarstefnu þessari verður uppfærð útgáfa birt á vefsíðu félagsins.
Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt.
Þessari persónuverndarstefnu var síðast breytt þann 4.5.2021.