Persónuverndarstefna

Persónuverndarstefna Stjörnunnar ehf.

Þessi persónuverndarstefna tekur til meðferðar Stjörnunnar ehf., Suðurlandsbraut 46, 108 Reykjavík (hér eftir „Subway“, „félagið“ eða „við“) á persónuupplýsingum um viðskiptavini sína. Í henni er kveðið á um hvernig persónuupplýsingar sem varða einstaklinga eru unnar og varðveittar, í hvaða tilgangi og hvernig þeim er miðlað og öryggis þeirra gætt.  

Subway er ábyrgðaraðili að vinnslu persónuupplýsinga sem fer fram hjá félaginu. Netfang okkar er subway@subway.is.  

Við vinnum allar persónuupplýsingar í samræmi við gildandi persónuverndarlöggjöf á hverjum tíma, sbr. lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin). Hægt er að fræðast nánar um persónuverndarlögin á heimasíðu Persónuverndar.  

Persónuupplýsingar eru upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Sá telst persónugreinanlegur sem tengja má upplýsingar við, svo sem með tilvísun í nafn, kennitölu, netauðkenni eða einn eða fleiri þætti sem teljast til einkenna og aðgreina hann frá öðrum. Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar. Við leggjum í öllum tilvikum áherslu á að persónuupplýsingarnar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. 

Hver er tilgangur og heimild til vinnslu persónuupplýsinganna? 

Við söfnum og geymum persónuupplýsingar um viðskiptavini okkar m.a. í eftirfarandi tilgangi: 

  1. Við söfnum upplýsingum beint frá viðkomandi einstaklingi til að framkvæma pantanir á sölusíðu á vefsíðu okkar, svo sem nafni, tengiliðaupplýsingum og greiðsluupplýsingum.  
  2. Við söfnum upplýsingum um þjónustusögu viðskipavina sem panta á vefsíðunni okkar.  
  3. Við söfnum upplýsingum úr eftirlitsmyndavélum og geymum þær í 30 daga í öryggis- og eignavörsluskyni. 
  4. Við notum sjálfvirka upplýsingasöfnun í tengslum við notkun á vefsíðu okkar. Við söfnum upplýsingum með því að nota vefkökur, veflogga og svipaða tækni en þetta eru ópersónugreinanlegar upplýsingar um það hvernig viðskiptavinir nota vefsíðu félagsins. Þetta gerir okkur kleift að hanna vefsíðuna þannig að hún nýtist viðskiptavinum sem best og birta auglýsingar til notenda sem hafa heimsótt vefinn. Þú getur alltaf lokað fyrir vafra kökur í stillingum vafrans sem þú notar.   
  5. Við söfnum upplýsingum um póstnetföng einstaklinga í gegnum póstlistann á vefsíðunni okkar. Póstlistinn er notaður í markaðssetningu t.d. með auglýsingu á tilboðum eða tilboðsmiðum. 

Oftast eru upplýsingarnar unnar á grundvelli eftirfarandi heimilda: 

  1. Þegar það er nauðsynlegt vegna lögmætra hagsmuna félagsins. 
  2. Þegar það er nauðsynlegt til að efna samning milli félagsins og einstaklings. 
  3. Þegar það er nauðsynlegt vegna lagaskyldu sem hvílir á félaginu. 
  4. Þegar einstaklingur hefur samþykkt að félagið noti upplýsingarnar. 

Við munum einungis nota persónuupplýsingar í þeim tilgangi sem lá að baki söfnun þeirra. 

Miðlun til þriðju aðila 

Við munum ekki selja persónuupplýsingar um viðskiptavini né miðla þeim til þriðja aðila án þess að samþykki viðskiptavinar fyrir miðluninni liggi fyrir, nema þar sem Subway er það skylt samkvæmt lögum eða í þeim tilvikum sem talin eru upp í stefnu þessari. 

Subway er heimilt að miðla persónuupplýsingum til þriðja aðila (vinnsluaðila) sem er þjónustuveitandi, umboðsmaður eða verktaki Subway, í þeim tilgangi að ljúka verkefnum fyrir viðskiptavin eða veita viðskiptavini þjónustu eða vöru sem hann hefur beðið um eða samþykkt. Okkur er einnig heimilt að deila upplýsingum með vinnsluaðilum þegar það er nauðsynlegt til að vernda lögmæta hagsmuni, t.d. við innheimtu á vanskilakröfu eða í öryggis- og eignavörsluskyni. Subway deilir einnig upplýsingum, í tölfræðilegum tilgangi, með vinnsluaðilum sem vinna með félaginu við gæða- og markaðsstarf. Subway afhendir vinnsluaðilum einungis þær persónuupplýsingar sem eru nauðsynlegar fyrir vinnsluaðila í framangreindum tilgangi og gerir félagið þá samning þar sem þeir undirgangast skyldu um að halda upplýsingum um viðskiptavini öruggum og nota þær einungis í framangreindum tilgangi. 

Við munum ekki flytja persónuupplýsingar til þriðju ríkja utan Evrópska Efnahagssvæðisins („EES“) nema tryggt sé að upplýsingarnar njóti sambærilegrar verndar og innan EES eða samkvæmt sérstöku samþykki hverju sinni. Sé nauðsynlegt að flytja upplýsingar til þriðju ríkja utan EES þá flytjum við þær aðeins ef fullnægjandi ráðstafanir hafa verið gerðar í því skyni til samræmis við persónuverndarlöggjöf, svo sem með því að nota staðlað samningsform sem hefur verið samþykkt af framkvæmdastjórn ESB eða með öðrum fullnægjandi hætti. 

Öryggi og vernd persónuupplýsinga 

Við leggjum mikla áherslu á að tryggja öryggi og vernda persónuupplýsingar viðskiptavina okkar. Til að tryggja öryggi upplýsinga eru þær varðveittar á tryggum stað með aðgangsstýringu.  

Við munum tilkynna viðskiptavinum án ótilhlýðilegrar tafar ef það kemur upp öryggisbrot er varðar persónuupplýsingarnar þeirra, sem hefur í för með sér mikla áhættu fyrir þá. Með öryggisbroti í framangreindum skilningi er átt við brot á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. 

Athygli viðskiptavina er þó vakin á því að viðskiptavinur ber ábyrgð á persónuupplýsingum, t.d. nafni, kennitölu og mynd, sem viðskiptavinur kýs að deila á almennum vettvangi, t.d. í gegnum Facebook síðu Subway. 

Geymslutími gagna 

Við reynum eftir fremsta megni að halda persónuupplýsingum um viðskiptavini nákvæmum og áreiðanlegum og uppfæra þær eftir þörfum. Við varðveitum persónuupplýsingar um viðskiptavini í þann tíma sem telst nauðsynlegur nema lengri geymslutíma sé krafist eða hann leyfður samkvæmt lögum. Við munum yfirfara og endurskoða verkferla okkar varðandi varðveislu á persónuupplýsingum um viðskiptavini að jafnaði einu sinni á ári m.a. með tilliti til varðveislutíma þeirra. Ef við ákveðum að okkur sé ekki heimilt að vinna með þær áfram, munum við hætta allri vinnslu með persónuupplýsingarnar frá þeim tíma. Ef möguleiki er á að persónuupplýsinganna kunni að vera þörf síðar til að uppfylla lagaskyldur, t.d. gagnvart skattyfirvöldum, eða til að höfða eða verjast réttarkröfu, munum við taka afrit af hlutaðeigandi persónuupplýsingum og varðveita þær á öruggu formi eins lengi og nauðsyn ber til. 

Upplýsingar um starfsmenn og umsækjendur um störf 

Starfsmenn 

Subway vinnur með persónuupplýsingar um starfsmenn sína til að geta greitt þeim laun fyrir störf sín. Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun, s.s. tengiliðaupplýsingar, launaflokkur, tímaskráningar, skattþrep, stéttarfélagsaðild, bankaupplýsingar og lífeyrissjóðsupplýsingar. Einnig geta aðgerðir starfsmanna í tölvukerfum verið skráðar í aðgerðaskrá. Aðrar upplýsingar eru tengdar starfslýsingu starfsmanns. 

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að efna samning sem hinn skráði er aðili að. Heimilt er að vinna upplýsingar um stéttarfélagsaðild á grundvelli samþykkis starfsmanns. Öllum starfsmönnum er frjálst að gefa upp hvort, og þá í hvaða stéttarfélag, þeir eru skráðir og hefur það engin áhrif á ráðningar í störf hjá Subway. 

Umsækjendur um störf 

Subway vinnur með persónuupplýsingar um menn þegar þeir sækja um starf hjá stofnuninni. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna, s.s. tengiliðaupplýsingar, ferilskrá, kynningarbréf, upplýsingar um menntun, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur. 

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. 

Réttindi viðskiptavina 

Viðskiptavinir eiga rétt á og geta óskað eftir eftirfarandi upplýsingum og aðgerðum með því að senda skriflega fyrirspurn á subway@subway.is. 

  1. Upplýsingar um hvaða persónuupplýsingar eru skráðar um sig, hvernig þær eru tilkomnar og unnar, auk þess að fá aðgang að þeim. 
  2. Að persónuupplýsingar um sig séu uppfærðar og leiðréttar. 
  3. Að persónuupplýsingum um sig sé eytt, ef ekki er lengur málefnaleg ástæða til að varðveita þær. 
  4. Að andmæla og/eða takmarka hvernig persónuupplýsingar eru unnar. 
  5. Að afturkalla samþykki sitt til vinnslu þegar vinnsla byggist á þeirri heimild, með sama hætti og viðskiptavinur gaf það og/eða með því að senda á okkur skriflegt erindi á subway@subway.is. 

Viðskiptavinur getur lagt fram kvörtun til Persónuverndar sem fer með eftirlitshlutverk á sviði persónuverndar, sjá heimasíðu stofnunarinnar: http://www.personuvernd.is/.  

Spurningar og aðstoð 

Hægt er að hafa samband við okkur með málefni er varða meðferð persónuupplýsinga með því að senda skriflega fyrirspurn á subway@subway.is.og/eða með því að hringja í 530-7000. 

Breytingar á þessari persónuverndarstefnu 

Við kunnum að breyta þessari persónuverndarstefnu vegna breyttrar löggjafar eða breytinga við meðferð persónuupplýsinga hjá félaginu. Breytingar á stefnunni taka gildi um leið og hún verður gerð aðgengileg á vefsíðu Subway. 

Þessi persónuverndarstefna var samþykkt 13.05.2024