Verði tryggingum hf. og Verði líftryggingum hf. (hér eftir sameiginlega vísað til sem „Vörður“ eða „félagið“) er umhugað um persónuvernd. Persónuvernd einstaklinga skiptir Vörð miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.

Í persónuverndaryfirlýsingu þessari er m.a. að finna útskýringar á því hvaða persónuupplýsingum Vörður safnar um viðskiptavini og tengda aðila, hvenær og hvers vegna, á hvaða grundvelli og hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra. Það sama á við um vinnslu Varðar á persónuupplýsingum um tengiliði viðskiptavina sem eru lögaðilar, umsækjendur um störf og aðra einstaklinga sem kunna að heimsækja eða hafa samband við félagið í öðrum tilgangi. Í persónuverndaryfirlýsingunni er jafnframt að finna upplýsingar um réttindi einstaklinga vegna þeirrar vinnslu sem félagið viðhefur.

Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem Vörður viðhefur sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679 („persónuverndarlöggjöfin“). Félagið útvistar hluta af sinni þjónustu til Arion banka, þ.m.t. í tengslum við útgáfu og þjónustu við tryggingar, og kemur í þeim tilvikum fram sem svokallaður sameiginlegur ábyrgðaraðili með Arion banka.. Sjá nánar umfjöllun í kafla 3 í yfirlýsingu þessari.

Vakni spurningar um vinnslu Varðar á persónuupplýsingum eða persónuverndaryfirlýsingu þessa er tekið við þeim á netfangið [email protected].

2.1 Persónuupplýsingar sem unnar eru um viðskiptavin

Í eftirfarandi töflum má finna yfirlit yfir þær persónuupplýsingar sem Vörður vinnur um viðskiptavin, þ.e. hvaða persónuupplýsingar félagið vinnur, í hvaða tilgangi vinnslan fer fram og á grundvelli hvaða heimildar. Sé unnið með aðrar persónuupplýsingar en tilgreindar eru í töflunni, eða í öðrum tilgangi, mun Vörður leitast við að upplýsa viðskiptavin um það.

Vinnsla sem tengist vörum og þjónustu

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Vörður vinnur með persónuupplýsingar þegar einstaklingur setur sig í samband við Vörð og óskar eftir tilboði í þjónustu og/eða þegar einstaklingur stofnar til viðskiptasambands við félagið. Upplýsingarnar eru unnar í þeim tilgangi að veita viðskiptavini þá þjónustu sem óskað er eftir.

Vörður fær upplýsingarnar beint frá viðskiptavini, úr kerfum félagsins, frá þriðju aðilum eftir því sem við á eða úr opinberum gögnum. Vörður móttekur þannig m.a. persónuupplýsingar um viðskiptavini, eða mögulega viðskiptavini, frá fjölskyldumeðlimum í tengslum við heilsutryggingar, frá heilbrigðisstofnunum, Þjóðskrá, úr tjónagrunni og frá Creditinfo. Í tengslum við tjón móttekur Vörður einnig upplýsingar frá lögreglu, úrskurðaraðilum og eftir atvikum þriðja aðila sem tilkynnt hefur um tjón.

Til þess að geta boðið einstaklingum tryggingar sem henta þeim, og eftir atvikum fjölskyldum þeirra, sem best þarf Vörður að vinna með persónuupplýsingar viðkomandi einstaklings og tengdra aðila, þ.m.t. auðkennis- og samskiptaupplýsingar og upplýsingar um viðskiptasögu. Fullnægjandi persónuupplýsingar gera Verði þannig kleift að veita betri og persónulegri þjónustu.

Komi til tjóns er einnig mikilvægt fyrir Vörð að vinna með fullnægjandi persónuupplýsingar þannig að hægt sé að meta bótaskyldu og eftir atvikum greiða úr bætur.

Hver er lagalegur grundvöllur vinnslunnar?

Vinnsla persónuupplýsinga er forsenda þess að Vörður geti veitt þá þjónustu sem viðskiptavinur óskar eftir og er því nauðsynleg til að efna samning við viðskiptavin.

Verði er jafnframt skylt á grundvelli laga að vinna með tilgreindar persónuupplýsingar viðskiptavinar, t.d. í samræmi við gildandi lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, lög um vátryggingasamninga og lög um vátryggingastarfsemi.

Vinnsla viðkvæmra persónuupplýsinga byggir í flestum tilvikum á samþykki viðskiptavinar.

Hvaða persónuupplýsingar vinnur Vörður?

Vörður vinnur með mismunandi persónuupplýsingar eftir því hvaða vöru og þjónustu um ræðir. Flokka má þær persónuupplýsingar sem unnar eru með eftirfarandi hætti:

• Auðkennisupplýsingar, þ.e. nafn, kennitala, viðskiptamannanúmer, rafrænt auðkenni og afrit af persónuskilríkjum.

• Samskiptaupplýsingar, þ.e. upplýsingar um heimilisfang, símanúmer og netfang.

• Upplýsingar um fjölskylduhagi.

• Upplýsingar um viðskiptasögu og tjónasögu.

• Fjárhagslegar upplýsingar, s.s. reikningsnúmer og tengdar bankaupplýsingar.

• Upplýsingar um eignir, s.s. fastanúmer fasteigna og bílnúmer bifreiða í tengslum við fasteigna- og ökutækjatryggingar.

• Heilsufarsupplýsingar og læknisfræðileg gögn, s.s. upplýsingar um heilsufarssögu, í tengslum við ábyrgðar-, líf- og heilsutryggingar.

Ef tjón verður getur Verði verið nauðsynlegt að kalla eftir viðbótarupplýsingum, þ.m.t. upplýsingum um tjónið s.s. úr lögregluskýrslum og tjónmatsskýrslum, auk þess sem unnið er með afrit af tilkynningu um tjónið.

Sjálfvirk ákvarðanataka

Í tilgreindum tilvikum notast Vörður við sjálfvirka ákvarðanatöku í tengslum við vörur og þjónustur félagsins.

Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar án mannlegrar aðkomu. Dæmi um slíkt er í rafrænum ráðgjafa Varðar.

Við sjálfvirka ákvarðanatöku er unnið með persónuupplýsingar sem byggist á persónusniði sem verður til þegar persónuupplýsingar eru unnar á sjálfvirkan hátt sem meta ákveðna þætti er varða hagi einstaklinga.

Sjálfvirk ákvarðanataka fer aðeins fram á grundvelli samþykkis viðskiptavinar eða þegar hún er talin forsenda þess að unnt sé að gera eða efna samning við viðskiptavin. Viðskiptavinir eiga ávallt rétt á mannlegri íhlutun fari vinnsla fram með sjálfvirkri ákvarðanatöku.

Samskipti

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Vörður þjónustar viðskiptavin í gegnum ýmsar samskiptaleiðir s.s. með tölvupósti, „mínum síðum“ á vefsíðu Varðar, þjónustuveri, Arion appinu (smáforrit), netspjalli á vefsíðu Varðar og á þjónustuskrifstofum.

Skráðir umboðsmenn Varðar geta átt í samskiptum við viðskiptavini félagsins á grundvelli þjónustusamninga. Á vefsíðu Varðar má finna upplýsingar um hverjir teljast til skráðra umboðsmanna hverju sinni.

Vörður vinnur persónuupplýsingar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum, veitt viðeigandi ráðgjöf og tryggt fullnægjandi upplýsingagjöf til viðskiptavinar.

Hver er lagalegur grundvöllur vinnslunnar?

Vinnslan er nauðsynleg til að efna samning. Vinnslan kann einnig að fara fram á grundvelli lagaskyldu.

Hvaða persónuupplýsingar vinnur Vörður?

Vörður vinnur með auðkennis- og samskiptaupplýsingar viðskiptavinar, efni skilaboða sem viðskiptavinur sendir félaginu og eftir atvikum upplýsingar í tengslum við þá ráðgjöf sem viðskiptavinur óskar eftir hverju sinni.

Í tengslum við notkun á „mínum síðum“ og spjallmenni Varðar vinnur félagið auk þess með með IP tölu, aðgerðarskráningar, innskráningarleið og tegund vafra viðskiptavinar.

Slík vinnsla fer m.a. fram í þeim tilgangi að geta fylgt eftir ráðleggingum og meðmælum. Í tengslum við þjónustu- og samskiptakannanir vinnur Vörður jafnframt með samskiptaupplýsingar viðskiptavinar og niðurstöður kannanna.

Markaðssetning á vörum og þjónustu

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Í því skyni að kynna fyrir viðskiptavini vörur og þjónustur Varðar áskilur félagið sér rétt til að senda viðskiptavin markaðsskilaboð.

Slík markaðsskilaboð geta verið send með tölvupósti, í gegnum „mínar síður“, með starfrænum miðlum eða með öðrum hætti.

Hver er lagalegur grundvöllur vinnslunnar?

Vörður hefur lögmæta hagsmuni af því að vinna persónuupplýsingar vegna markaðssetningar á vörum og þjónustu.

Viðskiptavinur hefur alltaf rétt til að andmæla vinnslu Varðar á persónuupplýsingum hans sem unnar eru til notkunar í þágu markaðssetningar, sbr. nánar kafla 7.3 í yfirlýsingu þessari.

Í þeim tilvikum er Vörður vill nýta persónuupplýsingar viðskiptavinar og framkvæma dýpri greiningu á persónuupplýsingum viðskiptavinar í tengslum við markaðssetningu á vörum og þjónustu kann félagið að óska eftir sérstöku samþykki fyrir þeirri vinnslu.

Veiti viðskiptavinur Verði samþykki fyrir vinnslu persónuupplýsinga í tengslum við markaðssetningu hefur viðskiptavinur alltaf rétt til að afturkalla samþykki sitt, sbr. nánar kafla 7.5 í yfirlýsingu þessari.

Hvaða persónuupplýsingar vinnur Vörður?

Vörður nýtir samskiptaupplýsingar viðskiptavinar til að senda honum markaðsskilaboð.

Í tengslum við almenna markaðssetningu á vörum og þjónustu vinnur Vörður með auðkennisupplýsingar um viðskiptavin, s.s. aldur og/eða upplýsingar um fjölskylduhagi.

Í þeim tilgangi að geta sent viðskiptavin aðsniðnari markaðsskilaboð kann Vörður þó einnig að vinna með persónuupplýsingar viðskiptavinar sem byggja á viðskiptasögu, vörunotkun og samskiptum hans við félagið.

Þá kann Vörður að vinna með upplýsingar um áhugamál viðskiptavinar í þeim tilgangi að geta boðið honum á viðburði sem viðskiptavinur kann að hafa áhuga á og/eða til að veita aðsniðnari þjónustu.

Vöruþróun og rekstur upplýsingatæknikerfa

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Í þeim tilgangi að þróa og bæta vörur og þjónustu Varðar og greina þörf fyrir nýjum vörum og þjónustum nýtir félagið persónuupplýsingar viðskiptavina. Þá er félaginu nauðsynlegt að vinna með persónuupplýsingar viðskiptavina til að fylgjast með afkomu einstakra tryggingategunda og ákvarða iðgjöld með það markmið að verðleggja þær í samræmi við áhættur.

Einnig vinnur Vörður með persónuupplýsingar í ákveðnum tilfellum við þróun og prófun á kerfum. Þróun og prófun er nauðsynleg til að tryggja gæði og öryggi kerfa. Vörður leitast við að gera persónuupplýsingar viðskiptavinar ópersónugreinanlegar og vinna þannig með þær í framangreindum tilgangi.

Hver er lagalegur grundvöllur vinnslunnar?

Vinnslan byggir á lögmætum hagsmunum Varðar.

Hvaða persónuupplýsingar vinnur Vörður?

Þær persónuupplýsingar sem Vörður vinnur með í tengslum við vöruþróun og rekstur upplýsingakerfa geta verið allar þær upplýsingar sem félagið vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu og samskipti viðskiptavinar við félagið.

Innra eftirlit og áhættustýring

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Vörður vinnur með persónuupplýsingar við mat á áhættu, hvort sem um ræðir innri starfsemi félagins eða beint við viðskiptaákvarðanir í tengslum við viðskiptasamband við viðskiptavin.

Vinnslan fer fram við stofnun viðskiptasambands og meðan á viðskiptasambandi stendur.

Hver er lagalegur grundvöllur vinnslunnar?

Verði ber lagaleg skylda til að vinna persónuupplýsingar í samræmi við þau lög sem gilda um starfsemi félagsins hverju sinni. Þá byggir vinnsla sem tengist innra eftirliti félagsins einnig á lögmætum hagsmunum.

Hvaða persónuupplýsingar vinnur vörður?

Þær persónuupplýsingar sem Vörður vinnur með í tengslum við innra eftirlit og áhættustýringu geta verið allar þær persónuupplýsingar sem félaginu vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu, samskipti viðskiptavinar við félagið og vinnslu er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka.

Aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Í tilvikum líftrygginga er Verði skylt að þekkja viðskiptavini sína, framkvæma áhættumat og áreiðanleikakannanir og hafa eftirlit með viðskiptasamböndum.

Hver er lagalegur grundvöllur vinnslunnar?

Verði ber skylda skv. lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka að vinna persónuupplýsingar í þeim tilgangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Vinnslan byggir þannig á lagaskyldu.

Hvaða persónuupplýsingar vinnur Vörður?

Þær persónuupplýsingar sem Vörður vinnur í tengslum við aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka má flokka með eftirfarandi hætti:

• Auðkennisupplýsingar

• Samskiptaupplýsingar

• Upplýsingar um fjölskylduhagi

• Fjárhagsupplýsingar

• Upplýsingar um stjórnmálaleg tengsl

2.2 Persónuupplýsingar tengiliða og forsvarsmanna

Í þeim tilvikum sem viðskiptavinir Varðar eru lögaðilar vinnur félagið með samskiptaupplýsingar forsvarsmanna þeirra, t.d. er unnið með undirritunarheimildir og stöðu viðkomandi. Er það gert m.a. í þeim tilgangi að vera í samskiptum við viðskiptavininn og tryggja að viðkomandi hafi heimild til að skuldbinda lögaðilann. Þá vinnur Vörður með upplýsingar um eigendur viðkomandi lögaðila, stjórn, framkvæmdastjórn, prókúruumboð, ábyrgðaraðila og eftir atvikum aðra tengiliði. Auk þess kann félagið að vinna með upplýsingar um áhugamál tengiliða viðskiptavina í markaðstilgangi, s.s. í tengslum við boð á viðburði.

Þessi vinnsla byggir á lögmætum hagsmunum Varðar og eftir atvikum lagaskyldu.

Í þeim tilgangi að geta átt í samskiptum við birgja samstarfsaðila og eftirlitsaðila vinnur Vörður jafnframt með samskiptaupplýsingar tengiliða og forsvarsmanna þeirra aðila.

2.3 Persónuupplýsingar umsækjenda um störf

Vörður vinnur með afrit af umsóknum frá umsækjendum um störf og þær upplýsingar sem þar koma fram, s.s. nafn, kennitölu, heimilisfang, símanúmer, netfang, menntun, hæfni og starfsreynslu. Þá kann félagið að vinna með upplýsingar um meðmælendur og upplýsingar sem aðgengilegar eru opinberlega, s.s. á samfélagsmiðlum.

Ef Vörður býður umsækjanda starf er að jafnaði óskað eftir sakavottorði ásamt annars konar upplýsingum, s.s. sem staðfestingu á menntun og reynslu.

Umsókn um starf er varðveitt í 6 mánuði. Vinnsla Varðar á persónuupplýsingum um umsækjendur byggir á beiðni viðkomandi um að gera samning við félagið og eftir atvikum lögmætum hagsmunum þess.

2.4 Vinnsla persónuupplýsinga ólögráða barna

Vörður vinnur með persónuupplýsingar um börn þegar það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. veitingu trygginga fyrir börn. Félagið gerir þá samning eða aflar sérstaks samþykkis forráðamanna fyrir vinnslu áður en barni sem ekki hefur náð 16 ára aldri er boðin þjónusta.

Vörður sendir markaðsefni er varðar kynningu á vörum og þjónustu sem ætlað er börnum til forráðamanna þeirra.

2.5 Rafræn vöktun

Vörður viðhefur rafræna vöktun í formi hljóðritunar símtala og eftirlits með notkun eftirlitsmyndavéla. Vöktun með myndavélum fer fram á þjónustuskrifstofum félagsins í húsnæði Arion banka. Hljóðritun símtala kann einnig að eiga sér stað. Fari hljóðritun símtals fram er upplýst um slíka hljóðritun í upphafi viðkomandi símtals.

Vöktunin fer fram í þeim tilgangi að tryggja öryggi, í eignavörsluskyni og í þeim tilgangi að lágmarka áhættu á svikum. Efni sem til verður við rafræna vöktun er varðveitt í samræmi við lög og reglur hverju sinni.

Vinnsla persónuupplýsinga sem tengist rafrænni vöktun byggir á lögmætum hagsmunum. Arion banki kemur fram sem ábyrgðaraðili þeirrar vinnslu sem tengist myndavélavöktun, en bankinn og Vörður koma fram sem sameiginlegir ábyrgðaraðilar þeirrar vinnslu sem tengist hljóðritun símtala. Nánari upplýsingar um vinnslu er tengist rafrænni vöktun má finna í persónuverndaryfirlýsingu Arion banka.

2.6 Önnur vinnsla

Í þeim tilvikum er aðrir en viðskiptavinir, eða tengiliðir og forsvarsmenn viðskiptavina og annarra samstarfs- og eftirlitsaðila, setja sig í samband við Vörð kann félaginu að vera nauðsynlegt að vinna með persónuupplýsingar viðkomandi. Það á t.a.m. við ef félaginu berst styrktarbeiðni frá viðskiptavin og/eða hvers konar ábending er lýtur að félaginu.

Vörður kemur fram sem ábyrgðaraðili í skilningi persónuverndarlöggjafarinnar í tengslum við alla þá vinnslu sem tilgreind er í persónuverndaryfirlýsingu þessari. Í þeim tilvikum er sala á tryggingum Varðar fer fram hjá Arion banka kemur Vörður hins vegar fram sem sameiginlegur ábyrgðaraðili með bankanum í tengslum við útgáfu og þjónustu slíkra trygginga. Þá hefur Vörður falið Arion banka að sjá um ýmis konar þjónustu, s.s. móttöku fyrirspurna og afgreiðslu erinda í þjónustuveri, og koma félögin einnig fram sem sameiginlegir ábyrgðaraðilar í tengslum við slíka vinnslu.

Þegar Vörður og Arion banki koma fram sem sameiginlegir ábyrgðaraðilar miðla félögin persónuupplýsingum um viðskiptavini sín á milli, að því marki sem slík miðlun er nauðsynleg þannig að hvor aðili um sig geti þjónustað viðkomandi viðskiptavin.

Komi til þess að Vörður og eftir atvikum Arion banki eða önnur félög innan samstæðunnar, bjóði viðskiptavinum sameiginlega vöru eða þjónustu, s.s. í tengslum við sérstaka þjónustu, má einnig ganga út frá því að Vörður komi fram sem sameiginlegur ábyrgðaraðili með viðkomandi félagi.

Þá getur Vörður einnig óskað eftir sérstöku samþykki frá viðskiptavin til að miðla upplýsingum til Arion banka eða annarra aðila, s.s. í markaðslegum tilgangi, í þeim tilvikum er aðilar koma ekki fram sem sameiginlegir ábyrgðaraðilar.

Verði kann að vera nauðsynlegt að miðla upplýsingum um þá einstaklinga sem félagið vinnur með til utanaðkomandi aðila.

4.1 Þriðju aðilar

Með þriðja aðila er átt við sjálfstæðan lögaðila, annan en Vörð, eða einstakling sem ekki er starfsmaður félagsins. Miðlun Varðar á persónuupplýsingum einstaklinga til þriðju aðila fer fram í mismunandi tilgangi.

Félaginu kann þannig t.a.m. að vera nauðsynlegt að miðla persónuupplýsingum viðskiptavinar til þriðja aðila til að framfylgja skyldum samkvæmt samningi. Dæmi um slíkt er miðlun persónuupplýsinga ættingja eða annarra tengiliða sem á grundvelli umboðs hafa heimild til að eiga samskipti fyrir hönd viðskiptavinar, miðlun til vinnuveitanda, lækna og heilbrigðisstofnana, annarra tryggingafélaga, bílasala, fasteignasala, SOS aðila vegna slysamála erlendis, verkstæða og/eða annarra þjónustuaðila.

Á grundvelli laga, reglugerða, dóms- og stjórnvaldsúrskurða og fyrirmæla stjórnvalda kann Verði að vera skylt að miðla persónuupplýsingum um viðskiptavini, til þriðja aðila og þar til bærra stjórnvalda. Á grundvelli skýrrar lagaheimildar geta yfirvöld eins og Fjármálaeftirlitið, Seðlabanka Íslands, Embætti héraðssaksóknara, ríkisskattstjóra og lögreglan óskað eftir upplýsingum frá félaginu um viðskiptavini og aðra. Verði ber skylda til að verða við slíkum beiðnum og eftir atvikum veita yfirvöldum aðgang að starfsstöðvum og upplýsingakerfum félagsins í þeim tilgangi.

Sumir þjónustuaðilar Varðar koma fram sem sjálfstæðir ábyrgðaraðilar, s.s. lögmenn, endurskoðendur, trúnaðarlæknar og endurtryggjendur. Í þeim tilvikum sem nauðsynlegt er að miðla persónuupplýsingum einstaklinga til slíkra aðila, í tengslum við veitta þjónustu, þ.m.t. í tengslum við hagsmunagæslu og rekstur dómsmála, er um að ræða miðlun persónuupplýsinga til þriðju aðila. Slík miðlun byggir einkum á lögmætum hagsmunum Varðar og er er miðlunin eftir atvikum nauðsynleg í þeim tilgangi að stofna, hafa uppi eða verjast réttarkröfu.

Þá kann Verði að vera nauðsynlegt að miðla upplýsingum til úrskurðarnefndar í vátryggingamálum og/eða dómstóla komi upp ágreiningur í tengslum við vörur og þjónustur félagsins.

Vörður skráir upplýsingar um öll tjón hjá félaginu í sameiginlegan tjónagrunn vátryggingafélaga á Íslandi. Tjónagrunnurinn er rekinn samkvæmt heimild frá Persónuvernd og eru einungis skráðar lágmarksupplýsingar í tjónagrunninn varðandi hvert tjón. Nánari upplýsingar um tjónagrunn vátryggingafélaga má finna hér; https://sff.is/helstu-verkefni/tjonagrunnur-vatryggingafelaga/.

Hvað varðar persónuupplýsingar sem verða til með rafrænni vöktun kann Verði að vera heimilt að miðla slíkum upplýsingum til lögreglu eða annars tryggingarfélags, s.s. í tilviki eignartjóns þegar félaginu er nauðsynlegt að gera kröfu.

Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann Vörður jafnframt að miðla afmörkuðum upplýsingum um viðskiptavini til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar.

4.2 Vinnsluaðilar

Vörður nýtir utanaðkomandi aðila í tengslum við ýmiss konar þjónustu, s.s. í tengslum við upplýsingatækni og mat á greiningu á tjónum (þ.m.t. greiningaraðila og tryggingastærðfræðinga, s.s. í tengslum við högg- og hraðaútreikninga). Í tengslum við slíka þjónustu kann Verði að vera nauðsynlegt að miðla eða veita þjónustuveitendum aðgang að þeim persónuupplýsingum sem félagið vinnur og koma þjónustuveitendur þá fram sem svokallaðir vinnsluaðilar. Í þeim tilvikum tryggir Vörður að viðkomandi aðilar hafi gripið til fullnægjandi tæknilegra og skipulagslegra öryggisráðstafana til að vernda persónuupplýsingar viðskiptavina og gerir félagið við þá aðila viðeigandi vinnslusamninga. Vinnsluaðilar vinna einungis með persónuupplýsingar innan þess tilgangs og að því marki sem Vörður ákveður.

4.3 Miðlun persónuupplýsinga utan EES

Í vissum tilvikum kann persónuupplýsingum að vera miðlað úr landi og út fyrir Evrópska efnahagssvæðið („EES“), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða uppfylla skyldur sem hvíla á Verði samkvæmt lögum. Dæmi um það er þegar viðskiptavinur sem er með ferðatryggingu slasast erlendis. Vörður miðlar þó ekki persónuupplýsingum út fyrir EES nema á grundvelli viðeigandi heimilda í persónuverndarlöggjöfinni og að því gefnu að gripið hafi verið til viðeigandi ráðstafana.

Rík skylda hvílir á Verði að gæta að öryggi þeirra persónuupplýsinga sem f vinnur með og er Vörður með vottað stjórnkerfi upplýsingaöryggis samkvæmt upplýsingastaðlinum ÍST ISO/IEC27001. Þær ráðstafanir sem Vörður hefur gripið til í þeim tilgangi að tryggja öryggi eru bæði skipulagslegar og tæknilegar og lúta einkum að aðgangsstýringu, raunlægu öryggi, mannauðsöryggi, rekstraröryggi og samskiptaöryggi. Þá viðhefur félagið innra eftirlit með ofangreindu og endurskoðar áhættumat sitt og viðbrögð reglulega.

Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og Varðar varir eða eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, skilmálum samninga, reglna Varðar og að því gefnu að málefnalegar ástæður séu til staðar. Verði kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár, upplýsingar er tengjast peningaþvætti og könnun á áreiðanleika í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur og afriti af viðskiptafyrirmælum í fimm ár.

Persónuverndarlöggjöfin tryggir þeim einstaklingum sem Vörður vinnur persónuupplýsingar um ýmis réttindi. Umrædd réttindi eru þó ekki fortakslaus og kunna lagaskyldur eða ríkari hagsmunir Varðar eða þriðja aðila að koma í veg fyrir að félagið geti orðið við beiðni einstaklings. Vörður leitast við að svara öllum beiðnum einstaklinga sem nýta vilja réttindi sín á grundvelli persónuverndarlöggjafarinnar innan 30 daga og geti Vörður af einhverjum ástæðum ekki orðið við beiðni, hvort sem er í heild eða hluta, leitast félagið við að rökstyðja slíka niðurstöðu.

7.1 Aðgangur að eigin persónuupplýsingum

Einstaklingar eiga rétt á að vita hvort Vörður sé að vinna með persónuupplýsingar um þá og að fá upplýsingar um vinnsluna, s.s. um tilgang, hvert þeim er miðlað, uppruna, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Þá geta einstaklingar jafnframt átt rétt til að fá afrit af þeim persónuupplýsingum sem Vörður vinnur um viðkomandi.

7.2 Leiðrétting persónuupplýsinga og eyðing

Telji einstaklingur að þær persónuupplýsingar sem Vörður vinnur um hann séu óáreiðanlegar eða rangar á viðkomandi rétt á því að fá þær leiðréttar.

Í ákveðnum tilvikum á einstaklingur rétt á því að fara fram á að Vörður eyði persónuupplýsingum um hann, s.s. ef einstaklingur telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef einstaklingur dregur til baka samþykki um vinnslu persónuupplýsinga og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna reynist ólögmæt.

7.3 Andmælaréttur og takmörkun vinnslu

Einstaklingur sem Vörður vinnur persónuupplýsingar um á alltaf rétt á því að andmæla vinnslu persónuupplýsinga um sig þegar vinnsla persónuupplýsinga eru unnar til notkunar í þágu markaðssetningar. Þá getur einstaklingur andmælt vinnslu persónuupplýsinga um sig, vegna sérstakra aðstæðna sinna, þegar vinnslan byggir á lögmætum hagsmunum nema félagið hafi mikilvægar lögmætar ástæður fyrir vinnslunni sem ganga framar hagsmunum einstaklings.

Einstaklingur á rétt á að óska eftir því að Vörður takmarki vinnslu persónuupplýsinga um sig ef hann telur að upplýsingarnar séu ekki réttar, vinnsla upplýsinganna sé ólögmæt eða að Vörður þurfi ekki lengur á upplýsingum að halda en einstaklingar þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur.

7.4 Flutningsréttur

Í tilgreindum tilvikum, er vinnsla byggir á samningi eða samþykki, getur einstaklingur sem afhent hefur Verði persónuupplýsingar um sig með rafrænum hætti átt rétt á því að fá afrit af slíkum upplýsingum á skipulegu, algengu og tölvulesanlegu sniði. Einstaklingur getur einnig óskað eftir að Vörður sendi viðkomandi upplýsingar beint til þriðja aðila.

7.5 Afturköllun samþykkis

Í þeim tilvikum þar sem vinnsla Varðar byggir á samþykki getur einstaklingur sem veitti Verði samþykki hvenær sem er dregið það til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.

7.6 Kvörtun til Persónuverndar

Persónuvernd annast eftirlit með framkvæmd persónuverndarlöggjafarinnar og úrskurðar í ágreiningsmálum á sviði persónuverndar. Nánari upplýsingar um stofnunina má finna á vefsíðu hennar, personuvernd.is. Ef einstaklingur er ekki sáttur við vinnslu Varðar á persónuupplýsingum um sig er hægt að leggja fram kvörtun hjá Persónuvernd með því að fylla út kvörtunareyðublað sem finna má á vefsíðu stofnunarinnar eða senda erindi á Persónuvernd, Laugavegi 166, 4. hæð, 105 Reykjavík.

Vilji einstaklingur sem Vörður vinnur persónuupplýsingar um nýta réttindi sín á grundvelli persónuverndarlöggjafarinnar, sbr. kafla 7 í persónuverndaryfirlýsingu þessari, eða hafi viðkomandi spurningar um vinnslu Varðar á persónuupplýsingum er viðkomandi hvattur til að setja sig í samband við Vörð. Hægt er að hafa samband við Vörð í gegnum netfangið [email protected] í síma 514-1000.

Vörður hefur einnig skipað persónuverndarfulltrúa sem ber ábyrgð á málefnum sem varða persónuvernd. Persónuverndarfulltrúi Varðar er samnýttur með móðurfélagi Varðar, Arion banka, en þangað er öllum flóknari málum er varða meðhöndlun persónuupplýsinga vísað. Persónuverndarfulltrúinn hefur eftirlit með allri meðferð persónuupplýsinga hjá Verði. Hægt er að hafa samband við persónuverndarfulltrúa Varðar með því að senda tölvupóst á netfangið [email protected].

Vörður áskilur sér rétt til að breyta þessari persónuverndaryfirlýsingu og bæta við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fer fram hverju sinni hjá Verði. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef Varðar, nema annað sé tilgreint.

Útgefin 2. júlí 2018

Síðast uppfærð 16. janúar 2025

Þegar þú notar vef Varðar – www.vordur.is vistast upplýsingarnar um heimsóknina með svokölluðum kökum (e. Cookies). Tilgangurinn með notkun vefkaka er að aðlaga vefsvæðið að þínum þörfum t.d. stuðla að því að síðan virki fullkomlega og eins og til er ætlast en einnig til þess að upplifun notenda verði sem best þegar þeir heimsækja síðurnar okkar. Tilgangurinn er enn fremur að vinna upplýsingar í tölfræðilegum tilgangi, greina umferð á vefsíðu okkar eða í markaðslegum tilgangi.

Kökurnar auðvelda notendum að skrá sig inn á mínar síður og gera þér kleift að komast á milli síðna með einfaldari hætti og muna þær stillingar sem þú valdir síðast. Með kökum getum við boðið upp á að síðurnar aðlagi sig að því tæki sem þú notar til að heimsækja þær. Í sumum tilfellum kunna kökur að safna upplýsingum eins og IP-tölum, gerð vafra, gerð tækis. Sumar þessara upplýsinga geta talist til persónuupplýsinga en nánar er fjallað um persónuvernd og meðferð á persónuupplýsinga annars staðar í stefnu þessari. Upplýsingar sem fengnar eru með þessum hætti eru aldrei notaðar til að auðkenna þig.

Ekki er krafist samþykkis fyrir notkun á nauðsynlegum vafrakökum en samþykki þarf fyrir notkun á öðrum tegundum. Með því að haka við „leyfa vafrakökur““ samþykkir þú notkun þeirra. Ef þú velur „stillingar“ getur þú stillt hvaða vafrakökur þú vilt heimila.

Um vafrakökur

Vafrakökur eru textaskrár sem vistast þegar þú heimsækir vefsíður. Slíkar kökur eru notaðar til að bæta virkni vefsíðunnar, greina umferð um hana og bæta þjónustu við notendur. Hver kaka hefur gildistímabil sem eyðist þegar tímabilið rennur út.

Vörður notar bæði setukökur (e. session cookies) og viðvarandi vafrakökur. Setukökur eyðast þegar aðili fer af vefsvæði og eru því ekki vistaðar til lengri tíma en viðvarandi kökur vistast til lengri tíma og muna aðgerðir sem notandi gerði á vefsíðu.

Tölfræðikökur/Auglýsingakökur

Vafrakökur eru notaðar fyrir markaðssetningu. Þær safna upplýsingum um hegðun notanda til að birta viðeigandi auglýsingar.

Nauðsynlegar vafrakökur

Kökur sem verða til á því vefsvæði sem þú heimsækir, í þessu tilfelli heimasíða Varðar, kallast kökur fyrsta aðila (e. first-party cookies). Sumar kökur eru þess eðlis að þær virkja eiginleika á vefsíðu svo hægt er að nota hana eins og er til ætlast og til þess að þú getir notað allt sem í boði er á vefsíðunni og öruggum svæðum síðunnar. Þessar vafrakökur teljast nauðsynlegar og hefur Vörður lögmæta hagsmuni fyrir notkun þeirra og því þarf ekki að fá samþykki fyrir notkun.

Vafrakökur frá þriðja aðila

Vörður notar kökur í eigu þriðju aðila á vefsvæði Varðar. Kökur þriðja aðila gera það að verkum að þessir aðilar geta þekkt tækið þitt aftur þegar þú heimsækir vefsvæðið og önnur tæki. Vafrakökur frá þriðju aðilum gegna hlutverki fyrir Vörð þar sem Vörður notar þjónustu þessara aðila til að t.d. greina notkun vefsvæðisins, hegðun og gerð sérsniðna auglýsinga. Kökurnar hjálpa okkur að skilja betur hvernig vefsíðurnar eru notaðar og hversu áhrifaríkar markaðsherferðir okkar eru. Þær hjálpa okkur einnig að bæta upplifun notenda og sérsníða markaðsefni og auglýsingar að ákveðnum markhópum.

Sjá hér notkun þriðju aðila á vefkökum:

* Google Analytics

* Facebook Pixel

Vörður ber ekki ábyrgð á þeim upplýsingum sem fram koma á framangreindum vefsíðum. Vörður heldur utan um allar þær vefkökur sem við notum og upplýsingar um þær eru aðgengilegar þess sem það óskar.

Þín friðhelgi – hvernig er hægt að slökkva á vafrakökum?

Veitir þú samþykki fyrir vafrakökum getur þú alltaf eytt kökum í þínum vafra eða loka á köku og með því ert þú að afturkalla samþykki þitt fyrir notkun þeirra. Hér má finna leiðbeiningar um stillingu vafrakaka.