Verði tryggingum hf. og Verði líftryggingum hf. (hér eftir sameiginlega vísað til sem „Vörður“ eða „félagið“) er umhugað um persónuvernd. Persónuvernd einstaklinga skiptir Vörð miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.

Í persónuverndaryfirlýsingu þessari er m.a. að finna útskýringar á því hvaða persónuupplýsingum félagið safnar um viðskiptavini og tengda aðila, hvenær og hvers vegna, á hvaða grundvelli og hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra. Það sama á við um vinnslu félagsins á persónuupplýsingum um tengiliði viðskiptavina sem eru lögaðilar, umsækjendur um störf og aðra einstaklinga sem kunna að heimsækja eða hafa samband við félagið í öðrum tilgangi. Í persónuverndarstefnunni er jafnframt að finna upplýsingar um réttindi einstaklinga vegna þeirrar vinnslu sem félagið viðhefur.

Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem Vörður viðhefur sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“). Félagið útvistar hluta af sinni þjónustu til Arion banka, þ.m.t. í tengslum við útgáfu og þjónustu við tryggingar, og kemur í þeim tilvikum fram sem svokallaður sameiginlegur ábyrgðaraðili með Arion banka öðrum ábyrgðaraðilum, þ.m.t. með Arion banka. Sjá nánar umfjöllun í kafla 3 í yfirlýsingu þessari.

Vakni spurningar um vinnslu Varðar á persónuupplýsingum eða persónuverndaryfirlýsingu þessa er tekið við þeim á netfangið [email protected].

2.1 Persónuupplýsingar sem unnar eru um viðskiptavin

Í eftirfarandi töflum má finnayfirlit yfir þær persónuupplýsingar sem Vörður vinnur um viðskiptavin, í hvaða tilgangi vinnslan fer fram og á grundvelli hvaða heimildar. Sé unnið með aðrar upplýsingar en tilgreindar eru í töflunni, eða í öðrum tilgangi, mun Vörður leitast við að upplýsa viðskiptavin um það.

Vinnsla sem tengist vörum og þjónustu

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Vörður vinnur með persónuupplýsingar þegar einstaklingur setur sig í samband við Vörð og óskar eftir tilboði í þjónustu og/eða þegar einstaklingur stofnar til viðskiptasambands við félagið. Upplýsingarnar eru unnar í þeim tilgangi að veita viðskiptavini þá þjónustu sem óskað er eftir.

Vörður fær upplýsingarnar beint frá viðskiptavini, úr kerfum Varðar, frá þriðju aðilum eftir því sem við á eða úr opinberum gögnum. Vörður móttekur þannig m.a. persónuupplýsingar um viðskiptavini, eða mögulega viðskiptavini, frá fjölskyldumeðlimum í tengslum við heilsutryggingar, frá heilbrigðisstofnunum, Þjóðskrá, úr tjónagrunni og frá CreditInfo. Í tengslum við tjón móttekur Vörður einnig upplýsingar frá lögreglu, úrskurðaraðilum og eftir atvikum þriðja aðila sem tilkynnt hefur um tjón.

Til þess að geta boðið einstaklingum tryggingar sem henta þeim, og eftir atvikum fjölskyldum þeirra, sem best þarf Vörður að vinna með persónuupplýsingar viðkomandi einstaklings og tengdra aðila, þ.m.t. auðkennis- og samskiptaupplýsingar og upplýsingar um viðskiptasögu. Fullnægjandi persónuupplýsingar gera Verði þannig kleift að veita betri og persónulegri þjónustu.

Komi til tjóns er einnig mikilvægt fyrir Vörð að vinna með fullnægjandi persónuupplýsingar þannig að hægt sé að meta bótaskyldu og eftir atvikum greiða úr bætur.

Hver er lagalegur grundvöllur vinnslunnar?

Vinnsla persónuupplýsinga er forsenda þess að Vörður geti veitt þá þjónustu sem viðskiptavinur óskar eftir og er því nauðsynleg til að efna samning við viðskiptavin.

Verði er jafnframt skylt á grundvelli laga að vinna með tilgreindar persónuupplýsingar viðskiptavinar, t.d. í samræmi við gildandi lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, lög um vátryggingasamninga og lög um vátryggingastarfsemi.

Vinnsla viðkvæmra persónuupplýsinga byggir í flestum tilvikum á samþykki viðskiptavinar.

Hvaða persónuupplýsingar vinnur Vörður?

örður vinnur með ólíkar persónuupplýsingar eftir því hvaða vöru og þjónustu um ræðir. Flokka má þær persónuupplýsingar sem unnar eru með eftirfarandi hætti:

• Auðkennisupplýsingar, þ.e. nafn, kennitala, viðskiptamannanúmer, rafrænt auðkenni og afrit af persónuskilríkjum.

• Samskiptaupplýsingar, þ.e. upplýsingar um heimilisfang, símanúmer og netfang.

• Upplýsingar um fjölskylduhagi.

• Upplýsingar um viðskiptasögu og tjónasögu.

• Fjárhagslegar upplýsingar, svo sem reikningsnúmer og tengdar bankaupplýsingar.

• Upplýsingar um eignir, s.s. fastanúmer fasteigna og bílnúmer bifreiða í tengslum við fasteigna- og ökutækjatryggingar.

• Heilsufarsupplýsingar og læknisfræðileg gögn, svo sem upplýsingar um heilsufarssögu, í tengslum við ábyrgðar-, líf- og heilsutryggingar.

Ef tjón verður getur félaginu verið nauðsynlegt að kalla eftir viðbótarupplýsingum, þ.m.t. upplýsingum um tjónið s.s. úr lögregluskýrslum og tjónmatsskýrslum, auk þess sem unnið er með afrit af tilkynningu um tjónið.

Sjálfvirk ákvarðanataka

Í tilgreindum tilvikum notast Vörður við sjálfvirka ákvarðanatöku í tengslum við vörur og þjónustur félagsins.

Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar án mannlegrar aðkomu. Dæmi um slíkt er í rafrænum ráðgjafa Varðar.

Við sjálfvirka ákvarðanatöku er unnið með persónuupplýsingar sem byggist á persónusniði sem verður til þegar persónuupplýsingar eru unnar á sjálfvirkan hátt sem meta ákveðna þætti er varða hagi einstaklinga.

Sjálfvirk ákvarðanataka fer aðeins fram á grundvelli samþykkis viðskiptavinar eða þegar hún er talin forsenda þess að unnt sé að gera eða efna samning við viðskiptavin. Viðskiptavinir eiga ávallt rétt á mannlegri íhlutun fari vinnsla fram með sjálfvirkri ákvarðanatöku.

Samskipti

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Vörður þjónustar viðskiptavin í gegnum ýmsar samskiptaleiðir svo sem í gegnum tölvupóst, „mínar síður“ á heimasíðu Varðar, þjónustuver, Arion appinu, netspjall á heimasíðu Varðar og á þjónustuskrifstofum.

Skráðir umboðsmenn Varðar geta átt í samskiptum við viðskiptavini Varðar á grundvelli þjónustusamninga, á heimasíðu Varðar má finna upplýsingar um hverjir teljast til skráðra umboðsmanna hverju sinni.

Vörður vinnur persónuupplýsingar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum, veitt viðeigandi ráðgjöf og tryggt fullnægjandi upplýsingagjöf til viðskiptavinar.

Hver er lagalegur grundvöllur vinnslunnar?

Vinnslan er nauðsynleg til að efna samning. Vinnslan kann einnig að fara fram á grundvelli lagaskyldu.

Hvaða persónuupplýsingar vinnur Vörður?

Vörður vinnur með auðkennis- og samskiptaupplýsingar viðskiptavinar, efni skilaboða sem viðskiptavinur sendir félaginu og eftir atvikum upplýsingar í tengslum við þá ráðgjöf sem viðskiptavinur óskar eftir hverju sinni.

Í tengslum við notkun á „mínum síðum“ og spjallmenni Varðar vinnur félagið auk þess með með IP tölu viðskiptavinar, aðgerðarskráningar, innskráningarleið og tegund vafra

Slík vinnsla fer m.a. fram í þeim tilgangi að geta fylgt eftir ráðleggingum og meðmælum. Í tengslum við þjónustu- og samskiptakannanir vinnur félagið jafnframt með samskiptaupplýsingar viðskiptavinar og niðurstöður kannanna.

Markaðssetning á vörum og þjónustu

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Í því skyni að kynna fyrir viðskiptavini vörur og þjónustur Varðar áskilur félagið sér rétt til að senda viðskiptavin markaðsskilaboð.

Slík markaðsskilaboð geta verið send með tölvupósti, í gegnum „mínar síður“, með starfrænum miðlum eða með öðrum hætti.

Hver er lagalegur grundvöllur vinnslunnar?

Félagið hefur lögmæta hagsmuni af því að vinna persónuupplýsingar vegna markaðssetningar á vörum og þjónustu.

Viðskiptavinur hefur rétt til að andmæla vinnslu félagsins á persónuupplýsingum hans sem fer fram á grundvelli lögmætra hagsmuna, sbr. nánar kafla 7.3 í stefnu þessari.

Í þeim tilvikum er félagið vill nýta persónuupplýsingar viðskiptavinar og framkvæma dýpri greiningu á persónuupplýsingum viðskiptavinar í tengslum við markaðssetningu á vörum og þjónustu kann félagið að óska eftir sérstöku samþykki fyrir þeirri vinnslu.

Veiti viðskiptavinur félaginu samþykki fyrir vinnslu persónuupplýsinga í tengslum við markaðssetningu hefur viðskiptavinur ávallt rétt til að afturkalla samþykki sitt, sbr. nánar kafla 7.5 í stefnu þessari.

Hvaða persónuupplýsingar vinnur Vörður?

Félagið nýtir samskiptaupplýsingar viðskiptavinar til að senda honum markaðsskilaboð.

Í tengslum við almenna markaðssetningu á vörum og þjónustu vinnur félagið með auðkennisupplýsingar um viðskiptavin, s.s. aldur og/eða upplýsingar um fjölskylduhagi.

Í þeim tilgangi að geta sent viðskiptavin aðsniðnari markaðsskilaboð kann félagið þó einnig að vinna með persónuupplýsingar viðskiptavinar sem byggja á viðskiptasögu, vörunotkun og samskiptum viðskiptavinar við félagið.

Þá kann félagið að vinna með upplýsingar um áhugamál viðskiptavinar í þeim tilgangi að geta boðið honum á viðburði sem viðskiptavinur kann að hafa áhuga á og/eða til að veita aðsniðnari þjónustu.

Vöruþróun og rekstur upplýsingatæknikerfa

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Í þeim tilgangi að þróa og bæta vörur og þjónustur félagsins og greina þörf fyrir nýjum vörum og þjónustum nýtir félagið persónuupplýsingar viðskiptavina. Þá er Verði nauðsynlegt að vinna með persónuupplýsingar viðskiptavina til að fylgjast með afkomu einstakra tryggingategunda og ákvarða iðgjöld með það markmið að verðleggja þær í samræmi við áhættur.

Einnig vinnur félagið með persónuupplýsingar í ákveðnum tilfellum við þróun og prófun á kerfum. Þróun og prófun er nauðsynleg til að tryggja gæði og öryggi kerfa. Vörður leitast við að gera persónuupplýsingar viðskiptavinar ópersónugreinanlegar og vinna þannig með þær í framangreindum tilgangi.

Hver er lagalegur grundvöllur vinnslunnar?

Vinnslan byggir á lögmætum hagsmunum Varðar.

Hvaða persónuupplýsingar vinnur Vörður?

Þær persónuupplýsingar sem félagið vinnur með í tengslum við vöruþróun og rekstur upplýsingakerfa geta verið allar þær upplýsingar sem félagið vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu og samskipti viðskiptavinar við félagið.

Innra eftirlit og áhættustýring

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Félagið vinnur með persónuupplýsingar við mat á áhættu, hvort sem um ræðir innri starfsemi félagins eða beint við viðskiptaákvarðanir í tengslum við viðskiptasamband við viðskiptavin.

Vinnslan fer fram við stofnun viðskiptasambands og meðan á viðskiptasambandi stendur.

Hver er lagalegur grundvöllur vinnslunnar?

Félaginu ber lagaleg skylda til að vinna persónuupplýsingar í samræmi við þau lög sem gilda um starfsemi félagsins hverju sinni. Þá byggir vinnsla sem tengist innra eftirliti félagsins einnig á lögmætum hagsmunum.

Hvaða persónuupplýsingar vinnur vörður?

Þær persónuupplýsingar sem félagið vinnur með í tengslum við innra eftirlit og áhættustýringu geta verið allar þær upplýsingar sem félaginu vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu, samskipti viðskiptavinar við félagið og vinnslu er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka.

Aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka

Hvernig vinnur Vörður með persónuupplýsingar og í hvaða tilgangi?

Í tilvikum líftrygginga er félaginu skylt að þekkja viðskiptavini sína, framkvæma áhættumat og áreiðanleikakannanir og hafa eftirlit með viðskiptasamböndum.

Hver er lagalegur grundvöllur vinnslunnar?

Félaginu ber skylda skv. lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka að vinna persónuupplýsingar í þeim tilgangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Vinnslan byggir þannig á lagaskyldu.

Hvaða persónuupplýsingar vinnur Vörður?

Þær persónuupplýsingar sem félagið vinnur í tengslum við aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka má flokka með eftirfarandi hætti:

• Auðkennisupplýsingar

• Samskiptaupplýsingar

• Upplýsingar um fjölskylduhagi

• Fjárhagsupplýsingar

• Upplýsingar um stjórnmálaleg tengsl

2.2 Persónuupplýsingar tengiliða og forsvarsmanna

Í þeim tilvikum sem viðskiptavinir félagsins eru lögaðilar vinnur félagið með samskiptaupplýsingar forsvarsmanna þeirra, t.d. er unnið með undirritunarheimildir og stöðu viðkomandi. Er það gert m.a. í þeim tilgangi að vera í samskiptum við viðskiptavininn og tryggja að viðkomandi hafi heimild til að skuldbinda lögaðilann. Þá vinnur félagið með upplýsingar um eigendur viðkomandi lögaðila, stjórn, framkvæmdastjórn, prókúruumboð, ábyrgðaraðila og eftir atvikum aðra tengiliði. Auk þess kann félagið að vinna með upplýsingar um áhugamál tengiliða viðskiptavina í markaðstilgangi, s.s. í tengslum við boð á viðburði.

Þessi vinnsla byggir á lögmætum hagsmunum félagsins og eftir atvikum lagaskyldu.

Í þeim tilgangi að geta átt í samskiptum við birgja samstarfsaðila og eftirlitsaðila vinnur félagið jafnframt með samskiptaupplýsingar tengiliða og forvarsaðila þeirra aðila.

2.3 Persónuupplýsingar umsækjenda um störf

Félagið vinnur með afrit af umsóknum frá umsækjendum um störf og þær upplýsingar sem þar koma fram, s.s. nafn, kennitölu, heimilisfang, símanúmer, netfang, menntun, hæfni og starfsreynslu. Þá kann félagið að vinna með upplýsingar um meðmælendur og upplýsingar sem aðgengilegar eru opinberlega, s.s. á samfélagsmiðlum.

Ef félagið býður umsækjanda starf er að jafnaði óskað eftir sakavottorði ásamt annars konar upplýsingum, s.s. sem staðfesta menntun og reynslu.

Umsókn um starf er varðveitt í 6 mánuði. Vinnsla félagið á upplýsingum um umsækjendur byggir á beiðni viðkomandi um að gera samning við félagið og eftir atvikum lögmætum hagsmunum félagið.

2.4 Vinnsla persónuupplýsinga ólögráða barna

Félagið vinnur með persónuupplýsingar um börn þegar það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. veitingu trygginga fyrir börn. Félagið gerir þá samning eða aflar sérstaks samþykkis forráðamanna fyrir vinnslu áður en barni sem ekki hefur náð 16 ára aldri er boðin þjónusta.

Vörður sendir markaðsefni er varðar kynningu á vörum og þjónustu sem ætlað er börnum til forráðamanna þeirra.

2.5 Rafræn vöktun

Félagið viðhefur rafræna vöktun í formi hljóðritunar símtala og eftirlits með notkun eftirlitsmyndavéla. Vöktun með myndavélum fer fram á þjónustuskrifstofum Varðar í húsnæði Arion banka. Hljóðritun símtala kann einnig að eiga sér stað. Fari hljóðritun símtals fram er upplýst um slíka hljóðritun í upphafi viðkomandi símtals.

Vöktunin fer fram í þeim tilgangi að tryggja öryggi, í eignavörsluskyni og í þeim tilgangi að lágmarka áhættu á svikum. Efni sem til verður við rafræna vöktun er varðveitt í samræmi við lög og reglur hverju sinni.

Vinnsla er tengist rafrænni vöktun byggir á lögmætum hagsmunum og kemur Arion banki fram sem ábyrgðaraðili þeirrar vinnslu er tengist myndavélavöktun en Arion banki og félagið sem sameiginlegir ábyrgðaraðilar hvað félagsins hljóðritun símtala. Nánari upplýsingar um vinnslu er tengist rafrænni vöktun má finna í persónuverndaryfirlýsingu Arion banka.

2.6 Önnur vinnsla

Í þeim tilvikum er aðrir en viðskiptavinir, eða tengiliðir og forsvarsmenn viðskiptavina og annarra samstarfs- og eftirlitsaðila, setja sig í samband við félagið kann félaginu að vera nauðsynlegt að vinna með persónuupplýsingar viðkomandi. Það á t.a.m. við ef félaginu berst styrktarbeiðni frá viðskiptavin og/eða hvers konar ábending er lýtur að félaginu.

Vörður kemur fram sem ábyrgðaraðili í skilningi persónuverndarlaga í tengslum við alla þá vinnslu sem tilgreind er í persónuverndarstefnu þessari. Í þeim tilvikum er sala á tryggingum Varðar fer fram hjá Arion banka kemur félagið hins vegar fram sem sameiginlegur ábyrgðaraðili með bankanum í tengslum við útgáfu og þjónustu slíkra trygginga. Þá hefur Vörður einnig falið Arion banka að sjá um ýmis konar þjónustu, s.s. móttöku fyrirspurna og afgreiðslu erinda í þjónustuveri, og koma félögin einnig fram sem sameiginlegur ábyrgðaraðili í tengslum við slíka vinnslu.

Þegar Vörður og Arion banki koma fram sem sameiginlegir ábyrgðaraðilar er félögunum nauðsynlegt að miðla upplýsingum um viðskiptavini sín á milli, að því marki sem slík miðlun er nauðsynleg þannig að hvor aðili um sig geti þjónustað viðkomandi viðskiptavini.

Komi til þess að Vörður og eftir atvikum Arion banki eða önnur félög innan samstæðunnar, bjóði viðskiptavinum sameiginlega vöru eða þjónustu, s.s. í tengslum við sérstaka þjónustu, má einnig ganga út frá því að Vörður komi fram sem sameiginlegur ábyrgðaraðili með viðkomandi félagi.

Þá getur Vörður einnig óskað eftir sérstöku samþykki frá viðskiptavin til að miðla upplýsingum til Arion banka eða annarra aðila, s.s. í markaðslegum tilgangi, í þeim tilvikum er aðilar koma ekki fram sem sameiginlegir ábyrgðaraðilar.

Verði kann að vera nauðsynlegt að miðla upplýsingum um þá einstaklinga sem félagið vinnur með til utanaðkomandi aðila.

4.1 Þriðju aðilar

Með þriðja aðila er átt við sjálfstæðan lögaðila, annan en Vörð, eða einstakling sem ekki er starfsmaður Varðar. Miðlun Varðar á persónuupplýsingum einstaklinga til þriðju aðila fer fram í ólíkum tilgangi.

Verði kann þannig t.a.m. að vera nauðsynlegt að miðla persónuupplýsingum viðskiptavinar til þriðja aðila til að framfylgja skyldum samkvæmt samningi. Dæmi um slíkt er miðlun upplýsinga ættingja eða annarra tengiliða sem á grundvelli umboðs hafa heimild til að eiga samskipti fyrir hönd viðskiptavinar, miðlun til vinnuveitanda, lækna og heilbrigðisstofnana, annarra tryggingafélaga, bílasala, fasteignasala, SOS aðila vegna slysamála erlendis, verkstæða og/eða annarra þjónustuaðila.

Á grundvelli laga, reglugerða, dóms- og stjórnvaldsúrskurða og fyrirmæla stjórnvalda kann Verði að vera skylt að miðla upplýsingum, einkum um viðskiptavini, til þriðja aðila og þar til bærra stjórnvalda. Á grundvelli skýrrar lagaheimildar geta yfirvöld eins og Fjármálaeftirlitið, Seðlabanka Íslands, Embætti héraðssaksóknara og ríkisskattstjóra og lögreglan óskað eftir upplýsingum frá Verði um viðskiptavini og aðra. Verði ber skylda til að verða við slíkum beiðnum og eftir atvikum veita yfirvöldum aðgang að starfssvöðum og upplýsingakerfum Varðar í þeim tilgangi.  

Sumir þjónustuaðilar Varðar koma fram sem sjálfstæðir ábyrgðaraðilar, s.s. lögmenn, endurskoðendur, trúnaðarlæknar og endurtryggjendur. Í þeim tilvikum sem nauðsynlegt er að miðla persónuupplýsingum einstaklinga til slíkra aðila, í tengslum við veitta þjónustu, þ.m.t. í tengslum við hagsmunagæslu og rekstur dómsmála, er um að ræða miðlun persónuupplýsinga til þriðju aðila. Slík miðlun byggir einkum á lögmætum hagsmunum Varðar og er er miðlunin eftir atvikum nauðsynleg í þeim tilgangi að stofna, hafa uppi eða verjast réttarkröfu.

Þá kann Verði að vera nauðsynlegt að miðla upplýsingum til úrskurðarnefndar í vátryggingamálum og/eða dómstóla komi upp ágreiningur í tengslum við vörur og þjónustur Varðar.

Vörður skráir upplýsingar um öll tjón hjá félaginu í sameiginlegan tjónagrunn vátryggingafélaga á Íslandi. Tjónagrunnurinn er rekinn samkvæmt heimild frá Persónuvernd og eru einungis skráðar lágmarksupplýsingar í tjónagrunninn varðandi hvert tjón. Nánari upplýsingar um tjónagrunn vátryggingafélaga má finna hér; https://sff.is/helstu-verkefni/tjonagrunnur-vatryggingafelaga/.

Hvað varðar upplýsingar sem safnast með rafrænni vöktun kann Verði að vera heimilt að miðla slíkum upplýsingum til lögreglu eða annars tryggingarfélags, s.s. í tilviki eignartjóns þegar Verði er nauðsynlegt að gera kröfu.

Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann Vörður jafnframt að miðla afmörkuðum upplýsingum um viðskiptavini til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar.

4.2 Vinnsluaðilar

Vörður nýtir utanaðkomandi aðila í tengslum við ýmiss konar þjónustu, s.s. í tengslum við upplýsingatækni og mat á greiningu á tjónum (þ.m.t. greiningaraðila og tryggingastærðfræðinga, s.s. í tengslum við högg- og hraðaútreikninga). Í tengslum við slíka þjónustu kann Verði að vera nauðsynlegt að miðla eða veita þjónustuveitendum aðgang að þeim persónuupplýsingum sem Vörður vinnur og koma þjónustuveitendur þá fram sem svokallaðir vinnsluaðilar. Í þeim tilvikum tryggir Vörður að viðkomandi aðilar hafi gripið til fullnægjandi öryggisráðstafana til að vernda persónuupplýsingar og gerir Vörður við þá aðila viðeigandi vinnslusamninga. Vinnsluaðilar vinna einungis með persónuupplýsingar innan þess tilgangs og að því marki sem Vörður ákveður.

4.3 Miðlun persónuupplýsinga utan EES

Í vissum tilvikum kann persónuupplýsingum að vera miðlað úr landi og út fyrir Evrópska efnahagssvæðið („EES“), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða uppfylla skyldur sem hvíla á Verði samkvæmt lögum. Dæmi um það er þegar viðskiptavinur sem er með ferðatryggingu slasast erlendis. Vörður miðlar þó ekki persónuupplýsingum út fyrir EES nema á grundvelli viðeigandi heimilda í persónuverndarlögum og að því gefnu að gripið hafi verið til viðeigandi ráðstafana.

Rík skylda hvílir á Verði að gæta að öryggi þeirra persónuupplýsinga sem hann vinnur með og er Vörður með vottað stjórnkerfi upplýsingaöryggis samkvæmt upplýsingastaðlinum ÍST ISO/IEC27001. Þær ráðstafanir sem Vörður hefur gripið til í þeim tilgangi að tryggja öryggi eru bæði skipulagslegar og tæknilegar og lúta einkum að aðgangsstýringu, raunlægu öryggi, mannauðsöryggi, rekstraröryggi og samskiptaöryggi. Þá viðhefur Vörður innra eftirlit með ofangreindu og endurskoðar áhættumat sitt og viðbrögð reglulega.

Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og Varðar varir eða eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, skilmálum samninga, reglna Varðar og að því gefnu að málefnalegar ástæður séu til staðar. Verði kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár, upplýsingar er tengjast peningaþvætti og könnun á áreiðanleika í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur og afriti af viðskiptafyrirmælum í fimm ár.

Persónuverndarlög tryggja þeim einstaklingum sem Vörður vinnur persónuupplýsingar um ýmis réttindi. Umrædd réttindi eru þó ekki fortakslaus og kunna lagaskyldur eða ríkari hagsmunir Varðar eða þriðja aðila að koma í veg fyrir að Vörður geti orðið við beiðni einstaklings sem nýta vill réttindi sín á grundvelli persónuverndarlaga. Vörður leitast við að svara öllum beiðnum einstaklinga sem nýta vilja réttindi sín á grundvelli persónuverndarlaga innan 30 daga og geti Vörður af einhverjum ástæðum ekki orðið við beiðni, hvort sem er í heild eða hluta, leitast Vörður við að rökstyðja slíka niðurstöðu.

7.1 Aðgangur að eigin persónuupplýsingum

Einstaklingar eiga rétt á að vita hvort Vörður sé að vinna með persónuupplýsingar um þá og að fá upplýsingar um vinnsluna, s.s. um tilgang, hvert þeim er miðlað, uppruna, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Þá geta einstaklingar jafnframt átt rétt til að fá afrit af þeim persónuupplýsingum sem Vörður vinnur um viðkomandi.

7.2 Leiðrétting persónuupplýsinga og eyðing

Telji einstaklingur að þær persónuupplýsingar sem Vörður vinnur um hann séu óáreiðanlegar eða rangar á viðkomandi rétt á því að fá þær leiðréttar.

Í ákveðnum tilvikum á einstaklingur rétt á því að fara fram á að Vörður eyði persónuupplýsingum um hann, s.s. ef einstaklingur telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef einstaklingur dregur til baka samþykki um vinnslu persónuupplýsinga og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna reynist ólögmæt.

7.3 Andmælaréttur og takmörkun vinnslu

Einstaklingur sem Vörður vinnur persónuupplýsingar um á rétt á því að andmæla vinnslu persónuupplýsinga um sig sem byggir á lögmætum hagsmunum, s.s. vinnsla persónuupplýsinga til notkunar í beinni markaðssetningu.

Einstaklingur á rétt á að óska eftir því að Vörður takmarki vinnslu persónuupplýsinga um sig ef hann telur að upplýsingarnar séu ekki réttar, vinnsla upplýsinganna sé ólögmæt eða að Vörður þurfi ekki lengur á upplýsingum að halda en einstaklingar þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur.

7.4 Flutningsréttur

Í tilgreindum tilvikum, er vinnsla byggir á samningi eða samþykki, getur einstaklingur sem afhent hefur Verði persónuupplýsingar um sig með rafrænum hætti átt rétt á því að fá afrit af slíkum upplýsingum á skipulegu, algengu og tölvulesanlegu sniði. Einstaklingur getur einnig óskað eftir að Vörður sendi viðkomandi upplýsingar beint til þriðja aðila.

7.5 Afturköllun samþykkis

Í þeim tilvikum þar sem vinnsla Varðar byggir á samþykki getur einstaklingur sem veitti Verði samþykki hvenær sem er dregið það til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.

7.6 Kvörtun til Persónuverndar

Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar. Nánari upplýsingar um stofnunina má finna á heimasíðu hennar, personuvernd.is. Ef einstaklingur er ekki sáttur við vinnslu félagsins á persónuupplýsingum um sig er hægt að leggja fram kvörtun hjá Persónuvernd með því að senda erindi á Persónuvernd, Rauðarárstígur 10, 105 Reykjavík eða á [email protected].

Vilji einstaklingur sem Vörður vinnur persónuupplýsingar um nýta réttindi sín á grundvelli persónuverndarlaga, sbr. kafla 7 í persónuverndarstefnu þessari, eða hafi viðkomandi spurningar um vinnslu Varðar á persónuupplýsingum er viðkomandi hvattur til að setja sig í samband við persónuverndarráð Varðar sem sér um alla daglega meðferð persónuverndarmála, móttekur allar beiðnir og svarar fyrirspurnum viðskiptavina. Hægt er að hafa samband við persónuverndararáð með því að senda póst á [email protected] eða í síma 514-1000.

Vörður hefur einnig skipað persónuverndarfulltrúa sem ber ábyrgð á málefnum sem varða persónuvernd. Persónuverndarfulltrúi Varðar er samnýttur með móðurfélagi Varðar, Arion banka, en þangað er öllum flóknari málum er varða meðhöndlun persónuupplýsinga vísað. Persónuverndarfulltrúinn hefur eftirlit með allri meðferð persónuupplýsinga hjá Verði. Hægt er að hafa samband við persónuverndarfulltrúa Varðar með því að senda tölvupóst á netfangið [email protected].

Vörður áskilur sér rétt til að breyta þessari persónuverndarstefnu og bæta við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fer fram hverju sinni hjá Verði. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef Varðar, nema annað sé tilgreint.

Útgefin 2. júlí 2018

Síðast uppfærð 19. október 2023

Þegar þú notar vef Varðar – www.vordur.is vistast upplýsingarnar um heimsóknina með svokölluðum kökum (e. Cookies). Tilgangurinn með notkun vefkaka er að aðlaga vefsvæðið að þínum þörfum t.d. stuðla að því að síðan virki fullkomlega og eins og til er ætlast en einnig til þess að upplifun notenda verði sem best þegar þeir heimsækja síðurnar okkar. Tilgangurinn er enn fremur að vinna upplýsingar í tölfræðilegum tilgangi, greina umferð á vefsíðu okkar eða í markaðslegum tilgangi.

Kökurnar auðvelda notendum að skrá sig inn á mínar síður og gera þér kleift að komast á milli síðna með einfaldari hætti og muna þær stillingar sem þú valdir síðast. Með kökum getum við boðið upp á að síðurnar aðlagi sig að því tæki sem þú notar til að heimsækja þær. Í sumum tilfellum kunna kökur að safna upplýsingum eins og IP-tölum, gerð vafra, gerð tækis. Sumar þessara upplýsinga geta talist til persónuupplýsinga en nánar er fjallað um persónuvernd og meðferð á persónuupplýsinga annars staðar í stefnu þessari. Upplýsingar sem fengnar eru með þessum hætti eru aldrei notaðar til að auðkenna þig.

Ekki er krafist samþykkis fyrir notkun á nauðsynlegum vafrakökum en samþykki þarf fyrir notkun á öðrum tegundum. Með því að haka við „leyfa vafrakökur““ samþykkir þú notkun þeirra. Ef þú velur „stillingar“ getur þú stillt hvaða vafrakökur þú vilt heimila.

Um vafrakökur

Vafrakökur eru textaskrár sem vistast þegar þú heimsækir vefsíður. Slíkar kökur eru notaðar til að bæta virkni vefsíðunnar, greina umferð um hana og bæta þjónustu við notendur. Hver kaka hefur gildistímabil sem eyðist þegar tímabilið rennur út.

Vörður notar bæði setukökur (e. session cookies) og viðvarandi vafrakökur. Setukökur eyðast þegar aðili fer af vefsvæði og eru því ekki vistaðar til lengri tíma en viðvarandi kökur vistast til lengri tíma og muna aðgerðir sem notandi gerði á vefsíðu.

Tölfræðikökur/Auglýsingakökur

Vafrakökur eru notaðar fyrir markaðssetningu. Þær safna upplýsingum um hegðun notanda til að birta viðeigandi auglýsingar.

Nauðsynlegar vafrakökur

Kökur sem verða til á því vefsvæði sem þú heimsækir, í þessu tilfelli heimasíða Varðar, kallast kökur fyrsta aðila (e. first-party cookies). Sumar kökur eru þess eðlis að þær virkja eiginleika á vefsíðu svo hægt er að nota hana eins og er til ætlast og til þess að þú getir notað allt sem í boði er á vefsíðunni og öruggum svæðum síðunnar. Þessar vafrakökur teljast nauðsynlegar og hefur Vörður lögmæta hagsmuni fyrir notkun þeirra og því þarf ekki að fá samþykki fyrir notkun.

Vafrakökur frá þriðja aðila

Vörður notar kökur í eigu þriðju aðila á vefsvæði Varðar. Kökur þriðja aðila gera það að verkum að þessir aðilar geta þekkt tækið þitt aftur þegar þú heimsækir vefsvæðið og önnur tæki. Vafrakökur frá þriðju aðilum gegna hlutverki fyrir Vörð þar sem Vörður notar þjónustu þessara aðila til að t.d. greina notkun vefsvæðisins, hegðun og gerð sérsniðna auglýsinga. Kökurnar hjálpa okkur að skilja betur hvernig vefsíðurnar eru notaðar og hversu áhrifaríkar markaðsherferðir okkar eru. Þær hjálpa okkur einnig að bæta upplifun notenda og sérsníða markaðsefni og auglýsingar að ákveðnum markhópum.

Sjá hér notkun þriðju aðila á vefkökum:

* Google Analytics

* Facebook Pixel

Vörður ber ekki ábyrgð á þeim upplýsingum sem fram koma á framangreindum vefsíðum. Vörður heldur utan um allar þær vefkökur sem við notum og upplýsingar um þær eru aðgengilegar þess sem það óskar.

Þín friðhelgi – hvernig er hægt að slökkva á vafrakökum?

Veitir þú samþykki fyrir vafrakökum getur þú alltaf eytt kökum í þínum vafra eða loka á köku og með því ert þú að afturkalla samþykki þitt fyrir notkun þeirra. Hér má finna leiðbeiningar um stillingu vafrakaka.