Persónuverndaryfirlýsing
1. Almennt
Urðarapótek leggur mikla áherslu á að meðferð persónuupplýsinga sé ávallt í samræmi við gildandi persónuverndarlöggjöf. Í þessari tilkynningu má sjá hvaða persónuupplýsingum fyrirtækið safnar um einstaklinga vegna starfsemi sinnar og í hvaða tilgangi. Þá má hér finna upplýsingar um aðra viðtakendur upplýsinganna og hvað við geymum þær lengi. Auk þess má hér finna upplýsingar um á hvaða grundvelli við söfnum persónuupplýsingum, hvaða réttinda einstaklingar njóta og fleiri mikilvægar upplýsingar sem tengjast lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
2. Hvað eru persónuupplýsingar og vinnsla persónuupplýsinga?
Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira.
Með viðkvæmum persónuupplýsingum er átt við persónuupplýsingar sem njóta sérstakrar verndar samkvæmt persónuverndarlögum s.s. upplýsingar um þjóðernisuppruna eða kynþátt, stjórnmála- og trúarskoðanir, stéttarfélagsaðild, erfðagögn, heilsu, kynlíf eða kynhneigð.
Með vinnslu persónuupplýsinga er átt við alla meðferð og notkun persónuupplýsinga svo sem söfnun, skráningu, varðveislu, breytingu eða eyðingu.
3. Hvernig vinnur fyrirtækið persónuupplýsingar?
Hjá okkur fer vinnsla persónuupplýsinga fram á lögmætum grundvelli og í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Fyrirtækið gætir jafnframt að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar.
Við gætum að því að farið sé að eftirfarandi meginreglum:
- Að persónuupplýsingar séu unnar með sanngjörnum hætti.
- Að persónuupplýsingum sé einungin safnað í skýrum tilgangi.
- Að ekki sé safnað meiri mersónuupplýsingum en nauðsynlegt er.
- Að persónuupplýsingar séu nákvæmar og uppfærðar þegar þörf krefur.
- Að persónuupplýsingar séu ekki geymdar lengur en þörf er á.
- Að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.
4. Sjálfvirk ákvarðanataka
Sjálfvirk ákvarðanataka er það ferli þegar tekin er ákvörðun með sjálfvirkum hætti án nokkurrar mannlegrar aðkomu. Slíkar ákvarðanir geta verið byggðar á persónusniðum, þ.e. þegar persónuupplýsingar eru notaðar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, o.fl. Dæmi um sjálfvirka ákvarðanatöku væri ef ákvörðun um lánveitingu í gegnum vefsíðu byggði eingöngu á lánshæfismati.
Hjá Urðarapóteki fer ekki fram sjálfvirk ákvarðanataka við vinnslu persónuupplýsinga.
5. Um hverja safnar Urðarapótek persónuuplýsingum?
Í starfsemi okkar er nauðsynlegt að safna og vinna með persónuupplýsingar um mismunandi hópa einstaklinga. Þær persónuupplýsingar sem fyrirtækið hefur undir höndum eru um starfsmenn þess, viðskiptavini, tengiliði viðskiptavina, viðsemjendur og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.
6. Hvaða persónuupplýsingum safnar Urðarapótek um þig?
Við meðhöndlum ólíkar persónuupplýsingar um mismunandi hópa einstaklinga eftir því hvaða starfsemi fyrirtækisins er um að ræða. Undir öllum kringumstæðum leitast Urðarapótek við að safna einungis þeim persónuupplýsingum sem nauðsynlegar eru með hliðsjón af tilgangi vinnslunnar.
Við söfnum og vinnum með eftirfarandi flokka persónuupplýsinga um umsækjendur, fyrrverandi og núverandi starfsfólk:
- grunnupplýsingar (nafn, heimilisfang, netfang o.fl.)
- auðkennisupplýsingar (t.d. nafn og undirskrift)
- stéttarfélagsaðild
- bankaupplýsingar
- skattaupplýsingar
- upplýsingar
- úr starfsumsókn
- úr ráðningarsamningi
- úr tímaskráningu
- um launagreiðslur
- um heilsufar
- úr tölvupóstssamskiptum
- um orlof
- um meðalgreiðslur
- úr frammistöðukönnunum
- úr starfsmannasamtölum
Við söfnum og vinnum með eftirfarandi flokka persónuupplýsinga um viðskiptavini (B2B) og tengiliði viðskiptavina (B2C) sinna:
6.1 Viðskiptamannaskrá
Í þeim tilgangi að halda skrá yfir viðskiptavini og til að halda utan um viðskiptasögu safnar Urðarapótek tengiliðaupplýsingum og lyfjasögu viðskiptavina.
6.2 Tölvupóstsamskipti
Þær upplýsingar sem við söfnum þegar kemur að tölvupóstsamskiptum við viðskiptavini, tengiliði viðskiptavina og aðra eru tengiliðaupplýsingar og samskiptin sjálf.
6.3 Reikningagerð
í þeim tilgangi að senda út reikninga og innheimta greiðslur fyrir vörur söfnum við grunnupplýsingum og upplýsingum um kaupin sjálf ásamt reikningsupphæð.
6.4 Lyfjaafgreiðsla
Til að uppfylla lagskyldu um afhendingu lyfja skráum við kennitölu þess einstaklings sem fær lyfið afhent ásamt því söfnum við grunnupplýsingum um viðskiptavin, notkunarfyrirmæli og ástæðu lyfjatöku.
6.5 Eftirritunarskrá
Til að uppfylla lagaskyldu um eftirritunarskrá söfnum við upplýsingum af lyfseðli og um afgreiðslu lyfs og kvittun starfsmanns fyrir skráningu.
6.6 Lyfjaskömmtun
Til að veita þjónustu vegna lyfjaskömmtunar söfnum við grunnupplýsingum um viðskiptavini, upplýsingum um lyfin, notkunarfyrirmæli og ástæðu lyfjatöku.
6.7 Heimsendingarþjónusta
Við afgreiðslu lyfja með heimsendingum skráum við grunnupplýsingar viðskiptavina og staðfestingu á móttöku sendingar.
6.8 Beiðni um afgreiðslu á vefsíðu
Til að verða við beiðni um afgreiðslu á vefsíðu okkar skráum við grunnupplýsingar viðskiptavina og lyfjaupplýsingar.
6.9 Öryggismyndavélar
Í öryggis- og eignavörsluskyni söfnum við myndefni úr öryggismyndavélum sem staðsettar í verslunarrými Urðarapóteks. Myndefni úr öryggismyndavélunum er varðveitt tímabundið en myndefninu er að meginstefnu eytt eftir 90 daga.
Í þeim tilvikum þar sem Urðarapótek þarf að safna viðkvæmum persónuupplýsingum, s.s. upplýsingum um aðild starfsmanna að stéttarfélagi og um heilsufar viðskiptavina er sérstök aðgát höfð við meðferð slíkra upplýsinga.
7. Í hvaða tilgangi safnar Urðarapótek persónuupplýsingum um þig?
Tilgangur með söfnun upplýsinganna er að:
- Geta efns samningsskyldu, til dæmis við starfsmenn og viðsemjendur.
- Geta veitt viðskiptavinum umbeðna þjónustu.
- Gæta að lögmætum hagsmunum fyrirtækisins, til dæmis með eftirlitsmyndavélum í öryggis- og eignavörsluskyni.
- Uppfylla lagaskyldu.
8. Á hvaða lagagrundvelli vinnur Urðarapótek persónuupplýsingar um þig?
Við söfnum og vinnum persónuupplýsingar á eftirfarandi lagagrundvelli:
- Samþykki þínu.
- Til að uppfylla samningsskyldu.
- Til að uppfylla lagaskyldu.
- Til að gæta að lögmætum hagsmunum fyrirtækisins.
9. Hve lengi geymir Urðarapótek persónuupplýsingar um þig?
Við geymum einungis persónuupplýsingar eins lengi og nauðsynlegt er og í samræmi við þann tilgang sem þeim var safnað, þ.m.t. til þess að uppfylla lagaskyldu og bókhaldsskyldu. Þegar ekki er þörf fyrir að hafa persónuupplýsingar undir höndum lengur eyðir fyrirtækið þeim með öruggum hætti.
10. Frá hverjum safnar Urðarapótek upplýsingum um þig?
Við söfnum persónuupplýsingum frá þér beint og einnig úr lyfjagátt þ.e. frá þeim aðilum sem heimild hafa til útgáfu lyfseðla. Ef safnað er persónuupplýsingum frá þriðja aðila munum við eftir fremsta megni leitast við að upplýsa viðkomandi einstakling um það.
11. Hvenær miðlar Urðarapótek þínum persónuupplýsingum til þriðju aðila og afhverju?
Við miðlum persónuupplýsingum til þriðju aðila sem ráðnir eru af fyrirtækinu til að vinna fyrir fram ákveðna vinnu, svo sem þjónustuveitenda, umboðsmanna eða verktaka. Í þeim tilfellum gerir fyrirtækið vinnslusamning við viðkomandi aðila. Slíkur samningur kveður meðal annars á um skyldu hans til að fylgja fyrirmælum Urðarapóteks um meðferð persónuupplýsinga og er honum óheimilt að nota þær í öðrum tilgangi. Jafnframt ber honum skylda til að tryggja öryggi upplýsinganna með viðeigandi hætti.
Við miðlum einnig upplýsingum til þriðju aðila þegar skylda stendur til þess samkvæmt lögum, til dæmis til Landlæknis sem hefur heimild til að kalla eftir upplýsingum, sbr. lög um landlækni og lýðheilsu nr. 41/2007.
12. Flutningur persónuupplýsinga út fyrir Evrópska efnahagssvæðið
Urðarapóteki er kunnugt um að ströng skilyrði gilda um flutning persónuupplýsinga til ríkja sem staðsett eru utan Evrópska efnahagssvæðisins. Fyrirtækið gerir það ekki undir neinum kringumstæðum nema fullnægjandi heimild standi til þess samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
13. Réttindi þín
Hafir þú veitt samþykki þitt fyrir vinnslu tiltekinna persónuupplýsinga átt þú rétt samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 á að afturkalla samþykki þitt hvenær sem er. Sá réttur hefur þó ekki áhrif á lögmæti þeirrar vinnslu sem fram fór áður en samþykki var afturkallað. Þá nýtur þú einnig annarra réttinda, svo sem réttar til aðgangs að þínum gögnum, réttar til að fá rangar eða villandi upplýsingar leiðréttar, réttar til að persónuupplýsingum um þig verði eytt, réttar til að hindra að unnið verði með persónuupplýsingar um þig og réttar til að flytja eigin gögn. Hafa skal í huga að réttindi þín eru ekki alltaf fortakslaus og kunna að vera háð ýmsum skilyrðum.
14. Öryggi persónuupplýsinga
Urðarapótek hefur gripið til viðeigandi tæknilegra og skipulagslegra öryggisráðstafana til að tryggja öryggi persónuupplýsinga í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Felur það meðal annars í sér að aðeins þeir starfsmenn hafa aðgang að persónuupplýsingum sem þess þurfa starfs síns vegna. Auk þess stuðlar fyrirtækið að því að starfsmenn fái reglulega viðeigandi fræðslu og þjálfun um öryggismál.
15. Upplýsingar um ábyrgðaraðila
Nafn: Urðarapótek ehf.
kt. 650510-0460
Heimilisfang: Vínlandsleið 6, 113 Reykjavík.
Netfang: gudrun@urdarapotek.is
16. Réttur til að leggja fram kvörtun hjá persónuvernd
Dragir þú í efa að Urðarapótek meðhöndli persónuupplýsingar þínar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 hefur þú rétt til að leggja fram kvörtun hjá Persónuvernd (www.personuvernd.is).
17. Endurskoðun á þessari persónuverndaryfirlýsingu
Persónuverndaryfirlýsing þessi getur frá einum tíma til annars tekið breytingum í samræmi við breytingar á viðeigandi lögum og reglugerðum eða ef breytingar verða gerðar á því hvernig Urðarapótek vinna með persónuupplýsingar.
Eftir að breytingar hafa verið gerðar á persónuverndaryfirlýsingunni taka þær gildi þegar uppfærð útgáfa hefur verið birt.
Síðast uppfært: maí 2021