Persónuverndarstefna

Persónuverndarstefna LifeTrack

Síðast uppfært: 23.10.2024

Með persónuverndarstefnu þessari er greint frá því hvernig Lifetrack ehf., kt. 590124-0790, Fannagili 4, 630 Akureyri, sem ábyrgðaraðili (hér eftir „LifeTrack“, „félagið“ eða „við“) stendur að vinnslu persónuupplýsinga um viðskiptavini og aðra einstaklinga í tengslum við starfsemi félagsins en félagið er ábyrgðaraðili að vinnslu persónuupplýsinga samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga (hér eftir „persónuverndarlög“).

Öflug persónuvernd er LifeTrack kappsmál og leggur félagið mikla áherslu á að virða réttindi einstaklinga og að öll meðferð persónuupplýsinga sé ávallt í samræmi við gildandi lög og reglur um persónuvernd. Hjá LifeTrack starfar persónuverndarfulltrúi sem hægt er að leita til með fyrirspurnir, ábendingar eða athugasemdir með því að senda póst á netfangið personuvernd@lifetrack.is.

Markmið persónuverndarstefnu þessarar er að gefa skýra mynd af því hvernig LifeTrack notar persónuupplýsingar sem viðskiptavinir félagsins afhenda og áherslu LifeTrack á vernd persónuupplýsinga og réttindi viðskiptavina.

 1. Hvaða upplýsingum söfnum við og um hverja?

Persónuverndarstefna þessi lýsir því hvernig smáforrit Lifetrack safnar og vinnur persónuupplýsingar um viðskiptavini félagsins til að stuðla að bættri heilsu. Stefna þessi nær til viðskiptavina (einnig vísað til sem „þú“ eða „notendur“), starfsfólks LifeTrack og umsækjenda um störf, þjónustuaðila, verkaka og einstaklinga sem eru í forsvari eða starfa hjá þriðju aðilum sem eiga í viðskiptasambandi við félagið, og eftir atvikum annarra einstaklinga, t.d. þeirra sem eiga í samskiptum við félagið og þeirra sem heimsækja vefsíðu LifeTrack (einnig vísað til sem „þú“).

Hjá LifeTrack er einungis unnið með þær persónuupplýsingar sem nauðsynlegar eru í tengslum við rekstur og þjónustu á vegum félagsins sem nánar er lýst í kafla 2. Unnið er með eftirfarandi persónuupplýsingar um einstaklinga sem eru í viðskiptum við félagið þ.e. notendur heilsuforritsins Lifetrack Iceland: 

  • Auðkennis- og samskiptaupplýsingar: Nafn, kennitala, heimilisfang, póstnúmer, símanúmer, netfang og aðrar grunnupplýsingar. Eftir atvikum upplýsingar um rafræna skilríki til að tryggja örugga innskráningu í smáforritið eða vefsvæði félagsins.
  • Heilsufarsupplýsingar: Upplýsingar sem þú skráir í smáforrit eða á mínar síður hjá félaginu og varða næringu, venjur, heilsufar eða hreyfingu þ.m.t. upplýsingar um hæð, þyngd og andlega og líkamlega líðan.
  • Upplýsingar sem verða til vegna viðskiptasambandsins: Upplýsingar um vörur og þjónustu sem þú nýtir sér, samskipti við félagið hvort sem þau fara fram bréflega, rafrænt, s.s. í smáforriti, á vefsíðu eða samfélagsmiðlum félagsins., með símtali eða á annan hátt ásamt öðrum upplýsingum sem leiða af samningssambandi þínu við félagið s.s. fyrirspurnir, ábendingar eða kvartanir.
  • Fjárhags- og reikningsupplýsingar: Korta- eða greiðsluupplýsingar og aðrar upplýsingar sem þörf er á svo unnt sé að taka á móti greiðslu fyrir vöru eða þjónustu sem viðskiptasambandið nær til, s.s. um greiðslukort, kortafærslur, greiðslusögu og úttektarheimildir. Greiðslukortanúmer eru ávallt dulkóðuð. 
  • Upplýsingar sem verða til við beina markaðssetningu eða kynningarstarf: Ljósmyndir eða upplýsingar sem tengjast viðburðahaldi félagsins eða kynningarstarfi ef við á. 
  • Tæknilegar upplýsingar og afleiddar upplýsingar: Upplýsingar um búnað og tæki sem notuð eru til þess að tengjast smáforriti eða vefsvæði félagsins, s.s. IP-tala, tegund snjalltækis, vefkökur og hvaða aðgerðir eru framkvæmdar. Ef við á staðsetningarupplýsingar í tengslum við þjónustu smáforritsins ef slíkt er nauðsynlegt.
  • Upplýsingar sem safnast við rafræna vöktun: Hljóð- og myndbandsupptökur sem safnast við rafræna vöktun með eftirlitsmyndavélum eða hljóðupptöku símtala þar sem við á. 
  • Upplýsingar sem safnast í tengslum við starfsumsókn: Tengiliðaupplýsingar, s.s. nafn, kennitala, netfang, heimilisfang og símanúmer umsækjanda. Upplýsingar úr starfsumsókn, s.s. um reynslu og menntun, eftir atvikum upplýsingar úr ráðningarviðtölum og frá meðmælendum. Ef til þess kemur að LifeTrack muni bjóða þér starf kann félagið að óska eftir sakarvottorði ásamt annars konar upplýsingum, s.s. afriti af prófskírteini.
  • Aðrar upplýsingar og opinberar upplýsingar: Upplýsingar úr opinberum skráum, s.s. þjóðskrá og öðrum opinberum skrám ef slíkt er nauðsynlegt s.s. til að sanna á þér deili eða innheimta vanskilakröfur. Framangreind upptalning er ekki tæmandi en félagið getur unnið aðrar upplýsingar um þig sem eru nauðsynlegar hverju sinni eftir eðli viðskiptasambandsins eða samskipta þinna við félagið. 

Jafnframt vinnur LifeTrack einnig með vefkökur vegna heimsókna á vefsvæði félagsins en vefkökur eru litlar textaskrár, sem komið er fyrir í tölvu eða snjalltæki notanda, og eru m.a. nauðsynlegar fyrir virkni vefsvæðis félagsins. Meðal upplýsinga sem unnar eru með vefkökum eru heimsóknir á vefsvæði, tími, dagsetning, leitarorð, frá hvaða vef heimsókn kemur, tegund vafra og stýrikerfis. Almennt eru þessar tölfræðiupplýsingar ekki persónugreinanlegar. Einnig er unnið með persónuupplýsingar úr vefkökum til að bæta þjónustu, muna stillingar, þróa vefsvæði Lifetrack og í þágu markaðssetningar félagsins og þriðju aðila s.s. Google, Facebook og Mailchimp. Um notkun persónuupplýsinga hjá þessum aðilum er fjallað í persónuverndarstefnu viðkomandi og mælir Lifetrack með því að þær séu skoðaðar. Hægt er að breyta stillingum í netvafra viljir þú hafna notkun valkvæðra vefkaka. 

2. Í hvaða tilgangi vinnum við persónuupplýsingar?

Öll vinnsla LifeTrack með persónuupplýsingar fer fram í skýrum, yfirlýstum og málefnalegum tilgangi svo hægt sé að veita þér þjónustu með heilsuforriti félagsins svo þú getir bætt lífsstíl og náð markmiðum sem þú setur þér í heilsueflingu m.a. með því að fylgjast með næringarinntöku og sérsniðum næringaráætlunum, hreyfingu, venjum og svefni í smáforriti félagsins. Í smáforritinu er einnig dagbókarvirkni til að styðja þig á þinni vegferð. Lifetrack vinnur aðallega með persónuupplýsingar þínar í þeim tilgangi að:

  • Auðkenna þig, stofna og viðhalda viðskiptasambandi og veita þér þjónustu í smáforriti eða á vefsvæði félagsins og efna samning milli þín og félagsins í samræmi við almenna viðskiptaskilmála Lifetrack og persónuverndarstefnu þessa til að veita þér þá þjónustu óskað hefur verið eftir.
  • Eiga samskipti við þig, svara fyrirspurnum eða bregðast við ábendingum eða kvörtunum.
  • Taka á móti greiðslum fyrir þjónustu félagsins í samræmi við áskriftarleiðir og almenna viðskiptaskilmála félagsins. 
  • Tryggja öryggi og eignir félagsins og vernda viðskiptavini, starfsfólk og aðra sem eiga í samskiptum við félagið, stuðla að rekjanleika viðskipta og rannsaka, upplýsa eða koma í veg fyrir brot gegn skilmálum félagsins eða lögum
  • Stuðla að net- og upplýsingaöryggi með því að greina, rannsaka og koma í veg fyrir hvers kyns misferli, fjársvik eða netógnir
  • Þróa vöru og þjónustuframboð félagsins, bæta virkni smáforrits félagsins eða annarrar vöru eða þjónustu og í þágu gæðaeftirlits og umbóta
  • Stunda markaðs- og kynningarstarf m.a. með því að veita sérsniðna þjónustu, senda þér upplýsingar sem tengjast heilsutengdum markmiðum þínum og aðrar upplýsingar í markaðslegum tilgangi s.s. um afslætti, fríðindi og aðrar upplýsingar sem kunna að henta þér. 
  • Reka vefsvæði og bæta notendaupplifun á vefsvæðum félagsins
  • Í þágu ráðningarsambands um starfsfólk og starfsumsækjendur
  • til að uppfylla lagaskyldu sem hvílir á félaginu eða starfsfólki þess hverju sinni

3. Hvaðan fáum við persónuupplýsingar um þig?

Persónuupplýsingar sem LifeTrack vinnur eru aðallega fengnar frá þér sjálfum t.d. þegar þú sækir smáforrit félagsins og óskar eftir þjónustu hjá félaginu eða hefur samband við okkur. Jafnframt lætur þú af hendi persónuupplýsingar með óbeinum hætti, t.d. þegar þú heimsækir vefsvæði okkar eða notar smáforriti félagsins eða aðra þjónustu.

Kjósir þú að veita ekki persónuupplýsingar er líklegt að Lifetrack geti ekki veitt viðkomandi aðila þjónustu eða veitt aðgang að lausnum eða smáforriti félagsins.

Í undantekningartilvikum kunna persónuupplýsingar þínar að berast okkur frá þriðja aðila, s.s. lögaðila sem er í viðskiptum við félagið, samstarfs- og vinnsluaðilum eða opinberum aðilum, s.s. Þjóðskrá Íslands, þegar fyrrnefndir aðilar hafa heimild til miðlunar slíkra upplýsinga. Áður en persónuupplýsinga er aflað frá þriðja aðila leitast félagið eftir að upplýsa þig um slíkt.

 4. Hvaða heimild höfum við til að vinna með persónuupplýsingar þínar?

Söfnun og vinnsla persónuupplýsinga þinna fer fram þar sem hún er nauðsynleg til að gera eða efna samning milli þín og Lifetrack sem kemst á þegar þú byrjar að nota smáforrit félagsins eins og fram kemur í almennum viðskiptaskilmálum okkar. Einnig getur vinnsla persónuupplýsinga byggst á samþykki eða ef vinnsla er nauðsynlegt til að fullnægja lagaskyldu. Þegar vinnsla persónuupplýsinga byggir á samþykki getur þú hvenær sem er dregið veitt samþykki til baka og er þá þeirri vinnslu sem samþykkið eftir afturköllunina. Afturköllun samþykkis hefur þó ekki áhrif á vinnslu persónuupplýsinga fram að afturkölluninni.

Í ákveðnum tilvikum er unnið með persónuupplýsingar vegna þess að Lifetrack, þú sjálfur eða þriðji aðili hefur lögmæta hagsmuni af því að upplýsingar séu unnar s.s. í þágu markaðssetningar, net- og upplýsingaöryggis, þróunar og prófunar á vörum og þjónustu félagsins og rafrænnar vöktunar. Slík vinnsla fer einungisfram ef hagsmunir okkar og/eða þriðja aðila af því að vinnslan fari fram vegi þyngra en einkalífshagsmunir þínir að undangengnu sérstöku hagsmunamati þar um.

Vinnsla viðkvæmra persónuupplýsingar, svo sem um andlegt eða líkamlegt ástand og heilsufarsupplýsingar eða áfengis- og/eða lyfjanotkun, byggist ávallt á skýrri heimild í 11. gr. persónuverndarlaga t.d. afdráttarlausu samþykki eða lagaheimild. Vinnsla stéttarfélagsupplýsinga eða annarra upplýsinga sem flokkast sem viðkvæmar samkvæmt persónuverndarlögum byggist einnig ávallt skýrri heimild s.s. lögum að undangenginni fræðslu um slíkt. Smáforrit Lifetrack safnar viðkvæmum persónuupplýsingum ef viðskiptavinur ákveður sjálfur að skrá slíkar upplýsingar í smáforritið svo þú getir náð heilsutengdum markmiðum sem þú setur þér.

5. Með hverjum deilum við persónuupplýsingum þínum og af hverju?

Það er mögulegt að persónuupplýsingar þínar verði afhentar til þriðju aðila ef slíkt er skylt samkvæmt lögum, s.s. til stjórnvalda, löggæslu- og skattyfirvalda eða dómstóla. Eins gætu persónuupplýsingar þínar verið afhentar til þriðja aðila, svo sem í tengslum við samningssamband viðkomandi við félagið eða vegna þjónustu til þín eða fyrirtækis sem þú ert tengiliður fyrir. Sem dæmi kann upplýsingum að vera miðlað til fyrirtækja sem annast greiðslumiðlun fyrir félagið (t.d. banka eða kortafyrirtækis) eða rekstrar- og hýsingaraðila upplýsingakerfa. Í vissum tilvikum geta slíkir aðilar talist vera vinnsluaðilar og gerir LifeTrack þá vinnslusamning við viðkomandi aðila, þar sem trúnaður og öryggi þeirra persónuupplýsinga sem unnið er með er tryggt, í samræmi við kröfur persónuverndarlaga.

Framangreindir þriðju aðilar kunna að vera staðsettir utan Íslands. LifeTrack miðlar þó ekki persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé í samræmi við ákvæði persónuverndarlaga, s.s. á grundvelli staðlaðra samningsskilmála framkvæmdastjórnar Evrópusambandsins eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.

Með notkun á samfélagsmiðlasíðum LifeTrack, s.s. Facebook, safnast tölfræðiupplýsingar um heimsóknir á síðuna sem félagið vinnur ásamt viðkomandi samfélagsmiðlaþjónustu. Í tengslum við þá vinnslu koma aðilar fram sem svokallaðir sameiginlegir ábyrgðaraðilar. Við hvetjum þig því til að kynna þér vel persónuverndarstefnur þeirra.

6. Hver eru réttindi þín samkvæmt persónuverndarlögum?

 Persónuverndarlög veita öllum einstaklingum þ.m.t. viðskiptavinum, og öðrum sem LifeTrack kann að vinna persónuupplýsingar um, ákveðin réttindi. Þú átt almennt rétt á að:

  • fá staðfestingu á því hvort við vinnum persónuupplýsingar um þig og ef svo er rétt til að fá aðgang og afrit af persónuupplýsingum þínum. Þá áttu jafnframt rétt á ákveðnum lágmarksupplýsingum um tilhögun vinnslu sem m.a. eru veittar í yfirlýsingu þessari. 
  • ef þú hefur afhent LifeTrack persónuupplýsingar á rafrænu formi átt þú rétt á að slíkar upplýsingar verði fluttar til annars ábyrgðaraðila, ef það er tæknilega mögulegt, eða beint til þín. Einungis er um að ræða persónuupplýsingar sem afhentar hafa verið á grundvelli samþykkis þíns eða vegna framkvæmdar samnings og eru unnar með sjálfvirkum hætti.
  • óska eftir að rangar eða tilteknar persónuupplýsingar um þig verði leiðréttar ef þær eru rangar eða óáreiðanlegar. Þú getur einnig hvenær sem er uppfært upplýsingar um þig í smáforriti LifeTrack. 
  • óska eftir því að persónuupplýsingum um þig sé eytt í afmörkuðum tilvikum ef skilyrði persónuverndarlaga um eyðingu eiga við. 
  • andmæla vinnslu persónuupplýsinga sem byggir á lögmætum hagsmunum félagsins eða fer fram í þágu beinnar markaðssetningar. 
  • fara fram á að vinnsla persónuupplýsinga þinna sé takmörkuð tímabundið vegna sérstakra aðstæðna hjá þér. 
  • sæta ekki sjálfvirkri ákvarðanatöku nema hún fari fram samkvæmt skilyrðum persónuverndarlaga og þegar hún fer fram átt þú rétt á mannlegri íhlutun og útskýringu á því hvernig sjálfvirk ákvarðanataka er fengin sbr. nánari umfjöllun í kafla 9.

Réttindi þín eru þó ekki fortakslaus og lög eða reglugerðir kunna að heimila eða skylda félagið til að hafna beiðni þinni um að nýta þér umrædd réttindi. Réttur þinn til að andmæla vinnslu persónuupplýsinga þinna til vegna beinnar markaðssetningar er þó ávallt fortakslaus. 

Þú hefur einnig rétt á að leita til persónuverndarfulltrúa félagsins og/eða leggja fram kvörtun hjá Persónuvernd teljir þú LifeTrack ekki vinna persónuupplýsingar þínar í samræmi við persónuverndarlög. Netfang persónuverndarfulltrúa er personuvernd@lifetrack.is. Upplýsingar um Persónuvernd má finna á heimasíðu stofnunarinnar, www.personuvernd.is.

7. Hversu lengi geymum við persónuupplýsingar um þig?

LifeTrack varðveitir aðeins persónuupplýsingar eins lengi og þörf krefur miðað við tilgang vinnslunnar, í samræmi við ákvæði laga og varðveislustefnu félagsins og á meðan þú telst viðskiptavinur félagsins. Persónuupplýsingar eru því varðveittar á meðan á viðskiptasambandi stendur, eins lengi og lög kveða á um eða lögmætir hagsmunir félagsins krefjast. Ákveðnar upplýsingar s.s. afrit af reikningum og bókhaldsgögn eru varðveittar í samræmi við kröfur laga s.s. um ársreikninga og bókhald. 

8. Öryggi persónuupplýsinga

LifeTrack leggur ríka áherslu á að tryggja öryggi persónuupplýsinga og hefur innleitt skipulagslegar og tæknilegar öryggisráðstafanir í þeim tilgangi að teknu tilliti til eðlis upplýsinganna. Dæmi um slíkar ráðstafanir eru aðgangstýringar, dulkóðun, aðskilnaður hlutverka og innra eftirlit.

Upplýsingar um viðskiptavini félagsins eru ekki afhentar eða unnar af öðrum en nauðsynlegum vinnsluaðilum, á grundvelli skriflegs vinnslusamnings, að undangengnu mati á því hvort viðkomandi geti tryggt öryggi persónuupplýsinga með fullnægjandi hætti s.s. aðilum sem sjá um greiðslumiðlun, hýsingu- og rekstur upplýsingakerfa og hugbúnaðar og vefsíðu félagsins. Greiðslukortaupplýsingar eru ekki vistaðar eða aðgengilegar í smáforritinu eða hjá félaginu. Þá eru öll samskipti í smáforritinu dulkóðuð og gögn varðveitt í öruggu hýsingarumhverfi hjá innlendum hýsingaraðilum.

Framangreindum ráðstöfunum er ætlað að koma í veg fyrir mannleg mistök, þjófnað og svik og vernda öll gögn gegn óleyfilegum aðgangi, glötun, eyðileggingu, breytingum fyrir slysni og ólögmætri notkun. 

9. Sjálfvirk ákvarðanataka

Ef til þess kemur að LifeTrack útbúi persónusnið um þig s.s. til að meta eða spá fyrir um ákveðna þætti er varða hagi þína, hegðun eða þjónustunotkun mun félagið ávallt tryggja að slík vinnsla fari fram samkvæmt ákvæðum persónuverndarlaga. Sjálfvirk ákvarðanataka og gerð persónusniðs sem hefur mikil áhrif á hagsmuni þína fer einungis fram á grundvelli viðeigandi heimilda þ.m.t afráttarlauss samþykkis að undangenginni sérstakri fræðslu um slíkt.

10. Endurskoðun og uppfærslur

LifeTrack áskilur sér rétt til að endurskoða persónuverndarstefnu þessa reglulega og uppfæra eftir þörfum. Ef um efnislega uppfærslu er að ræða mun þér verða tilkynnt um slíkt áður en uppfærð stefna tekur gildi. Minni háttar breytingar s.s. orðalagsbreytingar taka gildi við birtingu á vefsvæði og í smáforriti LifeTrack.