Þessi persónuverndarstefna felur í sér samning milli þjónustuveitanda og viðskiptavinarins og er hluti af og lýtur þjónustuskilmálunum. Persónuverndarstefnan lýsir því hvaða upplýsingum við söfnum og notum um þig og hvaða upplýsingum er miðlað til þriðju aðila. Við leggjum höfuðáherslu á að vernda og gæta persónuupplýsinganna þinna.

1.  Upplýsingar sem við kunnum að safna um þig

Við söfnum upplýsingum af ólíku tagi til að veita þér þjónustuna á öruggan og áreiðanlegan hátt.

1.1 Persónuupplýsingar. Upplýsingar sem varða auðkenndan eða auðkennanlegan einstakling.

1.2 Aðgangsupplýsingar þínar. Við vinnum þessar upplýsingar þegar þú skráir þig í og notar þjónustuna og í eðlilegan tíma eftir það ef þú skyldir ákveða að endurvirkja þjónustuna. Við söfnum og tengjum upplýsingar sem þú veitir okkur við notandaaðganginn þinn, á borð við fornafn og eftirnafn, kennitölu, kyn, ríkisfang, netfang, farsímanúmer, persónulegan kóða, heimilisfang, upplýsingar um nánustu aðstandendur, vinnustaðaupplýsingar, kreditkorta- og/eða aðrar greiðsluupplýsingar. Við geymum einnig hluta af upplýsingum þínum eftir þörfum til að uppfylla lagalegar skyldur okkar, til að leysa ágreining og framfylgja samningum okkar. Við gegnum hlutverki ábyrgðaraðila gagna vegna þessara upplýsinga. Allar þessar upplýsingar eru geymdar innan Evrópusambandsins/Evrópska efnahagssvæðisins (ESB/EES).

1.3 Gögn sem þú hleður upp (viðskiptavinagögn). Til að veita þjónustuna geymum við, vinnum og sendum heilsufarsupplýsingar þínar sem hlaðið er upp, samskipti við veitendur heilbrigðisþjónustu, svo og upplýsingar sem tengjast þeim. Við gegnum hlutverki gagnavinnsluaðila vegna þessara upplýsinga. Allar þessar upplýsingar eru geymdar innan Evrópusambandsins/Evrópska efnahagssvæðisins (ESB/EES).

1.4 Notkunarupplýsingar þínar. Við söfnum upplýsingum sem tengjast því hvernig þú notar þjónustuna. Við kunnum að safna upplýsingum eins og IP tölum, gerð vafra, tæki, stýrikerfi sem þú notar, aðgerðum sem þú framkvæmir þegar þú notar þjónustuna okkar. Við notum þessar upplýsingar í þágu lögmætra hagsmuna okkar til að bæta þjónustuna okkar, þróa nýjar vörur, eiginleika og virkni og tryggja öryggi aðgangsins þíns og gagnanna þinna. Ef við þurfum að vinna viðskiptavinagögn í þessum tilgangi verða gögnin aðeins notuð á nafnlausu eða samanteknu formi. Við gegnum hlutverki ábyrgðaraðila gagna vegna þessara upplýsinga.

1.5 Aðrar upplýsingar. Við kunnum að fá upplýsingar um þig, þar á meðal persónuupplýsingar þínar, frá þriðju aðilum sem við vinnum náið með (eins og viðurkenndum traustþjónustuaðilum, öðrum þjónustuaðilum sem eru innbyggðir í þjónustu okkar, veitendum heilbrigðisþjónustu, viðskiptasamstarfsaðilum, undirverktökum, greiðsluþjónustuveitendum) á grundvelli samnings eða úr vafrakökum á grundvelli samþykkis. Við munum meðhöndla þessar upplýsingar sem persónuupplýsingar í samræmi við þessa persónuverndarstefnu. Við gegnum hlutverki ábyrgðaraðila gagna vegna þessara upplýsinga.

1.6 Samskiptaupplýsingar. Á grundvelli samþykkis þíns og til að svara spurningum þínum vinnum við persónuupplýsingar sem þú veitir okkur þegar þú notar samskiptaform á vefsvæðinu okkar, svo sem nafn og eftirnafn, netfang, símanúmer, fyrirtæki, skilaboð og önnur gögn sem þú veitir. Við gegnum hlutverki ábyrgðaraðila gagna vegna þessara upplýsinga.

2. Miðlun upplýsinga þinna

Við deilum engum persónuupplýsingum með þriðju aðilum nema einhverjar af eftirfarandi aðstæðum eigi við:

2.1 Með samþykki þínu. Við munum aðeins miðla persónuupplýsingum þínum þegar við höfum samþykki þitt.

2.2 Fyrir innri vinnslu. Við munum tryggja að aðgangur að viðskiptavinagögnum verði aðeins veittur þeim starfsmönnum eða birgjum Medalia sem þurfa slík gögn til að framkvæma vinnu eða veita viðskiptavinum þjónustu.

2.3 Fyrir ytri vinnslu. Við kunnum að veita traustum samstarfsaðilum okkar persónuupplýsingarnar svo þeir geti unnið þær fyrir okkur, samkvæmt fyrirmælum okkar og í samræmi við þessa persónuverndarstefnu.

2.4 Lögmætar beiðnir. Við kunnum að miðla persónuupplýsingum þegar við höfum góða ástæðu til að ætla að aðgangur að, notkun, varðveisla eða miðlun slíkra upplýsinga sé nauðsynleg til að:

2.4.1 Uppfylla einhver gildandi lög, reglugerðir, lagaleg fyrirmæli eða framfylgjanlegar stjórnvaldsbeiðnir;

2.4.2 Framfylgja þjónustuskilmálum okkar, þar á meðal með því að rannsaka hugsanleg brot;

2.4.3 Verjast yfirvofandi skaða á réttindum okkar, eignum eða öryggi, eða notenda okkar eða almennings eins og skylt eða heimilt er samkvæmt lögum.

2.5 Viðskiptaflutningur. Við kunnum að miðla og/eða flytja persónuupplýsingar þínar ef við tökum þátt í samruna, fyrirtækjakaupum, endurskipulagningu, eignasölu, gjaldþroti.

3. Tæknilegar og skipulagslegar ráðstafanir

3.1 Við höfum gert eðlilegar og viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vernda upplýsingarnar sem við söfnum í þeim tilgangi að veita þjónustuna, þar á meðal ráðstafanir til varnar óviljandi eða ólöglegri eyðileggingu, tapi, breytingum, óleyfilegri miðlun eða aðgangi að persónuupplýsingum sem við vinnum. 

3.2 Við veljum einnig þriðju aðila þjónustuveitendur okkar vandlega til að tryggja að þeir, sem gagnavinnsluaðilar þínir, tryggi sömuleiðis viðeigandi gagnaöryggisstig. 

3.3 Vinsamlegast hafðu þó í huga að þótt við gerum eðlilegar ráðstafanir til að vernda persónuupplýsingar þínar, þá er engin vefsíða, tölvukerfi eða þráðlaus tenging fullkomlega örugg.

4. Varðveislustefna

4.1 Þegar þú eyðir notandaaðganginum þínum úr þjónustunni verður persónuupplýsingum þínum eytt innan 30 daga frá lokunardegi. Aðgangs- og greiðsluupplýsingar þínar (ef við á) verða varðveittar í 7 ár í samræmi við íslensk bókhalds- og skattalög.

4.2 Við varðveitum upplýsingar um virkni þína og kerfisskrár (aðgerðirnar sem þú framkvæmir þegar þú notar þjónustuna okkar) til að tryggja að þjónusta okkar sé veitt á áreiðanlegan og öruggan hátt. Þessar upplýsingar sem tengjast virkni þinni geta innihaldið viðskiptavinagögn og/eða persónuupplýsingar. Þessar upplýsingar eru ekki unnar lengur en nauðsynlegt er miðað við tilgang vinnslunnar.

5. Ábyrgðaraðili gagna

5.1 Þú gegnir hlutverki ábyrgðaraðila gagna vegna þeirra gagna sem þú hleður upp (viðskiptavinagögn) og innihalda persónuupplýsingar. Við berum ekki ábyrgð á neinum persónuupplýsingum sem eru geymdar að ákvörðun viðskiptavina okkar, þar með talið en ekki einskorðað við persónuupplýsingar sem miðlað er til okkar með aðgangsbeiðnum eða sem birtast í gögnum sem þú hleður upp.

5.2 Við berum ekki ábyrgð á því hvernig viðskiptavinir safna, meðhöndla, miðla, dreifa eða vinna á annan hátt persónuupplýsingar. Í flestum tilfellum vinna viðskiptavinir persónuupplýsingar, eða skjöl sem innihalda persónuupplýsingar, í samræmi við kröfur viðeigandi dómsmeðferða og laga.

5.3 Skilmálar vinnslu persónuupplýsinga þar sem þú ert ábyrgðaraðili gagna og við erum gagnavinnsluaðilinn eru skilgreindir í gagnavinnslusamningnum.

6. Notkun vafrakaka

6.1 Vafrakökur innihalda lítið magn af upplýsingum sem eru vistaðar í geymslusvæði vafrans þíns. Þær eru notaðar til að bæta upplifun viðskiptavina á síðum og hjálpa þjónustu þriðja aðila að virka rétt. Við notum vafrakökur í allri þjónustu okkar. Við geymum aðeins nafnlaus auðkenni og aðrar kjörstillingar, þannig að persónuupplýsingar þínar eru ekki geymdar. Við upplýsum þig um notkun vafrakaka þegar þú heimsækir vefsvæðið okkar. Við biðjum um samþykki þitt fyrir notkun allra vafrakaka á vefsvæði okkar ef frá eru taldar nauðsynlegar vafrakökur. Við notum nauðsynlegar vafrakökur í þágu lögmætra hagsmuna okkar, því við myndum ekki geta veitt þér þjónustu okkar á vefsvæði okkar án þess að nota þessar vafrakökur.

6.2 Við notum þrjár gerðir af vafrakökum:

6.2.1 Nauðsynlegar kökur — nauðsynlegar til að veita þjónustuna. Þessar vafrakökur tryggja að upplýsingar og þjónusta sé veitt á öruggan og á sem bestan hátt.

6.2.2 Frammistöðukökur — til að fylgjast með hegðun notenda og hjálpa okkar að bæta upplýsingar okkar og þjónustu.

6.2.3 Virknikökur — til að hjálpa að bæta upplifun þína með því að veita einstaklingsmiðaðri þjónustu. Þessar vafrakökur muna hvað þú velur, til dæmis tungumál, hvernig þú velur að skrá þig inn o.s.frv.

7. Réttindi þín

7.1 Samkvæmt GDPR-reglugerðinni hafa skráðir aðilar eftirfarandi réttindi:

1. rétt til aðgangs að persónuupplýsingum sem geymdar eru um þá;

2. rétt til að andmæla vinnslu;

3. rétt til gagnaflutnings;

4. rétt til að kvarta yfir vinnslu sem ábyrgðaraðili gagna framkvæmir;

5. rétt til að andmæla sjálfvirkri ákvarðanatöku;

6. rétt til að persónuupplýsingar séu uppfærðar;

7. rétt til að gleymast;

8. rétt til að leggja fram kvörtun hjá Persónuvernd (https://www.personuvernd.is/).
   
   

7.2 Við bjóðum þér upp á þægilega leið til að nýta þessi réttindi. Þú getur gert það með því að hafa samband við okkur með því að senda tölvupóst á support@medalia.is.

7.3 Ef þú telur að brotið hafi verið á réttindum þínum eða frelsi hvetjum við þig til að hafa samband við okkur fyrst. Við munum leitast við að svara öllum spurningum þínum og leysa öll vandamál að því marki sem það er unnt samkvæmt lögum svo þú getir verið viss um lögmæti og öryggi vinnslu persónuupplýsinga þinna. Í slíkum tilfellum munum við svara þér án ástæðulausrar tafar og í öllu falli eigi síðar en innan eins mánaðar frá móttöku beiðni þinnar. 

7.4 Hugsanlegt er að við leyfum þér ekki að nýta ofangreind réttindi í þeim tilfellum þar sem slíkt kann að vera nauðsynlegt samkvæmt lögum til að koma í veg fyrir, rannsaka og uppgötva hegningarlagabrot, brot á opinberum eða faglegum siðareglum eða til að vernda réttindi og frelsi annarra.

8. Breytingar og uppfærslur

8.1 Við kunnum að breyta þessari persónuverndarstefnu og munum birta nýjustu útgáfuna á vefsvæðinu okkar. Þess vegna hvetjum við þig eindregið til að lesa hana öðru hvoru. Þegar við uppfærum persónuverndarstefnuna munum við upplýsa þig um það sem við teljum vera mikilvægar breytingar með því að setja tilkynningu á vefsvæðið. Ef þú færð aðgang að eða notar efni okkar og/eða þjónustu eftir að slík tilkynning hefur verið birt munum við ganga út frá því að þú hafir samþykkt breytingarnar.