Persónu­verndar­stefna

INNGANGUR OG GILDISSVIÐ

Í persónuverndarstefnu þessari (hér eftir „stefnan“) eru veittar upplýsingar um það hvaða persónuupplýsingum Straumur greiðslumiðlun hf., kt. 620922-1020 (hér eftir „Straumur“ eða „félagið“), safnar um viðskiptavin, hvernig félagið vinnur persónuupplýsingar og í hvaða tilgangi, hversu lengi má ætla að upplýsingarnar séu geymdar, hvert þeim kann að vera miðlað og hvernig öryggi þeirra er gætt í starfsemi félagsins. Einnig er að finna upplýsingar um réttindi viðskiptavina vegna vinnslu persónuupplýsinga hjá félaginu. Stefnan er sett með það fyrir augum að tryggja sanngjarna og gagnsæja vinnslu á persónuupplýsingum í samræmi við lög um persónuvernd og meðferð persónuupplýsinga.

Straumur starfar á sviði greiðsluþjónustu sem felur m.a. í sér framkvæmd kortafærslna, uppgjör til söluaðila auk annarra verkefna þeim tengdum og hefur starfsleyfi frá Fjármálaeftirliti Seðlabanka Íslands skv. lögum um greiðsluþjónustu nr. 114/2022 (einnig vísað til „starfsemi“). Í starfsemi sinni gæti Straumur þurft að meðhöndla persónuupplýsingar í ýmsum tilgangi í tengslum við starfsemina.

Þessi persónuverndarstefna („stefnan“) er sett með vísan til 17. gr. laga nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga. Stefna þessi tekur aðeins til einstaklinga en ekki lögaðila. Hugtakið „persónuupplýsingar“ nær til allra upplýsinga sem mögulegt er að tengja tilteknum einstaklingi beint eða óbeint, t.d. með tilvísun í auðkenni hans; s.s. nafn, kennitölu, notendanafn, lánsnúmer, o.fl. Stefna þessi nær til fyrrverandi, núverandi og verðandi viðskiptavina Straums, aðila sem eru tengdir viðskiptavini (t.d. fjölskyldumeðlima), ábyrgðarmanna og annarra viðeigandi aðila, s.s. raunverulegs eiganda fjármuna, umboðsmanns viðskiptavinar, prókúruhafa og tengdra aðila viðskiptavina ef um lögaðila er að ræða. Stefnan nær einnig eftir atvikum til annarra einstaklinga en viðskiptavina t.d. þeirra sem heimsækja starfsstöðvar eða vefsíðu félagsins, www.straumur.is, eins og nánar er lýst í stefnu þessari. Þegar vísað er til viðskiptavinar í stefnu þessari er átt við alla ofangreinda aðila.

Straumur er ábyrgðaraðili sérhverra persónuupplýsinga sem félagið safnar og vinnur um viðskiptavini og ber því ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við gildandi persónuverndarlög.

TEGUNDIR OG UPPRUNI PERSÓNUUPPLÝSINGA

Straumur kann að safna upplýsingum um viðskiptavin, ýmist frá honum sjálfum eða frá öðrum aðilum til að geta boðið viðskiptavini vörur og þjónustu. Söfnun slíkra upplýsinga getur verið nauðsynleg til að uppfylla skyldur sem hvíla á félaginu samkvæmt lögum, þá sérstaklega lögum sem gilda um aðgerðir gegn peningaþvætti o.fl., lögum um greiðsluþjónustu og eftir atvikum lögum um neytendalán, lögum um fjármálafyrirtæki sem og öðrum lögum sem gilda um starfsemina. Einnig er söfnun persónuupplýsinga nauðsynleg til að hægt sé að veita viðskiptavini þjónustu eða bjóða upp á vörur eða þjónustu.

Hér á eftir er lýsing á flestum þeim flokkum persónuupplýsinga sem félagið vinnur með og lýsing á tilgangi vinnslu þessara upplýsinga:

• Auðkennisupplýsingar: s.s. fullt nafn, notendanafn eða sambærileg auðkenni, fæðingardagur og kyn
• Tengiliðaupplýsingar: s.s. heimilisfang greiðanda, heimilisfang viðtakanda, netfang og símanúmer
• Fjárhags- og færsluupplýsingar: s.s. upplýsingar um bankareikning, færsluupplýsingar líkt og greiðslur til og frá kreditkorti/debetkorti og upplýsingar um kortanúmer
• Upplýsingar vegna endurgreiðslu: þ.e. kröfur frá þér um endurgreiðslu og aðrar tengdar upplýsingar
• Tæknilegar upplýsingar: Veffang tölvu (e. Internet protocol address (IP)), aðgangsupplýsingar, tegund og útgáfa vafra, tímastillingar og staðsetningargögn, útgáfa af hugbúnaðarviðbótum í vafra, stýrikerfa og annarrar tækni á þeim tækjum sem þú notar til að fara inn á vefsíður okkar
• Upplýsingar um notkun: Upplýsingar um hvernig viðskiptavinur notar vefsíður okkar, vörur og þjónustu
• Markaðs- og tengiliðaupplýsingar: Viðskiptavinur hefur val um að fá sent markaðsefni frá okkur og þriðju aðilum (samstarfsaðilum okkar) sem og samskiptaleiðir
• Upplýsingar í atvinnuumsókn: Eins og tengiliðaupplýsingar (nafn, heimilisfang, netfang og símanúmer), upplýsingar um atvinnuferil, námsferil, meðmælendur og aðrar þær upplýsingar sem einstaklingur kýs að veita með umsókn um starf hjá félaginu
• Upplýsingar vegna svika: Að auki safnar félagið eða notar, eftir því sem þörf krefur, persónuupplýsingum til að koma í veg fyrir svik, vegna svikavaktar eða við áhættustýringu, til að verjast endurkröfum og í öðrum tengdum tilgangi. Slíkar upplýsingar geta m.a. verið persónuleg reikningsnúmer, nafn og staðsetning seljanda, dagsetning og heildarfjárhæð færslna, IP-tölur, svikahlutfall, staðsetningargögn, upplýsingar um seljanda, keyptar vörur og upplýsingar sem tengjast endurkröfum
• Rafræn vöktun og hljóðritun símtala: Haft er eftirlit með starfsstöð félagsins með eftirlitsmyndavélum í öryggis- og eignavörsluskyni. Símtöl viðskiptavinar við félagið kunna að vera hljóðrituð. Þessi vinnsla fer t.d. fram til þess að hægt sé að færa sönnur á því hvort viðskipti hafi farið fram og í öryggisskyni
• Samþykki: Hvers konar samþykki eða leyfi sem viðskiptavinur veitir félaginu. Í þessu felast m.a. upplýsingar um hvernig viðskiptamaður vill að haft sé samband við hann, t.d. hvort hann afþakki bréfasendingar frá félaginu, samskipti vegna vefköku eða samþykki vegna annars
• Kökur: Kökur (e. cookies) eru litlar tölvuskrár sem eru sendar í tölvu viðskiptavinar eða snjalltæki þegar viðskiptavinur heimsækir vefsíðu. Þær vistast í tæki viðskiptavinar og eru sendar til baka þegar hann heimsækir vefsíðuna aftur. Kökurnar geyma upplýsingar um heimsóknir viðskiptavinar á vefsíður t.d. svo hann þurfi ekki að slá inn notendanafn eða lykilorð í hvert sinn sem hann heimsækir vefsíðuna eða til að greina umferð á vefsíðu, sjá nánar skilmála Straums um notkun á vefkökum á heimsíðu félagsins
• Tæknilegar upplýsingar: T.d. upplýsingar um þann búnað sem viðskiptavinur tengist félaginu með og afleidd gögn af þeirri tengingu; t.a.m. IP-tölur, útgáfu af stýrikerfi og framkvæmdar aðgerðir. Tilgangurinn er að bæta þjónustu og framkvæma villuleit
• Umsækjendaupplýsingar: Upplýsingar sem umsækjandi um starf hjá félaginu veitir og koma fram á ferilskrá umsækjanda, s.s. nafn, kennitala, heimilisfang, símanúmer, netfang, menntun og hæfni, starfsreynsla o.s.frv.
• Viðkvæmar persónuupplýsingar: Sumar persónuupplýsingar eru flokkaðar sem viðkvæmar í lögum um persónuvernd. Þetta eru t.d. upplýsingar er varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu, aðild að verkalýðsfélagi, erfðafræðilegar upplýsingar, lífkennaupplýsingar og heilsufarsupplýsingar. Færsluupplýsingar geta innihaldið viðkvæmar persónuupplýsingar í einhverjum tilfellum, s.s. ef færsla gefur upplýsingar um trúarbrögð eða aðrar lífsskoðanir, upplýsingar er varðar kynlíf einstaklings eða kynhneigð, stjórnmálaskoðanir, þátttöku í stéttarfélagi og heilsufarsupplýsingar. Félagið hefur sem færsluhirðir að öllu jöfnu ekki aðgang að upplýsingum um nafn korthafa eða að öðrum tengiupplýsingum

Framangreind upptalning er ekki tæmandi og félagið getur unnið aðrar upplýsingar um viðskiptavin sem eru nauðsynlegar hverju sinni eftir eðli viðskiptasambandsins eða samskipta viðskiptavinar við félagið.

Rétt er að benda á að viðskiptavini er ávallt valkvætt að veita persónuupplýsingar. Séu upplýsingar ekki veittar kann það þó að hafa áhrif á möguleika félagsins til að veita viðskiptavini þjónustu.

NOTKUN PERSÓNUUPPLÝSINGA & VINNSLUGRUNDVÖLLUR

Það fer eftir eðli samningssambands viðskiptavinar og félagsins hvaða heimild liggur til grundvallar vinnslu persónuupplýsinga og í hvaða tilgangi upplýsingarnar eru unnar.

Félagið notar einkum persónu­upplýsingar viðskiptavinar til að hafa samband við viðskiptavin, auðkenna hann og tryggja öryggi og áreiðanleika í viðskiptum, til að framkvæma umbeðin viðskipti og veita fjármálaþjónustu, til að þróa vöru- og þjónustuframboð félagsins, bregðast við lögfræðilegum beiðnum og tryggja net- og upplýsingaöryggi. Heimildir félagsins til vinnslu persónuupplýsinga byggja í flestum tilvikum á eftirfarandi;

a. Uppfylla samningsskyldur: Persónuupplýsingar eru unnar til að framkvæma samning sem gerður er við viðskiptavini félagsins. Frekari upplýsingar um tilgang vinnslu á grundvelli samninga félagsins við viðskiptavin má finna í viðkomandi samningum og skilmálum þeirra

b. Uppfylla lagaskyldu: Vinnsla félagsins á persónuupplýsingum byggir að miklu leyti á nauðsyn félagsins til að uppfylla ýmsar lagalegar skyldur, t.d. á grundvelli laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og bókhaldslaga

c. Gæta lögmætra hagsmuna félagsins eða þriðja aðila: Í tilvikum þar sem vinnsla er nauðsynleg vegna lögmætra hagsmuna félagsins, þriðja aðila eða viðskiptavinar kann félagið að vinna persónuupplýsingar um viðskiptavin umfram það sem þarf til að uppfylla og framfylgja samningsskyldum félagsins, nema hagsmunir viðskiptavinar vegi þyngra. Þá hefur félagið lögmæta hagsmuni af því að vinna með persónuupplýsingar viðskiptavina til að þróa vörur og þjónustu félagsins svo mæta megi sem best þörfum og væntingum viðskiptavina og til að þróa vörur og þjónustu félagsins

d. Á grundvelli samþykkis: Ef viðskiptavinur hefur veitt félaginu samþykki fyrir vinnslu persónuupplýsinga í ákveðnum tilgangi er samþykki grundvöllur slíkrar vinnslu, t.d. í tengslum við að bjóða viðskiptavini þjónustu annarra aðila, s.s. tryggingafélaga. Í slíkum tilvikum veitir félagið viðskiptavini nánari upplýsingar um þá tilteknu vinnslu persónuupplýsinga sem samþykkið nær til. Viðskiptamaður á ávallt rétt á því að draga samþykki sitt til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu persónuupplýsinga sem átti sér stað fyrir afturköllun

MIÐLUN PERSÓNUUPPLÝSINGA

Að því marki sem nauðsynlegt er til að framfylgja samningsskyldum félagsins við viðskiptavin hafa starfsmenn félagsins aðgang að persónuupplýsingum. Auk þess hafa þjónustuaðilar félagsins, sem vinna persónuupplýsingar í þágu félagsins, aðgang að persónuupplýsingum. Þetta eru t.d. viðskiptafélagar og þjónstuveitendur sem veita t.d. greiðsluþjónustu, fjármálaþjónustu, hýsingar- og upplýsingatækniþjónustu, póstþjónustu, prentþjónustu, fjarskipta­þjónustu, innheimtuþjónustu, ráðgjöf, endurskoðun og sölu- og markaðs­þjónustu. Félagið leitar aðeins til þjónustuaðila sem veita persónuupplýsingum fullnægjandi vernd samkvæmt persónuverndarlöggjöfinni.

Þá miðlar félagið upplýsingum til fyrirtækja innan sömu samstæðu og Straumur í tengslum við lögbundna áhættustýringu. Loks er félaginu skylt samkvæmt lögum að veita opinberum aðilum aðgang að persónuupplýsingum, sé óskað eftir því, s.s. Seðlabankanum, skattyfirvöldum, eftirlitsaðilum, lögregluyfirvöldum, skiptastjórum og dómstólum. Þá getur félagið, á grundvelli samþykkis, miðlað upplýsingum til utanaðkomandi aðila. 

Dæmi um miðlun persónuupplýsinga er t.d. þegar nauðsynlegt er að rekja fjármagn vegna gruns um svik eða fjárglæpi; vegna innheimtu vanskilakrafna; vegna meðferðar máls fyrir úrskurðarnefndum eða dómstólum; þegar lög kveða á um afhendingu upplýsinga; þegar viðskiptavinur samþykkir sjálfur miðlun upplýsinga til annarra, t.d. vegna markaðssetningar.  

MIÐLUN UTAN EVRÓPSKA EFNAHAGSSVÆÐISINS

Í vissum tilvikum kunna gögn að vera flutt úr landi og út fyrir Evrópska efnahagssvæðið (EES), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða skyldur sem hvíla á félaginu samkvæmt lögum. Félagið miðlar aðeins persónuupplýsingum til landa utan EES-svæðisins ef það er nauðsynlegt í því skyni að framkvæma beiðnir viðskiptavinar, s.s. greiðslubeiðnir eða viðskiptabeiðnir, þess er krafist samkvæmt lögum, s.s. tilkynningarskylda samkvæmt skattalöggjöf (CRS og FATCA) eða viðskiptavinur hefur veitt samþykki fyrir slíkri miðlun. Þegar miðlun á sér stað þá ber félagið ábyrgð á því að viðeigandi verndarráðstafanir séu til staðar hjá viðtakanda svo fullnægjandi vernd persónuupplýsinga þinna sé tryggð.

VARÐVEISLUTÍMI

Persónuupplýsingar eru varðveittar á meðan viðskiptasamband varir og lög mæla fyrir um eða viðskiptahagsmunir félagsins krefjast og málefnaleg ástæða þykir til. Málefnaleg ástæða er til staðar ef enn er unnið með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra eða vegna viðskiptalegra hagsmuna félagsins, t.d. til þess að afmarka, setja fram og verja kröfur félagsins.

Félagið leitast við að varðveita ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er. Félagið byggir varðveislutíma einkum á lögum um bókhald, lögum um tekjuskatt, lögum um virðisaukaskatt, lögum um peningaþvætti o.fl., lögum um fyrningu kröfuréttinda  o.s.frv. Ef upplýsingar eru taldar hafa sögulegt gildi þá eru upplýsingarnar gerðar ópersónugreinanlegar með afmáningu persónuauðkennis.

RÉTTINDI VIÐSKIPTAVINAR

Viðskiptavinur hefur, í tengslum við vinnslu persónuupplýsinga um hann, rétt til að:

• Óska eftir upplýsingum um hvernig félagið vinnur persónuupplýsingarnar og fá afrit af þeim upplýsingum;
• Óska eftir leiðréttingu á röngum persónuupplýsingum sem félagið vinnur eða óska eftir að láta fullgera ófullkomnar persónuupplýsingar;
• Óska eftir því að persónuupplýsingum viðskiptavinar sé eytt telji viðskiptavinur að upplýsingarnar séu ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við þegar viðskiptavinur dregur til baka samþykki sem vinnsla persónuupplýsinga byggist á og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna er ólögmæt;
• Óska eftir að félagið takmarki vinnslu persónuupplýsinga í ákveðnum tilvikum, s.s. þegar vinnslu hefur verið andmælt; 
• Óska eftir því að fá persónuupplýsingarnar á skipulegu, algengu og tölvulesanlegu sniði og fá þær sendar annarri stofnun;
• Afturkalla áður veitt samþykki fyrir vinnslu persónuupplýsinga. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun;
• Andmæla vinnslu í þágu beinnar markaðssetningar;
• Andmæla vinnslu persónuupplýsinga sem félagið vinnur á grundvelli lögmætra hagsmuna, s.s. vinnslu sem felur í sér gerð persónusniðs (persónugreining);
• Leggja fram kvörtun hjá Persónuvernd ef viðskiptavinur álítur að vinnsla félagsins á persónu­upplýsingunum hans brjóti í bága við gildandi lög

Andmæli viðskiptavinur vinnslu persónuupplýsinga mun félagið hætta vinnslu persónuupplýsinganna nema félagið geti sýnt fram á lagaskyldu eða lögmæta hagsmuni sem ganga framar hagsmunum viðskiptavinar.

Óskir þú eftir frekari upplýsingum um réttindi þín eða hvernig þú getur nýtt þau er þér bent á að hafa samband við persónuverndarfulltrúa félagsins (sjá samskiptaupplýsingar í lið 11).

BREYTINGAR Á PERSÓNUVERNDARSTEFNUNNI

Félaginu er heimilt að breyta stefnu þessari reglulega til samræmis við breytta viðskiptahætti og lagaskyldu til að stefnan endurspegli sem best þá vinnslu sem fram fer hverju sinni hjá félaginu. Breytingar á stefnu þessari taka gildi án fyrirvara við birtingu á vef félagsins, nema annað sé tilgreint. Straumur hvetur viðskiptavin til að skoða stefnu þessa reglulega til að vera upplýstur um hvernig félagið notar og verndar persónuupplýsingar.

SAMSKIPTAUPPLÝSINGAR

Viðskiptavinur getur haft samband við persónuverndarfulltrúa félagsins með öll mál sem tengjast vinnslu á persónuupplýsingum hans og hvernig hann geti neytt réttar síns samkvæmt lögum um persónuvernd.

Ef viðskiptavinur hefur spurningar vegna vinnslu persónuupplýsinga eða athugasemdir við stefnu þessa skal beina erindum vegna þess til persónuverndarfulltrúa félagsins, með bréfpósti eða tölvupósti.

Straumur greiðslumiðlun hf.         
Katrínartún 2       
105 Reykjavík     

B.t. persónuverndarfulltrúa

Netfang: personuvernd@straumur.is

Persónuverndarstefna þessi var síðast endurskoðuð í janúar 2023.