Um gerð spurninga og svara vegna GDPR

Við gerð spurninga og svara var fengin ráðgjöf frá lögfræðifyrirtækinu LOGOS.

Ekki hika við að hafa samband ef ykkur vantar nánari upplýsingar varðandi einstök atriði á netfangið [email protected]

Grunnatriðin

Hvort kemur Zenter fram sem ábyrgðaraðili eða vinnsluaðili gagnvart viðskiptavinum sínum?

Zenter kemur fram sem vinnsluaðili í skilningi persónuverndarlaga. Viðskiptavinir (Verkkaupi/notandi/ábyrgðaraðili) Zenter eru skilgreindir sem ábyrgðaraðilar.

Ef fyrirtækið er að nota Zenter kerfið hver er þá skilgreindur sem eigandi kerfisins?

Verkkaupi/notandi/ábyrgðaraðili er skilgreindur sem eigandi gagnana sem eru í kerfinu. Zenter er hins vegar skilgreindur sem eigandi kerfisins.

Hver á gögnin í Zenter kerfinu?

Verkkaupi/notandi/ábyrgðaraðili Zenter kerfisins er eigandi allra gagna.

Hvaða gögn eru í Zenter kerfinu í upphafi við kaup á notkun?

Þegar Verkkaupi/notandi/ábyrgðaraðili byrjar að nota Zenter kerfið eru engin gögn í kerfinu. Öll gögn sem koma þar inn eru á ábyrgð verkkaupa/notenda/ábyrgðaraðila.

Afhendir Zenter gögn til 3ja aðila sem eru í Zenter kerfinu?

Gögn í Zenter kerfinu eru hýst hjá Digital Ocean sem staðsett er í Hollandi. Zentir afhendir ekki öðrum gögnin, án samþykkis verkkaupa/notanda/ábyrgðaraðila.

Hvernig nálgast ég nýjan vinnslusamning frá Zenter vegna nýrra persónuverndarlaga?

Hægt verður að nálgast nýjan vinnslusamning hjá Zenter áður en löggjöfin tekur gildi hér á landi.

Geymsla gagna

Hvers konar upplýsingar eru geymdar í Zenter kerfinu?

Verkkaupi/notandi/ábyrgðaraðili kerfisins ber sjálfur ábyrgð á því hvaða gögn eru sett í Zenter kerfið og ber eigandi Zenter kerfisins enga ábyrgð á hvaða gögn er ákveðið að geyma hverju sinni.

Hvaða gögn má geyma í Zenter kerfinu?

  • Viðskiptavinur (Verkkaupi/notandi/ábyrgðaraðili) kerfisins ber sjálfur ábyrgð á því hvaða gögn eru sett í Zenter kerfið og ber eigandi Zenter kerfisins enga ábyrgð á hvaða gögn er ákveðið að geyma hverju sinni.

  • Metið er hverju sinni hvaða gögn eru notuð í Zenter kerfinu og fer í raun eftir tilgangi og markmiðum með notkun Zenter kerfisins hjá hverjum notanda fyrir sig. Algeng dæmi um upplýsingar eru netföng, kennitölur, aldur, símanúmer og t.d. tegund viðskipta.

Hvaða gögn má safna í Zenter kerfinu?

  • Einstaklingar: Við alla söfnun persónuupplýsinga skal gæta meðalhófs. Í raun má safna öllum upplýsingum um einstaklinga eins lengi og samþykki hefur verið fengið fyrir þeim gögnum. Það þarf að vera mjög skýrt að samþykki hafi verið fengið og að það uppfylli skilyrði persónuverndarlaga, byggi vinnslan á samþykki. Sama gildir um starfsmenn fyrirtækja og einstaklinga almennt.

  • Fyrirtæki: Ekki eins strangar reglur eru um söfnun upplýsinga hjá fyrirtækjum, þ.e. ef upplýsingarnar eru ekki um einstaklinga.

Hvernig tekur þú út gögn í Zenter kerfinu ef viðskiptavinur þinn biður um þau?

  • Í dag er hægt að sjá í kerfinu á einum stað öll samskipti sem hafa verið skráð, í hvaða markhópum viðtakandi (einstaklingur eða fyrirtæki) er skráður í, hvaða ferla viðkomandi hefur fengið og aðrar upplýsingar eins og t.d. nafn, netfang og símanúmer.

  • Hægt er að taka út skýrslu á viðtakandaspjaldi hvers og eins. Þessi lausn er í vinnslu.

Hvaða upplýsingar er Zenter að geyma sem eru sjálfvirkt skráðar í Zenter kerfinu?

  • Dæmi um slíkar upplýsingar er hverjir opnuðu tölvupóst, hverjir opnuðu ekki, hverjir smelltu á ákv. hnapp ef slíkt var í boði o.s.frv.

  • Zenter er að vinna að gagnaskilmálum (skilmálum um vistun gagna) sem inniheldur lýsingu á því hvernig ákv. gögn eru skráð sjálfvirkt í Zenter kerfinu

Eyðing gagna

Hvernig fer eyðing gagna fram í Zenter kerfinu?

Viðskiptavinur getur eytt einum viðtakanda (einstaklingur eða fyrirtæki) í einu og eyðast þá öll gögn sem tengjast honum. Í dag er ekki hægt að eyða mörgum í einu en hægt er að senda inn sér beiðni á [email protected] ef óskað er eftir slíku.

Hversu lengi geymast gögnin í Zenter kerfinu eftir að verkkaupi/notandi/ábyrgðaraðili hefur eytt þeim?

  • Gögn eyðast um leið í Zenter kerfinu hjá þeim verkkaupa/notanda/ábyrgðaraðila sem eyðir gögnum.

  • Öryggisafrit eru tekin hjá Zenter daglega til að tryggja fyrir ófyrirséðum hamförum sem gætu komið upp. Öryggisafrit eru geymd í einn mánuð.

  • Þessi afrit eru ekki tekin til að hægt sé að afturkalla ákveðna færslubeiðni hjá verkkaupa/notanda/ábyrgðaraðila. Hins vegar er möguleiki ef verkkaupi/notandi/ábyrgðaraðili hefur „óvart“ eytt gögnum í Zenter kerfinu að afturkalla þau. Getur sú vinna tekið allt að viku og þarf að senda beiðni á [email protected].

Hvernig eyðir Zenter öllum gögnum fyrir verkkaupa/notendur/ábyrgðaraðila ef óskað er eftir slíku í Zenter kerfinu?

Verkkaupi/notandi/ábyrgðaraðili sendir inn skriflega beiðni á netfang hjá Zenter ehf. Zenter ehf. hefur samband við viðkomandi stjórnenda kerfisins hjá verkkaupa/notenda/ábyrgðaraðila til að staðfesta beiðnina. Um leið og búið er að sanna að beiðnin eigi rétt á sér að ósk verkkaupa/notanda/ábyrgðaraðila kerfisins að þá er gögnum eytt í kjölfarið.

Öryggi gagna

Hvernig er öryggisafritun háttað í Zenter kerfinu?

Öryggisafrit eru tekin einu sinni á dag til að tryggja gegn ófyrirséðum hamförum sem gætu komið upp. Þessi afrit eru ekki sett upp svo hægt sé að afturkalla ákveðnar færslubreytingar hjá viðskiptavini.

Eru gögnin dulkóðuð við flutning (hér er um að ræða flutning t.d. frá skráningarsíðu inn í Zenter kerfið)

Öll samskipti við kerfi Zenter hvort sem um ræðir vefumhverfi, appið eða samskipti við API fara yfir dulkóðaða HTTPS rás. Hér er hægt að sjá gæði uppsetningar á Zenter á SSL/HTTPS samskiptum: www.ssllabs.com .

Hvar og hvernig eru gögnin geymd í Zenter kerfinu?

Gögnin eru geymd hjá hýsingaraðila í Hollandi. En skv. persónuverndarreglum (þ. á m. GDPR) þurfa gögn að vera geymd innan EES. Fyrirtækið sem um ræðir heitir Digital Ocean. Hér má sjá nánar um hvernig það fyrirtæki er að vinna að innleiðingu GDRP: https://www.digitalocean.com/security/gdpr/ .

Er Zenter kerfið hýst í skýi?

Kerfi Zenter eru hýst í sýndarþjónustum Digital Ocean (e. VPS hosting) með eldvegg fyrir framan. Gögnin eru ávallt hýst innan Evrópska efnahagssvæðisins.

Bein markaðssetning

Hvað eru persónugreinanleg gögn?

  • Dæmi um persónugreinanleg gögn eru nafn, kennitala, staðsetningargögn, netauðkenni eða aðrar upplýsingar sem leitt geta til persónugreiningar einstaklings.

  • Persónuverndarlög fjalla einungis um vinnslu „persónuupplýsinga“, þ.e. upplýsingar sem á einhvern hátt má tengja við einstaklinga.

  • Ekki er því að um ræða upplýsingar um lögaðila á borð við fyrirtæki og félög eða nafnlausar upplýsingar sem hafa verið aftengdar persónuauðkennum og því ekki lengur hægt að nota til að tengja við og persónugreina einstaklinginn. Upplýsingar um tengiliði fyrirtækja teljast hins vegar persónuupplýsingar.

Hver er munurinn á einstaklingi eða starfsmanni fyrirtækis þegar kemur að beinni markaðssetningu?

  • Enginn greinarmunur er gerður á einstaklingi og starfsmanni fyrirtækis. Ekki er leyfilegt að senda upplýsingar á einstaklinga nema einstaklingur hafi fyrirfram veitt samþykki. Einstaklingar hafa rétt á að mótmæla beinni markaðssetningu í hvert skipti sem póstur er sendur. Mikilvægt er einnig að hafa í huga bannmerkingu Þjóðskrár og símaskrár þar sem það á við en þeir sem eru bannmerktir mega t.d. ekki fá tölvupóstssendingar, SMS eða hringingar ef um er að ræða sölu á ákv. vöru/þjónustu nema að aðili hafi samþykkt slíkt áður.Ef aðili er ekki bannmerktur þá má hringja í viðkomandi.

  • Samkvæmt persónuverndarlögum þarf að upplýsa viðkomandi um af hverju hann er að fá hringingu og hvernig viðkomandi endaði í úrtakinu.

Ef aðili skráir sig á póstlista þarf að senda tilkynningu (tilkynningarskylda) sérstaklega á það netfang sem hann gaf upp og þarf aðili einnig þar að fara í tölvupóstinn sinn og staðfesta þar með því að smella t.d. á ákv. slóð og þá getur viðkomandi farið að fá póst frá viðkomandi fyrirtæki?

Ef aðili skráir sig á póstlista, þar sem byggt er á samþykki og það er fullnægjandi samkvæmt persónuverndarlögum, hefur hann samþykkt að taka við beinni markaðssetningu og ekki er nauðsynlegt að staðfesta það aftur í nýjum pósti. Einstaklingar þurfa þó að geta afskráð sig af listanum í hvert skipti sem þeir fá sendan markpóst.

Má senda SMS á fólk sem ekki hefur gefið leyfi til að láta senda á sig slík skilaboð í beinni markaðssetningu (sala/kynning á vörum/þjónustu)?

Á grundvelli fjarskiptalaga er óheimilt að senda SMS á einstaklinga sem ekki hafa samþykkt það fyrirfram.

Mega fyrirtæki senda á einstaklinga tölvupóst í formi beinnar markaðssetningar (sala/kynning á vöru/þjónustu) á þá sem eru hættir í viðskiptum við fyrirtækið

Fyrirtækjum er heimilt að nota tölvupóstfang viðskiptavina (núverandi og fyrrverandi) við sölu á vörum eða þjónustu fyrir beina markaðssetningu á eigin vörum eða þjónustu ef viðskiptavinum er gefinn kostur á að andmæla slíkri notkun þegar skráning á sér stað og í hvert skipti sem skilaboð eru send.

Má senda beinan markpóst á heimili viðkomandi ef aðili er bannmerktur?

Nei, ekki ef aðili er bannmerktur hjá Þjóðskrá. Ef viðkomandi er einungis bannmerktur í símaskrá á sú merking einungis við um símtöl. Sjá ákvæði 2. gr. reglna nr. 36/2005 um bannskrá : Með markaðssetningarstarfsemi er átt við útsendingu dreifibréfa, happdrættismiða, gíróseðla, auglýsinga og kynningarefnis, símhringingar, útsendingu tölvupósts eða hliðstæðar aðferðir, sem varða kaup eða leigu á vöru eða þjónustu eða þátttöku í tiltekinni starfsemi, hvort sem hún er viðskiptalegs eðlis eða varðar tómstundir, afþreyingu, námskeið eða sambærilegt atferli. .

Listi yfir einstaklinga: Ef ég kaupi lista frá 3ja aðila sem inniheldur einstaklinga sem eru ekki mínir viðskiptavinir, hvaða reglur gilda um að hægt sé að nota þann lista í beinni markaðssetningu? (óháð því hvort sem ég ætla að að senda tölvupóst, hringja eða senda sms)

  • Einstaklingar: Ekki er heimilt að senda skilaboð, t.d. SMS eða tölvupóst, á einstaklinga nema að samþykki hafi áður komið frá viðkomandi.

  • Áður en haft er samband í síma þarf fyrst að sía út þá sem eru bannmerktir í Þjóðskrá og í símaskrá. Eftir það ferli má hringja í aðila, veita upplýsingar um það hvaðan upplýsingarnar koma og skýra frá markmiði símtals, af hverju aðili er í úrtakinu og fá í framhaldi upplýst samþykki viðkomandi aðila. Til að samþykkið sé sannarlegt þarf að vera til skrá um hvenær var hringt og hver hringdi. Til þess að fyrirtæki geti síðar sannað að samþykki hafi verið veitt mælum við með að taka slíkt samþykki upp. Einnig er mögulegt að senda á viðkomandi rafrænan póst þar sem aðili getur lesið sér til um hvað það er sem hann er að samþykkja og í kjölfarið samþykkt með því að haka við upplýst leyfi sem er síðan skráð í kerfinu. Einnig er möguleiki að fá staðfestingu viðkomandi með því að aðili gefi samþykki fyrir því að fá SMS sem inniheldur slóð með eins upplýsingum og þar sem aðili getur þá gefið rafrænt samþykki sem vistast í kerfið.

Hvaða gögn eiga að flytjast út úr Zenter kerfinu ef viðskiptavinur (ákv. einstaklingur með skráð gögn hjá ákv. fyrirtæki) óskar eftir slíkum upplýsingum?

  • Einstaklingar eiga víðtækan rétt á að fá aðgang og afrit af persónuupplýsingum sem ábyrgðaraðili vinnur um hann. Á grundvelli nýrra persónuverndarlaga (sem innleiða GDPR) á einstaklingur rétt á að fá staðfestingu á því hvort unnið sé með persónuupplýsingar um hann, rétt til aðgangs og afrits af þeim auk frekari upplýsinga um vinnsluna sjálfa (tilgang, flokka persónuupplýsinga, viðtakendur persónuupplýsinganna, varðveislutíma, upplýsingar um réttinn til leiðréttingar/eyðingar/takmarkana/andmæla, réttinn til að leggja fram kvörtun hjá Persónuvernd, upplýsingar um uppruna persónuupplýsinga ef þeirra er ekki aflað hjá einstaklingnum og hvort fram fari sjálfvirk ákvarðanataka).

  • Fyrirtækjum ber almennt að verða við slíkri beiðni innan mánaðar frá því að slík beiðni er lögð fram og án endurgjalds.

  • Ákveðnar undantekningar eru þó á aðgangsréttinum samkvæmt persónuverndarlögunum, en víkja má frá þeim rétti á grundvelli t.d. verndar einstaklingsins, brýnna almannahagsmunir, grundvallarréttinda annarra eða til þess að einkaréttarlegum kröfum sé fullnægt. Hafa skal í huga að þessi skýring byggir á 17. gr. frumvarpsdraga. Athuga þó að lögin hafa ekki verið samþykkt á Alþingi og gætu því tekið breytingum. Fyrirtæki bera ábyrgð á því að meta hvort undanþágur eigi við og að svara beiðnum einstaklinga.

  • Zenter er að vinna að skýrslugerð vegna þessa til að hægt sé að taka út skýrslu um ákv. einstakling sem skráður er í kerfinu sem uppfyllir ákvæði nýrra persónuverndarlaga, sem innleiða GDPR.

Samþykki, skilmálar og afskráning

Hvenær þarf ég að vera búinn að fá sannanlegt samþykki þeirra aðila sem eru á tölvupóstslistanum mínum, þar sem GPDR hefur nú þegar tekið gildi innan Evrópu (25. maí 2018)?

Ef vinnsla er byggð á samþykki:

  • Ef verið er að senda á aðila innan Evrópusambandsins, en sem búa ekki á Íslandi, má ekki senda tölvupóst nema að sannanlegt samþykki hafi fengist sem uppfyllir skilyrði GDPR.

  • Ef verið er að senda á Íslendinga má halda áfram að senda á þá aðila þar sem lög sem innleiða GDPR hafa ekki tekið gildi á Íslandi. Hins vegar er mjög mikilvægt að vinna í því að fá sannanlegt samþykki til að vera betur undirbúin þegar lögin taka gildi á Íslandi.

Hvernig get ég uppfyllt persónuverndarlög til að fá einstaklinga til að samþykkja að ég megi í framhaldi senda á hann ákv. skilaboð í gegnum Zenter kerfið?

Við skráningu á t.d. póstlista til að hægt sé að senda tölvupóst á viðkomandi þarf að vera skýr skilmáli þar sem aðili samþykkir (með því að haka við). Fyrirtæki bera ábyrgð á því að samþykkið sé í samræmi við ákvæði persónuverndarlaga, sé það grundvöllur vinnslunnar. Þau gögn eru síðan skráð í Zenter kerfinu um hvenær samþykkið var veitt.

Þarf að samþykkja mismunandi samskiptaleiðir (tölvupóstur, sími eða sms) eða er nóg að hafa eitt samþykki?

Já, samþykki þurfa að vera sértæk. Einstaklingur þarf að geta veitt samþykki fyrir því hvort að það megi t.d. hringja í hann, senda honum tölvupóst eða senda sms.

Í símtali, hvaða upplýsingar þarf ég að gefa til einstaklingsins þegar hringt er í viðkomandi:

  • Þegar verið er að hringja í ákv. markhóp t.d. alla 40 ára karlmenn í Garðabæ þá þarf að koma mjög skýrt fram í símtalinu um hvernig viðkomandi lenti í úrtakinu með því að lýsa að verið sé að hringja í alla 40 ára karlmenn í Garðabæ til að.....

  • Einnig þarf að veita upplýsingar um það hvaðan upplýsingarnar um einstaklinginn koma og hvert einstaklingur skal snúa sér ef hann vill andmæla því að fá slík marksímtöl.

Hvernig set ég upp skilmála í skráningarsíðum í Zenter kerfinu?

  • Beiðni þarf að berast til Zenter um að bæta við skilmálum sem uppfylla persónuverndarlög (þ. á m. GDPR).

  • Viðskiptavinur (Verkkaupi/notandi/ábyrgðaraðili) þarf að ábyrgjast að skilmálar uppfylli ákvæði persónuverndarlaga (þ. á m. GDPR).

Hvernig set ég upp skilmála í tölvupóstssendingum sem koma í gegnum Zenter kerfið?

Ef viðkomandi er þegar á póstlista þá mælir Zenter með því að viðskiptavinur (Verkkaupi/notandi/ábyrgðaraðili) sendi skilmála með tölvupósti. Það er hægt að gera sem n.k. aukagrein í alla pósta sem sendir eru. Þetta fer að vísu eftir eðli viðskiptamannalista og samskiptum þar á milli.

Eru afskráningarhnappar í tölvupóstssniðum Zenter kerfisins?

  • Já, afskráningarhnappar er að finna í öllum sniðmátum sem eru gerð af Zenter.

  • Hins vegar er mikilvægt að hafa í huga að notendur kerfisins geta útbúið sín eigin snið og hafa þarf því í huga að hafa ávallt afskráningarhnappa í tölvupóstssniðunum til að uppfylla ákvæði persónuverndarlaga.

Þegar einstaklingur afskráir sig vegna þess að hann vill ekki lengur fá tölvupóst frá viðkomandi fyrirtæki, af hverju eyðist hann ekki einnig í Zenter kerfinu?

Verkkaupi/notandi/ábyrgðaraðili getur séð yfirlit yfir hvaða einstaklingar hafa óskað eftir þvi að fá ekki lengur tölvupóst og geta þar af leiðandi eytt þessum viðskiptavinum ef það er stefna fyrirtækisins. Þetta er á ábyrgð fyrirtækisins.

Zenter appið – hvað þarf ég að hafa í huga vegna GDRP með notkun á Zenter appinu?

Allar upplýsingar sem eru skráðar í Zenter appinu berast sjálfkrafa yfir í Zenter kerfið og gilda því sömu skýringar sem er rætt hér almennt um Zenter kerfið.