Persónuverndarstefna Helix

Meðferð persónuupplýsinga

Hjá Helix Health ehf., kt. 450723-1500, Borgartúni 37, 105 Reykjavík (einnig vísað til „Helix“, „félagsins“ og „okkar“) er lögð rík áhersla á að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem félagið vinnur. Persónuverndarstefnu þessari er ætlað að upplýsa þig um vinnslu Helix á persónuupplýsingum, þ.á m. hvaða persónuupplýsingum Helix safnar og með hvaða hætti félagið nýtir slíkar persónuupplýsingar.

Persónuverndarstefna Helix

Persónuverndarstefna þessi á eingöngu við þegar Helix vinnur persónuupplýsingar sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, t.d. þegar Helix vinnur persónuupplýsingar tengiliða sem koma fram fyrir hönd lögaðila sem eiga í viðskiptum við félagið eða umsækjenda um störf hjá félaginu.

Persónuverndarstefna þessi nær ekki til vinnslu Helix á persónuupplýsingum sem fer fram í tengslum við veitingu á upplýsingatækniþjónustu til lögaðila. Við slíkar aðstæður telst viðskiptavinur Helix ábyrgðaraðili að vinnslu persónuupplýsinga, en Helix kemur þá fram sem vinnsluaðili fyrir hönd viðskiptavinarins og vinnur Helix slíkar upplýsingar á grundvelli samnings við viðskiptavin.

Helix hefur skipað persónuverndarfulltrúa sem hefur eftirlit með því að félagið uppfylli skyldur sínar samkvæmt gildandi persónuverndarlögum hverju sinni, sbr. kafla 7 í stefnu þessari.

1. Hvaða persónuupplýsingar vinnum við?

Vinnsla Helix á persónuupplýsingum fer eftir sambandi Helix við þá einstaklinga sem upplýsingarnar tilheyra.

Í köflum a-d hér að neðan má finna nánari upplýsingar um hvaða persónuupplýsingar Helix vinnur í ólíkum samningssamböndum, lýsingu á því í hvaða tilgangi vinnslan fer fram og á hvaða grundvelli vinnslan byggir.

a) Tengiliðir viðskiptavina

Meginstarfsemi Helix felst í að veita upplýsingatækniþjónustu, svo sem sölu á leyfum til notkunar á hugbúnaði, til lögaðila. Komir þú fram fyrir hönd slíks viðskiptavinar okkar vinnum við eftirfarandi upplýsingar um þig, á grundvelli lögmætra viðskiptahagsmuna félagsins:

  • nafn

  • vinnustaður

  • símanúmer og netfang

  • samskiptasaga

  • kennitala, í þeim tilgangi að staðreyna heimild þínar til að eiga reikningsviðskipti fyrir hönd viðskiptavinar, eftir því sem við á

Þá kann Helix að nota tengiliðaupplýsingar til að senda þér skoðunar- og þjónustukannanir, upplýsingar um fræðslu og viðburði á vegum félagsins, sem og um nýjar vörur og tilboð. Sú vinnsla byggir á lögmætum viðskiptahagsmunum Helix, en þú getur ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.

Símtöl viðskiptavina sem koma í gegnum þjónustuborð Helix eru hljóðrituð og er viðskiptavinum gert grein fyrir hljóðritun í upphafi símtals.

b) Vefsíða Helix

Á vefsíðu Helix má finna upplýsingar um okkar helstu vörur og þjónustu. Þar getur þú skráð þig á póstlista til þess að fá upplýsingar um fréttir, fræðslu og viðburði á vegum Helix, sem og tilboð, fréttir og upplýsingar um nýjustu vörur og þjónustu. Þegar þú skráir þig á póstlista okkar óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli lögmætra viðskiptahagsmuna okkar:

  • nafn og netfang

  • upplýsingar um fyrirtæki og starfstitil

Á vefsíðu okkar getur þú jafnframt sent okkur erindi, hvort sem það er almenn fyrirspurn eða beiðni um ráðgjöf. Þegar þú sendir okkur fyrirspurn óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli beiðni þinnar um að gera samning:

  • nafn og vinnunetfang

  • símanúmer

  • fyrirtæki

  • starfsheiti

  • tegund og efni fyrirspurnar

Við kunnum að nota netfang þitt til að senda þér upplýsingar um fræðslu og viðburði á vegum félagsins, sem og upplýsingar um nýjar vörur og tilboð. Vinnsla þessi byggir á lögmætum viðskiptahagsmunum Helix, en viðskiptavinir geta ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.

Við notum vefkökur til að bæta upplifun þína á vefsíðu Helix. Nánari upplýsingar má finna í vefkökustefnu Helix.

c) Námskeið og viðburðir

Þegar þú skráir þig á viðburð eða námskeið (sameiginlega vísað til „viðburðar“) á vegum Helix kunnum við að óska eftir persónuupplýsingum þínum til að halda utan um skráningu þína og greiðslu, þegar það á við. Við söfnum mismunandi upplýsingum eftir því hvers konar viðburð er um að ræða, en almennt er óskað eftir eftirfarandi upplýsingum, sem eru nauðsynlegar fyrir okkur til að verða við beiðni þinni um þátttöku:

  • nafn

  • kennitala

  • netfang

Á sumum viðburðum eru teknar ljósmyndir sem birtar eru á vefsíðu Helix, eftir atvikum á grundvelli lögmætra viðskiptahagsmuna Helix eða samþykkis þíns. Meðalhófs er þó ávallt gætt við slíka myndbirtingu.

Eftir að viðburði er lokið kunnum við að senda þér eftirfylgnitölvupóst, sem og tölvupósta með efni sem við teljum þig hafa áhuga á, s.s. boð á aðra sambærilega viðburði.

d) Húsnæði Helix

Eftirfarandi persónuupplýsingum er safnað um fundargesti sem koma í húsnæði Helix, en sú vinnsla er byggð á lögmætum hagsmunum okkar, þar sem hún er nauðsynleg í öryggis- og eignarvörsluskyni og til að uppfylla skilyrði ISO 27001 öryggisvottunar sem félagið starfar eftir:

  • nafn og tími fundar

  • símanúmer

  • hvaða starfmann er verið að hitta

Rafræn vöktun með eftirlitsmyndavélum er viðhöfð á starfsstöðvum félagsins, bæði innandyra og í kringum viðkomandi húsnæði. Öll vöktuð svæði innandyra eru merkt sérstaklega. Myndavélaeftirlit er viðhaft í öryggis- og eignarvörsluskyni á grundvelli lögmætra hagsmuna Helix og umráðaaðila húsnæðisins. Myndefni sem safnast með eftirlitsmyndavélum er ekki varðveitt lengur en í 30 daga nema lög eða reglur um rafræna vöktun heimili.

e) Starfsumsóknir

Ef þú sækir um starf hjá Helix vinnum við eftirfarandi persónuupplýsingar um þig:

  • upplýsingar sem fram koma í ferilskrá og kynningarbréfi

  • upplýsingar á umsóknarformi, þ.m.t. um starfsferil og menntun

  • upplýsingar sem koma fram í starfsviðtali, eftir því sem við á

Komist þú áfram í ráðningarferlinu óskum við eftir eftirfarandi upplýsingum:

  • sakavottorð

  • upplýsingar frá meðmælendum

  • persónuleikapróf eða annars konar viðurkennd hæfnipróf kunna að vera lögð fyrir með samþykki umsækjanda

Við óskum þó einungis eftir sakavottorði ef til stendur að bjóða þér starf og er þá óskað eftir því áður en ákvörðun er tekin um ráðningu. Eftir að sakavottorð hefur verið skoðað er því eytt. Þessa vinnslu byggir Helix á lögmætum hagsmunum félagsins af því að tryggja öryggi og heilleika vinnustaðarins.

Upplýsingum um þig er fyrst og fremst aflað frá þér, en kann einnig að vera aflað frá meðmælendum og eftir atvikum ráðningarskrifstofum og eru þær notaðar til að meta hæfni þína til að sinna viðkomandi starfi. Byggir sú vinnsla okkar á beiðni þinni um gerð ráðningarsamnings.

Helix geymir persónuupplýsingar umsækjenda í allt að 9 mánuði eftir að umsókn berst félaginu, en að þeim tíma loknum er umsóknum eytt með öruggum hætti. Ef þú kýst að viðhalda umsókn sinni á umsóknarvef Helix eru persónuupplýsingar umsækjanda geymdar í 9 mánuði til viðbótar. Helix kann að óska eftir því að geyma umsóknir lengur vegna frekari starfstækifæra hjá félaginu. Í þeim tilvikum mun Helix hafa samband við þig og óska eftir samþykki fyrir lengri varðveislu.  

2.  Uppruni upplýsinga og varðveislutími

Að öðru leyti en tekið er sérstaklega fram í stefnu þessari aflar Helix að meginstefnu til persónuupplýsinga beint frá þér. Upplýsingar kunna þó jafnframt að koma frá þriðju aðilum, t.d. úr Þjóðskrá.

Að öðru leyti en tekið er sérstaklega fram hér að framan varðveitir Helix persónuupplýsingar eins lengi og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum. Persónuupplýsingar eru þó að jafnaði ekki varðveittar lengur en í sjö ár.

3. Miðlun persónuupplýsinga til þriðju aðila

Helix kann að miðla persónuupplýsingum til þriðju aðila sem veita félaginu þjónustu sem tengist vinnslu persónuupplýsinga og er hluti af rekstri félagsins. Dæmi um slíka aðila eru utanaðkomandi ráðgjafar, s.s. endurskoðendur, lögmenn og úttektaraðilar, en einnig aðilar sem veita Helix upplýsingatækni- og fjarskiptaþjónustu, sem og félög innan samstæðu móðurfélags Helix, Origo hf. Miðlun persónuupplýsinga til slíkra aðila er byggð á lögmætum hagsmunum Helix af því að úthýsa tilteknum verkefnum til utanaðkomandi aðila.

Þar að auki kann Helix að miðla persónuupplýsingum til eftirlitsyfirvalda þegar félaginu er það skylt samkvæmt lögum, stjórnvaldsfyrirmælum eða dómsúrskurði. Dæmi um slíka miðlun er afhending persónuupplýsinga til eftirlitsyfirvalds, s.s. Fjármálaeftirlitsins, Ríkisskattstjóra eða lögreglu á grundvelli dómsúrskurðar eða lögmætrar beiðni.

Þessir aðilar kunna að vera staðsettir utan Íslands. Helix mun þó ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar, s.s. á grundvelli staðlaðra samningsskilmála, samþykki þíns eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.

4. Öryggi persónuupplýsinga

Stjórnunarkerfi upplýsingaöryggis hjá Helix er vottað samkvæmt ISO 27001:2013 staðlinum og fellur undir stjórnunarkerfi upplýsingaöryggis móðurfélagsins Origo. Öryggisráðstafanir í samræmi við staðalinn hafa því verið  innleiddar.

Nánari upplýsingar um öryggisvottun og stefnu Helix í öryggismálum má finna [hér].

5. Réttindi þín

Persónuverndarlög tryggja einstaklingum ákveðin réttindi yfir persónuupplýsingum sínum. Þannig geta einstaklingar t.d. óskað eftir aðgangi að persónuupplýsingum sínum eða að þeim sé eytt.

Tekið skal fram að réttindi þín á grundvelli persónuverndarlaga eru ekki fortakslaus. Þannig kunna lög t.a.m. að skylda Helix til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni þinni vegna réttinda félagsins, s.s. á grundvelli hugverkaréttar, eða réttinda annarra aðila, s.s. til friðhelgi einkalífs, telji félagið þau réttindi vega þyngra.

Ef upp koma aðstæður þar sem að við getum ekki orðið við beiðni þinni munum við leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

Réttur til leiðréttingar

Það er mikilvægt að þær persónuupplýsingar sem Helix vinnur með séu bæði réttar og viðeigandi. Því er mikilvægt að okkur sé tilkynnt um allar breytingar sem kunna að verða á persónuupplýsingum þínum.

Þú átt rétt á því að fá óáreiðanlegar persónuupplýsingar um þig leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga átt þú jafnframt rétt á að láta fullgera ófullkomnar persónuupplýsingar um þig, þ.m.t. með því að leggja fram frekari upplýsingar.

Réttur til aðgangs

Þú átt rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki, og ef svo er getur þú óskað eftir aðgangi að upplýsingunum og hvernig vinnslunni er hagað. Þá kann einnig að vera að þú hafir rétt á að fá afrit af upplýsingunum.

Réttur til gagnaflutnings

Við ákveðnar aðstæður getur þú farið fram á það við Helix að við sendum upplýsingar, sem þú hefur sjálf/ur látið okkur í té eða stafa frá þér, beint til þín eða þriðja aðila. Þessi réttur á þó eingöngu við þegar vinnslan á viðkomandi persónuupplýsingum byggir annað hvort á samþykki þínu eða samnings þíns við Helix.

Réttur til eyðingar

Við ákveðnar aðstæður getur þú óskað eftir því að persónuupplýsingum um þig verði eytt án tafar, til að mynda þegar að varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að þú hefur afturkallað samþykki þitt fyrir vinnslu persónuupplýsinganna og engin önnur heimild liggur til grundvallar henni.

Réttur til að afturkalla samþykki fyrir vinnslu

Sé vinnsla á persónuupplýsingum þínum byggð á samþykki er þér hvenær sem er heimilt að afturkalla samþykki þitt.

Réttur til takmörkunar á vinnslu

Viljir þú ekki láta eyða upplýsingum þínum, t.d. vegna þess að þú þarft á þeim að halda til að verjast kröfu, en vilt samt sem áður að þær séu ekki unnar frekar af hálfu Helix getur þú óskað eftir því að vinnsla þeirra verði takmörkuð.

Réttur til að andmæla vinnslu

Sé vinnsla á persónuupplýsingum þínum byggð á lögmætum hagsmunum Helix átt þú rétt á að mótmæla þeirri vinnslu.

6. Hvernig sendi ég beiðni til Helix?

Viljir þú nýta réttindi þín á grundvelli persónuverndarlaga getur þú sent beiðni til Helix í gegnum netfangið personuvernd@helixhealth.is.

Helix hefur einungis heimild til að afgreiða beiðnir á grundvelli persónuverndarlaga þegar félagið er í stöðu ábyrgðaraðila, s.s. þegar þú kemur fram fyrir hönd lögaðila í viðskiptum við félagið. Aðrar beiðnir vegna vinnslu persónuupplýsinga af hálfu lögaðila sem kaupir upplýsingatækniþjónustu af Helix skal beina til viðkomandi lögaðila sem hefur stöðu ábyrgðaraðila.

Við tökum almennt ekki taka gjald fyrir við afgreiðslu beiðna sem berast frá einstaklingum. Við áskiljum okkur hins vegar rétt til að gjaldfæra fyrir beiðnir sem teljast augljóslega tilefnislausar, endurteknar og/eða óhóflegar. Auk þess kann Helix að vera heimilt að neita að verða við beiðni í framangreindum tilfellum.

Helix kann einnig að hafa samband við einstaklinga og óska eftir frekari upplýsingum ef það er talið nauðsynlegt.

Helix mun varðveita beiðni þína, allar upplýsingar tengdar beiðninni sem og samskipti í tengslum við beiðnina í 4 ár frá afgreiðslu hennar.

7. Persónuverndarfulltrúi Helix

Persónuverndarfulltrúi tekur á móti fyrirspurnum og beiðnum í tengslum við persónuvernd, auk þess að ráðleggja Helix um vinnslu persónuupplýsinga og gegna því hlutverki að vera tengiliður við Persónuvernd.

Allar fyrirspurnir vegna persónuverndar skulu berast persónuverndarfulltrúa á netfangið personuvernd@helixhealth.is eða með pósti á:

Persónuverndarfulltrúi Helix
Borgartúni 37
105 Reykjavík

8. Réttur til að leggja fram kvörtun hjá Persónuvernd

Ef þú ert ekki sátt/sáttur við meðferð Helix á persónuupplýsingum þínum getur þú ávallt sent kvörtun á Persónuvernd.

Upplýsingar um Persónuvernd má finna á www.personuvernd.is.

9. Breytingar á stefnu þessari

Helix getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á persónuverndarlögum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á heimasíðu félagsins.

Persónuverndarstefna þessi var síðast uppfærð 16.10.2023.