Almenn persónuverndarstefna Bakarameistarans
Bakarameistaranum er umhugað um að meðhöndla þínar persónuupplýsingar að kostgæfni og gæta meðalhófs í allri vinnslu persónuupplýsinga. Bakarameistarinn ehf., kt. 680177-0159, Stigahlíð 45-47, 105 Reykjavík (einnig vísað til sem „fyrirtæki“) hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem unnið er með innan fyrirtækisins. Í því skyni hefur fyrirtækið sett sér persónuverndarstefnu og er hún tvískipt. Annarsvegar almenn persónuverndarstefna Bakarameistarans sem hér gefur að finna og hinsvegar persónuverndarstefna umsækjenda og starfsfólks fyrirtækisins.
Persónuverndarstefna þessi nær til persónuupplýsinga er varða viðskiptavini Bakarameistarans, forsvarsmenn viðskiptavina og annarra samstarfsaðila sem og annarra sem eiga í samskiptum við fyrirtækið, svo sem í tengslum við ábendingar eða styrkbeiðnir (hér eftir sameiginlega vísað til „viðskiptavinar“).
Persónuverndarstefnu þessari er ætlað að upplýsa viðskiptavin um það hvaða persónuupplýsingum Bakarameistarinn safnar, með hvaða hætti fyrirtækið nýtir slíkar persónuupplýsingar og hverjir fá aðgang að upplýsingunum.
Ef viðskiptavinur er í vafa um það hvernig þessi stefna varðar hann, vinsamlega hafið samband við personuvernd@bakarameistarinn.is til þess að fá frekari upplýsingar. Nánari upplýsingar um samskipti koma fram í 8. gr.
1. Tilgangur og lagaskylda
Bakarameistarinn leitast við að uppfylla í hvívetna persónuverndarlöggjöf og er stefna þessi byggð á lögum nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga („persónuverndarlög“), með síðari breytingum. Tilgangur persónuverndarstefnunnar er að gefa heildstæða mynd af hverskonar upplýsingum fyrirtækið safnar og hvernig vinnslu upplýsinganna er háttað.
2. Hvað eru persónuupplýsingar?
Persónuupplýsingar í skilningi stefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðinnar manneskju, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
3. Persónuupplýsingar sem Bakarameistarinn vinnur um viðskiptavini
Bakarameistarinn safnar og varðveitir persónuupplýsingar um viðskiptavini fyrirtækisins. Persónuupplýsingum kann að vera safnað um viðskiptavin bæði ef viðkomandi er sjálfur og persónulega í viðskiptum við fyrirtækið og/eða kemur fram fyrir hönd lögaðila í viðskiptum við fyrirtækið, t.d. birgja. Vinnsla á þessum upplýsingum byggir á lögmætum hagsmunum fyrirtækisins að geta þjónustað viðskiptavini og haldið eðlilegri starfsemi gangandi. Þá kann vinnslan að vera fyrirtækinu nauðsynleg til að geta uppfyllt skyldur sínar á grundvelli samnings við viðkomandi viðskiptavin/samstarfsaðila. Ennfremur kann fyrirtækinu að vera skylt á grundvelli laga, t.d. um bókhald, að vinna með slíkar upplýsingar.
Listi yfir upplýsingar sem við söfnum, nánari útlistun og lagagrundvöllur að neðan:
Persónuauðkenni: Svosem nafn, notendanafn, kennitala og kyn.
Tengiliðsupplýsingar: Svosem heimilisfang, sími og netfang.
Fjárhags- og færsluupplýsingar: Svosem banka- og kortaupplýsingar og greiðsluupplýsingar um hvað þú hefur verslað áður eða óskar eftir að versla.
Notenda- og notkunarupplýsingar: Notendanafn og lykilorð, pantanir og kaup þín, áhugasvið. Notkun á upplýsingum á heimasíðu varðandi vörur og þjónustu.
Markaðsupplýsingar: Ef þú hefur skráð þig á póstlista eða samþykkt að móttaka markaðsefni frá fyrirtækinu, og þá hverskonar.
Myndavélaefni: Myndefni og myndbandsupptökur.
3.1 Myndavélaeftirlit
Í verslunum Bakarameistarans eru eftirlitsmyndavélar (stafrænar myndavélar) og þeir viðskiptavinir sem heimsækja verslanir Bakarameistarans kunna því að vera teknir upp á mynd. Vinnsla á þeim upplýsingum sem safnast með myndavélaeftirliti byggir á lögmætum hagsmunum fyrirtækisins, enda fer vinnslan fram í eigna- og öryggisvörsluskyni.
3.2 Póstlistar
Ef viðskiptavinur skráir sig á póstlista Bakarameistarans mun fyrirtækið vinna með upplýsingar um nafn viðkomandi og netfang. Sú vinnsla byggir á samþykki viðskiptavinar en honum er heimilt hvenær sem er að afturkalla það samþykki sitt og afskrá sig af póstlista fyrirtækisins.
3.3 Viðskiptavinir
Komi viðkomandi einstaklingur fram fyrir hönd lögaðila sem er í viðskiptum eða samstarfi við Bakarameistarann, svo sem birgja eða verktaka, kann Bakarameistarinn að vinna með upplýsingar um þann einstakling, svo sem nafn, kennitölu, símanúmer og netfang. Þá kann Bakarameistarinn að vinna með samskiptasögu og eftir atvikum reikningsupplýsingar. Þessi vinnsla er fyrirtækinu nauðsynleg til að geta uppfyllt skyldur sínar á grundvelli samnings við viðkomandi viðskiptavin/samstarfsaðila. Þá kann fyrirtækinu að vera skylt á grundvelli laga, t.d. um bókhald, að vinna með slíkar upplýsingar.
3.4 Kvartanir og ábendingar
Ef viðskiptavinur sendir fyrirtækinu ábendingu eða kvörtun mun Bakarameistarinn skrá slík tilvik, þar sem fram koma tengiliðaupplýsingar viðskiptavinar, svo sem nafn, netfang, símanúmer og heimilisfang eftir atvikum og efni þeirrar kvörtunar eða ábendingar sem viðkomandi hefur kosið að koma á framfæri. Vinnsla á þessum upplýsingum byggir á lögmætum hagsmunum fyrirtækisins að geta þjónustað viðskiptavini á sem bestan máta.
3.5 Styrktarumsóknir
Í tengslum við styrktarumsóknir til Bakarameistarans munum við halda utan um tengiliðaupplýsingar, svo sem nafn, kennitölu, netfang og símanúmer sem og aðrar upplýsingar sem sendar eru fyrirtækinu á grundvelli slíkrar umsóknar. Sú vinnsla byggir á samþykki viðskiptavinar en honum er heimilt hvenær sem er að afturkalla það samþykki sitt.
3.6 Öflun persónuupplýsinga
Að meginstefnu til aflar Bakarameistarinn persónuupplýsinga beint frá viðskiptavini eða forsvarsmanni viðskiptavinar þegar átt er í samskiptum við fyrirtækið, svosem í gegnum síma, netfang, heimasíðu fyrirtækisins eða með öðrum hætti. Þá safnar vefsíða fyrirtækisins tæknilegum upplýsingum með sjálfvirkum hætti, svosem vafrakökum (sjá vafrakökustefnu á heimasíðu fyrirtækisins). Upplýsingar kunna þá jafnframt að koma frá þriðja aðila, svosem gegnum leitarvélar, greiningarþjónustur og auglýsingakerfi. Sé persónuupplýsinga aflað frá þriðja aðila mun fyrirtækið leitast við að upplýsa viðskiptavini sína um slíkt.
3.7 Varðveisla persónuupplýsinga
Upplýsingar um viðskiptavini og forsvarsmenn/tengiliði viðskiptavina eru varðveittar í 4 ár frá lokum viðskipta. Sé um að ræða upplýsingar sem falla undir bókhaldslög eru þær varðveittar í 7 ár frá lokum viðkomandi reikningsárs. Vissar upplýsingar kann að vera nauðsynlegt að varðveita lengur, t.d. ef líkur standa til þess að Bakarameistarinn komi til með að þurfa að stofna, hafa uppi eða verjast réttarkröfu. Í þeim tilfellum verður varðveislutími miðaður við reglur um fyrningarfrest krafna samkvæmt lögum.
4. Miðlun til þriðja aðila
Bakarameistarinn kann að miðla persónuupplýsingum viðskiptavinar til þriðja aðila, þ.e. til innheimtuaðila eða aðila sem sjá um upplýsingatækniþjónustu eða annars konar ráðgjöf fyrir hönd fyrirtækisins.
Persónuupplýsingar viðskiptavinar kunna jafnframt að vera afhentar þriðja aðila að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, svo sem til Ríkisskattstjóra eða annarra eftirlitsaðila. Það sama kann að eiga við sé afhendingar krafist á grundvelli dómsúrskurða eða miðlun reynist nauðsynleg þannig að fyrirtækið geti gætt hagsmuna sinna í ágreinings- eða dómsmálum.
Bakarameistarinn mun þó ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar, svo sem á grundvelli staðlaðra samningsskilmála, samþykki viðskiptavinar eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.
Vefsíður Bakarameistarans geta innihaldið hlekki eða tengla/tengingar á síður þriðja aðila. Ef þeir eru virkjaðir hvetjum við þig til að kynna þér persónuverdnarstefnu þess fyrirtækis, þar sem því gæti verið heimilt að vinna eða safna persónuupplýsingum um þig.
5. Hvernig er öryggi persónuupplýsinga tryggt?
Bakarameistarinn gerir viðeigandi ráðstafanir til að vernda persónuupplýsingar þínar með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingarnar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.
Bakarameistarinn leitast við að varðveita ekki persónuupplýsingar lengur en þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum.
5.1 Breytingar og leiðréttingar á persónuupplýsingum
Það er mikilvægt að þær persónuupplýsingar sem Bakarameistarinn vinnur með séu réttar og uppfærðar hverju sinni. Því er mikilvægt að fyrirtækinu sé tilkynnt um allar breytingar sem kunna að verða á persónuupplýsingum viðskiptavinar.
Viðskiptavinur á rétt á því að rangar eða ónákvæmar persónuupplýsingar um sig séu leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga á viðskiptavinur jafnframt rétt á að láta fullgera ófullkomnar persónuupplýsingar um sig, þ.m.t. með því að leggja fram frekari upplýsingar.
Vinsamlega beinið öllum beiðnum um uppfærslu til personuvernd@bakarameistarinn.is
6. Réttindi viðskiptavinar hvað varðar þær persónuupplýsingar sem fyrirtækið vinnur
Viðskiptavinur á rétt á því að fá staðfest hvort Bakarameistarinn vinni með persónuupplýsingar um sig eða ekki, og ef svo er getur viðskiptavinur óskað eftir aðgangi að upplýsingunum og hvernig vinnslunni er hagað. Þá kann einnig að vera að viðskiptavinur eigi rétt á því að fá afrit af upplýsingunum. Við ákveðnar aðstæður getur viðskiptavinur farið fram á það við fyrirtækið að það sendi upplýsingar, sem viðskiptavinur hefur sjálfur látið því í té eða stafa frá honum, beint til þriðja aðila
6.1 Réttur viðskiptavinar til þess að fá persónuupplýsingum eytt
Við ákveðnar aðstæður getur viðskiptavinur óskað eftir því að persónuupplýsingum um sig verði eytt án tafar, til að mynda þegar að varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að viðskiptavinur hefur afturkallað samþykki þitt fyrir vinnslu persónuupplýsinganna og engin önnur heimild liggur til grundvallar henni. Sé vinnslan byggð á samþykki er viðskiptavini hvenær sem er heimilt að afturkalla samþykki sitt.
Vilji viðskiptavinur ekki láta eyða upplýsingum sínum, t.d. vegna þess að hann þarf á þeim að halda til að verjast kröfu, en vill samt sem áður að þær séu ekki unnar frekar af hálfu fyrirtækisins getur hann óskað eftir því að vinnsla þeirra verði takmörkuð. Auk þess kann að vera að viðskiptavinur eigi rétt á afriti af þeim upplýsingum sem hann hefur afhent á tölvutæku formi, eða sendar eru beint til þriðja aðila. Sé vinnsla á persónuupplýsingum byggð á lögmætum hagsmunum fyrirtækisins á viðskiptavinur einnig rétt á að mótmæla þeirri vinnslu.
6.2 Takmörkun á réttindum
Framangreind réttindi viðskiptavinar eru þó ekki fortakslaus. Þannig kunna lög eða stjórnvaldsfyrirmæli að skylda Bakarameistarann til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur Bakarameistarinn hafnað beiðni viðkomandi vegna réttinda fyrirtækisins, svo sem á grundvelli hugverkaréttar, eða réttinda annarra aðila, svo sem til friðhelgi einkalífs, telji fyrirtækið þau réttindi vega þyngra.
Ef upp koma aðstæður þar sem að Bakarameistarinn getur ekki orðið við slíkri beiðni viðskiptavinar mun fyrirtækið leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó svo slíkar útskýringar verði alltaf að samræmast heimildum laga þar um.
7. Fyrirspurnir og kvörtun til Persónuverndar
Ef viðskiptavinur óskar eftir að nýta sér þau réttindi sem lýst er í 6. gr., eða hefur spurningar varðandi persónuverndarstefnu þessa eða það hvernig fyrirtækið vinnur með persónuupplýsingar þínar, vinsamlegast hafið samband á netfangið personuvernd@bakarameistarinn.is
Ef viðskiptavinur er ósáttur við vinnslu fyrirtækisins á persónuupplýsingum getur hann sent erindi til Persónuverndar (www.personuvernd.is).
8. Tengiliður Bakarameistarans/samskiptaupplýsingar
Hér fyrir neðan má finna samskiptaupplýsingar:
Netfang: personuvernd@bakarameistarinn.is, sími 533 3000.
Samskiptaupplýsingar um fyrirtækið:
Bakarameistarinn, sími 533 3000, Stigahlíð 45-47, 105 Reykjavík.
9. Endurskoðun
Bakarameistarinn getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig fyrirtækið vinnur með persónuupplýsingar.
Þessi persónuverndarstefna var sett af Bakarameistaranum þann 20.nóvember 2018 og uppfærð þann 2. febrúar 2021.
