indó merki

Persónuverndaryfirlýsing

Um persónuverndaryfirlýsinguna

  1. Einn af hornsteinum indó sparisjóðs er að koma hreint fram. Persónuvernd viðskiptavina skiptir indó miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.
  2. Í persónuverndaryfirlýsingunni er m.a.að finna útskýringar á því hvaða persónuupplýsingum sparisjóðurinn safnar, hvenær og hvers vegna, hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra.
  3. Einnig er að finna upplýsingar um réttindi viðskiptavinar vegna þeirra persónuupplýsinga sem sparisjóðurinn vinnur.
  4. indó meðhöndlar og vinnur með persónuupplýsingar um viðskiptavin í samræmi við lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Sparisjóðurinn leggur áherslu á að hafa persónuverndaryfirlýsingu sína gagnorða, skýra og í einföldu máli.

Upplýsingar um ábyrgðaraðila

  1. Ábyrgðaraðili er indó sparisjóður hf., Nóatún 17, 105 Reykjavík, kt. 411018 0400.
  2. indó er sparisjóður sem veitir þjónustu á sviði sparnaðar og greiðslumiðlunar.
  3. indó hefur starfsleyfi sem sparisjóður samkvæmt lögum um fjármálafyrirtæki, nr. 161/2002 og sætir eftirliti Seðlabanka Íslands, í samræmi við lög um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998 (sjá vefsíðu Seðlabanka Íslands, http://www.sedlabanki.is ).
  4. Sparisjóðurinn er m.a. skráður í fyrirtækjaskrá, hlutafélagaskrá, firmaskrá og skrá Seðlabanka Íslands yfir fjármálafyrirtæki.
  5. Frekari upplýsingar um starfsemi indó má finna á vefsíðu sparisjóðsins: http://www.indo.is

Persónuupplýsingar sem sparisjóðurinn safnar um viðskiptavin

  1. indó safnar persónuupplýsingum frá viðskiptavini til þess að geta boðið honum vörur og þjónustu.
  2. Að jafnaði er um að ræða almennar persónuupplýsingar eins og nafn, kennitölu, heimilisfang, símanúmer, IP-tölu, aðsetur og upplýsingar um vörur og þjónustu sem viðskiptavinur hefur nýtt, eða nýtir, sér hjá sparisjóðnum.
  3. Í ákveðnum tilvikum safnar indó svokölluðum viðkvæmum persónuupplýsingum um viðskiptavin eins og upplýsingum um þjóðerni og kyn. Sparisjóðurinn safnar einnig persónuupplýsingum um viðskiptavin þegar hann hefur samband við sparisjóðinn í þeim tilgangi að fá þjónustu eins og með símtali til þjónustuvers, með tölvupósti, netspjalli, á vefsíðu sparisjóðsins, eða í indó appinu. Þá kann sparisjóðurinn að fá afhentar persónuupplýsingar frá þriðja aðila þegar slíkt telst nauðsynlegt og þriðji aðili hefur heimild til að afhenda indó upplýsingar, t.d. Þjóðskrá Íslands eða Creditinfo.

Flokkar persónuupplýsinga

  1. indó flokkar persónuupplýsingar eftir tegundum til þess að geta öðlast yfirsýn yfir tegundir persónuupplýsinga sem sparisjóðurinn vinnur með. Það fer eftir eðli viðskipta og viðskiptavina hvaða upplýsinga er safnað á hverjum tíma um hvern viðskiptavin. Hér á eftir má sjá lýsingu á helstu flokkum persónuupplýsinga:
  • Auðkennisupplýsingar: Hvers konar skilríki sem bera kennsl á viðskiptavin, t.d. rafræn auðkenni.
  • Grunnupplýsingar: Nafn, kennitala, heimilisfang, símanúmer, netfang og aðrar grunnupplýsingar.
  • Fjölskylduhagir: Hjúskaparstaða, maki, börn og tengdir aðilar.
  • Fjárhagsupplýsingar: Viðskiptasaga, velta, hreyfingar á reikningum og staða reikninga, reikningsnúmer, greiðslukortaupplýsingar, vaxtakjör, o.fl.
  • Samningsupplýsingar: Atriði er varða samninga sem viðskiptavinur hefur gert við sparisjóðinn og upplýsingar um vörur og þjónustu sem veittar eru viðskiptavini svo hægt sé að framfylgja ákvæðum samninga. Hér er átt við upplýsingar um umsóknir um vöru og þjónustu, vexti, þjónustugjöld, undirrituð skjöl o.fl.
  • Upplýsingar um uppruna eigna og fjármagns: Hér er t.d. átt við upplýsingar varðandi viðskiptaaðila, viðskiptastarfsemi og hvernig fjármuna hafi verið aflað.
  • Upplýsingar vegna áreiðanleikakönnunar og áhættumat: Upplýsingar sem gera indó kleift að framkvæma áreiðanleikakönnun á grundvelli laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og að tryggja framfylgni við alþjóðlegar refsiaðgerðir (e. international sanctions) þ.m.t. ganga úr skugga um að tilgangur og eðli viðskiptasambands sé í samræmi við lög og hvort viðskiptavinur sé í áhættuhópi vegna stjórnmálatengsla.
  • Upplýsingar sem verða til þegar lögboðnum fyrirspurnum stjórnvalda er svarað: Hér er t.d. átt við upplýsingar til ríkisskattstjóra vegna skattframtala eða staðgreiðsluskila og upplýsingar til skattrannsóknarstjóra og héraðssaksóknara vegna rannsóknar mála. Hér undir geta fallið allar persónuupplýsingar sem sparisjóðurinn hefur aflað um viðskiptavin.
  • Samskiptaupplýsingar: Upplýsingar sem sparisjóðurinn fær frá viðskiptavini með t.d. bréfi, skilaboðum í gegnum indó appið, í gegnum tölvupóst, og/eða úr samræðum við viðskiptavin, hvort heldur í gegnum indó appið, í eigin persónu eða í gegnum síma.
  • Tæknilegar upplýsingar: Upplýsingar um búnað viðskiptavinar sem hann notar til að tengjast indó í gegnum indó appið eða í gegnum heimasíðu sparisjóðsins. Afleidd gögn af þeirri tengingu eru t.d. IP-tala, útgáfa af stýrikerfi, staðsetning snjalltækis og framkvæmdar aðgerðir.
  • Upplýsingar um hegðun og notkun: Upplýsingar um hvernig viðskiptavinur notar vörur og þjónustu sparisjóðsins, hve oft hann notar þjónustuna, tegundir þjónustu, kjörstillingar viðskiptavinar, niðurstöður úr könnun, áhugamál viðskiptavinar og smekkur. Þannig hefur indó tækifæri til að bæta þjónustuþætti sína ásamt því að geta fylgst með öryggi.
  • Opinberar upplýsingar: Upplýsingar frá Þjóðskrá Íslands. Einnig upplýsingar sem hægt er að fá aðgengi að hjá fjárhagsupplýsingastofu eins og Creditinfo og opinberar upplýsingar á netinu.
  • Myndbandsupptökur og afritun samskipta: Eftirlitsmyndavélaupptökur af starfsstöðvum, varðveisla á netsamskiptum og hljóðritun símtala.
  • Viðkvæmar persónuupplýsingar: Upplýsingar um þjóðerni, fingraför og andlitsauðkenni.
  • Samþykki: Einstök samþykki eins og veitt eru t.d. vegna vefköku.
  • Umsækjendaupplýsingar vegna starfa hjá indó: Nafn, kennitala, heimilisfang, símanúmer, netfang, menntun og hæfni, starfsreynsla, þjóðerni, fötlun, kynferði o.s.fr.

Persónuupplýsingar sem einstaklingur afhendir sparisjóðnum

  1. Í upphafi viðskiptasambands safnar indó grunnupplýsingum, auðkennisupplýsingum og upplýsingum vegna áreiðanleikakönnunar fyrir viðskiptavin. Í framhaldinu lætur einstaklingur af hendi fjárhagsupplýsingar og aðrar upplýsingar sem þörf er á svo unnt sé að afhenda þá vöru eða veita þá þjónustu sem hann óskar eftir, t.d. upplýsingar um greiðslur, s.s fjárhæð þeirra, tegund og hver móttakandi er. indó safnar upplýsingum um hegðun og notkun einstaklings auk upplýsinga sem eru veittar af einstaklingi þegar hann tekur þátt í markaðsrannsókn og/eða þjónustukönnun.
  2. indó skráir og varðveitir samskipti einstaklings og sparisjóðsins í samræmi við lög, reglur sparisjóðsins og yfirlýsingu þessa. Þegar einstaklingur nýtir sér rétt sinn til þess að flytja eigin persónuupplýsingar frá öðrum ábyrgðaraðila til sparisjóðsins, þá er hann að afhenda honum persónuupplýsingar um sig.
  3. Ef einstaklingur vill ekki afhenda sparisjóðnum persónuupplýsingar sem honum er nauðsynlegt að afla eða andmælir vinnslu þeirra getur það haft áhrif á hvort eða hvernig sparisjóðurinn veiti einstaklingnum þjónustu.

Persónuupplýsingar sem verða til hjá sparisjóðnum

  1. Hjá sparisjóðnum verða til persónupplýsingar um viðskiptavin í tengslum við það þegar indó veitir samningsbundna þjónustu eða sinnir lögbundnu eftirliti. Hér er átt við upplýsingar eins og:
  • hvaða vöru og þjónustu viðskiptavinur er með frá sparisjóðnum
  • hvenær hann skráði sig inn í indó appið * hvenær hann heimsótti vefsíðu sparisjóðsins
  • IP-tala og auðkennisupplýsingar
  • hvernig hann hefur átt samskipti við sparisjóðinn
  • hvaða ráðgjöf hann kann að hafi hlotið
  • úrlausn fyrirspurna eða ágreiningsmála
  • greiðslusögu
  • hreyfingayfirlit reikninga
  • upplýsingar um launagreiðendur og launagreiðslur
  • upplýsingar sem varpa ljósi á hvort um sviksemi eða óeðlileg viðskipti er að ræða.

Hljóðritun, afritun samskipta og rafræn vöktun

  1. indó kann að varðveita hljóðritanir símtala í samræmi við innri reglur sparisjóðsins um rafræna vöktun. Símtöl eru hluti af öryggiskerfi sparisjóðsins og sækja lagastoð í persónuverndarlögin. Hljóðrituð símtöl eru geymd í 90 daga, og að þeim tíma liðnum eyðast upptökur af þeim sjálfkrafa.
  2. indó geymir afrit af öllum rafrænum samskiptum við viðskiptavini, hvort sem það er í gegnum tölvupóst eða netspjall.
  3. Rafræn vöktun kann að fara fram með eftirlitsmyndavélum á starfsstöðvum sparisjóðsins. Tilgangur vinnslunnar er að tryggja öryggi og lágmarka svikahættu.

Persónuupplýsingar sem þriðji aðili afhendir sparisjóðnum

  1. indó fær afhentar persónuupplýsingar frá þriðju aðilum. Sparisjóðurinn kann að afla upplýsinga frá umboðsmönnum sem viðskiptavinur hefur tilnefnt. Til að vinna gegn sviksemi, uppræta peningaþvætti og fjármögnun hryðjuverka eru fengnar upplýsingar frá þekktum gagnaveitum sem hafa heimild til sinnar starfsemi og nýttar eru við framkvæmd áreiðanleikakönnunar. Dæmi um þriðju aðila sem afhenda upplýsingar um einstaklinga til sparisjóðsins eru Þjóðskrá Íslands, Creditinfo, Ríkisskattstjóri og Tollstjóri.
  2. Þriðju aðilar afhenda þær upplýsingar til sparisjóðsins sem hann þarf og þeim er heimilt að afhenda. Mismunandi er hvort þeir aðilar hafi til þess sjálfstæða heimild eða hvort viðskiptavinur hafir veitt þeim samþykki.
  3. indó fær upplýsingar um viðskiptavin í þeim tilgangi að tryggja að upplýsingar um hann séu áreiðanlegar þannig að þær endurspegli rétta fjárhagsstöðu hans og auðkenni.
  4. Sparisjóðurinn aflar einnig persónuupplýsinga sem eru birtar opinberlega enda er vinnsla þeirra almennt heimil, t.d. úr Lögbirtingablaðinu.

Í hvaða tilgangi eru persónuupplýsingar unnar og á grundvelli hvaða heimildar?

  1. Sparisjóðurinn þarf ávallt að hafa heimild til vinnslu persónuupplýsinga sem hann býr yfir um viðskiptavin. Í þessum kafla er fjallað um tilgang og heimildir fyrir vinnslu.

Vegna framkvæmdar samnings

  1. Sparisjóðnum getur reynst nauðsynlegt að vinna með persónuupplýsingar viðskiptavinar í þeim tilgangi að veita þjónustu sem byggir á samningi milli hans og sparisjóðsins. Heimild slíkrar vinnslu er því t.d. að finna í Skilmálum debetkorta, Almennum skilmálum innlánsreikninga, Skilmálum indó appsins sem og Almennum viðskiptaskilmálum.
  2. indó vinnur persónuupplýsingar viðskiptavinar eftir að til viðskipta er stofnað til þess að efna samninginn. Óski viðskiptavinur eftir frekari þjónustu eða vörum kann sparisjóðurinn að þurfa að nýju að vinna með persónuupplýsingar hans.

Til að uppfylla lagaskyldu

  1. indó ber skylda til þess að safna, geyma og miðla persónuupplýsingum á grundvelli laga, reglugerða, dómsúrskurða, stjórnvaldsúrskurða, leiðbeinandi tilmæla á fjármálamarkaði og annarra fyrirmæla stjórnvalda. Þá geta yfirvöld eins og Seðlabanki Íslands, Embætti héraðssaksóknara eða ríkisskattstjóri og tollgæsluyfirvöld óskað eftir upplýsingum frá sparisjóðnum um viðskiptavin, liggi fyrir skýr lagaheimild. Sparisjóðum ber skylda til að verða við slíkum beiðnum og eftir atvikum að veita yfirvöldum aðgang að starfsstöðvum og upplýsingakerfum hans í þeim tilgangi.
  2. Eftirfarandi eru dæmi um vinnslu á þessum grundvelli:
  • Við mat á eiginfjárhlutfalli sparisjóðsins og lausafjáráhættu
  • Við gerð áreiðanleikakönnunar einstaklinga á grundvelli laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka
  • Við greining og rannsókn á málum er varða peningaþvætti, fjármögnun hryðjuverka, fjársvik og annars konar refsiverða háttsemi
  • Við lögboðið innra eftirlit
  • Við varðveislu tiltekinna persónuupplýsinga á grundvelli laga um ársreikninga og laga um bókhald
  1. Á sparisjóðnum hvílir einnig lagaskylda til þess að varðveita tilgreind persónugreinanleg gögn, s.s. vegna laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, laga um bókhald og vegna upplýsingagjafar til eftirlitsaðila eða annarra opinberra aðila.

Vegna lögmætra hagsmuna

  1. indó hefur lögmæta hagsmuni af því að vinna með persónuupplýsingar viðskiptavinar til að þróa vörur og þjónustu sparisjóðsins svo mæta megi sem best þörfum og væntingum viðskiptavina og til þess að vera samkeppnishæft á markaði. Slík vinnsla fer ekki fram ef grundvallarréttindi og frelsi einstaklings um persónuvernd vegur þyngra en hagsmunir af vinnslunni.
  2. indó vinnur með ýmsar persónuupplýsingar og greinir viðskiptavini m.a. út frá viðskiptasögu og vörunotkun. indó hefur lögmæta hagsmuni af því að flokka viðskiptavini með ákveðnum hætti til þess að geta boðið þeim ýmsa sérsniðna þjónustu sem hentar þeim og verðlagt vörur og þjónustu á sem nákvæmastan hátt.
  3. indó hefur jafnframt lögmæta hagsmuni af því að vinna með persónuupplýsingar til beinnar markaðssetningar svo hægt sé að kynna fyrir viðskiptavini þær sérsniðnu vörur og þjónustu sem sparisjóðurinn hefur að bjóða þeim.
  4. indó notar ýmsar leiðir til að þess, s.s. með skilaboðum í gegnum indó appið, samfélagsmiðla og vefsíðu sparisjóðsins en einnig með því að senda tölvupóst á netfang sem viðskiptavinur hefur gefið upp. Viðskiptavinur getur afþakkað slík skilaboð með því að breyta samþykkisstillingu í indó appinu, hafa samband við sparisjóðinn á netfangið eða hringja í þjónustver í síma 588-4663
  5. Eftirfarandi eru dæmi um vinnslu á þessum grundvelli:
  • Að bæta vöru- og þjónustuframboð. Persónuupplýsingar eru greindar í flokka til þess að koma auga á tækifæri til að bæta vörur og þjónustu sparisjóðsins almennt og að greina tækifæri til að bjóða núverandi viðskiptavin sérsniðnar vörur og þjónustu. Þegar viðskiptavinur nýtir sér þjónustuna greinir indó hvernig viðskiptavinur nýtir þjónustu og vörur sparisjóðsins, og eftir atvikum annarra fjármálafyrirtækja út frá þeim upplýsingum sem viðskiptavinur flytur til sparisjóðsins. Með þessu móti getur sparisjóðurinn enn frekar bætt þjónustu- og vöruframboð til viðskiptavinar.
  • Að senda viðskiptavin skilaboð um fríðindi, vörur og þjónustu sparisjóðsins sem henta honum.
  • Að greina og rannsaka mál er varða net- og upplýsingaöryggi, m.a. til að koma í veg fyrir fjársvik.

Vinnsla sem byggir á samþykki

  1. indó vinnur með persónuupplýsingar viðskiptavinar í ákveðnum tilvikum á grundvelli samþykkis hans, t.d. með vefkökum á vefsíðum sparisjóðsins, eins og nánar er lýst í reglum og skilmálum um vefkökur. indó aflar að auki samþykkis viðskiptavinar ef fyrirséð er að persónuupplýsingar verði notaðar í öðrum tilgangi en þegar þeirra var upphaflega aflað. Dæmi um slíkt er að bjóða viðskiptavin þjónustu annarra aðila. Í slíkum tilvikum veitir indó viðskiptavin nánari upplýsingar um þá tilteknu vinnslu persónuupplýsinga sem samþykkið nær til.
  2. Viðskiptavinur getur ávallt afturkallað samþykki sitt með tikynningu til sparisjóðsins. Hægt er að gera það með því að breyta samþykkisstillingu í indó appinu, senda tölvupóst á indo@indo.is eða hringja í þjónustuver sparisjóðsins í síma 588-4663.
  3. Afturköllun samþykkis hefur ekki áhrif á vinnslu persónuupplýsinga fram að því að tilkynningin berst sparisjóðnum.

Sjálfvirk ákvarðanataka og gerð persónusniðs

  1. Í ákveðnum tilvikum tekur sparisjóðurinn sjálfvirka ákvörðun um veitingu þjónustu á grundvelli persónusniðs einstaklings sem unnið er upp úr upplýsingum sparisjóðsins um hann. Sjálfvirk ákvörðunartaka fer þannig fram að hugbúnaður vinnur sjálfvirkt persónuupplýsingar um viðskiptavin og gerir persónusnið. Í framhaldinu er tekin sjálfvirk ákvörðun án þess að mannshönd eða -hugur komi að henni.
  2. Dæmi um slíkar ákvarðanir kunna að vera ákvarðanir sem hafa engin bein áhrif á einstaklinga, t.d vegna markaðssetningar sparisjóðsins sem byggir á lögmætum hagsmunum og kann að vera framkvæmd án samþykkis, eða ákvörðun um að flokka viðskiptavini í tiltekna hópa eftir hegðun og notkun á þjónustum og vörum sparisjóðsins.
  3. Viðskiptavinur getur ávallt komið á framfæri athugasemdum eða mótmælt ákvörðun sem tekin er sjálfvirkt hafi hún áhrif á hagsmuni viðkomandi, sem og fengið starfsmann til að yfirfara og endurmeta niðurstöðuna með því að senda tölvupóst á indó@indó.is eða hafa samband í síma 5884663

Hvert er persónuupplýsingum miðlað?

Almennt um miðlun persónuupplýsinga

  1. indó miðlar ekki persónuupplýsingum um viðskiptavin nema honum sé það skylt samkvæmt lögum eða til að framfylgja skyldum í samningi.
  2. Viðskiptavinur getur þó heimilað sparisjóðnum að afhenda persónuupplýsingar um hann sjálfan til þriðja aðila með samþykki sínu. Dæmi um aðila sem kunna að hafa heimild samkvæmt lögum til þess að fara fram á afhendingu persónuupplýsinga eru eftirlitsstofnananir, s.s. Seðlabanki Íslands, Embætti héraðssaksóknara, ríkisskattstjóri, tollgæsluyfirvöld, og löggæsluyfirvöld. Þá ber sparisjóðnum skylda til þess að afhenda persónuupplýsingar samkvæmt úrskurði dómara þar um.
  3. Persónuupplýsingar eru eftir atvikum sendar til aðila sem sinna lögbundnum hlutverkum sínum eða til vinnsluaðila sem vinna persónuupplýsingar á vegum indó samkvæmt samningi. Meðal þeirra aðila kunna að vera fjárhagsupplýsingastofur eins og Creditinfo, upplýsingatæknifyrirtæki vegna reksturs og hýsingar upplýsingakerfa s.s. Reiknistofa bankanna, innheimtufyrirtæki og kortafyrirtæki vegna framkvæmdar.
  4. Dæmi um miðlun upplýsinga:
  • Þegar skylda er til þess að aðstoða við endurheimt fjármuna sem borist hafa inn á reikninga viðskiptavinar fyrir mistök.
  • Þegar nauðynlegt er að rekja fjármagn vegna gruns um svik eða fjárglæpi.
  • Við kaup á þjónustu frá þriðja aðila sem veitir sparisjóðnum þjónustu, t.d. við hýsingu kerfa.
  • Vegna vanskilaskráningar.
  • Vegna innheimtu vanskilakrafna.
  • Þegar viðskiptavinur samþykkir sjálfur miðlun upplýsinga til vinnsluaðila.
  • Vegna meðferðar máls fyrir úrskurðarnefndum eða dómstólum.
  • Þegar lög kveða á um afhendingu upplýsinga.
  1. Þegar þjónusta er keypt frá þriðja aðila leitast sparisjóðurinn við eiga viðskipti við aðila sem hafa gert viðeigandi öryggisráðstafanir vegna vinnslu persónuupplýsinga og fara að lögum og reglum um persónuvernd.
  2. Þeir þjónustuaðilar sparisjóðsins sem veita upplýsingar um viðskipta- og /eða einkamálefni viðskiptavinar eru bundnir þagnarskyldu með sama hætti og starfsmenn sparisjóðsins.
  3. Meðhöndlun upplýsinga og kröfur sem sparisjóðurinn gerir til vinnsluaðila eru tilgreindar í vinnslusamningum sem hann gerir við sína þjónustuaðila.

Flutningur gagna úr landi

  1. Í vissum tilvikum kunna gögn að vera flutt úr landi og út fyrir Evrópska efnahagssvæðið (EES), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða skyldur sem hvíla á sparisjóðnum samkvæmt lögum.
  2. Ef persónuupplýsingar eru fluttar út fyrir EES er gengið úr skugga um að þær séu verndaðar með sama hætti og áður.

Hversu lengi eru gögnin geymd?

  1. Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og sparisjóðsins er í gildi eða eins lengi og nauðsynlegt er miðað við tilgang vinnslu, skilmála samninga, reglur sparisjóðsins og málefnalegar ástæður gefa tilefni til.
  2. Málefnalegar ástæður eru til staðar ef enn er unnið með upplýsingar í samræmi við upphaflegan tilgang um söfnun þeirra eða vegna viðskiptalegra hagsmuna sparisjóðsins, t.d. til að setja fram eða verjast réttarkröfu en slík ástæða getur réttlætt geymslutíma upplýsinga eftir að viðskiptasambandi lýkur.
  3. indó leitast við að varðveita ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er. Af framangreindu leiðir að mismunandi varðveislutími getur átt við eftir tegund og eðli persónuupplýsinga.
  4. Lög kunna að kveða á um varðveislutíma gagna. Sparisjóðnum ber að varðveita upplýsingar og gögn í samræmi við ákvæði þeirra laga auk annarra laga sem um starfsemina gilda og kveða sérstaklega á um varðveislutíma upplýsinga. Afrit af persónuskilríkjum, opinberum gögnum og öðrum upplýsingum sem safnað er um einstaklinga á grundvelli laga nr. 140/2018 um peningaþvætti og fjármögnun hryðjuverka eru varðveitt a.m.k í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur.

Réttindi viðskiptavinar

  1. Lög um persónuvernd tryggja viðskiptavini ýmis réttindi sem farið verður yfir í þessum kafla en þó kann að vera að þau lúti ákveðnum takmörkunum. Dæmi um slíkt er ef ekki er unnt að verða við beiðni um eyðingu gagna á grundvelli ákvæða í lögum um varðveislutíma þeirra. Geti sparisjóðurinn ekki orðið við slíkri beiðni af einhverjum ástæðum er viðskiptavini gerð grein fyrir því.

Aðgangur að eigin persónuupplýsingum

  1. Viðskiptavinur á rétt á að vita hvort sparisjóðurinn sé að vinna með persónuupplýsingar um hann. Hann á m.a. rétt til aðgangs að þeim, sem og að fá upplýsingar um tilgang vinnslu, flokka viðtakenda, uppruna upplýsinga, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn (þ.m.t. réttinn til að leggja fram kvörtun hjá Persónuvernd).

Leiðrétting rangra persónuupplýsinga

  1. Telji viðskiptavinur að einhverjar þeirra upplýsinga sem sparisjóðurinn varðveiti um hann séu óáreiðanlegar, rangar eða ófullnægjandi, á viðskiptavinur rétt á því að fá þær leiðréttar.

Eyðing

  1. Viðskiptavinur á rétt á því að fara fram á að sparisjóðurinn eyði persónuupplýsingum um hann ef hann telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef viðskiptavinur dregur til baka samþykki sem vinnsla persónuupplýsinga byggist á og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna er ólögmæt.

Andmælaréttur og takmörkun á vinnslu

  1. Viðskiptavinur á rétt á því að andmæla vinnslu persónuupplýsinga um sig og notkun þeirra til beinnar markaðssetningar hvenær sem er, þar á meðal gerð persónusniðs.
  2. Viðskiptavinur á rétt á því að óska eftir að sparisjóðurinn takmarki vinnslu persónuupplýsinga um hann ef véfengt er að upplýsingarnar séu réttar, vinnsla upplýsinganna ólögmæt eða að sparisjóðurinn þarf ekki lengur á þeim að halda en viðskiptavinur þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur.
  3. Viðskiptavinur á hvenær sem er rétt á því að hafna vinnslu persónuupplýsinga í markaðslegum tilgangi og getur afþakkað slíka þjónustu í indó appinu. Það getur tekið tíma að uppfæra kerfi svo það kann að vera að viðskiptavinur fái áfram markaðsefni í einhvern tíma í kjölfarið. Rétt er að geta þess að þrátt fyrir að markaðsefni sé afþakkað sendir indó áfram mikilvægar upplýsingar til viðskiptavinar, s.s. um breytingar á skilmálum eða til að upplýsa viðskiptavin um samningsskyldur sínar.

Flutningsréttur

  1. Viðskiptavinur á rétt á því að fá afhentar persónuupplýsingar sem skráðar hafa verið um hann eða sem hann hefur látið sparisjóðnum í té, á skipulegu, algengu og tölvulesanlegu sniði.
  2. Viðskiptavinur getur einnig óskað eftir að sparisjóðurinn sendi upplýsingar um þá til þriðja aðila. Þetta á aðeins við hafi vinnsla persónuupplýsinga verið byggð á samþykki eða vegna framkvæmdar samnings og vinnslan er sjálfvirk.

Afturköllun samþykkis

  1. Í þeim tilvikum þar sem samþykki er gert að skilyrði fyrir vinnslu persónuupplýsinga á viðskiptavinur rétt á því að draga samþykki sitt til baka. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.

Kvörtun til Persónuverndar

  1. Hægt er að leggja fram kvörtun hjá Persónuvernd með því að senda erindið á:

    Persónuvernd

    Rauðarárstígur 10

    105 Reykjavík

    eða á

    postur@personuvernd.is.

  2. Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar.

Hvernig tryggjum við öryggi persónuupplýsinga?

  1. Rík skylda hvílir á indó að gæta að öryggi þeirra persónuupplýsinga sem sparisjóðurinn vinnur með. Þeirri skyldu framfylgir hann með því að setja sér öryggisstefnu, að meta þá hættu sem steðjar að viðkomandi vinnslu, til dæmis hættu á að óviðkomandi fái aðgang að upplýsingunum eða þær skemmist eða verði eytt og að beita ráðstöfunum til að stemma stigu við slíkri hættu. Þær öryggisráðstafanir lúta einkum að aðgangsstýringu, raunlægu öryggi, mannauðsöryggi, rekstraröryggi og samskiptaöryggi. Þá viðhefur sparisjóðurinn innra eftirlit með ofangreindu og endurskoðar áhættumat sitt og viðbrögð reglulega.
  2. Komi upp öryggisbrestur við meðferð persónuupplýsinga þar sem staðfest er eða grunur leikur á um að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Persónuvernd, og eftir atvikum einstaklingum, tilkynnt um öryggisbrestinn þ.e nema hann hafi ekki í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga.

Hvernig er hægt að hafa samband við sparisjóðinn vegna persónuverndar?

  1. Hjá indó starfar persónuverndarfulltrúi skv. lögum um persónuvernd og vinnslu persónuupplýsinga. Hlutverk persónuverndarfulltrúans er að fylgjast með að farið sé eftir ákvæðum laga og reglna um persónuvernd og ákvæðum almennu persónuverndarreglugerðar (ESB) nr. 2016/679.
  2. Hægt er að hafa samband við persónuverndarfulltrúa indó með því að senda tölvupóst á netfangið haukur@indo.is.
  3. Persónuverndarfulltrúi er tengiliður sparisjóðsins við Persónuvernd.

Hvernig uppfærum við eða breytum persónuverndaryfirlýsingunni?

  1. indó er heimilt að breyta þessari persónuverndaryfirlýsingu og bæta við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fer fram hverju sinni hjá sparisjóðnum. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef sparisjóðsins, nema annað sé tilgreint.
  2. Yfirlýsing þessi er gefin út á íslensku og gildir frá og með 27. feb 2023 og til þess tíma er ný yfirlýsing tekur gildi.