Persónuverndarstefna

PERSÓNUVERNDARSTEFNA LYFJU HF.
Í persónuverndarstefnu Lyfju hf. kemur fram í hvaða tilgangi persónuupplýsingum er safnað og hvernig farið er með slík gögn.
 
1. ALMENNT
Lyfja hf. samanstendur af móðurfélaginu Lyfju hf. sem rekur lyfjaverslanir Apóteksins og Lyfju ásamt því að reka verslanir Heilsuhússins og lyfjaskömmtunarfyrirtækið Lyfjalausnir. Undir Lyfju hf. heyrir auk þess dótturfélögin Heilsa ehf. og Mengi ehf. 
 
Lyfju hf. er umhugað um persónuvernd viðskiptavina og starfsmanna sinna. Stefna þessi tekur til persónuupplýsinga hvort sem þeim er safnað og þær varðveittar með rafrænum hætti, á pappír eða með öðrum sambærilegum hætti. Stefnan tekur til skráningar, vörslu og vinnslu á persónuupplýsingum sem falla undir stefnuna. 
 
2. PERSÓNUVERNDARLÖGGJÖF
Um meðferð persónuupplýsinga gilda lög um persónuvernd og meðferð persónuupplýsinga eins og þau eru á hverjum tíma. Taka lögin m.a. á vinnslu, vörslu og miðlun persónuupplýsinga. 
 
3. ÁBYRGÐ
Lyfja hf. ber ábyrgð á skráningu persónuupplýsinga og meðferð þeirra upplýsinga í starfsemi sinni í samræmi við gildandi lög á hverjum tíma. Félagið er löglegur stjórnandi persónuupplýsinga sem veittar eru fyrirtækinu. Tekið er við beiðnum varðandi persónuupplýsingar á skrifstofu Lyfju hf. að Hagasmára 1, Kópavogi eða með því að senda skriflega fyrirspurn á personuvernd@lyfja.is .
 
4. SÖFNUN OG NOTKUN
Lyfja hf. safnar persónugreinanlegum upplýsingum í samræmi við 6. gr. laga um persónuvernd:
 
a) Skráður einstaklingur hefur gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða.
b) Vinnsla er nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
c) Vinnslan er nauðsynleg til uppfylla lagaskyldu sem hvílir á ábyrgðaraðila.
d) Vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.
e) Vinnslan er nauðsynleg vegna verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
f) Vinnsla er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir nema hagsmunir eða grundvallarréttindi.
 
Hægt er að skoða og nota vefsvæði í umsjón Lyfju hf. án þess að gefa upp nokkrar persónulegar upplýsingar. Lyfja hf. safnar ekki upplýsingum sem vafri sendir þegar einstaklingur nýtir sér þjónustu félagsins, þ.e. gögn sem geta falið í sér upplýsingar eins og IP-tölu, tegund vafra, útgáfu vafra, síður þjónustunnar sem heimsóttar eru, tíma og dagsetningu heimsóknar, þann tíma sem varið var á þessum síðum og önnur talnagögn.
 
5. MIÐLUN
Lyfja hf. selur aldrei persónuupplýsingar. Félagið miðlar aldrei persónuupplýsingum til þriðja aðila án þess að samþykki fyrir miðluninni liggi fyrir nema þar sem Lyfju hf. er það skylt samkvæmt lögum eða í þeim tilvikum sem talin eru upp í 4. kafla eða í næstu málsgrein.
 
Lyfju hf. er heimilt að miðla persónuupplýsingum til þriðja aðila (vinnsluaðila) sem er þjónustuveitandi, umboðsmaður eða verktaki í þeim tilgangi að ljúka við verkefni eða veita  þjónustu eða vöru sem einstaklingur hefur beðið um eða samþykkt. Félagið afhendir vinnsluaðilunum einungis þær persónuupplýsingar sem eru nauðsynlegar fyrir þá í framangreindum tilgangi. Gerður er  við þá samningur þar sem þeir undirgangast skyldu um að halda upplýsingum um einstaklinga öruggum og nota þær einungis í framangreindum tilgangi. 
 
Vakin er  athygli á að allt efni sem einstaklingur birtir eða deilir á samfélagsmiðlasíðum Lyfju hf. eru opinberar upplýsingar. Auk þess er vakin athygli á að með því að tengja saman síðureikning einstaklings og samfélagsmiðlareikning er Lyfju hf. gefið leyfi til að deila upplýsingum með veitanda samfélagsmiðlaþjónustunnar og notkun þeirra upplýsinga sem við deilum stjórnast af stefnu samfélagsmiðilsins um persónuvernd. Ef einstaklingur óskar þess að persónuupplýsingum hans sé ekki deilt með öðrum notendum eða með veitanda samfélagsmiðlaþjónustunnar, mun félagið ekki tengja samfélagsmiðlareikning við síðureikning eða deila efni inn á samfélagsmiðla frá síðunni. 
 
6. ÞRIÐJI AÐILI
Persónuverndarstefnan nær ekki til upplýsinga eða vinnslu þriðja aðila sem Lyfja hf. hefur enga stjórn á né ber ábyrgð á notkun, birtingu eða öðrum aðgerðum þeirra. Lyfja hf. hvetur því til að einstaklingar kynni sér persónuverndarstefnu annarra, þ. á m. vefhýsingaraðila þeirra síðna sem geta vísað á Lyfju hf., hugbúnaðarfyrirtækja á borð við Facebook, Apple, Google og Microsoft ásamt mögulegri greiðsluþjónustu sem kann að vera notuð.
 
7. VERNDUN 
Lyfja hf. leggur mikla áherslu á að vernda vel allar persónuupplýsingar og hefur því yfir að skipa innra eftirlitskerfi sem á að tryggja að ávallt skulu gerðar viðeigandi tæknilegar og skipulagslegar  öryggisráðstafanir.
 
Lyfja hf. mun tilkynna einstaklingum innan eðlilegs tíma um öryggisbrot er varðar persónuupplýsingar sem hefur í för með sér mikla persónulega áhættu. Með öryggisbroti í framangreindum skilningi er átt við brot á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
 
Athygli er þó vakin á því að einstaklingar bera ábyrgð á persónuupplýsingum, t.d. nafni, kennitölu og mynd, sem þeir kjósa að deila eða senda á almennum vettvangi t.d. í gegnum samfélagsmiðla Lyfju hf. 
 
8. VARÐVEISLA
Lyfja hf. reynir eftir fremsta megni að halda persónuupplýsingum nákvæmum og áreiðanlegum og uppfærir þær eftir þörfum. Félagið mun fara yfir alla vinnslu persónuupplýsinga einu sinni á ári og endurskoða hvort heimilt sé að varðveita áfram upplýsingar sem tengjast viðkomandi vinnslu. Ef ljóst er að félaginu er ekki heimilt að varðveita þær áfram, mun það hætta allri vinnslu með persónuupplýsingarnar frá þeim tíma. Ef möguleiki er á að persónuupplýsinganna kunni að vera þörf síðar til að uppfylla lagaskyldu, t.d. gagnvart skattyfirvöldum, eða til að höfða eða verjast réttarkröfu, mun félagið taka afrit af hlutaðeigandi persónuupplýsingum og varðveita þær á öruggu formi eins lengi og nauðsyn ber til. 
 
9. RÉTTINDI EINSTAKLINGA
Einstaklingur sem átt hefur í viðskiptasambandi við Lyfju hf. á rétt á og getur óskað eftir persónuupplýsingum skv. 12. og 13. gr. persónuverndarlaga  með því að senda skriflega fyrirspurn á personuvernd@lyfja.is.
 
Beiðni einstaklings verður tekin til greina og honum afhentar upplýsingarnar (þegar það á við) innan hæfilegs tíma, þó með þeim takmörkunum sem réttindi annarra gera, þ.m.t. vegna viðskiptaleyndarmála og hugverkaréttinda. Athygli er vakin á að innheimt er sérstakt ljósritunargjald ef farið er fram á fleira en eitt afrit. Einstaklingi verður tilkynnt og gefin skýring ef töf verður á afgreiðslu eða ef ekki er unnt að verði við beiðninni að fullu eigi síðar en mánuði frá móttöku hennar. 
 
10. ÁBYRGÐ OG VIÐHALD STEFNUNNAR
Stefnan er samþykkt af framkvæmdastjórn Lyfju hf. og ber forstöðumaður rekstrarsviðs ábyrgð á að viðhalda henni. Stefnan skal yfirfarin eigi sjaldnar en á tveggja ára fresti.
 
Samþykkt 25.05.201