Persónuverndaryfirlýsing Igloo

1.

Verndun persónuupplýsinga er einn af hornsteinum Igloo. Persónuvernd viðskiptavinar skiptir félagið miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti. Í persónuverndaryfirlýsingunni er m.a.að finna útskýringar á því hvaða persónuupplýsingum Igloo safnar, hvenær og hvers vegna, hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra. Einnig er að finna upplýsingar um réttindi viðskiptavinar vegna þeirra persónuupplýsinga sem Igloo vinnur. Igloo meðhöndlar og vinnur með persónuupplýsingar um viðskiptavin í samræmi við lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

2.

Ábyrgðaraðili er Igloo, Leiguskjól ehf., kt. 510906-1520. Igloo er leiguvettvangur (e. rental platform) sem veitir þjónustu til hvort í senn leigutaka og leigusala. Igloo er fjártæknifyrirtæki og býður viðskiptavinum sínum margvíslegt vöruframboð trygginga- og fjármálavara í samvinnu við banka og tryggingafélög. Gerðar eru ítrústu kröfur um verndun persónuuplýsinga milli Igloo og samstarfsaðila sem tilgreindar eru í vinnslusamningum aðila á milli.

3.

Igloo safnar persónuupplýsingum frá viðskiptavin til þess að geta boðið honum vörur og þjónustu. Að jafnaði er um að ræða almennar persónuupplýsingar eins og nafn, kennitölu, heimilisfang, símanúmer, IP-tölu, aðsetur og upplýsingar um vörur og þjónustu sem viðskiptavinur hefur þegar nýtt sér hjá Igloo eða notað áður. Igloo safnar einnig persónuupplýsingum um viðskiptavin þegar hann hefur samband við Igloo í þeim tilgangi að fá þjónustu eins og með símtali við starfsmenn, með tölvupósti, netspjalli, heimsókn á starfstöð Igloo, á vefsíðu Igllo, eða í Igloo appinu. Þá fær Igloo afhentar persónuupplýsingar frá þriðja aðila þegar slíkt telst nauðsynlegt og þriðji aðili hefur heimild til að afhenda Igloo upplýsingar, t.d. Þjóðskrá Íslands eða Creditinfo.

Igloo flokkar persónuupplýsingar eftir tegundum til þess að geta öðlast yfirsýn yfir tegundir persónuupplýsinga sem Igloo vinnur með. Hér á eftir má sjá lýsingu á helstu flokkum persónuupplýsinga: Auðkennisupplýsingar: Hvers konar skilríki sem bera kennsl á viðskiptavin, t.d. afrit af vegabréfi, ökuskírteini eða rafræn auðkenni. Grunnupplýsingar: Nafn, kennitala, heimilisfang, símanúmer, netfang og aðrar grunnupplýsingar, s.s. upplýsingar um lögráðamann í tilviki einstaklings, upplýsingar um tengda lögaðila og hlutverk einstaklings hjá lögaðila, t.d. prókúruhafi og skiptastjóri. Fjárhagsupplýsingar: Viðskiptasaga, sjálfsafgreiðsluheimildir, tekjur, fjárhagsskuldbindingar, vanskil, lánshæfismat, greiðslumat o.fl. Samningsupplýsingar: Atriði er varða samninga sem viðskiptavinur hefur gert við Igloo og upplýsingar um vörur og þjónustu sem veittar eru viðskiptavini svo hægt sé að framfylgja ákvæðum samninga. Upplýsingar vegna áreiðanleikakönnunar: Upplýsingar sem gera Igloo kleift að framkvæma áreiðanleikakönnun á grundvelli laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og að tryggja framfylgni við alþjóðlegar refsiaðgerðir (e. international sanctions) þ.m.t. ganga úr skugga um að tilgangur og eðli viðskiptasambands sé í samræmi við lög og hvort viðskiptavinur sé í áhættuhópi vegna stjórnmálatengsla. Upplýsingar sem verða til þegar lögboðnum fyrirspurnum stjórnvalda er svarað: Hér er t.d. átt við upplýsingar til ríkisskattstjóra vegna skattframtala eða staðgreiðsluskila og upplýsingar til skattrannsóknarstjóra og héraðssaksóknara vegna rannsóknar mála. Hér geta fallið undir upplýsingar um tekjur, skuldastöðu, kröfur o.fl. Samskiptaupplýsingar: Upplýsingar sem Igloo fær frá viðskiptavini með t.d. bréfi eða tölvupósti, og/eða úr samræðum við viðskiptavin, hvort heldur á starfstöð, í gegnum samskiptakerfi Igloo eða á samfélagsmiðlum. Tæknilegar upplýsingar: Upplýsingar um búnað viðskiptavinar sem hann notar til að tengjast Igloo appi. Afleidd gögn af þeirri tengingu eru t.d. IP-tala, útgáfa af stýrikerfi og framkvæmdar aðgerðir. Upplýsingar um hegðun og notkun: Upplýsingar um hvernig viðskiptavinur/notandi notar þjónustu Igloo, hve oft hann notar þjónustuna o.fl. Opinberar upplýsingar: Upplýsingar frá Þjóðskrá Íslands, fasteignaskrá, ökutækjaskrá, hlutafélagaskrá og öðrum opinberum skrám. Einnig upplýsingar sem hægt er að fá aðgengi að hjá fjárhagsupplýsingastofu eins og Creditinfo og opinberar upplýsingar á netinu. Hljóðritun símtala: Símtöl eru hljóðrituð hjá Igloo til að tryggja gæði þjónustu. Samþykki: Einstök samþykki eins og veitt eru vegna vefköku.

Í upphafi viðskiptasambands safnar Igloo grunnupplýsingum og auðkennisupplýsingum. Í framhaldinu lætur einstaklingur af hendi fjárhagsupplýsingar og aðrar upplýsingar sem þörf er á svo unnt sé að afhenda þá vöru eða veita þá þjónustu sem hann óskar eftir, t.d. upplýsingar um greiðslur, s.s fjárhæð þeirra, tegund og hver móttakandi er. Einnig afhendir einstaklingur sem sækir um ábyrgð hjá Igloo fjárhagsupplýsingar sem þörf er á til að hægt sé að meta lánshæfi og greiðslugetu viðskiptavinar, s.s. yfirlit yfir launagreiðslur og eigna- og skuldastöðu. Igloo safnar upplýsingum um hegðun og notkun einstaklings á platformi félagsins. Igloo skráir og varðveitir samskipti einstaklings og félagsins í samræmi við lög, reglur Igloo og yfirlýsingu þessa. Ef einstaklingur vill ekki afhenda Igloo persónuupplýsingar sem er nauðsynlegt að afla eða andmælir vinnslu þeirra getur það haft áhrif á hvort eða hvernig Igloo veiti einstaklingnum þjónustu. Hjá Igloo verða til persónupplýsingar um viðskiptavin í tengslum við það þegar Igloo veitir samningsbundna þjónustu eða sinnir lögbundnu eftirliti. Hér er átt við upplýsingar eins og hvaða vöru og þjónustu viðskiptavinur er með frá Igloo, hvenær hann skráði sig inn í kerfi Igloo og Igloo appið, IP-tala og auðkennisupplýsingar, hvernig hann hefur átt samskipti við Igloo, , greiðslusögu Igloo varðveitir hljóðritanir símtala í samræmi við reglur um rafræna vöktun. Símtöl eru hluti af öryggiskerfi Igloo og sækja lagastoð í persónuverndarlögin. Geymslutíminn er 2 ár ef um er að ræða ósk um tiltekna þjónustu eða uppflettingu lánshæfis vegna leiguábyrgða en annars í 90 daga. Tilgangur vinnslunnar er að tryggja öryggi og lágmarka svikahættu.

Igloo fær afhentar persónuupplýsingar frá þriðju aðilum til að draga úr hættu á sviksemi. Dæmi um þriðju aðila sem afhenda upplýsingar um einstaklinga til Igloo eru Þjóðskrá Íslands, fasteignaskrá, hlutafélagaskrá, Creditinfo, ríkisskattstjóri og tollstjóri. Þriðju aðilar afhenda þær upplýsingar til Igloo sem félagið þarf og þeim er heimilt að afhenda. Mismunandi er hvort þeir aðilar hafi til þess sjálfstæða heimild eða hvort viðskiptavinur hafir veitt þeim samþykki.

4.

Igloo þarf ávallt að hafa heimild til vinnslu persónuupplýsinga sem félagið býr yfir um viðskiptavin. Vegna framkvæmdar þjónustu og eða samnings Igloo getur reynst nauðsynlegt að vinna með persónuupplýsingar viðskiptavinar í þeim tilgangi að veita þjónustu sem byggir á samningi milli hans og Igloo. Heimild slíkrar vinnslu er því t.d. að finna í skilmálum þjónustu eða samninga.

Igloo hefur lögmæta hagsmuni af því að vinna með persónuupplýsingar viðskiptavinar til að þróa vörur og þjónustu félagsins svo mæta megi sem best þörfum og væntingum viðskiptavina. Slík vinnsla fer ekki fram ef grundvallarréttindi og frelsi einstaklings um persónuvernd vegur þyngra en hagsmunir af vinnslunni. Igloo hefur lögmæta hagsmuni af því að vinna með persónuupplýsingar til beinnar markaðssetningar svo hægt sé að kynna fyrir viðskiptavini þær sérsniðnu vörur og þjónustu sem Igloo hefur að bjóða þeim. Igloo notar ýmsar leiðir til að þess, s.s. með skilaboðum í gegnum kerfi félagsins, Igloo appið, samfélagsmiðla og vefsíðu Igloo (leiguskjol.is) en einnig með því að senda tölvupóst á netfang sem viðskiptavinur hefur gefið upp. Viðskiptavinur getur afþakkað slík skilaboð.

Igloo vinnur með persónuupplýsingar viðskiptavinar í ákveðnum tilvikum á grundvelli samþykkis hans, t.d. með vefkökum á vefsíðum Igloo og Leiguskjóls, eins og nánar er lýst í reglum og skilmálum um vefkökur. Igloo aflar að auki samþykkis viðskiptavinar ef fyrirséð er að persónuupplýsingar verði notaðar í öðrum tilgangi en þegar þeirra var upphaflega aflað. Viðskiptavinur getur ávallt afturkallað samþykki sitt með tikynningu til Igloo. Afturköllun samþykkis hefur ekki áhrif á vinnslu persónuupplýsinga fram að því að tilkynningin berst Igloo.

5.

Í ákveðnum tilvikum tekur Igloo sjálfvirka ákvörðun um veitingu þjónustu á grundvelli persónusniðs einstaklings sem unnið er upp úr upplýsingum Igloo um hann. Sjálfvirk ákvörðunartaka fer þannig fram að hugbúnaður vinnur sjálfvirkt persónuupplýsingar um viðskiptavin og gerir persónusnið. Í framhaldinu er tekin sjálfvirk ákvörðun án þess að mannshönd eða -hugur komi að henni. Dæmi um slíka ákvörðun er veiting ábyrgðar til leigutaka. Við gerð persónusniðsins er meðal annars byggt á lánshæfismati einstaklings og upplýsingum úr staðgreiðsluskrá. Algrím (e. algorithm) sér síðan um að reikna út og ákvarða hvort ábyrgð skuli veitt. Sjálfvirk ákvarðanataka fer einungis fram á grundvelli samþykkis einstaklings, ef hún er forsenda þess að unnt sé að gera eða framkvæma samning milli einstaklings og Igloo eða ef lög heimila. Annars konar sjálfvirkar ákvarðanir sem hafa engin bein áhrif á einstaklinga, t.d vegna markaðssetningar Igloo sem byggir á lögmætum hagsmunum, kann að vera framkvæmd án samþykkis. Viðskiptavinur getur ávallt komið á framfæri athugasemdum eða mótmælt ákvörðun sem tekin er sjálfvirkt hafi hún áhrif á hagsmuni viðkomandi, sem og fengið starfsmann til að yfirfara og endurmeta niðurstöðuna með því að senda töluvpóst á samband@leiguskjol.is eða hafa samband í síma.

6.

Igloo miðlar ekki persónuupplýsingum um viðskiptavin nema honum sé það skylt samkvæmt lögum eða til að framfylgja skyldum í samningi. Viðskiptavinur getur þó heimilað Igloo að afhenda persónuupplýsingar um hann sjálfan til þriðja aðila með samþykki sínu. Dæmi um aðila sem kunna að hafa heimild samkvæmt lögum til þess að fara fram á afhendingu persónuupplýsinga eru eftirlitsstofnananir, s.s. Fjármálaeftirlitið, Seðlabanki Íslands, Embætti héraðssaksóknara, ríkisskattstjóri, tollgæsluyfirvöld, og löggæsluyfirvöld. Þá ber Igloo skylda til þess að afhenda persónuupplýsingar samkvæmt úrskurði dómara þar um. Persónuupplýsingar eru eftir atvikum sendar til aðila sem sinna lögbundnum hlutverkum sínum eða til vinnsluaðila sem vinna persónuupplýsingar á vegum Igloo samkvæmt samningi. Meðal þeirra aðila eru fjárhagsupplýsingastofur eins og Creditinfo, upplýsingatæknifyrirtæki vegna reksturs og hýsingar upplýsingakerfa. Dæmi um miðlun slíkra upplýsinga: Vegna vanskilaskráningar, vegna innheimtu vanskilakrafna, þegar viðskiptavinur samþykkir sjálfur miðlun upplýsinga til vinnsluaðila, vegna meðferðar máls fyrir úrskurðarnefndum eða dómstólum,þegar lög kveða á um afhendingu upplýsinga o.fl. Meðhöndlun upplýsinga og kröfur sem Igloo gerir til vinnsluaðila eru tilgreindar í vinnslusamningum sem Igloo gerir við sína samstarfs- og þjónustuaðila.

7.

Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og Igloo er í gildi eða eins lengi og nauðsynlegt er miðað við tilgang vinnslu, skilmála samninga, reglur Igloo og málefnalegar ástæður gefa tilefni til. Málefnalegar ástæður eru til staðar ef enn er unnið með upplýsingar í samræmi við upphaflegan tilgang um söfnun þeirra eða vegna viðskiptalegra hagsmuna Igloo, t.d. til að setja fram eða verjast réttarkröfu en slík ástæða getur réttlætt geymslutíma upplýsinga eftir að viðskiptasambandi lýkur. Igloo leitast við að varðveita ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er. Af framangreindu leiðir að mismunandi varðveislutími getur átt við eftir tegund og eðli persónuupplýsinga. Lög kunna að kveða á um varðveislutíma gagna eins og lög um bókhald nr. 145/1994. Igloo ber að varðveita upplýsingar og gögn í samræmi við ákvæði laga sem um starfsemina gilda og kveða sérstaklega á um varðveislutíma upplýsinga.

8.

Lög um persónuvernd tryggja viðskiptavin ýmis réttindi sem farið verður yfir í þessum kafla en þó kann að vera að þau lúti ákveðnum takmörkunum. Dæmi um slíkt er ef ekki er unnt að verða við beiðni um eyðingu gagna á grundvelli ákvæða í lögum um varðveislutíma þeirra. Geti Igloo ekki orðið við slíkri beiðni af einhverjum ástæðum er viðskiptavini gerð grein fyrir því. Viðskiptavinur á rétt á að vita hvort Igloo sé að vinna með persónuupplýsingar um hann. Hann á m.a. rétt til aðgangs að þeim, sem og að fá upplýsingar um tilgang vinnslu, flokka viðtakenda, uppruna upplýsinga, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Telji viðskiptavinur að einhverjar þeirra upplýsinga sem Igloo varðveiti um hann séu óáreiðanlegar á viðskiptavinur rétt á því að fá þær leiðréttar. Viðskiptavinur á rétt á því að fara fram á að Igloo eyði persónuupplýsingum um hann ef hann telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef viðskiptavinur dregur til baka samþykki sem vinnsla persónuupplýsinga byggist á og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna er ólögmæt. Viðskiptavinur á rétt á því að andmæla vinnslu persónuupplýsinga um sig og notkun þeirra til beinnar markaðssetningar hvenær sem er, þar á meðal gerð persónusniðs. Viðskiptavinur á rétt á því að óska eftir að Igloo takmarki vinnslu persónuupplýsinga um hann ef véfengt er að upplýsingarnar séu réttar, vinnsla upplýsinganna ólögmæt eða að Igloo þarf ekki lengur á þeim að halda en viðskiptavinur þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur. Viðskiptavinur á hvenær sem er rétt á því að hafna vinnslu persónuupplýsinga í markaðslegum tilgangi. Það getur tekið tíma að uppfæra kerfi svo það kann að vera að viðskiptavinur fái áfram markaðsefni í einhvern tíma í kjölfarið. Rétt er að geta þess að þrátt fyrir að markaðsefni sé afþakkað sendir Igloo áfram mikilvægar upplýsingar til viðskiptavinar, s.s. um breytingar á skilmálum eða til að upplýsa viðskiptavin um samningsskyldur sínar.