PERSÓNUVERNDARSTEFNA YAY

YAY ehf., kt. 671218-0940, Bjargargötu 1, Grósku (einnig vísað til sem „félagsins“) er umhugað um persónuvernd viðskiptavina sinna.

Í persónuverndarstefnu þessari er því lýst hvernig félagið vinnur með persónuupplýsingar viðskiptavina sinna og annarra sem félagið á í samskiptum við og gildir stefnan um allar YAY-lausnir félagsins (einnig sameiginlega vísað til sem „þín“).

YAY-lausnir eru smáforrit (e. app) sem aðgengileg eru m.a. á Google Play og í Apple App Store. Með YAY smáforritinu og öðrum tengdum hugbúnaðarlausnum (saman nefnast lausnirnar „YAY-lausnir“) geta viðskiptavinir t.d. keypt og gefið rafræn gjafabréf.

1. Persónuupplýsingar sem félagið vinnur

1.1 Persónuupplýsingar notenda YAY-lausna

Við stofnun aðgangs í YAY-lausn og notkun hennar þarf notandi að skrá upplýsingar um símanúmer sitt og skrá inn auðkenningarkóða sem YAY sendir viðkomandi með SMS.

Auk símanúmers vinnur YAY með eftirfarandi persónuupplýsingar notenda í tengslum við lausnina:

  • Tengiliðaupplýsingar, þ.e. nafn og netfang
  • Auðkennisupplýsingar, þ.e. afmælisdagur, heimilisfang og ríkisborgararéttur svo hægt sé að bera kennsl á notanda
  • Notkunarsögu, þ.e. upplýsingar um keypt, móttekin og notuð gjafabréf
  • Tæknilegar stillingar, s.s. val notanda á tungumáli og markaði í lausninni

Vinnsla þessara persónuupplýsinga er nauðsynleg svo YAY geti uppfyllt samning sinn gagnvart notenda.

Auk ofangreindra upplýsinga vinnur YAY með tilgreindar upplýsingar í því skyni að tryggja öryggi lausnarinnar, þ.e. upplýsingar um IP tölu með tímastimpli. Þessi vinnsla byggir á lögmætum hagsmunum félagsins.

Velji notandi að gefa gjafabréf í gegnum lausnina vinnur félagið jafnframt með tengiliðaupplýsingar móttakanda og upplýsingar um kveðju sem notandi getur valið að láta fylgja með gjafabréfinu, hvort sem slík kveðja er skrifleg eða í mynd/myndbandi. Vinnsla þessi byggir á samningi.

Notandi ber ábyrgð á réttleika þeirra upplýsinga sem hann skráir í lausnina hverju sinni, einkum símanúmer sitt og eftir atvikum greiðslukortanúmer.

Persónuupplýsingar um notendur eru varðveittar í sjö ár frá því að viðskiptasambandi lýkur, nema að notandi óski eftir því við YAY að persónuupplýsingum hans sé eytt fyrr.

1.2 Forsvarsmenn viðskiptavina

Í þeim tilvikum er viðskiptavinir YAY eru lögaðilar, s.s. fyrirtæki sem kaupa gjafabréf fyrir starfsfólk sitt, vinnur félagið með tengiliðaupplýsingar forsvarsmanna, þ.e. upplýsingar um nafn, netfang og símanúmer auk samskiptasögu.

Viðskiptavinir YAY geta valið að afhenda gjafabréf í gegnum Facebook Workplace og í slíkum tilvikum vinnur YAY jafnframt með notendanúmer viðtakanda gjafabréfanna á Facebook Workplace (e. user ID).

1.3 Forsvarsmenn og starfsfólk söluaðila

Í þeim tilgangi að geta átt í samskiptum við söluaðila vinnur YAY með tengiliðaupplýsingar forsvarsmanna og starfsfólks söluaðila. Söluaðilar taka á móti YAY gjafabréfum með svokölluðum YAY scanner og í tengslum við notkun á honum vinnur YAY einnig með upplýsingar um notendanafn og lykilorð starfsfólks sem og aðgerðarskráningar í lausninni. Þessi vinnsla er nauðsynleg á grundvelli lögmætra hagsmuna YAY.

Persónuupplýsingar um forsvarsmenn viðskiptavina eru varðveittar í fjögur ár eftir að viðskiptasambandi lýkur.

1.4 Samskipti í gegnum heimasíðu eða samfélagsmiðla

Notendur og aðrir einstaklingar geta sett sig í samband við YAY í gegnum vefsíðuna eða með því að senda félaginu tölvupóst. Í tengslum við móttöku á slíkum skilaboðum er unnið með tengiliðaupplýsingar sendanda og efni skilaboða. Vinnsla þessi er félaginu nauðsynleg til að svara erindi viðkomandi aðila.

Félagið leitast við að varðveita efni skilaboða sem móttekin eru ekki lengur en í eitt ár.

2. Miðlun til þriðju aðila

Félagið nýtir þriðju aðila til að hýsa persónuupplýsingar þær sem félagið vinnur með um notendur auk þess sem þriðju aðilar kunna að hafa aðgang að upplýsingunum í þeim tilgangi að veita félaginu þjónustu. Þessir aðilar koma fram sem svokallaðir vinnsluaðilar fyrir hönd félagsins og hefur félagið gengið frá skriflegum vinnslusamningum við viðkomandi aðila sem m.a. tryggja öryggi upplýsinganna.

Öll hýsing þeirra upplýsinga sem félagið vinnur með fer fram innan Evrópska efnahagssvæðisins. Að því leyti er félagið kann að nýta vinnsluaðila, eða undirvinnsluaðila, sem hafa staðfestu utan Evrópska efnahagssvæðisins („EES“), mun félagið ganga úr skugga um að gripið hafi verið til fullnægjandi ráðstafana til að vernda þær persónuupplýsingar sem viðkomandi aðilar vinna með af hálfu félagsins. Það sama á við sé ekki hægt að útiloka aðgang eftirlitsyfirvalda utan EES að þeim persónuupplýsingum sem félagið vinnur með.

Að öðru leyti miðlar félagið ekki persónuupplýsingum notenda eða annarra til þriðju aðila, að undanskildum opinberum aðilum en þó aðeins í þeim tilvikum er lagaskylda hvílir á YAY, eða félaginu reynist slíkt skylt á grundvelli dómsúrskurðar. Í tengslum við mögulega sölu eða aðkomu fjárfesta að félaginu kann þó að vera nauðsynlegt að miðla takmörkuðum upplýsingum til hugsanlegs kaupanda eða fjárfesta, s.s. í tengslum við gerð áreiðanleikakönnunar.

3. Öryggi persónuupplýsinga

YAY gætir ýtrasta öryggis í meðferð persónuupplýsinga. Viðeigandi tæknilegar og skipulegar ráðstafana eru þannig til staðar í þeim tilgangi að vernda persónuupplýsingar. Dæmi um slíkar öryggisráðstafanir eru aðgangsstýringar að kerfum þar sem upplýsingar eru vistaðar og notkun eldveggja.

Starfsmenn YAY undirrita einnig trúnaðaryfirlýsingar og eru bundnir trúnaði um allt sem þeir fá vitneskju um við störf sín. Trúnaðarskylda hvílir á starfsmönnum, þrátt fyrir að látið sé af starfi hjá YAY.

4. Réttindi þín

Þú átt rétt á að fá aðgang og í ákveðnum tilvikum afrit af þeim persónuupplýsingum sem við vinnum um þig sem og upplýsingar um vinnsluna.

Við ákveðnar aðstæður kannt þú jafnframt að hafa heimild til að óska eftir því að persónuupplýsingum um þig verði eytt eða að vinnsla þeirra verði takmörkuð. Þá átt þú rétt á að fá persónuupplýsingar þínar leiðréttar, séu þær rangar eða óáreiðanlegar. Því er mikilvægt að þú tilkynnir okkur um allar breytingar sem kunna að verða á persónuupplýsingum þeim sem þú hefur látið okkur í té, á þeim tíma sem við á.

Auk þess kann að vera að þú eigir rétt á afriti af þeim upplýsingum sem þú hefur afhent okkur á tölvutæku formi, eða að við sendum þær beint til þriðja aðila.

Þegar við vinnum persónuupplýsingar þínar á grundvelli lögmætra hagsmuna okkar getur þú andmælt þeirri vinnslu. Sé vinnsla byggð á samþykki þínu átt þú jafnframt alltaf rétt á að afturkalla slíkt samþykki.

Ofangreind réttindi þín eru þó ekki fortakslaus. Þannig kunna lög eða reglugerðir að heimila eða skylda félagið til að hafna beiðni þinni um að nýta þér umrædd réttindi. Réttur þinn til að andmæla vinnslu persónuupplýsinga þinna vegna beinnar markaðssetningar er þó fortakslaus.

Til að nýta þér þessi réttindi þín getur þú sent tölvupóst á gdpr@yay.is. Rétt er að benda á að það getur tekið 30 daga að fá svör við slíkri beiðni og jafnvel lengur í tilgreindum tilvikum. Við munum þó svara þér eins fljótt og auðið er, a.m.k. til að láta þig vita að beiðnin sé móttekin og að verið sé að afgreiða hana.

5. Fyrirspurnir og kvörtun til Persónuverndar

Hafir þú spurningar um meðferð persónuupplýsinga hjá YAY ehf getur þú haft samband við okkur með tölvupósti á gdpr@yay.is.

Ef þú ert ósátt/ur við vinnslu félagsins á persónuupplýsingum getur þú jafnframt sent erindi til Persónuverndar (www.personuvernd.is).

6. Endurskoðun

Félagið getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Verði gerðar breytingar á persónuverndarstefnu þessari verður uppfærð útgáfa tilkynnt þér á sama hátt og stefna þessi var kynnt.

Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt.

Þessari persónuverndarstefnu var síðast breytt þann 26.05.2023.