Persónuverndarstefna

Persónuverndarstefna þessi byggir á gildandi lögum um persónuvernd nr. 90/2018 og almennu persónu­verndarreglugerð Evrópuþingsins og Ráðsins nr. 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, einnig þekkt sem „GDPR“.

‍

1. UPPLÝSINGAR UM OKKUR

BBA Fjeldco ehf., Katrínartúni 2,105 Reykjavík, kt. 610819-0950 (hér eftir ,,BBA‘‘ eða „við‘‘) er ábyrgðaraðili þeirra persónuupplýsinga sem við söfnum og vinnum um einstaklinga í tengslum við þá þjónustu sem við veitum viðskiptavinum okkar.

Markmið þessarar persónuverndarstefnu er að veita viðskiptavinum okkar upplýsingar um tilgang og grundvöll vinnslu persónuupplýsinga og upplýsa viðskiptavini um réttindi í tengslum við slíka vinnslu. Hafir þú einhverjar nánari spurningar eða athugasemdir við stefnu þessa bendum við þér á að hafa samband við ábyrgðarmann persónuverndarstefnu með bréfpósti eða tölvupósti. Ábyrgðarmaðurinn mun bregðast við erindi þínu eins fljótt og auðið er með skriflegum hætti.

BBA Fjeldco ehf.  
Katrínartún 2    
105 Reykjavík    
b.t. Söru Rutar Sigurjónsdóttur        
Netfang: sara@bbafjeldco.is

‍

2. TEGUNDIR OG UPPRUNI PERSÓNUUPPLÝSINGA

Persónuupplýsingar eru hvers kyns persónugreindar eða persónugreinanlegar upplýsingar sem má rekja til tiltekins einstaklings. Með því er átt við að hægt sé að auðkenna einstakling beint eða óbeint með upplýsingunum.

BBA safnar og vinnur ýmsar tegundir persónuupplýsinga í því skyni að veita lögfræðilega ráðgjöf til viðskiptavina. Ólíkum upplýsingum kann aðvera safnað eftir því hvort þú sjálfur ert viðskiptavinur BBA eða hvort þú kemur fram fyrir hönd lögaðila í viðskiptum við BBA.

Í dæmaskyni má nefna að unnið er með eftirfarandi upplýsingar um einstaklinga sem jafnframt eru viðskiptavinir BBA:

• auðkenningu einstaklings sem viðskiptamanns, s.s. nafn, kennitala og lögheimili,
• samskiptaupplýsingar, s.s. símanúmer, netfang og samskipti við viðskiptamann;
• reikningsupplýsingar;
• persónuskilríki, svo sem afrit af vegabréfi eða ökuskírteini; og
• aðrar persónuupplýsingar sem einstaklingur veitir okkur í því skyni að geta veitt honum lögfræðilega ráðgjöf.

Í dæmaskyni má nefna að unnið er með eftirfarandi upplýsingar um einstaklinga sem fram koma fyrir hönd lögaðila eða eru á annan hátt tengiliðir við lögaðila:

• tengiliðsupplýsingar, s.s. nafn starfsmanns, nafn fyrirtækis sem starfsmaður vinnur fyrir og starfstitill; og
• samskiptaupplýsingar, s.s. símanúmer, netfang og samskipti við starfsmann.

Rétt er að benda á að viðskiptamanni er ávallt valkvætt að veita persónuupplýsingar. Séu upplýsingar ekki veittar kann það þó að hafa áhrif á möguleika BBA til að veita ráðgjöf.

Að jafnaði safnar BBA persónuupplýsingum beint frá viðskiptamanni eða fyrirsvarsmanni lögaðila. Í einhverjum tilfellum kunna upplýsingar að koma frá þriðju aðilum, svo sem Þjóðskrá Íslands, Fasteignaskrá Íslands, Creditnfo, Keldunni, ríkisskattstjóra,bönkum eða fjármálafyrirtækjum, dómstólum, sýslumönnum og stjórnvöldum.

BBA kann í einhverjum tilfellum að safna upplýsingum í gegnum heimsóknir viðskiptamanna á heimasíðu félagsins, www.bbafjeldco.is, þar á meðal upplýsingar um staðsetningu þess sem opnar heimasíðuna, tegund vafra sem notaður er og almennar upplýsingarum um ferð á heimasíðu.

‍

3. VINNSLUGRUNDVÖLLUR

Notkun þeirra persónuupplýsinga sem við höfum undir höndum fer eftir því í hvaða tilgangi þeirra er aflað. BBA notar einkum persónuupplýsingar viðskiptamanns til að:

• uppfylla samningsskyldu sína um að veita viðskiptamönnum lögfræðilega ráðgjöf;
• tryggja hagsmuni umbjóðanda okkar eða aðrar skyldur sem á okkur hvíla vegna lögfræðilegrar ráðgjafar sem við veitum;
• uppfylla lagaskyldu;
• gæta lögmætra hagsmuna BBA, einkum í tengslum við eigna- og öryggisvörslu og markaðssetningu, s.s. við innheimtu krafna, viðskiptamannahald og markaðssetningu o.fl.

Ef viðskiptamaður hefur veitt BBA samþykki fyrir vinnslu persónuupplýsinga í ákveðnum tilgangi er samþykki grundvöllur slíkrar vinnslu. Viðskiptamaður á ávallt rétt á því að draga samþykki sitt tilbaka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu persónuupplýsinga sem áttir sér stað fyrir afturköllun.

4. AÐGENGI AÐ PERSÓNUUPPLÝSINGUM

Að því marki sem nauðsynlegt ertil að framfylgja samningsskyldum okkar við viðskiptamenn hafa starfsmenn BBA aðgang að persónuupplýsingum. Auk þess hafa þjónustuaðilar BBA, sem vinnapersónuupplýsingar í okkar þágu, aðgang að persónuupplýsingum. Það eru einkumfyrirtæki sem veita hýsingar- og upplýsingatækniþjónustu, banka- ogfjármálaþjónustu og innheimtuþjónustu.

Auk þess ber BBA skylda til að veitaopinberum aðilum aðgang að persónuupplýsingum á grundvelli lagaskyldu; s.s.skattyfirvöldum, eftirlitsaðilum, lögregluyfirvöldum, skiptastjórum og dómstólum.

Í tengslum við miðlun persónuupplýsinga er rétt að taka fram að lögmenn BBA eru bundnir þagnarskyldu um hvaðeina sem þeim er trúað fyrir í starfi sínu, sbr. 22. gr. laga um lögmenn nr. 77/1998, nema skylt sé að veita upplýsingar samkvæmt lögum eða viðskiptamaður hefur veitt samþykki fyrir slíkri miðlun. Starfsmaður lögmanns er bundinn sambærilegri þagnarskyldu um slík trúnaðarmál sem hann kann að komast að vegna starfa sinna.

5. MIÐLUN UTAN EVRÓPSKA EFNAHAGSSVÆÐISINS

GDPR gildir í öllum ríkjum innan Evrópska Efnahagssvæðisins (,,EES-svæðisins") og er miðlun persónuupplýsinga innan EES- svæðisins því ótakmörkuð að því marki sem hún byggir á lögmætum vinnslugrundvelli. GDPR takmarkar hins vegar miðlun persónuupplýsinga til landa utan EES-svæðisins, þ.á m. til Bandaríkjanna. BBA nýtir þjónustu þjónustuaðila í Bandaríkjunum, einkum í tengslum við eftirlit með heimasíðu, og miðlar því persónuupplýsingum til landa utan EES-svæðisins í einhverjum tilfellum. BBA ber ábyrgð á því að tryggja að viðeigandi verndarráðstafanir séu til staðar við miðlun persónuupplýsinganna svo fullnægjandi vernd persónuupplýsinga þinna sé tryggð. Því miðlar félagið aðeins persónuupplýsingum til aðila sem falla undir reglur um friðhelgisskjöld (e. PrivacyShield) eða til aðila sem styðjast við viðeigandi verndarráðstafanir líkt og stöðluð samningsákvæði.

6. VARÐVEISLUTÍMI

Persónuupplýsingar eru varðveittar á meðan viðskiptasamband varir og lög mæla fyrir um eða viðskiptahagsmunir BBA krefjast og málefnaleg ástæða þykir til. Að jafnaði eru persónuupplýsingar varðveittar í allt að 7 ár frá sérhverjum viðskiptum nema viðskiptavinur óski sérstaklega eftir því að þeim sé eytt. Þegar upplýsingareru ekki lengur nauðsynlegar til að uppfylla samningsbundnar skyldur BBA við þig eða til að uppfylla lagaskyldu er þeim eytt. BBA kann að varðveita persónuupplýsingar sem snúa að eiginlegri lögfræðiþjónustu lengur, enda kann vinnsla slíkra persónuupplýsinga að vera nauðsynleg til að stofna, hafa uppi eða verjast réttarkröfu og er í slíkum tilfellum miðað við almennar reglur um fyrningartíma krafna.

7. RÉTTINDI EINSTAKLINGA

Einstaklingar njóta ákveðinna réttinda í tengslum við vinnslu BBA á persónuupplýsingum. Í þeim felst réttur til að:

• óska eftir upplýsingum um hvernig BBA vinnur persónuupplýsingar og fá afrit af þeim;
• óska eftir því að BBA eyði um þig upplýsingum, leiðrétti óáreiðanlegar persónuupplýsingar eða fullgeri ófullkomnar persónuupplýsingar;
• óska eftir því fá persónuupplýsingar á skipulegu, algengu og tölvulesanlegu sniði og fá þær sendar öðrum aðila.

Rétt er að tilgreina að BBA er heimilt í afmörkuðum tilfellum að hafna því að persónuupplýsingum um þig sé eytt, þær fluttar eða að þú fáir aðgang að gögnum. BBA mun eftir bestu mögulegri getu tryggja að upplýsingar um viðskiptamann séu áreiðanlegar og uppfærðar þegar þess þarf.

Þér er einnig ávallt heimilt aðleggja fram kvörtun hjá Persónuvernd ef þú telur að vinnsla okkar sé þvert ágildandi löggjöf. Ef þú vilt frekari upplýsingar um réttindi þín eða hvernig þúgetur nýtt þau biðjum við þig um að hafa samband við ábyrgðarmannpersónuverndarstefnu BBA (sjá samskiptaupplýsingar í lið 1).

‍

8. ÖRYGGI OG VERND PERSÓNUPPLÝSINGA

BBA hefur gert viðeigandi ráðstafanir til að tryggja fyllsta öryggis persónuupplýsinga þinna gegn misnotkun, röskum, tjóni og óheimiluðum aðgangi, breytingum eða birtingu. Ráðstafanir BBA til að tryggja öryggi eru einkum fólgnar í:

• innleiðingu tæknilegra og skipulagslegra ráðstafana sem ætlað er að tryggja viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og þjónustu;
• stýringu aðgengis einstaklinga að starfstöð okkar og viðhöfum öryggisvörslu;
• stýringu aðgengis starfsmanna og annarra að kerfum sem hafa að geyma persónu­upplýsingar;
• að tryggja að þeir sem hafa aðgang að persónuupplýsingunum viðskiptamanna, hafi gert viðeigandi verndarráðstafanir til að tryggja öryggi persónuupplýsinga; og
• takmörkun varðveislutíma persónuupplýsingar viðskiptamanna.

‍

9. BREYTINGAR Á PERSÓNUVERNDARSTEFNU

Stefna þessi verður uppfærð reglulega í samræmi við breytingar BBA á meðferð persónuupplýsinga til að endurspegla meðferð persónuupplýsinga hjá fyrirtækinu hverju sinni. Við hvetjum þig til að skoða þessa stefnu reglulega til að vera upplýstur um hvernig við notum og verndum persónuupplýsingar þínar.

‍