Persónuverndarstefna Payday

Síðast uppfært: 12. júlí 2018

Persónuverndarstefna Payday ehf., kt. 520417-2570, með lögheimili að Kringlunni 1, 103 Reykjavík (hér eftir „Payday“ eða „við“).

Payday leggur ríka áherslu á að vernda persónuupplýsingar einstaklinga og virða réttindi þeirra. Í stefnu þessari eru veittar upplýsingar um það hvernig Payday vinnur með persónuupplýsingar, í hvaða tilgangi, hversu lengi þær eru varðveittar, miðlun þeirra og hvernig öryggi þeirra er gætt í starfsemi Payday. Öll vinnsla persónuupplýsinga fer fram í samræmi við gildandi persónuverndarlög á hverjum tíma.

Þjónusta okkar er ekki ætluð börnum undir 18 ára aldri. Við vinnum ekki með persónuupplýsingar barna undir 18 ára aldri. Hafir þú ekki náð 18 ára aldri, vinsamlega notaðu þá ekki vefsíðu okkar án leyfis og eftirlits forráðamanns þíns.

Í þessari persónuverndarstefnu Payday útskýrum við:

  • Hvaða upplýsingum við söfnum og hvernig
  • Hvernig við notum upplýsingarnar
  • Hversu lengi eru upplýsingarnar varðveittar
  • Hver hefur aðgang að upplýsingunum
  • Hvernig við tryggjum öryggi persónuupplýsinga
  • Réttindi notenda í tengslum við vinnslu persónuupplýsinga

Ef eitthvað er óljóst getur þú hvenær sem er haft samband við okkur með því að senda tölvupóst á dpo@payday.is

1. Hvaða upplýsingum söfnum við og hvernig

  • Söfnun og vinnsla persónuupplýsinga er forsenda þess að Payday geti veitt sína þjónustu. Upplýsingar sem Payday vinnur flokkast jafnan sem almennar persónuupplýsingar, einu viðkvæmu persónuupplýsingarnar sem Payday safnar um notendur sína, skv. persónuverndarlögum, eru upplýsingar um stéttarfélagsaðild notanda þegar það á við.
  • Þegar notandi skráir sig í þjónustu Payday afhendir hann Payday með beinum hætti persónuupplýsingar sem sanna deili á honum, s.s. nafn, netfang og símanúmer. Samkvæmt persónuverndarlögum telst Payday ábyrgðaraðili þessara upplýsinga.
  • Notandi lætur af hendi þær upplýsingar sem þörf er á svo Payday sé unnt að veita þá þjónustu sem viðskiptasambandið nær til. Upplýsingarnar eru t.d. nafn, kennitala, heimilisfang, netfang og bankareikningur. Þeir notendur sem kjósa að nýta sér launaþjónustu Payday veita að auki m.a. upplýsingar um laun, lífeyrissjóðsaðild, stéttarfélagsaðild, persónuafslátt og vinnuhlutfall. Samkvæmt persónuverndarlögum telst Payday vinnsluaðili þessara upplýsinga.
  • Notandi lætur jafnframt af hendi persónuupplýsingar með óbeinum hætti, t.d. um IP-tölu, hvernig hann auðkennir sig og hvenær hann heimsækir vefsíður Payday þar sem vefkökur eru notaðar og aðgerðaskráning fer fram. Nánari upplýsingar um vefkökur má lesa á vefsíðu Payday. Upplýsingarnar eru varðveittar í þágu rekjanleika og öryggismála.
  • Payday tekur eingöngu við persónuupplýsingum frá þriðja aðila, m.a. fyrirtækjum eða stofnunum sem búa yfir persónuupplýsingum um einstakling, þegar fyrrnefndir aðilar hafa heimild til að afhenda Payday upplýsingarnar. Dæmi um aðila sem afhenda Payday upplýsingar um einstaklinga eru Þjóðskrá Íslands og ríkisskattstjóri.
  • Payday áskilur sér rétt að vinna með tölfræðilegar upplýsingar sem safnast saman vegna notkunar á þjónustunni, til áframhaldandi vöruþróunar og/eða til þess að bæta virkni þjónustunnar.

2. Hvernig notum við upplýsingarnar

  • Payday notar upplýsingarnar sem safnað er til að veita notendum þjónustu sína, einkum til að gera notendum kleift að stofna aðgang að Payday og nota Payday með réttum hætti m.a. til að standa skil á launatengdum gjöldum, útgáfu reikninga og greiðslu opinberra gjalda, til dæmis vegna framkvæmdar samnings eða til þess að uppfylla lagareglur sem gilda um þjónustuna eða vinnsluna, sbr. reglugerð um rafræna reikninga og bókhaldslög.
  • Payday notar upplýsingar sem safnað er með vafrakökum til að bæta viðmót og almenn gæði þjónustu sinnar. Í þessum tilgangi notar Payday ýmsa þjónustu þriðju aðila, svo sem Google Analytics.
  • Frekari upplýsingar um þjónustu Payday er að finna í viðskiptaskilmálum Payday.

3. Hversu lengi eru upplýsingarnar varðveittar

  • Gögn eru geymd eins lengi og nauðsynlegt er miðað við tilgang vinnslu, nema þegar lög og reglur kveða á um lengri geymslutíma sbr. reglugerð um rafræna reikninga og bókhaldslög.
  • Ákveðir þú t.d. að eyða aðgangi þínum í kerfi Payday munum við geyma persónuupplýsingar þínar í 30 daga til viðbótar vegna þess möguleika að þú ákveðir að endurstofna aðganginn, en að þeim tíma liðnum eyðum við persónuupplýsingum þínum.

4. Hver hefur aðgang að upplýsingunum

  • Payday leggur mikla áherslu á vernd persónuupplýsinga og mun aldrei selja þriðja aðila persónuupplýsingar þínar. Við miðlum persónuupplýsingum aðeins til þriðja aðila í þeim tilgangi að veita þjónustuna sem Payday byggir á.
  • Að því marki sem nauðsynlegt er til að framfylgja samningsskyldum okkar við þig, hafa starfsmenn Payday aðgang að persónuupplýsingum. Auk þess hafa þjónustuaðilar Payday, sem vinna persónuupplýsingar í okkar þágu, aðgang að persónuupplýsingum. Það eru einkum fyrirtæki sem veita upplýsingatækniþjónustu, ríkisskattstjóri, lífeyrissjóðir, stéttarfélög og viðskiptabankar. Auk þess ber Payday skylda til að veita opinberum aðilum aðgang að persónuupplýsingum á grundvelli lagaskyldu, s.s. skattayfirvöldum, eftirlitsaðilum, lögregluyfirvöldum, skiptastjórum og dómstólum.

5. Hvernig tryggjum við öryggi persónuupplýsinga

  • Payday leggur ríka áherslu á öryggi við vinnslu persónuupplýsinga. Payday stuðlar að virkri öryggisvitund starfsmanna, þjónustu- og samstarfsaðila og viðskiptavina. Þagnarskylda hvílir á öllum starfsmönnum Payday sem undirritað hafa trúnaðaryfirlýsingu þess efnis.
  • Ráðstafanir Payday til að tryggja öryggi eru fólgnar í:
    • innleiðingu tæknilegra og skipulagslegra ráðstafana sem ætlað er að tryggja viðvarandi trúnað, uppitíma, rekstraröryggi og álagsþol vinnslukerfa og þjónustu
    • stýringu aðgengis einstaklinga að starfstöð okkar og öryggisvörslu
    • stýringu aðgengis starfsmanna og annarra að kerfum sem hafa að geyma persónu­upplýsingar
    • að tryggja að þjónustuaðilar okkar sem hafa aðgang að persónuupplýsingum notenda, hafi gert viðeigandi verndarráðstafanir til að tryggja öryggi persónuupplýsinga
    • dulkóðun persónuupplýsinga notenda
  • Komi upp öryggisbrestur við meðferð persónuupplýsinga þar sem staðfest er eða grunur leikur á um að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Persónuvernd og eftir atvikum einstaklingum tilkynnt um öryggisbrest nema hann hafi ekki í för með sér mikla áhættu fyrir einstaklinga.

6. Þjónusta þriðju aðila

  • Við kunnum að veita samstarfsaðilum okkar aðgang að persónuupplýsingum þínum og öðrum upplýsingum um þig í þeim tilgangi að auka gæði og skilvirkni í tengslum við okkar þjónustu. Við deilum upplýsingum um notkun þína á kerfi Payday með þriðju aðilum sem veita okkur þjónustu í tengslum við kynningar- og markaðsþjónustu.
  • Ef við flytjum persónuupplýsingar þínar til þriðju aðila gerum við það ávallt á grundvelli fullnægjandi samnings við viðkomandi aðila til að geta haft eftirlit með meðhöndlun þeirra á persónuupplýsingum þínum.
  • Við notum eftirfarandi þjónustu þriðju aðila:
    • Microsoft Azure: Þessi þjónustuaðili hýsir þjónustur og gagnagrunna Payday. Microsoft uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.
    • MailChimp: Mailchimp er tól sem gerir okkur kleift að senda þér fréttabréf um þjónustu okkar. Mailchimp uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.
    • Groove: Er samskiptaþjónusta sem gerir okkur kleift að eiga samskipti við þig með þægilegum hætti ef þú hefur áhuga á að fá meiri upplýsingar um Payday, eða vanti þig aðstoð varðandi þjónustuna. Groove uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.
    • SendGrid: Þessi þjónustuaðili gerir okkur kleift að senda þér mikilvægan tölvupóst í tengslum við að veita þjónustu okkar. Þessi þjónusta er notuð til að ljúka skráningu í kerfi Payday með því að staðfesta netfang, senda beiðni um nýtt lykilorð, reikninga, greiðslur o.fl. Sendgrid uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.
    • ConvertFox: Þessi þjónustuaðili býr til spjallglugga í Payday sem þú getur notað til að biðja okkur um aðstoð ef þig vanhagar um eitthvað. ConvertFox uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.
    • Google Analytics: Þessi þjónustuaðili gerir okkur kleift að greina hegðun þeirra sem fara inn á vefsíðu okkar og viðskiptavina okkar í kerfi Payday. Google Analytics uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.
    • Google Ads: Þessi þjónusta gerir okkur kleift að birta textaauglýsingar og vefborða í leitar- og birtingakerfi Google eftir virkni notenda á vefsíðunni okkar. Google Ads uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.
    • Facebook Analytics: Með svipuðum hætti og Google Analytics gerir þessi þjónustuaðili okkur kleift að greina hegðun þeirra sem fara inn á vefsíðu okkar og viðskiptavina okkar í kerfi Payday. Nánari upplýsingar um Facebook Analytics má finna á upplýsingasíðu Facebook Analytics.
    • Facebook Pixel: Þessi þjónustu gerir okkur kleift að birta auglýsingar á Facebook eftir virkni notenda á vefsíðunni okkar. Nánari upplýsingar um Pixel má finna á upplýsingasíðu Pixel.
    • Facebook Ads: Þessi þjónusta gerir okkur kleift að birta auglýsingar á samfélagsmiðlinum Facebook og í forritum samstarfsaðila Facebook (s.s. Messenger eða Instagram). Nánari upplýsingar um hvernig Facebook Ads virkar er að finna á upplýsingasíðu Facebook Ads.

7. Réttindi þín

  • Einstaklingur á rétt á að fara fram á að fá aðgang að persónuupplýsingum sínum og við ákveðnar aðstæður að láta leiðrétta þær, eyða þeim eða takmarka vinnslu þeirra. Einnig á hann rétt á að andmæla vinnslu og fara fram á að gögn hans séu flutt. Þá hefur einstaklingur rétt á að leggja fram kvörtun til Persónuverndar.
  • Þú hefur eftirfarandi réttindi í tengslum við vinnslu persónuupplýsinga þinna:
    • réttinn til aðgangs að persónuupplýsingum
    • réttinn til lagfæringar
    • réttinn til að eyða gögnum („réttinn til að gleymast“)
    • réttinn til að takmarka vinnslu
    • réttinn til að andmæla vinnslu („andmælaréttur“)
    • réttinn til að leggja fram kvörtun um vinnslu persónuupplýsinga
  • Rétturinn til aðgangs merkir að þú getur hvenær sem er beðið okkur um að staðfesta hvort unnið sé með persónuupplýsingar þínar. Ef svo er áttu rétt til aðgangs að öllum upplýsingum það að lútandi og að upplýsingum um í hvaða tilgangi, að hvaða marki og hverjum þær eru gerðar aðgengilegar, hve lengi við munum vinna með þær, hvort þú átt rétt á að þær verði lagfærðar, þeim eytt, vinnsla þeirra verði takmörkuð eða andmæla vinnslunni, þá áttu jafnframt rétt á að vita hvar við fengum persónuupplýsingarnar
  • Rétturinn til lagfæringar merkir að þú getur hvenær sem er beðið okkur að lagfæra eða bæta við persónuupplýsingar þínar, séu þær rangar eða ófullgerðar.
  • Rétturinn til að eyða gögnum merkir að við verðum að eyða persónuupplýsingum þínum ef
    • ekki er lengur nauðsynlegt að geyma þær í þeim tilgangi sem þeirra var aflað í eða með þær unnið
    • vinnslan er ólögmæt
    • þú andmælir vinnslunni og ekki eru fyrir hendi lögmætar ástæður fyrir vinnslunni sem ganga framar rétti þínum
    • okkur ber það samkvæmt lagaskyldu
    • þú hefur afturkallað samþykki þitt fyrir vinnslu okkar á persónuupplýsingum þínum
  • Rétturinn til að takmarka vinnslu merkir að þar til niðurstaða fæst um álitamál í tengslum við vinnslu persónuupplýsinga þinna verðum við að takmarka vinnslu þeirra.
  • Rétturinn til að andmæla merkir að þér er heimilt að andmæla vinnslu persónuupplýsinga þinna sem við vinnum með í tilgangi sem lögmætir hagsmunir okkar standa til, einkum til beinnar markaðssetningar. Ef þú andmælir vinnslu til beinnar markaðssetningar verður ekki lengur unnið með persónuupplýsingar þínar í þeim tilgangi.
  • Þú getur nýtt þér öll réttindi þín með því að hafa samband við okkur á netfangið dpo@payday.is, sbr. gr. 8 í þessum skilmálum.

8. Samskipti við Payday og Persónuvernd

  • Payday ehf., Kringlunni 1, 103 Reykjavík, kt. 520417-2570 er ábyrgðaraðili eða vinnsluaðili, eftir atvikum, persónuupplýsinga notenda samkvæmt lögum um persónuvernd.
  • Persónuverndarfulltrúi Payday hefur eftirlit með því að farið sé að gildandi lögum og reglum um persónuvernd í starfsemi Payday. Fyrirspurnum, athugasemdum og ábendingum sem varða persónuupplýsingar og persónuvernd er unnt að beina á netfangið dpo@payday.is eða með því að senda bréfpóst til:

    Persónuverndarfulltrúi Payday
    Kringlunni 1
    103 Reykjavík
    Ísland
  • Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið: postur@personuvernd.is eða með því að senda bréfpóst til:

    Persónuvernd
    Rauðarárstígur 10
    105 Reykjavík
    Ísland

9. Breytingar

  • Payday er heimilt að breyta þessari persónuverndarstefnu og bæta við hana hvenær sem er og taka slíkar breytingar gildi án fyrirvara. Slíkar breytingar kunna t.d. að vera gerðar til að samræma persónuverndarstefnuna við gildandi lög og reglur er varða persónuvernd hverju sinni. Breytingar á stefnunni öðlast gildi við birtingu uppfærðrar stefnu á vefsíðu Payday, payday.is.