Hjá CORUS ehf. („CORUS“ eða „félagið“) er lögð rík áhersla á að tryggja áreiðanleika, trúnað og öryggi þeirra persónuupplýsinga sem félagið vinnur. Persónuverndarstefnu þessari er ætlað að upplýsa þig um vinnslu CORUS á persónuupplýsingum, þ. á m. hvaða persónuupplýsingum félagið safnar og með hvaða hætti það nýtir slíkar persónuupplýsingar.
Persónuverndarstefna þessi á eingöngu við þegar félagið vinnur persónuupplýsingar sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, t.d. þegar félagið vinnur persónuupplýsingar tengiliða sem koma fram fyrir hönd lögaðila sem eiga í viðskiptum við félagið eða umsækjenda um störf hjá félaginu.
Persónuverndarstefna þessi nær ekki til vinnslu félagsins á persónuupplýsingum sem fer fram í tengslum við veitingu á upplýsingatækniþjónustu til lögaðila. Við slíkar aðstæður telst viðskiptavinur félagsins ábyrgðaraðili að vinnslu persónuupplýsinga, en félagið kemur þá fram sem vinnsluaðili fyrir hönd viðskiptavinarins og vinnur félagið slíkar upplýsingar á grundvelli samnings við viðskiptavin.
Félagið hefur skipað persónuverndarfulltrúa sem hefur eftirlit með því að félagið uppfylli skyldur sínar samkvæmt gildandi persónuverndarlögum hverju sinni, sbr. kafla 7 í stefnu þessari.
Vinnsla félagsins á persónuupplýsingum fer eftir sambandi félagsins við þá einstaklinga sem upplýsingarnar tilheyra.
Í köflum a-g hér að neðan má finna nánari upplýsingar um hvaða persónuupplýsingar félagið vinnur í ólíkum samningssamböndum, lýsingu á því í hvaða tilgangi vinnslan fer fram, á hvaða grundvelli vinnslan byggir og hversu lengi félagið varðveitir upplýsingarnar.
Meginstarfsemi félagsins felst í að veita hugbúnaðarlausnir og þjónustu á sviði mannauðs- og launalausna til lögaðila. Komir þú fram fyrir hönd slíks viðskiptavinar okkar vinnum við eftirfarandi upplýsingar um þig, á grundvelli lögmætra viðskiptahagsmuna félagsins:
Þá kann félagið að nota tengiliðaupplýsingar til að senda þér skoðunar- og þjónustukannanir, upplýsingar um fræðslu og viðburði á vegum félagsins, sem og um nýjar vörur og tilboð. Sú vinnsla byggir á lögmætum viðskiptahagsmunum félagsins, en þú getur ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.
Símtöl viðskiptavina sem koma í gegnum þjónustuborð félagsins kunna að vera hljóðrituð og er viðskiptavinum gert grein fyrir hljóðritun í upphafi símtals.
Á vefsíðu CORUS má finna upplýsingar um helstu þjónustur CORUS. Þar getur þú skráð þig á póstlista til þess að fá upplýsingar um fréttir, fræðslu og viðburði á vegum félagsins Þegar þú skráir þig á póstlista CORUS óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli lögmætra viðskiptahagsmuna félagsins:
Á vefsíðu CORUS getur þú jafnframt sent okkur erindi, hvort sem það er almenn fyrirspurn eða beiðni um ráðgjöf. Þegar þú sendir okkur fyrirspurn óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli beiðni þinnar um að gera samning:
Félagið kann að nota netfang þitt til að senda þér upplýsingar um fræðslu og viðburði á vegum félagsins, sem og upplýsingar um nýjar vörur og tilboð. Vinnsla þessi byggir á lögmætum viðskiptahagsmunum félagsins, en viðskiptavinir geta ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.
Við notum vefkökur til að bæta upplifun þína á vefsíðu CORUS. Nánari upplýsingar má finna í vefkökuborða sem birtist við heimsókn á vefsíðu félagsins.
Þegar þú skráir þig á viðburð eða námskeið (sameiginlega vísað til „viðburðar“) á vegum félagsins kunnum við að óska eftir persónuupplýsingum þínum til að halda utan um skráningu þína og greiðslu, þegar það á við. Við söfnum mismunandi upplýsingum eftir því hvers konar viðburð er um að ræða, en almennt er óskað eftir eftirfarandi upplýsingum, sem eru nauðsynlegar fyrir okkur til að verða við beiðni þinni um þátttöku:
á grundvelli lögmætra viðskiptahagsmuna félagsins eða samþykkis þíns. Meðalhófs er þó ávallt gætt við slíka myndbirtingu.
Eftir að viðburði er lokið kunnum við að senda þér eftirfylgnitölvupóst, sem og tölvupósta með efni sem við teljum þig hafa áhuga á, s.s. boð á aðra sambærilega viðburði.
Eftirfarandi persónuupplýsingum er safnað um fundargesti sem koma í húsnæði félagins, en sú vinnsla er byggð á lögmætum hagsmunum okkar:
CORUS viðhefur rafræna vöktun með eftirlitsmyndavélum á starfsstöðvum félagsins, bæði innandyra og í kringum viðkomandi húsnæði. Öll vöktuð svæði innandyra eru merkt sérstaklega. Myndavélaeftirlit er viðhaft í öryggis- og eignarvörsluskyni á grundvelli lögmætra hagsmuna félagsins. Myndefni sem safnast með eftirlitsmyndavélum er ekki varðveitt lengur en í 90 daga nema lög eða reglur um rafræna vöktun heimili. Þetta á þó ekki við um myndefni sem nauðsynlegt er að varðveita til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.
Ef þú sækir um starf hjá félaginu vinnum við eftirfarandi persónuupplýsingar um þig:
Komist þú áfram í ráðningarferlinu óskum við eftir eftirfarandi upplýsingum:
Við óskum þó einungis eftir sakavottorði ef til stendur að bjóða þér starf og er þá óskað eftir því áður en ákvörðun er tekin um ráðningu. Eftir að sakavottorð hefur verið skoðað er því eytt. Þessi vinnsla byggir á lögmætum hagsmunum félagsins af því að tryggja öryggi og heilleika vinnustaðarins.
Upplýsingum um þig er fyrst og fremst aflað frá þér, en kann einnig að vera aflað frá meðmælendum og eftir atvikum ráðningarskrifstofum og eru þær notaðar til að meta hæfni þína til að sinna viðkomandi starfi. Byggir sú vinnsla okkar á beiðni þinni um gerð ráðningarsamnings.
Félagið geymir persónuupplýsingar umsækjenda í allt að 9 mánuði eftir að umsókn berst félaginu, en að þeim tíma loknum er umsóknum eytt með öruggum hætti. Ef þú kýst að viðhalda umsókn sinni á umsóknarvef félagsins eru persónuupplýsingar umsækjanda geymdar í 9 mánuði til viðbótar. Félagið kann að óska eftir því að geyma umsóknir lengur vegna frekari starfstækifæra hjá félaginu. Í þeim tilvikum mun félagið hafa samband við þig og óska eftir samþykki fyrir lengri varðveislu.
Að öðru leyti en tekið er sérstaklega fram í stefnu þessari aflar félagið persónuupplýsinga beint frá þér. Upplýsingar kunna þó jafnframt að koma frá þriðju aðilum, t.d. úr Þjóðskrá.
Að öðru leyti en tekið er sérstaklega fram í stefnu hér að framan varðveitir félagið persónuupplýsingar eins lengi og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum. Persónuupplýsingar eru þó að jafnaði ekki varðveittar lengur en í sjö ár.
Félagið kann að miðla persónuupplýsingum til þriðju aðila sem veita félaginu þjónustu sem tengist vinnslu persónuupplýsinga og er hluti af rekstri félagsins. Dæmi um slíka aðila eru utanaðkomandi ráðgjafar, s.s. endurskoðendur, lögmenn og úttektaraðilar, en einnig aðilar sem veita félaginu upplýsingatækni- og fjarskiptaþjónustu. Miðlun persónuupplýsinga til slíkra aðila er byggð á lögmætum hagsmunum félagsins af því að úthýsa tilteknum verkefnum til utanaðkomandi aðila.
Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann félagið jafnframt að miðla afmörkuðum upplýsingum til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar. Slík miðlun á sér einnig stað á grundvelli lögmætra hagsmuna félagsins.
Þar að auki kann félagið að miðla persónuupplýsingum til eftirlitsyfirvalda þegar félaginu er það skylt samkvæmt lögum, stjórnvaldsfyrirmælum eða dómsúrskurði. Dæmi um slíka miðlun er afhending persónuupplýsinga til eftirlitsyfirvalds, s.s. Fjármálaeftirlitsins, Persónuverndar, Ríkisskattstjóra eða lögreglu á grundvelli dómsúrskurðar eða lögmætrar beiðni.
Þessir aðilar kunna að vera staðsettir utan Íslands. Félagið mun þó ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar, s.s. á grundvelli staðlaðra samningsskilmála, samþykki þíns eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.
CORUS leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda þær persónuupplýsingar sem félagið vinnur með, með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.
Dæmi um öryggisráðstafanir sem félagið grípur til eru aðgangsstýringar í kerfum félagsins, aðgangsstýringar í húsnæði félagsins, trúnaðarskylda starfsfólks o.s.frv.
Persónuverndarlög tryggja einstaklingum ákveðin réttindi yfir persónuupplýsingum sínum. Þannig geta einstaklingar t.d. óskað eftir aðgangi að persónuupplýsingum sínum eða að þeim sé eytt.
Tekið skal fram að réttindi þín á grundvelli persónuverndarlaga eru ekki fortakslaus. Þannig kunna lög t.a.m. að skylda félagið til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni þinni vegna réttinda félagsins, s.s. á grundvelli hugverkaréttar, eða réttinda annarra aðila, s.s. til friðhelgi einkalífs, telji félagið þau réttindi vega þyngra.
Ef upp koma aðstæður þar sem að við getum ekki orðið við beiðni þinni munum við leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.
Réttur til leiðréttingar; Það er mikilvægt að þær persónuupplýsingar sem félagið vinnur með séu bæði réttar og viðeigandi. Því er mikilvægt að okkur sé tilkynnt um allar breytingar sem kunna að verða á persónuupplýsingum þínum.
Þú átt rétt á því að fá óáreiðanlegar persónuupplýsingar um þig leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga átt þú jafnframt rétt á að láta fullgera ófullkomnar persónuupplýsingar um þig, þ.m.t. með því að leggja fram frekari upplýsingar.
Réttur til aðgangs; Þú átt rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki, og ef svo er getur þú óskað eftir aðgangi að upplýsingunum og hvernig vinnslunni er hagað. Þá kann einnig að vera að þú hafir rétt á að fá afrit af upplýsingunum.
Réttur til gagnaflutnings; Við ákveðnar aðstæður getur þú farið fram á það við félagið að við sendum upplýsingar, sem þú hefur sjálf/ur látið okkur í té eða stafa frá þér, beint til þín eða þriðja aðila. Þessi réttur á þó eingöngu við þegar vinnslan á viðkomandi persónuupplýsingum byggir annað hvort á samþykki þínu eða samnings þíns við félagið.
Réttur til eyðingar; Við ákveðnar aðstæður getur þú óskað eftir því að persónuupplýsingum um þig verði eytt án tafar, til að mynda þegar að varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að þú hefur afturkallað samþykki þitt fyrir vinnslu persónuupplýsinganna og engin önnur heimild liggur til grundvallar henni.
Réttur til að afturkalla samþykki fyrir vinnslu; Sé vinnsla á persónuupplýsingum þínum byggð á samþykki er þér hvenær sem er heimilt að afturkalla samþykki þitt.
Réttur til takmörkunar á vinnslu; Viljir þú ekki láta eyða upplýsingum þínum, t.d. vegna þess að þú þarft á þeim að halda til að verjast kröfu, en vilt samt sem áður að þær séu ekki unnar frekar af hálfu félagsins getur þú óskað eftir því að vinnsla þeirra verði takmörkuð.
Réttur til að andmæla vinnslu; Sé vinnsla á persónuupplýsingum þínum byggð á lögmætum hagsmunum félagsins átt þú rétt á að mótmæla þeirri vinnslu.
Viljir þú nýta réttindi þín á grundvelli persónuverndarlaga getur þú sent beiðni til félagsins í gegnum personuvernd@corus.is.
Félagið hefur einungis heimild til að afgreiða beiðnir á grundvelli persónuverndarlaga þegar félagið er í stöðu ábyrgðaraðila, s.s. þegar þú kemur fram fyrir hönd lögaðila í viðskiptum við félagið. Aðrar beiðnir vegna vinnslu persónuupplýsinga af hálfu lögaðila sem kaupir upplýsingatækniþjónustu af félaginu skal beina til viðkomandi lögaðila sem hefur stöðu ábyrgðaraðila.
Við tökum almennt ekki gjald fyrir afgreiðslu beiðna sem berast frá einstaklingum. Við áskiljum okkur hins vegar rétt til að gjaldfæra fyrir beiðnir sem teljast augljóslega tilefnislausar, endurteknar og/eða óhóflegar. Auk þess kann félaginu að vera heimilt að neita að verða við beiðni í framangreindum tilfellum.
Félagið mun auðkenna þá einstaklinga, sem senda beiðni til félagsins, með rafrænum skilríkjum. Sú auðkenning er nauðsynleg svo félagið geti uppfyllt lagaskyldu sína samkvæmt persónuverndarlögum og felur í sér öryggisráðstafanir svo persónuupplýsingar einstaklinga séu ekki birtar óviðkomandi aðilum.
Félagið kann einnig að hafa samband við einstaklinga og óska eftir frekari upplýsingum ef það er talið nauðsynlegt.
Félagið mun varðveita beiðni þína, allar upplýsingar tengdar beiðninni sem og samskipti í tengslum við beiðnina í 4 ár frá afgreiðslu hennar.
Persónuverndarfulltrúi tekur á móti fyrirspurnum og beiðnum í tengslum við persónuvernd, auk þess að ráðleggja félaginu um vinnslu persónuupplýsinga og gegna því hlutverki að vera tengiliður við Persónuvernd.
Allar fyrirspurnir vegna persónuverndar skulu berast persónuverndarfulltrúa á netfangið personuvernd@corus.is.
Ef þú ert ekki sátt/sáttur við meðferð félagsins á persónuupplýsingum þínum getur þú ávallt sent kvörtun á Persónuvernd.
Upplýsingar um Persónuvernd má finna á www.personuvernd.is.
Félagið getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á persónuverndarlögum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar.
Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á heimasíðu félagsins.
