Persónuverndarstefna

1. Inngangur

Tilgangur þessarar stefnu er að lýsa nálgun okkar við vernd persónuupplýsinga og að taka saman þær ráðstafanir sem við gerum til að tryggja vernd persónuupplýsinga sé í samræmi við gildandi persónverndarlög.

Þessi stefna gildir um allar persónuupplýsingar sem Bílaumboðið Askja ehf. kt. 450704-2290 (hér eftir „Askja“, „við“, „okkur“) safnar og vinnur með.

Það er mikilvægt að þú lesir og gerir þér grein fyrir efni persónuverndarstefnunnar, þannig að þér sé ljóst hvernig og hvers vegna við notum upplýsingarnar og hver réttindi þín eru samkvæmt persónuverndarlögum.

Hugtök í stefnu þessari skulu hafa eftirfarandi þýðingu:

(a) Ábyrgðaraðili - Einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Askja er ábyrgðaðili vegna vinnslu persónuupplýsinga sem fer fram á þess vegum.

(b) Vinnsluaðili - Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila.

(c) Persónuupplýsingar - Upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“); einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.

(d) Vinnsla - Aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.

2. Skuldbindingar okkar til að vernda persónuupplýsingar

Við leggjum áherslu á að meðhöndla persónuupplýsingar á öruggan og lögmætan hátt. Í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og leiðbeiningar Persónuverndar skuldbindum við okkur til eftirfarandi:

  • að innleiða viðeigandi verklagsreglur og innri ferla til að tryggja að vinnsla persónuupplýsinga sé í samræmi við gildangi lög og reglur um persónuvernd,
  • að veita starfsfólki fræðslu og þjálfun til að auka skilning á ábyrgð við vinnslu persónuupplýsinga,
  • að tryggja öryggi persónuupplýsinga með tæknilegum og skipulagslegum öryggisráðstöfunum,
  • að vinna persónuupplýsingar eingöngu á lögmætum grunni,
  • að fylgja meginreglum um vinnslu persónuupplýsinga.

3. Meginreglur um vinnslu persónuupplýsinga

Við metum þær persónuupplýsingar sem okkur er trúað fyrir og skuldbindum okkur til að vinna þær á sanngjarnan, gagnsæjan og öruggan hátt. Meginreglur sem við fylgjum eru eftirfarandi:

  • Lögmæti, sanngirni og gagnsæi.

Við tryggjum að söfnun og vinnsla persónuupplýsinga fari fram á lögmætan og sanngjarnan hátt. Þegar við gegnum hlutverki ábyrgðaraðila upplýsum við hinn skráða um hvernig persónuupplýsingar hans eru meðhöndlaðar.

  • Tilgangur vinnslu.

Við vinnum persónuupplýsingar eingöngu í skýrt tilgreindum, lögmætum og málefnalegum tilgangi. Þegar við gegnum hlutverki vinnsluaðila vinnum við gögn í samræmi við fyrirmæli ábyrgðaraðila.

  • Meðalhóf.

Við tryggjum að þær persónuupplýsingar sem safnað er séu viðeigandi, nauðsynlegar og í samræmi við tilgang vinnslunnar.

  • Áreiðanleiki.

Við tryggjum að persónuupplýsingar séu réttar, fullnægjandi og uppfærðar eftir þörfum.

  • Takmörkun á varðveislu.

Við varðveitum persónuupplýsingar ekki lengur en nauðsynlegt er miðað við tilgang vinnslunnar og lögbundnar skyldur.

  • Öryggi, réttleiki og trúnaður.

Við tryggjum að gerðar séu viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja öryggi upplýsinga og vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegum aðgangi og gegn allri annarri ólögmætri vinnslu.

  • Miðlun gagna.

Við miðlum ekki persónuupplýsingum til annarra landa nema viðeigandi verndarráðstafanir séu til staðar í samræmi við lög.

  • Réttindi einstaklinga.

Við virðum og styðjum við réttindi einstaklinga í samræmi við gildandi lög um persónuvernd, eins og nánar er lýst í kafla 8 í þessari stefnu.

4. Heimild til vinnslu persónuupplýsinga

Við tryggjum að öll vinnsla okkar á persónuupplýsingum sé í samræmi við persónuverndarlög. Heimildir okkar til vinnslu persónuupplýsinga byggjr m.a. á:

  • Samþykki

Ef einstaklingur hefur veitt okkur samþykki sitt fyrir vinnslu persónuupplýsinga

  • Samningi

Ef vinnsla persónuupplýsinga er nauðsynleg til að efna samning, eða til að grípa til aðgerða áður en samningur er gerður. 

  • Skyldu gagnvart einstaklingum

Ef vinnsla persónuupplýsinga er nauðsynleg til að uppfylla skyldur gagnvart einstaklingum.

  • Lagaskyldu

Ef vinnsla persónuupplýsinga er nauðsynleg til að uppfylla lagaskyldu sem á okkur hvílir.

  • Brýnum hagsmunum einstaklinga

Ef vinnsla persónuupplýsinga er nauðsynleg til að vernda brýna hagsmuni einstaklinga.

  • Lögmætum hagsmunum

Ef vinnsla persónuupplýsinga er nauðsynleg vegna lögmætra hagsmuna okkar, nema hagsmunir og réttindi einstaklinga vegi þyngra.

5. Tilgangur vinnslu

Við vinnum persónuupplýsingar eingöngu í skýrum, málefnalegum og lögmætum tilgangi og munum ekki vinna þær frekar í öðrum tilgangi.

Tilgangur vinnslu persónuupplýsinga getur m.a. verið afgreiðsla pöntunar sem þú hefur lagt inn, til að bæta upplifun þína á heimsókn á vefsíðu eða þjónustugátt okkar, þróa og bæta vörur og þjónustu almennt, bjóða upp á þjónustur eða forrit, meta hæfni umsækjenda og taka ákvarðanir um ráðningar, framkvæma markaðsaðgerðir o.fl.

Nánari upplýsingar um tilgang einstakrar vinnslu persónuupplýsinga er að finna í þeirri persónuverndartilkynningu sem gildir um viðkomandi vinnslu.

6. Flokkar persónuupplýsinga

Við kunnum að vinna eftirfarandi persónuupplýsingar um eftirfarandi flokka hins skráða:

  • Viðskiptavinir og mögulegir viðskiptavinir – s.s. auðkennisupplýsingar, samskiptaupplýsingar, fjárhagsupplýsingar, banka- og greiðsluupplýsingar,  viðskiptaupplýsingar, notendaupplýsingar, tæknilegar upplýsingar notkunargögn og upplýsingar tengdar markaðssetningu og samskiptum.
  • Notendur vefsíðu – s.s. tæknilegar upplýsingar, notkunargögn og upplýsingar tengdar markaðssetningu og samskiptum.
  • Starfsumsækjendur – s.s. auðkennisupplýsingar, samskiptaupplýsingar, upplýsingar um menntun og starfsreynslu og aðrar upplýsingar sem koma fram í ferilskrá, kynningarbréfi eða sem hluti af umsóknarferli. Í ákveðnum afmörkuðum tilvikum óskum við eftir sakavottorði og upplýsingum um greiðslufærni og gjaldþrot.
  • Samstarfsaðilar og birgjar – s.s. auðkennisupplýsingar og samskiptaupplýsingar.
  • Viðtakendur markaðsefnis og áskrifendur fréttabréfa – s.s. auðkennisupplýsingar, samskiptaupplýsingar og upplýsingar tengdar markaðssetningu og samskiptum.
  • Aðrir einstaklingar sem eiga í samskiptum við okkur – s.s. auðkennisupplýsingar, samskiptaupplýsingar og viðeigandi upplýsingar um samskipti.

7. Uppruni persónuupplýsinga

Við öflum persónuupplýsinga frá ýmsum aðilum, einkum:

  • beint frá þér, 
  • í gegnum heimasíðu okkar,
  • frá þriðja aðila, t.a.m. Creditinfo.

8. Réttindi þín

Þú getur átt rétt á því að fá staðfest hvort að við vinnum með persónuupplýsingar um þig og óskað eftir aðgangi að þeim. Þú átt rétt á því að óska eftir leiðréttingu á þeim persónuupplýsingum sem unnar eru og í ákveðnum tilvikum óskað eftir því að við eyðum persónuupplýsingum þínum eða að vinnsla þeirra verði takmörkuð. Ef  persónuupplýsingar eru unnar á grundvelli lögmætra hagsmuna okkar getur þú mótmælt vinnslunni.

Ef vinnsla persónuupplýsinga byggir á samþykki, átt þú rétt á að afturkalla samþykkið hvenær sem er. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu sem fram fór áður en samþykki var afturkallað.

Þú átt einnig rétt á því að leggja fram kvörtun hvenær sem er til Persónuverndar. Ef þú óskar eftir frekari upplýsingum um réttindi þín eða vilt nýta þér þau, er óskað eftir því að þú hafir samband við okkur (sjá frekari uppl. í kafla 13 hér að neðan).

9. Hversu lengi geymum við persónuupplýsingar

Við geymum persónuupplýsingar í samræmi við gildandi lög og reglur. Persónuupplýsingar eru aðeins varðveittar svo lengi sem nauðsynlegt er miðað við tilgang vinnslunnar eða í samræmi við lagalegar skyldur okkar.

Myndefni sem verður til við rafræna vöktun er almennt ekki geymt lengur en í 30 daga nema í sérstökum tilvikum, s.s. á grundvelli laga eða tilmæla lögreglu.

10. Öryggi persónuupplýsinga

Við leggjum áherslu á öryggi við vinnslu persónuupplýsinga og höfum innleitt viðeigandi öryggisráðstafanir til að vernda persónuupplýsingar þínar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegum aðgangi og gegn allri annarri ólögmætri vinnslu.  

Við beitum tæknilegum og skipulagslegum ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga

Persónuupplýsingar þínar verða aðeins unnar af þriðja aðila ef sá aðili hefur skuldbundið sig til að fylgja þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem við höfum innleitt.

Að tryggja öryggi persónuupplýsinga felur m.a. í sér að vernda trúnað, réttleika og aðgengi þeirra:

(a)    Trúnaður: Við munum tryggja að persónuupplýsingum þínum verði ekki miðlað án viðeigandi heimilda eða fyrir mistök eða gerðar aðgengilegar óviðkomandi aðilum.

(b)    Réttleiki: Við munum vernda persónuupplýsingar þínar gegn óheimilum breytingum fyrir mistök eða án heimildar.

(c)    Aðgangur: Við munum tryggja að ekki verði tap á aðgengi að persónuupplýsingum þínum eða þær eyðilagðar vegna mistaka eða án heimildar

Til að tryggja reglufylgni höfum við einnig gert eftirfarandi ráðstafanir:

  • Ábyrgð

Við tryggjum að aðili með viðeigandi þekkingu hafi umsjón með því að vinnsla persónuupplýsinga sé í samræmi við lög og reglur.   

  • Fræðsla og þjálfun

Starfsfólk okkar fær reglulega fræðslu um persónuvernd og vinnslu persónuupplýsinga, þ.e. réttindi einstaklinga og lögmæti vinnslu persónuupplýsinga, innri verklagsreglur og upplýsingaöryggi. 

  • Vinnsluskrá

Við höldum skrá yfir vinnslustarfsemi okkar. 

  • Eftirlit og úttektir

Við framkvæmum reglulega úttektir á upplýsingakerfum og ferlum til að tryggja að vinnsla persónuupplýsinga sé í samræmi við lög og reglur og að viðeigandi öryggi sé tryggt hverju sinni.

  • Innbyggð persónuvernd

Með hliðsjón af eðli, umfangi, tilgangi og áhættu sem vinnsla persónuupplýsinga kann að hafa í för með sér fyrir réttindi og frelsi hinna skráðu, tryggjum við innbyggða persónuvernd í öllum forritum, kerfum og ferlum tengdum vinnslu persónuupplýsinga. 

  • Miðlun persónuupplýsinga

Við tryggjum að persónuupplýsingum sé ekki miðlað til þriðja aðila nema á grundvelli samnings og að gerðar séu viðeigandi öryggisráðstafanir til að stuðla að persónuvernd í samræmi við persónuverndarstefnu okkar.

11. Rafræn vöktun

Við viðhöfum rafræna vöktun í formi eftirlitsmyndavéla í öryggis- og eignavörsluskyni. Við rafræna vöktun með eftirlitsmyndavélum verður til myndefni/myndskeið af einstaklingum sem hafa farið um vaktaða svæðið og athafnir þeirra. Rafræn vöktun fer fram á grundvelli lögmætra hagsmuna okkar og í þeim tilgangi að gæta öryggis og eignavörslu.

Við tryggjum að rafræn vöktun sé í samræmi við gildangi lög og reglur og þær meginreglur sem fram koma í stefnu þessari, þ.á m. tilgang vinnslu, meðalhóf og varðveislutíma.

Upplýsingar um staðsetningu myndavéla, tilgang þeirra, geymslutíma upptaka og réttindi einstaklinga í tengslum við eftirlitið eru veitt með skýrum merkingum og viðeigandi fræðslu á þeim stöðum sem eftirlitið nær til.

12. Notkun vefkaka og sambærilegrar tækni

Við notum vefkökur á vefsíðum okkar. Vefkökur gera okkur kleift að veita þér betri upplifun þegar þú notar vefsíðu okkar og til að gera vefsíðu okkar betri og notendavænni.

Frekari upplýsingar um notkun okkar á vefkökum og hvernig hægt er að stilla eða hafna þeim má finna í vefkökustefnu okkar sem er aðgengileg hér https://www.askja.is/vafrakokur.

13. Samskiptaupplýsingar

Fyrirspurnum og erindum vegna persónuverndar og meðferð persónuupplýsinga er m.a. unnt að koma á framfæri með tölvupósti á eftirfarandi netfang:

gdpr@askja.is

14. Annað

Ákvæði þessarar persónuverndarstefnu eru viðbót við þær kröfur sem leiða af gildandi persónuverndarlöggjöf og koma ekki í þeirra stað. Komi upp ágreiningur milli þess sem fram kemur í þessari stefnu og ákvæða gildandi laga, skulu lögin gagna framar.

Stefna þessi kann að taka breytingum í samræmi við þróun laga og reglna um persónuvernd. Þessi útgáfa var samþykkt þann 8.12.2025.