Almennt
Serrano hefur einsett sér að tryggja trúnað, áreiðanleika og tiltækileika persónuupplýsinga í hvívetna.
Í persónuverndarstefnu þessari er því lýst hvernig Serrano vinnur með persónuupplýsingar. Öll vinnsla Serrano á persónuupplýsingum fer fram á grundvelli laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“).
Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja til tiltekins einstaklings. Hér má nefna upplýsingar á borð við nafn, kennitölu, heimilisfang, símanúmer, netfang, myndefni, netauðkenni, samskipti, bílnúmer og fleira. Í 2. tl. 1. mgr. 3. gr. persónuverndarlaga er nánar tilgreint hvað fellur undir hugtakið „persónuupplýsingar“.
Með vinnslu á persónuupplýsingum er átt við aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar. Sem dæmi um vinnslu á persónuupplýsingum má nefna söfnun þeirra, skráningu, varðveislu, breytingu, miðlun, notkun, skoðun og fleira. Í 4. tl. 1. mgr. 3. gr. persónuverndarlaga er nánar tilgreint hvað fellur undir hugtakið „vinnsla“.

Ábyrgðaraðili
Ábyrgðaraðili við vinnslu persónuupplýsinga er sá aðili sem ákveður tilgang og aðferðir við vinnsluna. SÍ hf. sem á og rekur Serrano er ábyrgðaraðili á vinnslu persónuupplýsinga hjá fyrirtækinu.
Samskiptaupplýsingar Serrano:

Serrano (SÍ hf.)
Hlíðasmára 6, 201 Kópavogi
S: 519 6900
[email protected]

Frá hverjum safnar Serrano upplýsingum?
Serrano safnar í flestum tilvikum persónuupplýsingum frá þeim aðila sem persónuupplýsingarnar varða. Í ákveðnum tilvikum safnar Serrano persónuupplýsingum frá þriðja aðila og reynir þá eftir fremsta megni að upplýsa viðkomandi um það.

Hvaða upplýsingar vinnur Serrano og hvers vegna?

Pöntun
Á heimasíðu Serrano, www.serrano.is, geta einstaklingar pantað mat sem þeir sækja á valdan stað. Serrano er nauðsynlegt að vinna með persónuupplýsingar í þeim tilgangi að taka á móti pöntunum og veita þeim afgreiðslu. Við pöntun á mat á heimasíðunni vinnur Serrano eftirfarandi upplýsingar:
– Tengiliðaupplýsingar, svo sem nafn, símanúmer og netfang.
Heimild til vinnslu persónupplýsinga byggir á samningi, sbr. 2. tl. 1. mgr. 9. gr. persónuverndarlaga.

Vildarkort
Einstaklingar geta sótt um vildarkort hjá Serrano en vildarkortið veitir einstaklingum punkta í hvert sinn sem þeir versla hjá Serrano. Serrano er nauðsynlegt að vinna persónupplýsingar í þeim tilgangi að veita einstaklingum sem þess óska vildarkjör. Ákveði einstaklingar að sækja um vildarkort skrá þeir inn eftirfarandi upplýsingar:
– Tengiliðaupplýsingar, svo sem nafn og símanúmer.
Heimild til vinnslu persónuupplýsinga byggir á samþykki, sbr. 1. tl. 1. mgr. 9. gr. persónuverndarlaga.

Starfsumsóknir
Einstaklingar geta sótt um starf í gegnum heimasíðu Serrano. Serrano er nauðsynlegt að vinna persónuupplýsingar í þeim tilgangi að taka á móti umsókn um starf og meta hana með tilliti til þeirra starfa sem eru í boði hjá Serrano. Þegar einstaklingar sækja um starf vinnur Serrano eftirfarandi upplýsingar:
– Tengiliðaupplýsingar, svo sem nafn, kennitala, netfang og símanúmer.
– Skilaboð ef einstaklingar vilja koma einhverju á framfæri.
– Ferilskrá.
Heimild til vinnslu persónuupplýsinga þegar verður af ráðningu byggir á undanfara samnings, sbr. 2. tl. 1. mgr. 9. gr. persónuverndarlaga. Heimild til vinnslu persónuupplýsinga þegar ekki verður af ráðningu byggir á samþykki, sbr. 1. tl. 1. mgr. 9. gr. persónuverndarlaga.

Styrktarbeiðnir í gegnum heimasíðu
Einstaklingar geta sent inn styrktarbeiðnir í gegnum heimasíðu Serrano. Þegar einstaklingar sækja um styrk er Serrano nauðsynlegt að vinna persónuupplýsingar um þá í þeim tilgangi að taka á móti beiðni um styrk. Serrano vinnur með eftirfarandi upplýsingar um þá einstaklinga sem sækja um styrk:
– Tengiliðaupplýsingar, svo sem nafn, netfang og símanúmer.
– Skilaboð þar sem skráð er um hvað sótt er um.
Heimild til vinnslu persónuupplýsinga byggir á samþykki, sbr. 1. tl. 1. mgr. 9. gr. persónuverndarlaga.

Hafa samband í gegnum heimasíðu
Einstaklingar geta sent inn fyrirspurn í gegnum heimasíðu Serrano. Í þeim tilvikum er Serrano nauðsynlegt að vinna með persónuupplýsingar í þeim tilgangi að taka á móti fyrirspurnum og vinna úr þeim. Þegar einstaklingar senda inn fyrirspurn vinnur Serrano eftirfarandi upplýsingar:
– Tengiliðaupplýsingar, svo sem nafn og netfang.
– Skilaboð.
Heimild til vinnslu persónuupplýsinga byggir á samþykki, sbr. 1. tl. 1. mgr. 9. gr. persónuverndarlaga.

Tölvupóstsamskipti
Einstaklingar geta alla jafna sent Serrano tölvupóst ef þeir hafa spurningar í tengslum við starfsemi fyrirtækisins. Í þeim tilvikum er Serrano nauðsynlegt að vinna persónuupplýsingar í þeim tilgangi að eiga í tölvupóstasamskiptum og halda utan um þau. Þegar einstaklingar eiga í tölvupóstsamskiptum við Serrano vinnur fyrirtækið eftirfarandi upplýsingar:
– Tengiliðaupplýsingar, svo sem nafn og netfang.
– Samskipti.
Heimild til vinnslu persónuupplýsinga byggir á lögmætum hagsmunum, sbr. 6. tl. 1. mgr. 9. gr. persónuverndarlaga.

Skilaboð í gegnum Messenger
Serrano er með Facebook síðu í markaðssetningarskyni og geta einstaklingar sent fyrirspurn í gegnum Messenger. Í þeim tilvikum er Serrano nauðsynlegt að vinna með upplýsingar í þeim tilgangi að taka á móti fyrirspurnum og vinna úr þeim. Þegar einstaklingar senda Serrano skilaboð í gegnum Messenger vinnur fyrirtækið eftirfarandi upplýsingar:
– Notendanafn.
– Mynd (þegar mynd fylgir notendanafni).
– Skilaboð.
Heimild til vinnslu persónuupplýsinga byggir alla jafna á samþykki, sbr. 1. tl. 1. mgr. 9. gr. persónuverndarlaga.

Eftirlitsmyndavélar
Á starfsstöðvum Serrano er að finna eftirlitsmyndavélar sem taka upp myndefni í öryggis- og eignavörsluskyni. Í þeim tilvikum er Serrano nauðsynlegt að vinna eftirfarandi upplýsingar:
– Myndefni.
Heimild til vinnslu persónuupplýsinga byggir á lögmætum hagsmunum, sbr. 6. tl. 1. mgr. 9. gr. persónuverndarlaga.

Miðlun persónuupplýsinga til þriðja aðila
Serrano notast við rafrænar lausnir frá þriðja aðila sem auðvelda að halda utan um og miðla upplýsingum. Eigendur lausnanna kunna að hafa aðgang að persónuupplýsingum. Serrano gerir þá ávallt vinnslusamning við viðkomandi þjónustuaðila í samræmi við persónuverndarlög. Slíkur samningur kveður meðal annars á um skyldu hans til að gæta fyllsta trúnaðar, tryggja öryggi og fara eingöngu með persónuupplýsingar í samræmi við fyrirmæli Serrano.
Í ákveðnum tilfellum kann Serrano að vera skylt samkvæmt lögum að deila persónuupplýsingum með þriðja aðila sem ekki er bundinn fyrirmælum Serrano um meðferð þeirra. Rétt er þó að taka fram að þeim aðilum er þó ávallt skylt að haga meðferð þeirra í samræmi við persónuverndarlög.

Varðveislutími persónuupplýsinga
Serrano geymir persónuupplýsingar í þann tíma sem nauðsynlegt er fyrir fyrirtækið að hafa þær undir höndum. Þegar ekki er þörf fyrir Serrano að hafa persónuupplýsingar lengur undir höndum eyðir fyrirtækið þeim með öruggum hætti.

Réttindi þín
Þú nýtur ákveðinna réttinda samkvæmt persónuverndarlögum. Ef þú vilt neyta þessara réttinda þinna máttu hafa samband við okkur í gegnum netfangið [email protected]. Við höfum einn mánuð til að svara erindi þínu en getum framlengt frestinn um tvo mánuði ef beiðnin er sérstaklega umfangsmikil. Rétt er að taka fram að réttindi þín eru ekki fortakslaus og kunna að vera háð ákveðnum skilyrðum. Hér er að finna yfirlit yfir helstu réttindi þín:
Réttur til aðgangs. Þú átt rétt á að óska eftir aðgangi að þínum gögnum og fá afrit af þínum persónuupplýsingum.
Réttur til leiðréttingar. Þú átt rétt á að fá upplýsingar um þig sem eru rangar og ónákvæmar leiðréttar.
Réttur til eyðingar. Í ákveðnum tilfellum getur þú átt rétt á að þínum persónuupplýsingum sé eytt. Þetta á einkum við í þeim tilfellum þar sem upplýsingar eru ekki lengur nauðsynlegar, þú hefur andmælt vinnslunni, vinnslan reynist ólögmæt, eða ef vinnslan byggir á samþykki sem þú hefur afturkallað.
Réttur til að andmæla vinnslu. Byggi vinnsla á persónuupplýsingum á lögmætum hagsmunum, og þú telur að hún brjóti gegn grundvallarréttindum þínum, þá getur þú andmælt vinnslunni. Við hættum þá vinnslunni nema við sýnum fram á ríkari hagsmuni af því að halda henni áfram.
Réttur til takmörkunar á vinnslu. Í eftirfarandi tilfellum átt þú rétt á að við stöðvum vinnslu persónuupplýsinga:
• Ef þú véfengir að persónuupplýsingar séu réttar (þar til við getum staðfest að þær séu réttar).
• Vinnslan er ólögmæt, en þú vilt ekki að persónuupplýsingunum sé eytt.
• Við þurfum ekki lengur á upplýsingunum að halda en þú þarfnast þeirra til að hafa uppi, stofna eða verja réttarkröfu.
• Þú hefur andmælt vinnslunni og við höfum ekki bent á ríkari hagsmuni af því að halda henni áfram.
Réttur til að afturkalla samþykki. Í þeim tilfellum þar sem við byggjum vinnslu á samþykki þínu er þér ávallt heimilt að afturkalla slíkt samþykki. Afturköllun á samþykki þýðir þó ekki að vinnslan sem fór fram áður en samþykki var afturkallað sé ólögmæt.
Réttur til að leggja fram kvörtun hjá Persónuvernd. Teljir þú að ekki sé farið með persónuupplýsingar þínar í samræmi við persónuverndarlög átt þú ávallt rétt á að leggja fram kvörtun hjá Persónuvernd (www.personuvernd.is).

Öryggi persónuupplýsinga
Serrano hefur gripið til tæknilegra og skipulagslegra öryggisráðstafana í því skyni að tryggja viðunandi öryggi persónuupplýsinga. Aðgangsstýringar eru að kerfum og húsnæði fyrirtækisins. Öryggisráðstöfunum þessum er ætlað að vernda persónuupplýsingar gegn því að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi.

Endurskoðun
Persónuverndarstefna þessi getur frá einum tíma til annars tekið breytingum í samræmi við breytingar sem verða á viðeigandi lögum og reglugerðum eða ef breytingar verða á því hvernig Serrano vinnur með persónuupplýsingar. Þegar persónuverndarstefna hefur tekið breytingum er hún birt inni á heimasíðu fyrirtækisins, www.serrano.is.