Motus ehf., kt. 701195-3109 og Lögheimtan ehf., kt. 710501-3430, Katrínartúni 4, 105 Reykjavík (hér eftir sameiginlega nefnd “félögin”), eru ábyrgðaraðilar þeirrar vinnslu persónuupplýsinga sem fer fram hjá félögunum í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir “persónuverndarlög”) og reglugerðar (ESB) 2016/679. Í ákveðnum tilvikum geta félögin verið sameiginlegir ábyrgðaraðilar í skilningi persónuverndarlaga.
Hér að neðan er útlistað hvernig félögin vinna með persónuupplýsingar, þar á meðal í hvaða tilgangi, hvaðan þeirra er aflað, helstu flokkar þeirra, hvernig þeim er miðlað og með hvaða hætti rétt meðferð þeirra er tryggð. Upplýsingarnar hér að neðan eiga við um alla þá sem félögunum ber nauðsyn til að vinna persónuupplýsingar um vegna starfsemi sinnar, þ.m.t. viðskiptavini, forsvarsmenn þeirra ef um lögaðila er að ræða og greiðendur.
Þær persónuupplýsingar sem félögin vinna með teljast iðulega almennar í skilningi ákvæða persónuverndarlaga. Í undantekningartilvikum kann að vera nauðsynlegt að vinna með viðkvæmar persónuupplýsingar en í þeim tilvikum er ávallt gætt að því að uppfyllt séu skilyrði laga fyrir vinnslunni, s.s. samþykki eða lagaheimild.
Persónuupplýsingar sem félögin vinna um einstaklinga geta m.a. verið eftirfarandi:
Þær persónuupplýsingar sem félögin vinna um einstaklinga berast ýmist frá einstaklingunum sjálfum en geta jafnframt borist frá þriðju aðilum. Algengast er að einstaklingar láti félögin í té upplýsingar með því að hafa samband símleiðis, með tölvupósti, í gegnum greiðendavef eða með heimsókn á skrifstofu félaganna. Þegar upplýsingar berast frá þriðja aðila er í flestum tilvikum um að ræða upplýsingar frá kröfuhöfum, opinberum aðilum eða úr opinberum skrám. Upplýsingarnar geta jafnframt verið sóttar frá fjárhagsupplýsingastofum, af alþjóðlegum válistum eða úr Lögbirtingarblaði.
Félögin kappkosta við að vinna aðeins persónuupplýsingar í skýrum og yfirlýstum tilgangi í samræmi við persónuverndarlög. Vinnsla persónuupplýsinga kann að vera nauðsynleg til þess að félögin geti sinn starfsemi sinni við kröfuþjónustu, m.a. til að efna samning við kröfuhafa, hafa samband við greiðendur og til að uppfylla lagaskyldur, s.s. á grundvelli bókhaldslaga eða laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og gereyðingarvopna. Þá getur vinnsla verið nauðsynleg í öryggis- og eignarvörsluskyni, m.a. með því að til staðar sé rafræn vöktun.
Samkvæmt ákvæðum persónuverndarlaga skal vinnsla persónuupplýsinga styðjast við eina af þeim vinnsluheimildum sem kveðið er á um er í lögunum. Að meginstefnu til fer vinnsla félaganna fram á grundvelli lögvarinna hagsmuna, vegna samnings við kröfuhafa en í ákveðnum tilvikum getur vinnsla farið fram á grundvelli samþykkis. Þegar vinnsla fer fram á grundvelli samþykkis geta einstaklingar ávallt dregið veitt samþykki til baka og er sú vinnsla sem samþykkið tekur til þá stöðvuð.
Persónuupplýsingar geta verið afhentar þriðju aðilum í ákveðnum tilvikum. Það er þó aldrei gert nema skýr lagaheimild sé fyrir hendi og er ávallt tryggt að ítrustu öryggis- og trúnaðarskyldu sé fylgt. Þriðju aðilar geta m.a. verið kröfuhafar, lögmenn, dómstólar, sýslumenn og eftirlitsaðilar. Ef upplýsingum er miðlað til þriðju aðila á grundvelli þjónustusamnings er í öllum tilvikum til staðar vinnslusamningur þar að lútandi. Þeim upplýsingum sem greiðendur láta félögunum í té til samskipta, s.s. netföngum og símanúmerum, er ekki miðlað til þriðju aðila.
Félögin varðveita persónuupplýsingar á meðan á viðskiptasambandi stendur. Algengast er að upplýsingar séu varðveittar í 7 ár en þó geta upplýsingar ýmist verið geymdar í lengri eða skemmri tíma. Varðveislutími gagnanna fer eftir eðli þeirra eða samkvæmt ákvæðum laga sem kveða á um varðveislutíma gagna, s.s. bókhaldslaga. Þá geta komið upp aðstæður sem krefjast þess að gögn séu varðveitt lengur, s.s. vegna dómsmála eða rannsóknar lögreglu eða eftirlitsyfirvalda.
Félögin nota vefkökur á vefsíðu sinni í þeim tilgangi að bæta upplifun notenda og halda utan um og mæla frammistöðu vefsins og umferð um hann, s.s. tölfræðilegar upplýsingar um fjölda notenda og hegðun þeirra. Vefkökur eru litlar textaskrár sem geyma upplýsingar til að greina notkun á vefsvæðum félaganna.
Stjórnkerfi upplýsingaöryggis hjá Motus og Lögheimtunni hefur hlotið vottun samkvæmt alþjóðlega staðlinum ISO/IEC 27001:2022. Þær öryggisráðstafanir sem krafist er samkvæmt staðlinum hafa verið innleiddar innan félaganna.
Samkvæmt ákvæðum persónuverndarlaga eiga einstaklingar rétt á að óska eftir aðgangi að persónuupplýsingum sínum. Að tilteknum skilyrðum uppfylltum geta einstaklingar sömuleiðis átt rétt á að fá persónuupplýsingum sínum eytt eða fengið þær leiðréttar, andmælt vinnslu þeirra eða óskað eftir takmörkun hennar.
Einstaklingar geta óskað eftir því að neyta þess réttar eða koma á framfæri öðrum fyrirspurnum er varða vinnslu persónuupplýsinga með því að senda tölvupóst á netfangið personuvernd@motus.is. Ekki er tekið gjald fyrir afgreiðslu beiðna sem berast frá einstaklingum. Félögin áskilja sér þó rétt til þess að taka gjald fyrir beiðnir sem augljóslega teljast tilefnislausar eða endurteknar.
Einstaklingar eiga jafnframt rétt á að koma á framfæri kvörtun til Persónuverndar ef þeir telja vinnslu félaganna ekki samræmast lögum um persónuvernd með því að senda beiðni til Persónuverndar á netfangið postur@personuvernd.is.
Persónuverndarfulltrúi hefur eftirlit með því að vinnsla félaganna samræmist stefnu þessari og gildandi lögum og reglum um persónuvernd.