Persónuverndarstefna

Í persónuverndarstefnu Lyfju hf. kemur fram í hvaða tilgangi persónuupplýsingum er safnað og hvernig farið er með slík gögn.

1. ALMENNT

Lyfja hf. samanstendur af móðurfélaginu Lyfju hf. sem rekur lyfjaverslanir Apóteksins og Lyfju ásamt því að reka verslanir Heilsuhússins og lyfjaskömmtunarfyrirtækið Lyfjalausnir. Undir Lyfju hf. heyra auk þess dótturfélögin Heilsa ehf. og Mengi ehf. 

Lyfju hf. er umhugað um persónuvernd viðskiptavina og starfsmanna sinna. Stefna þessi tekur til persónuupplýsinga hvort sem þeim er safnað og þær varðveittar með rafrænum hætti, á pappír eða með öðrum sambærilegum hætti. Stefnan tekur til skráningar, vörslu og vinnslu á persónuupplýsingum sem falla undir stefnuna.

2. PERSÓNUVERNDARLÖGGJÖF

Um meðferð persónuupplýsinga gilda lög um persónuvernd og vinnslu persónuupplýsinga eins og þau eru á hverjum tíma. Taka lögin m.a. á vinnslu, vörslu og miðlun persónuupplýsinga.

3. ÁBYRGÐ

Lyfja hf. er ábyrgðaraðili að vinnslu persónuupplýsinga sem fer fram hjá félaginu. Öll vinnsla persónuupplýsinga hjá félaginu fer fram í samræmi við persónuverndarlög á hverjum tíma.

4. SÖFNUN OG NOTKUN

Lyfja hf. safnar og vinnur með persónugreinanlegar upplýsingar í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga. Þær persónuupplýsingar sem Lyfja hf. safnar og vinnur með koma nær eingöngu frá viðskiptavinum eða starfsfólki félagsins en geta einnig átt uppruna sinn í opinberum skrám eins og Þjóðskrá. Lyfja hf. leggur í öllum tilvikum áherslu á að persónuupplýsingarnar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.

Helstu persónuupplýsingar sem Lyfja hf. safnar og tilgangur vinnslu þeirra er eftirfarandi:

  1. Kaup á lyfseðilsskyldum lyfjum
    Lyfju hf. er skylt skv. lyfjalögum að skrá kennitölu einstaklinga sem kaupa lyfsseðilskyld lyf og varðveita upplýsingarnar í 24 mánuði. Á þetta bæði við um kaup í lyfjaverslun eða í gegnum app Lyfju.
  2. Reikningsviðskipti
    Í þeim tilgangi að geta stundað reikningsviðskipti við einstaklinga, þarf viðkomandi að láta Lyfju hf. í té nægjanlegar upplýsingar til að hægt sé að afgreiða vörur og óska eftir greiðslu fyrir þær, sbr. nafn, kennitölu og bankaupplýsingar.
  3. Póstlistar
    Hafi einstaklingur óskað eftir því að vera skráður á póstlista Lyfju hf. í þeim tilgangi að fá sendar upplýsingar um vörur og þjónustu, þá eru upplýsingar nafn og netfang viðkomandi einstaklings skráðar.
  4. Starfsmannaupplýsingar
    Í þeim tilgangi að geta uppfyllt lögbundnar skyldur gagnvart starfsfólki sínu og greitt laun, safnar Lyfja hf. og vinnur með allar helstu grunnupplýsingar starfsfólks, s.s. bankaupplýsingar, upplýsingar um stéttarfélagsaðild og vinnutíma.
Framangreint er ekki tæmandi talning á þeim persónuupplýsingum sem Lyfja hf. kann að vinna um einstaklinga, og getur til dæmis verið um að ræða aðrar upplýsingar sem einstaklingar láta félaginu sjálfir í té.

Lyfja hf. vinnur aðeins með persónuupplýsingar í lögmætum tilgangi og til samræmis við gildandi persónuverndarlöggjöf á hverjum tíma. Kunna upplýsingarnar til dæmis að vera nauðsynlegar til að auðkenna viðskiptavini og hafa samband við þá; og til að inna þá þjónustu, sem óskað er eftir hverju sinni, af hendi.

Oftast eru upplýsingarnar unnar á grundvelli eftirfarandi heimilda:

  • Þegar það er nauðsynlegt vegna lögmætra hagsmuna félagsins eða annarra og grundvallarréttindi og frelsi einstaklingsins verða ekki talin vega þyngra
  • Þegar það er nauðsynlegt til að efna samning milli félagsins og einstaklings.
  • Þegar það er nauðsynlegt vegna lagaskyldu sem hvílir á félaginu.
  • Þegar einstaklingur hefur samþykkt að félagið noti upplýsingarnar.

Lyfja hf. mun einungis nota persónuupplýsingar í þeim tilgangi sem lá að baki söfnun þeirra.

Hægt er að skoða og nota vefsvæði í umsjón Lyfju hf. án þess að gefa upp nokkrar persónulegar upplýsingar. Lyfja hf. safnar ekki upplýsingum sem vafri sendir þegar einstaklingur nýtir sér þjónustu félagsins, þ.e. gögn sem geta falið í sér upplýsingar eins og IP-tölu, tegund vafra, útgáfu vafra, síður þjónustunnar sem heimsóttar eru, tíma og dagsetningu heimsóknar, þann tíma sem varið var á þessum síðum og önnur talnagögn.

5. MIÐLUN

Lyfja hf. selur aldrei persónuupplýsingar. Félagið miðlar aldrei persónuupplýsingum til þriðja aðila án þess að samþykki fyrir miðluninni liggi fyrir nema þar sem Lyfju hf. er það skylt samkvæmt lögum eða í þeim tilvikum sem talin eru upp í 4. kafla eða í næstu málsgrein.

Lyfju hf. er heimilt að miðla persónuupplýsingum til þriðja aðila (vinnsluaðila) sem er þjónustuveitandi, umboðsmaður eða verktaki í þeim tilgangi að ljúka við verkefni eða veita þjónustu eða vöru sem einstaklingur hefur beðið um eða samþykkt. Félagið afhendir vinnsluaðilunum einungis þær persónuupplýsingar sem eru nauðsynlegar fyrir þá í framangreindum tilgangi. Gerður er við þá samningur þar sem þeir undirgangast skyldu um að halda upplýsingum um einstaklinga öruggum og nota þær einungis í framangreindum tilgangi.

Vakin er athygli á að allt efni sem einstaklingur birtir eða deilir á samfélagsmiðlasíðum Lyfju hf. eru opinberar upplýsingar.

6. ÞRIÐJI AÐILI

Persónuverndarstefnan nær ekki til upplýsinga eða vinnslu þriðja aðila sem Lyfja hf. hefur enga stjórn á né ber ábyrgð á notkun, birtingu eða öðrum aðgerðum þeirra. Lyfja hf. hvetur því til að einstaklingar kynni sér persónuverndarstefnu annarra, þ. á m. vefhýsingaraðila þeirra síðna sem geta vísað á Lyfju hf., hugbúnaðarfyrirtækja á borð við Facebook, Apple, Google og Microsoft ásamt mögulegri greiðsluþjónustu sem kann að vera notuð.

7. ÖRYGGI

Lyfja hf. leggur mikla áherslu á öryggi við vinnslu persónuupplýsinga og hefur því yfir að skipa innra eftirlitskerfi sem á að tryggja að ávallt séu gerðar viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir.

Komi upp öryggisbrestur við meðferð persónuupplýsinga, þar sem staðfest er eða grunur leikur á að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Persónuvernd og eftir atvikum einstaklingum tilkynnt um öryggisbrest nema hann hafi ekki í för með sér mikla áhættu fyrir einstaklinga.

Athygli er þó vakin á því að einstaklingar bera ábyrgð á persónuupplýsingum, t.d. nafni, kennitölu og mynd, sem þeir kjósa að deila eða senda á almennum vettvangi t.d. í gegnum samfélagsmiðla Lyfju hf.

8. VARÐVEISLA

Lyfja hf. geymir aðeins persónuupplýsingar um einstaklinga eins lengi og nauðsynlegt er og í samræmi við þann tilgang sem þeim var safnað, þ.m.t. til þess að uppfylla lagaskyldu og bókhaldsskyldu. Við mat á hæfilegum geymslutíma fyrir persónuupplýsingar tekur Lyfja hf. mið af umfangi, tegund og eðli upplýsinganna sem um ræðir, áhættunni af því að óviðkomandi fái aðgang að þeim eða nýti þær með óheimilum hætti, þeim tilgangi sem Lyfja hf. vinnur persónuupplýsingarnar og hvort Lyfja hf. geti náð sama tilgangi með öðrum leiðum, auk viðeigandi lagaskilyrða eftir því sem við á. Félagið fer yfir alla vinnslu persónuupplýsinga á tveggja ára fresti og endurskoðar hvort heimilt sé að varðveita áfram upplýsingar sem tengjast viðkomandi vinnslu. 

9. RÉTTINDI EINSTAKLINGA

Einstaklingar eiga við ákveðnar kringumstæður tiltekin réttindi á grundvelli persónuverndarlaga. Til að mynda geta einstaklingar átt rétt á að fá staðfest hvort unnar séu persónuupplýsingar um þá eða ekki, og ef svo er geta þeir óskað eftir aðgangi að þeim persónupplýsingum um sig sem Lyfja hf. hefur undir höndum. Þá eiga einstaklingar einnig rétt á að óska eftir leiðréttingu á þeim gögnum sem unnið er með um þá. Enn fremur geta einstaklingar við ákveðnar aðstæður óskað eftir því að persónuupplýsingum um þá verði eytt eða að vinnsla persónuppýsinga verði takmörkuð, auk þess sem einstaklingar geta í tilteknum tilvikum mótmælt vinnslunni. Þessi réttindi eru ekki fortakslaus og kann beiðni því að vera hafnað, eftir því sem lög kveða á um. Komi til þess að beiðni verði hafnað í heild eða að hluta er leitast við að útskýra á hvaða grundvelli.

Ef einhverjar spurningar eru varðandi meðferð persónuupplýsinga hjá Lyfju hf. eða ef einstaklingur vill nýta sér lögbundinn rétt sinn er velkomið að senda skriflega fyrirspurn á personuvernd@lyfja.is.

Almennt kostar ekkert að fá aðgang að gögnum eða nýta sér réttindi sín, en Lyfja hf. áskilur sér þó rétt til að fara fram á sanngjarnt endurgjald ef beiðnin er augljóslega tilhæfulaus, endurtekin eða umfangsmikil. Að öðrum kosti getur Lyfja hf. hafnað því að verða við beiðninni í þeim tilvikum.

Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar, til dæmis með því að senda tölvupóst á netfangið postur@personuvernd.is.

10. ÁBYRGÐ OG BREYTINGAR Á STEFNUNNI

Persónuverndarstefnu þessari kann að vera breytt í samræmi við breytingar á löggjöf eða vegna breytinga á meðferð persónuupplýsinga hjá félaginu. Allar breytingar sem kunna að verða gerðar taka gildi eftir að uppfærð útgáfa hefur verið birt á vefsíðu félagsins