Persónuverndarstefna Lummunar

Persónuverndarstefna Lummunar í eigu Social ehf., kt. 640309-1050, með lögheimili að Fróðaþingi 9, 203 Kópavogi („Lumman“ eða „við“). Þú getur nýtt þér þjónustu Lummunar með því að Lummu appið. Þegar þú notar þjónustu okkar notum við upplýsingarnar sem við fáum um þig við innskráningu til að auðkenna þig í kerfum okkar svo þú getir viðhaldið stillingum á þjónustunni fyrir þig og til að tryggja að þær haldist á milli tækja ef þú skráir þig inn á mörgum tækjum með sömu upplýsingum. Hafir þú ekki náð 16 ára aldri, vinsamlega notaðu þá ekki þjónustu okkar án leyfis og eftirlits forráðamanns þíns. Þegar þú notar þjónustu okkar er mikilvægt fyrir okkur að þú hafir fullan skilning á því hvernig og hvers vegna við vinnum með upplýsingar þínar og að þú þekkir réttindi þín. Í þessari persónuverndarstefnu Lummunar („stefna“) útskýrum við:
  • Hvaða upplýsingum við söfnum og hvernig;
  • Hvernig við notum upplýsingarnar og á hvaða lagagrundvelli;
  • Hve lengi við vinnum með upplýsingarnar;
  • Hver hefur aðgang að upplýsingunum;
  • Hver réttindi þín eru í tengslum við upplýsingarnar og hvernig þú nýtir þau.
Við höfum reynt að útskýra allt á eins skýran og einfaldan hátt og unnt er, en ef þú skilur ekki einhver hugtök sem eru notuð, t.d. „persónuupplýsingar“ eða „push“, geturðu skoðað orðalistann yfir lykilhugtök í viðauka A við þessa stefnu. Ef eitthvað er ennþá óljóst getur þú hvenær sem er haft samband við okkur með því að senda tölvupóst á lumman@puls.app.

1. Hvaða upplýsingum við söfnum og hvernig

Upplýsingarnar sem við söfnum um notendur eru mismunandi eftir því hvernig viðkomandi skráir sig inn. Þær upplýsingar sem við söfnum eru:
  • Einkvæmt númer Lummu appsins í þínum síma. Þetta númer er ekki hægt að nota til að rekja þig í aðrar þjónustur.
  • Ef þú leyfir appinu að senda tilkynningar („push“) þá geymum við auðkenni sem er notað til að senda tilkynningar í appið.
  • Einkvæmur „lykill“ sem er notaður í samskiptum Lummu appsins í þínum síma við kerfi Lummunar. Þessi lykill er með stuttan líftíma og appið endurnýjar hann reglulega og fær nýjan.
Núna eru eftirfarandi leiðir í boði fyrir innskráningu:
  • Facebook: Ef þessi leið er notuð þá geymum við nafn og upplýsingar um Facebook auðkenni þitt fyrir okkar þjónustu. Þetta auðkenni er ekki hægt að nota neinsstaðar annarsstaðar.
  • Google: Ef þessi leið er notuð þá geymum við upplýsingar um nafn og tölvupóstfang þitt.
  • SMS: Ef þessi leið er notuð þá geymum við upplýsingar um símanúmerið þitt
  • Prófa appið: Ef þess leið er notuð þá geymum við engar aðrar upplýsingar

2. Hvernig notum við upplýsingar sem er safnað og á hvaða lagagrundvelli?

Við notum upplýsingarnar eingöngu til að gera þér kleift að stilla appið að þínum þörfum og fá sendar tilkynningar ef þú óskar þess. Þú getur treyst því að ef við hyggjumst einhvern tíma nota upplýsingar um þig í tilgangi sem ekki er greint frá í þessari stefnu munum við ávallt láta þig vita fyrirfram og veita þér tækifæri til að hætta að nota þjónustu okkar.

3. Hve lengi vinnum við með upplýsingar sem er safnað?

Persónuupplýsingar þínar eru aðeins geymdar og með þær unnið í þann tíma sem er nauðsynlegur í þeim tilgangi sem þeirra var aflað í. Ákveðir þú t.d. að eyða aðgangi þínum í kerfi Lummunar munum við geyma persónuupplýsingar þínar í 30 daga til viðbótar vegna þess möguleika að þú ákveðir að endurstofna aðganginn, en að þeim tíma liðnum eyðum við persónuupplýsingum þínum.

4. Hver hefur aðgang að upplýsingum þínum?

Lumman leggur mikla áherslu á vernd persónuupplýsinga og mun aldrei selja þriðju aðilum persónuupplýsingar þínar. Aðgangsupplýsingar þínar eru geymdar hjá Google Firebase sem styður GDPR. Sjá nánar hér (firebase.google.com/support/privacy) Auk aðgangsupplýsinga þá heldur Google Firebase líka utanum heimsóknatölur við notkun appsins. Við vinnum með persónuupplýsingar þínar á á landsvæði Evrópusambandsins og Evrópska efnahagssvæðisins og miðlum þeim til bandarískra samstarfsaðila okkar í samræmi við gildandi lög. Ef við miðlum persónuupplýsingum þínum til Bandaríkjanna notum við aðeins þá þjónustu sem er viðurkennd í samræmi við samkomulag Evrópusambandsins og Bandaríkjanna um flutning persónuupplýsinga (e. EU-U.S. Privacy Shield Framework) til að tryggja viðunandi stig verndar jafnvel eftir að þær eru fluttar. Viljir þú vita hvar þínar tilteknu upplýsingar eru staðsettar getur þú haft samband við okkur með því að senda tölvupóst á lumman@puls.app hvenær sem er. Okkur er ánægja að verða við beiðni þinni. Ef við flytjum persónuupplýsingar þínar til þriðju aðila gerum við það ávallt á grundvelli fullnægjandi samnings við viðkomandi aðila til að geta haft eftirlit með meðhöndlun þeirra á persónuupplýsingum þínum.

5. Hvernig við tryggjum öryggi persónuupplýsinga

Við leggjum áherslu á og okkur ber skylda til að tryggja öryggi persónuupplýsinga þinna. Því reynum við að gera bestu hugsanlegu varúðarráðstafanir í tengslum við upplýsingaöryggi til að koma í veg fyrir misnotkun og aðra óheimila meðferð persónuupplýsinga þinna. Til að tryggja öryggi persónuupplýsinga þinna höfum við gert eftirfarandi ráðstafanir:
  • Reglulegt áhættumat. Við metum reglulega áhættuþætti upplýsingaöryggis í tengslum við persónuupplýsingar til að tryggja að öryggi þeirra sé viðunandi hjá okkur.
  • Öryggisferlar innan fyrirtækisins. Við leggjum áherslu á að verja persónuupplýsingar þínar fyrir hættunni á mannlegum mistökum. Einkum má nefna eftirfarandi ráðstafanir:
    • Við förum eftir sérstökum öryggisleiðbeiningum og -skjölum sem gilda innan fyrirtækisins;
    • Við veitum starfsmönnum okkar reglulega þjálfun í tengslum við reglur sem gilda um meðhöndlun persónuupplýsinga og áhættuþætti í tengslum við upplýsingaöryggi;
    • Við skilgreinum með samningsbundnum hætti ábyrgð starfsmanna, ytri samstarfsaðila, þjónustuveitenda og annarra þriðju aðila sem hafa aðgang að persónuupplýsingum þínum;
    • Við höfum tekið upp og viðhöldum stöðluðum verkferlum um meðhöndlun persónuupplýsinga.
  • Tæknilegar ráðstafanir. Við höfum gert mikilvægar tæknilegar ráðstafanir til að tryggja öryggi persónuupplýsinga þinna. Einkum má nefna eftirfarandi ráðstafanir:
    • Vírusvarnarlausn fyrir miðlara/þjóna (e. servers) til verndar gegn spilliforritum (e. malware);
    • Netöryggislausnir sem sameina eldveggi, netstillingar og aðra tækni;
    • Dulkóðun gagnaflutnings í kerfi Lummunar með HTTPS;
    • Allar persónuupplýsingar eru geymdar með öruggum hætti í SQL gagnagrunni á miðlurum innan ESB/EES;
    • Öryggisafrit af mikilvægum gögnum og innviðum.
  • Raunlægt öryggi. Til verndar persónuupplýsingum á skriflegu formi og raunlægu öryggi upplýsingatæknibúnaðar:
    • Stýrum við aðgangi að gagnagrunnum sem geyma persónuupplýsingar þínar;
    • Höfum við tryggt öryggi húsnæðis þar sem miðlarar eru staðsettir og geymslu persónuupplýsinga.

6. Nýting réttinda þinna

Þú hefur eftirfarandi réttindi í tengslum við vinnslu persónuupplýsinga þinna:
a) réttinn til aðgangs að persónuupplýsingum;
b) réttinn til lagfæringar;
c) réttinn til að eyða gögnum („réttinn til að gleymast“);
d) réttinn til að takmarka vinnslu;
e) réttinn til að andmæla vinnslu („andmælaréttur“); og
f) réttinn til að leggja fram kvörtun um vinnslu persónuupplýsinga.
Réttindi þín eru nánar útskýrð hér að neðan. Þú getur nýtt þér öll réttindi þín með því að skrifa okkur á […]. Þú getur lagt fram kvörtun til Persónuverndar (www.personuvernd.is). Rétturinn til aðgangs merkir að þú getur hvenær sem er beðið okkur um að staðfesta hvort unnið sé með persónuupplýsingar þínar. Ef svo er áttu rétt til aðgangs að öllum viðkomandi upplýsingum og að upplýsingum um í hvaða tilgangi, að hvaða marki og hverjum þær eru gerðar aðgengilegar, hve lengi við munum vinna með þær, hvort þú átt rétt á að lagfæra þær, eyða þeim, takmarka vinnslu þeirra eða andmæla vinnslunni, hvar við fengum persónuupplýsingarnar og hvort þær eru notaðar til sjálfvirkrar ákvarðanatöku, þ.m.t. til gerðar persónusniða (e. profiling). Rétturinn til lagfæringar merkir að þú getur hvenær sem er beðið okkur að lagfæra eða bæta við persónuupplýsingar þínar, séu þær rangar eða ófullgerðar. Rétturinn til að eyða gögnum merkir að við verðum að eyða persónuupplýsingum þínum ef (i) ekki er lengur nauðsynlegt að geyma þær í þeim tilgangi sem þeirra var aflað í eða með þær unnið, (ii) vinnslan er ólögmæt, (iii) þú andmælir vinnslunni og ekki eru fyrir hendi lögmætar ástæður fyrir vinnslunni sem ganga framar rétti þínum, (iv) okkur ber það samkvæmt lagaskyldu eða (v) þú hefur afturkallað samþykki þitt fyrir vinnslu okkar á persónuupplýsingum þínum. Rétturinn til takmörkunar á vinnslu merkir að þar til niðurstaða fæst um álitamál í tengslum við vinnslu persónuupplýsinga þinna verðum við að takmarka vinnslu þeirra. Andmælaréttur merkir að þér er heimilt að andmæla vinnslu persónuupplýsinga þinna sem við vinnum með í tilgangi sem lögmætir hagsmunir okkar standa til, einkum til beinnar markaðssetningar. Ef þú andmælir vinnslu til beinnar markaðssetningar verður ekki lengur unnið með persónuupplýsingar þínar í þeim tilgangi. Þessi persónuverndarstefna gildir frá og með 3. júlí 2020.