Greiðslumiðlun ehf., kt. 540612-1020, Katrínartúni 4, 105 Reykjavík (hér eftir “Greiðslumiðlun” eða “félagið”), er ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fer fram hjá félaginu í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir “persónuverndarlög”) og reglugerðar (ESB) 2016/679. Í ákveðnum tilvikum getur félagið verið sameiginlegur ábyrgðaraðili í skilningi persónuverndarlaga.
Hér að neðan er útlistað hvernig félagið vinnur með persónuupplýsingar, þar á meðal í hvaða tilgangi, hvaðan þeirra er aflað, helstu flokkar þeirra, hvernig þeim er miðlað og með hvaða hætti rétt meðferð þeirra er tryggð. Upplýsingarnar hér að neðan eiga við upplýsingar um alla þá sem félaginu ber nauðsyn til að vinna persónuupplýsingar um vegna starfsemi sinnar, þ.m.t. viðskiptavini, forsvarsmenn þeirra ef um lögaðila er að ræða og lántakendur.
1. Hvaða upplýsingar vinnur félagið með
Þær persónuupplýsingar sem félagið vinnur með teljast iðulega almennar í skilningi ákvæða persónuverndarlaga.
Persónuupplýsingar sem félagið vinnur um einstaklinga geta m.a. verið eftirfarandi:
2. Notkun greiðslulausnarinnar
Við notkun greiðslulausnarinnar ber viðskiptavini að gefa upp kennitölu, símanúmer og netfang. Þegar viðskiptavinur auðkennir sig með rafrænum skilríkjum eru sóttar viðbótarupplýsingar til Þjóðskrár, s.s. upplýsingar um lögheimili, hjúskaparstöðu og hversu lengi einstaklingur hefur verið búsettur á Íslandi. Með samþykki viðskiptavinar á skilmálum Greiðslumiðlunar heimilar hann Greiðslumiðlun að afla og vakta lánshæfismat sitt hjá CreditInfo. Þá sækir Greiðslumiðlun jafnframt upplýsingar um vanskil viðskiptavinar á vanskilaskrá CreditInfo.
Greiðslumiðlun vinnur með persónuupplýsingar í markaðslegum tilgangi, s.s. til að vinna gögn út frá tölfræðilegum upplýsingum um notendur, með það að markmiði að bæta þjónustu og upplifun viðskiptavina við notkun greiðslulausnarinnar.
3. Hver er tilgangur vinnslunnar
Vinnsla persónuupplýsinga er forsenda þess að Greiðslumiðlun geti veitt þá þjónustu sem viðskiptavinur óskar eftir. Tilgangur vinnslunnar er að gera viðskiptavinum kleift nota greiðslulausn Greiðslumiðlunar hjá söluaðilum, halda utan um viðskiptasögu og stofna notanda. Þá vinnur Greiðslumiðlun jafnframt persónuupplýsingar til að uppfylla lagaskyldur, sem dæmi kveður 10. gr. laga nr. 33/2013 um neytendalán á um skyldu til meta lánshæfi neytanda áður en lán er veitt. Auk þess gerir 8. gr. laga nr. 140/2018 um peningaþvætti og fjármögnun hryðjuverka kröfu um að tilkynningarskyldir aðilar framkvæmi áreiðanleikakönnun á viðskiptavinum sínum við upphaf viðskiptasambands og með reglubundnum hætti á meðan samningssamband varir. Þegar áreiðanleikakönnun er framkvæmd ber Greiðslumiðlun að kalla eftir upplýsingum líkt og nafni, kennitölu og lögheimili.
4. Til hvaða þriðju aðila er upplýsingunum miðlað
Persónuupplýsingar geta verið afhentar þriðju aðilum í ákveðnum tilvikum en það er þó aldrei gert nema skýr lagaheimild sé fyrir hendi og er ávallt tryggt að ítrustu öryggiskröfum og trúnaðarskyldu sé fylgt. Ef upplýsingum er miðlað til þriðju aðila á grundvelli þjónustusamnings er í öllum tilvikum til staðar vinnslusamningur þar að lútandi. Þjónustuaðilar geta sem dæmi verið innheimtufyrirtæki sem sér um innheimtu vanskila fyrir Greiðslumiðlun. Þá ber Greiðslumiðlun skylda til að veita opinberum aðilum aðgang að persónuupplýsingum viðskiptavina í ákveðnum tilvikum og samkvæmt lagaskyldu. Það geta t.d. verið skattayfirvöld, eftirlitsaðilar, lögregluyfirvöld, skiptastjórar og dómstólar.
5. Hversu lengi varðveitir Greiðslumiðlun upplýsingarnar þínar
Greiðslumiðlun varðveitir persónuupplýsingar á meðan á viðskiptasambandi stendur. Algengast er að upplýsingar séu varðveittar í 7 ár en þó geta upplýsingar ýmist verið varðveittar í lengri eða skemmri tíma. Varðveislutími gagnanna fer eftir eðli þeirra eða samkvæmt ákvæðum laga sem kveða á um varðveislutíma, s.s. bókhaldslaga. Þá geta komið upp aðstæður sem krefjast þess að gögn séu varðveitt lengur, s.s. vegna dómsmála eða rannsóknar lögreglu eða eftirlitsyfirvalda.
6. Sjálfvirk ákvörðunartaka
Þjónusta Greiðslumiðlunar fer að mestu leyti fram með sjálfvirkum hætti. Viðskiptavinur Greiðslumiðlunar samþykkir að allar ákvarðanir er varða útlánaheimild fari fram með sjálfvirkri gagnavinnslu. Markmið vinnslunnar er að greina fjárhagsstöðu viðskiptavina í tengslum við ákvörðun um úttektar- og lánsheimildir og byggir sú greining m.a. á lánshæfismati CreditInfo.
7. Vefkökur
Greiðslumiðlun notar vefkökur á vefsíðu sinni í þeim tilgangi að bæta upplifun notenda og halda utan um og mæla frammistöðu vefsins og umferð um hann, s.s. tölfræðilegar upplýsingar um fjölda notenda og hegðun þeirra. Vefkökur eru litlar textaskrár sem geyma upplýsingar til að greina notkun á vefsvæðum félaganna.
8. Öryggi persónuupplýsinga
Stjórnkerfi upplýsingaöryggis hjá Greiðslumiðlun hefur hlotið vottun samkvæmt alþjóðlega staðlinum ISO/IEC 27001:2022. Þær öryggisráðstafanir sem krafist er samkvæmt staðlinum hafa verið innleiddar innan félagsins.
9. Réttindi einstaklinga
Samkvæmt ákvæðum persónuverndarlaga hafa einstaklingar rétt til þess að óska eftir aðgangi að persónuupplýsingum sínum. Að tilteknum skilyrðum uppfylltum geta einstaklingar sömuleiðis haft rétt til þess að fá persónuupplýsingum sínum eytt eða leiðrétt, andmæla vinnslu þeirra eða óska eftir takmörkun hennar.
Einstaklingar geta óskað eftir því að neyta þess réttar eða koma á framfæri öðrum fyrirspurnum er varða vinnslu persónuupplýsinga með því að senda tölvupóst á netfangið pei@pei.is. Ekki er tekið gjald fyrir afgreiðslu beiðna sem berast frá einstaklingum. Félögin áskilja sér þó rétt til þess að taka gjald fyrir beiðnir sem augljóslega teljast tilefnislausar eða endurteknar.
Einstaklingar hafa jafnframt rétt á að koma á framfæri kvörtun til Persónuverndar ef þeir telja vinnslu félagsins ekki samræmast lögum um persónuvernd með því að senda beiðni til Persónuverndar á netfangið postur@personuvernd.is.
Persónuverndarfulltrúi hefur eftirlit með því að farið sé að ákvæðum laga um persónuvernd og meðferð persónuupplýsinga og veitir ráðgjöf og fræðslu þar að lútandi. Hægt er að hafa samband við persónuverndarfulltrúa með því að senda tölvupóst á pei@pei.is.
Þessi vefsíða
notar vafrakökur