Persónuverndarstefna Draupnis lögmannsþjónustu ehf.

Draupnir lögmannsþjónusta ehf., kt. 531109-0230, Borgartúni 28, 105 Reykjavík (hér eftir Draupnir eða félagið) leggur ríka áherslu á að tryggja öryggi persónuupplýsinga sem unnið er með innan félagsins. Persónuverndarstefna þessi nær til persónuupplýsinga er varða einstaklinga sem eru í viðskiptum við félagið eða hafa samband við félagið, einstaklinga sem koma fram fyrir hönd lögaðila í viðskiptum við félagið eða aðra tengiliði (hér eftir viðskiptavini). Með persónuverndarstefnu Draupnis er leitast við að upplýsa viðskiptavini um hvaða persónuupplýsingum félagið safnar, með hvaða hætti félagið nýtir slíkar persónuupplýsingar og hverjir fá aðgang að upplýsingunum.

Lagaskylda

Draupnir leitast við að uppfylla í hvívetna persónuverndarlöggjöf og er persónuverndarstefnda þessi byggð á lögum nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga (hér eftir persónuverndarlög), með síðari breytingum.

Persónuupplýsingar

Persónuupplýsingar í skilningi persónuverndarlaga, sem og stefnu þessarar, teljast hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

Persónuupplýsingar sem Draupnir vinnur með

Draupnir vinnur með og varðveitir ýmsar persónuupplýsingar um viðskiptavinifélagsins í tengslum við störf félagsins. Ólíkum persónuupplýsingum er safnað um viðskiptavini Draupnis eftir því hvort viðkomandi er sjálf/ur í viðskiptum við félagið eða hvort hann kemur fram fyrir hönd lögaðila í viðskiptum við félagið.

Sem dæmi um upplýsingar sem Draupnir vinnur með eru:

  • samskiptaupplýsingar, s.s. nafn, heimilisfang eða upplýsingar um dvalarstað, símanúmer og netfang,
  • kennitala,
  • kyn,
  • upplýsingar um lánshæfi,
  • upplýsingar úr samskiptum,
  • reikningsupplýsingar, m.a. upplýsingar um virðisaukaskattsnúmer og séróskir varðandi reikningagerð.

Til viðbótar framangreindum upplýsinga kann starfsfólk Draupnis einnig að vinna með og varðveita aðrar upplýsingar sem viðskiptavinir eða tengiliðir viðskiptavinar láta félaginu sjálfir í té sem og upplýsingar sem eru félaginu nauðsynlegar vegna meginstarfsemi þess, sem er löfræðiþjónusta. Vinnsla upplýsinga fer fyrst og fremst fram til að geta efnt formlega og ófromlega þjónustusamninga við viðskiptavini félagsins sem og til að sinna öðrum þeim skyldum sem leiða af þjónustu við viðskiptavini. Þó fer vinnslan einnig fram á grundvelli lögmætra hagsmuna Draupnis af því að tryggja að viðskiptavinir félagsins fái sem besta þjónustu. Loks kunna upplýsingar að vera unnar á grundvelli lagaskyldu og óháð þeirri þjónustu sem félagið hefur tekið að sér að veita viðskiptavinum, t.d. hvað varðar reglur um peningaþvætti eða bókhaldslög.

Persónuupplýsingar sem Draupnir vinnur með koma að meginstefnu til beint frá viðskiptavini eða tengilið hans. Upplýsingar kunna þó í einhverjum tilvikum að koma frá þriðja aðila, t.d. stjórnvöldum, dómstólum, Creditinfo, þjónustuveitendum viðskiptavinar, gagnaðilum eða öðrum lögmönnum. Loks kann að vera að persónuupplýsingum sé safnað af netinu séu þær aðgengilegar þar, s.s. af heimasíðum, samfélagsmiðlum og gagnabönkum. Sé persónuupplýsinga aflað frá þriðja aðila mun félagið leitast við að upplýsa viðskiptavini sína um slíkt.

Varðveisla persónuupplýsinga

Upplýsingar um viðskiptavini og tengiliði viðskiptavina sem unnar eru vegna stofnunar viðskipta eru varðveittar í 4 ár frá lokum viðskiptasambands. Sé hins vegar um að ræða upplýsingar sem falla undir bókhaldslög eru þær varðveittar í 7 ár frá lokum viðkomandi reikningsárs. Upplýsingar sem viðkoma eiginlegri lögfræðiþjónustu félagsins verða að meginstefnu varðveittar lengur, enda kann vinnsla þeirra að reynast nauðsynleg til að stofna, hafa uppi eða verja réttarkröfu. Varðveislutími miðast þá við reglur um fyrningarfrest krafa sem getur almennt mest orðið 14 ár. Upplýsingum kann þó að vera eytt fyrr, vegna rekstarhagkvæmni.

Miðlun persónuupplýsinga

Draupnir kann að miðla persónuupplýsingum viðskiptavinatil þriðja aðila, s.s. í tengslum við samningssamband þeirra við félagið, eða vegna lögfræðiþjónustu til viðskiptavina. Upplýsingum um viðskiptavini kann t.a.m. að vera miðlað til innheimtuaðila, vegna innheimtu skulda, eða til annarra aðila, t.d. utanaðkomandi ráðgjafa eða verktaka, í tengslum við ráðgjöf til viðskiptavina eða hagsmunagæslu fyrir þá.

Persónuupplýsingum viðskiptavina kann jafnframt að vera miðlað til þriðja aðila að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til stjórnvalda, dómstóla, gagnaðila í ágreiningi, vitna eða annarra hagaðila.

Þá gæti verið að persónuupplýsingum verði miðlað til þriðja aðila sem veitir Draupni upplýsingatækniþjónustu og aðra þjónustu sem tengist vinnslu og er hluti af rekstri félagsins.

Að lokum gæti persónuupplýsingum um viðskiptavini verið miðlað að því marki sem heimilað er eða krafist er á grundvelli laga eða reglna eða til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum eða dómsúrskurði.

Öryggi persónuupplýsinga

Draupnir leitast við að grípa til viðeigandi ráðstafana til að vernda persónuupplýsingar með sérstöku tilliti til eðlis þeirra. Er þessum ráðstöfunum ætlað að vernda persónuupplýsingar viðskiptavina gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Sem dæmi um öryggisráðstafanir sem Draupnir grípur til eru aðgangsstýringar í kerfum félagsins.

Breytingar og leiðréttingar á persónuupplýsingum

Það er grundvallaratriði að þær persónuupplýsingar sem Draupnir vinnur með séu bæði réttar og viðeigandi. Það er því mikilvægt að félaginu sé tilkynnt um allar breytingar sem kunna að verða á persónuupplýsingum viðskiptavina.

Samkvæmt gildandi persónuverndarlögum á viðskiptavinur rétt á því að fá óáreiðanlegar persónuupplýsingar um sig leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga á viðskiptavinur einnig rétt á að láta fullgera ófullkomnar persónuupplýsingar um sig, s.s. með því að leggja fram nýjar eða frekari upplýsingar.

Öllum leiðréttingum og/eða uppfærslum skal beint til umsjónarmanns persónuverndar Draupnis, sjá nánari upplýsingar síðar.

Réttindi viðskiptavina

Lögum samkvæmt eiga viðskiptavinir rétt á að fá staðfest hvort Draupnir vinnur persónuupplýsingar um þá eða ekki. Þá geta viðskiptavinir óskað eftir aðgangi að upplýsingunum og hvernig vinnslunni er hagað. Einnig kann að vera að viðskiptavinir eigi rétt á að fá afrit af upplýsingunum. Í ákveðnum tilvikum geta viðskiptavinir farið fram á það við Draupni að félagið sendi upplýsingar, sem viðskiptavinur hefur látið því í té eða stafa frá viðskiptavini, beint til þriðja aðila.

Við ákveðnar aðstæður geta viðskiptavinir óskað eftir því að persónuupplýsingum um þá verði eytt, s.s. þegar að varðveisla upplýsinga er ekki lengur nauðsynleg eða vegna þess að viðskiptavinir hafa afturkallað samþykki sitt fyrir vinnslu persónuupplýsinganna og engin önnur heimild liggur til grundvallar vinnslunni. Sé hún byggð á samþykki er viðskiptavinum hvenær sem er heimilt að afturkalla samþykki sitt.

Kjósi viðskiptavinir að láta ekki eyða upplýsingum sínum, t.d. vegna þess að þeir þurfa á þeim að halda til að verjast kröfu, en óska þess þó að þær séu ekki unnar frekar af hálfu félagsins geta þeir krafist þess að vinnsla þeirra verði takmörkuð.

Þá hafa viðskiptavinir einnig heimild til að mótmæla vinnslu persónuupplýsinga sem byggð er á lögmætum hagsmunum félagsins.

Athygli er vakin á því að réttindi viðskiptavina eru ekki fortakslaus. Þannig kunna lög að skylda Draupni til að hafna ósk viðskiptavina um eyðingu eða aðgang að gögnum. Einnig getur félagið hafnað beiðni viðskiptavina vegna réttinda félagsins, s.s. á grundvelli hugverkaréttar, eða réttinda annarra aðila, s.s. friðhelgi einkalífs, telji félagið þau réttindi vega þyngra en rétt viðskiptavina.

Komi upp aðstæður þar sem félagið getur ekki orðið við beiðni viðskiptavina mun félagið leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

Nánari upplýsingar

Ef viðskiptavinir óska eftir að nýta sér framangreind réttindi sín, eða hafa einhverjar frekari spurningar varðandi persónuverndarstefnu þessa eða vinnslu persónuupplýsinga, er velkomið að hafa samband við umsjónarmann Draupnis, Helgu B. Jónsdóttur, hbj@dls.is, 415-0150.

Ef viðskiptavinur er ósáttur við vinnslu Draupnis á persónuupplýsingum getur hann sent erindi til Persónuverndar, www.personuvernd.is.

Endurskoðun

Draupnir áskilur sér rétt til að breyta persónuverndarstefndu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar.

Breytingar á persónuverndarstefnu Draupnis taka gildi eftir að uppfærð útgáfa hefur verið birt á heimasíðu félagsins.

Þessi persónuverndarstefnda var sett þann 15. júlí 2018.