Persónuverndarstefna
1. Persónuverndarstefna, tilgangur og lagaskylda
Tilgangurinn með persónuverndarstefnu þessari er að upplýsa viðskiptamenn Hekla Legal um hvernig og hvers vegna persónuupplýsingum er safnað og hvernig meðhöndlun þeirra er.
Hekla Legal kappkostar að tryggja vernd persónuupplýsinga og að vinnsla þeirra sé í samræmi við gildandi lög og reglur. Persónuverndarstefna þessi byggir á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.
Persónuverndarstefna þessi tekur til söfnunar og vinnslu persónuupplýsinga vegna samskipta Hekla Legal við viðskiptamenn sína.
2. Hvað eru persónuupplýsingar?
Persónuupplýsingar í skilningi framangreindra laga, reglugerðar og stefnu þessari eru sérhverjar upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Gögn sem eru ópersónuleg teljast ekki vera persónuupplýsingar
3. Persónupplýsingar sem safnað er og uppruni þeirra
Hekla Legal safnar og vinnur ýmsar tegundir persónuupplýsinga í því skyni að veita lögfræðilega þjónustu til viðskiptavina og tengiliða þeirra sé um að ræða lögaðila. Ólíkum upplýsingum kann að vera safnað, allt eftir eðli veittrar þjónustu og hvort um er að ræða einstakling, sem er notast við þjónustu Hekla Legal eða aðila sem kemur fram fyrir hönd lögaðila í viðskiptum við Hekla Legal.
Vinnsla persónuupplýsinga getur verið eftirfarandi:
- nöfn
- kennitölur
- netföng, heimilsföng og símanúmer
- reikningsupplýsingar og fjárhagsupplýsingar
- vegabréfsupplýsingar
- ljósmyndir, hljóð- og/eða myndbandsupptökur
- viðkvæmar persónuupplýsingar, í þeim tilfellum þar sem vinnsla slíkra upplýsinga nauðsynleg, vegna mála sem Hekla Legal rekur fyrir hönd viðskiptamanna sinna. Viðkvæmar persónuupplýsingar eru upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífsskoðun eða aðila að stéttarfélagi, heilsufarsupplýsingar, upplýsingar um kynlíf eða kynhneigð, erfðafræðilegar upplýsingar og lífkennaupplýsingar,
Auk framangreindra upplýsinga kann Hekla Legal að safna og vinna aðrar upplýsingar sem viðskiptavinir eða tengiliðir viðskiptavina láta félaginu í té við veitta þjónustu, sem og upplýsingar sem eru nauðsynlegar vegna starfsemi félagsins. Í sumum tilvikum kunna upplýsingar að koma frá þriðju aðilum, svo sem Creditinfo, Skattinum, Þjóðskrá Íslands, fjármálafyrirtækjum, dómstólum og öðrum opinberum aðilum. Hvort viðskiptavinir Hekla Legal veita persónuupplýsingar er alltaf þeirra val en séu upplýsingar ekki veittar kann það þó eftir atvikum að hafa áhrif á þá þjónustu og þá ráðgjöf sem Hekla Legal veitir.
4. Tilgangur fyrir vinnslu persónuupplýsinga.
Vinnsla þeirra persónuupplýsinga sem félagið hefur undir höndum fer eftir því í hvaða tilgangi þeirra hefur verið aflað en Hekla Legal notar upplýsingarnar meðal annars til þess að:
- auðkenna og hafa samband við viðskiptamenn. Vinnsla þessi er nauðsynlegur þáttur í að efna samning um þjónustu milli Hekla Legal og viðskiptamanna. Samkvæmt lögum og siðareglum lögmanna ber Hekla Legal skylda til að auðkenna viðskiptavini sína;
- Viðhalda skrá yfir mál viðskiptavina þar sem fram koma upplýsingar um viðskiptavini eða tengiliði þeirra. Vinnslan byggist á lögmætum hagsmunum Hekla Legal til þess að skipulega utan um mál stofunnar;
- fyrirbyggja hagsmunaárekstra en lögmönnum ber lagaskylda til þess að sinna störfum sínum af alúð og neyta allra lögmætra úrræða til að gæta lögvarinna hagsmuna viðskiptamanna sinna;
- tryggja hagsmuni viðskiptavina okkar eða aðrar skyldur sem á okkur hvíla vegna lögfræðilegrar ráðgjafar sem við veitum;
- inna af hendi þjónustu við viðskiptamenn, þar með talið málflutning fyrir héraðsdómi, Landsrétti og Hæstarétti. Þessi vinnsla byggir á samningi milli Hekla Legal og viðskiptamanna um þjónustuna;
- taka á móti greiðslum frá viðskiptamönnum;
- uppfylla lagaskyldu, svo sem vegna laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og;
- gæta lögmætra hagsmuna Hekla Legal, meðal annars í tengslum við eignavörslu og markaðssetningu, tölfræðilegum greiningum til innanhússnota vegna viðskiptaþróunar eða í sambærilegum tilgangi.
Þegar viðskiptamaður hefur veitt Hekla Legal samþykki fyrir vinnslu persónuupplýsinga í ákveðnum tilgangi er samþykki grundvöllur vinnslunnar. Þegar viðskiptamenn hafa samband við Hekla Legal í gegnum heimasíðu félagsins eða með tölvupósti lítur félagið svo á að viðskiptamenn hafi þar með samþykkt skráningu og notkun Hekla Legal á þeim persónuupplýsingum sem þar fram koma. Viðskiptamaður á rétt á því að draga samþykki sitt til baka en slík afturköllun hefur þó ekki áhrif á lögmæti vinnslu persónuupplýsinga sem hafa þegar átt sér stað.
5. Viðtakendur persónuupplýsingum og miðlun til þriðja aðila
Hekla Legal miðlar ekki persónuupplýsingum um viðskiptamenn til þriðja aðila nema með ótvíræðu samþykki þeirra eða til þess að uppfylla skyldur samkvæmt samningi eða ef um er að ræða lagaskyldu.
Þrátt fyrir framangreint kann Hekla Legal að miðla persónuupplýsingum um viðskiptavini til þjónustuaðila sína en það eru einkum fyrirtæki sem veita hýsingar- og upplýsingatækjaþjónustu og banka- og fjármálaþjónustu. Þessir þjónustuaðilar eru bundnir trúnaði. Hekla Legal kann einnig að miðla persónuupplýsingum þínum til þriðju aðila, svo sem í tengslum við samningssamband þeirra við félagið, eða vegna lögfræðiþjónustu til þín eða þess fyrirtækis sem þú er tengiliður fyrir. Sem dæmi kann upplýsingum um þig að vera miðlað til innheimtuaðila vegna innheimtu skulda eða til annarra þriðju aðila, s.s. utanaðkomandi ráðgjafa eða verktaka, í tengslum við ráðgjöf til þín eða hagsmunagæslu fyrir þig.
Persónuupplýsingar þínar kunna jafnframt að vera afhentar þriðja aðila að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til stjórnvalda, dómstóla, gagnaðila í ágreiningi, vitna, samstarfsaðila viðskiptavina eða annarra hagaðila. Einnig kann persónuupplýsingum þínum að vera miðlað til þriðja aðila til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum eða dómsúrskurði.
Hekla Legal miðlar ekki persónuupplýsingum til þriðju aðila sem staðsettir eru utan EES-svæðisins nema hafa til þess heimild á grundvelli gildandi persónuverndarlaga og reglna.
6. Varðveisla persónuupplýsinga og varðveislutími
Hekla Legal varðveitir persónuupplýsingar á öruggan hátt og í samræmi við gildandi lög og reglur. Þannig hafa verið gerðar tæknilegar og skipulagslegar ráðstafanir til að verja persónuupplýsingar viðskiptamanna okkar t.d.gegn eyðingu þeirra, óheimilum aðgangi, breytingum eða birtingu þeirra. Hekla Legal gætir þess með meðal annars með aðgangsstýringum að aðeins þeir starfsmenn félagsins sem á þurfa að halda hafi aðgang að málum viðskiptamanna og aðeins að því marki sem nauðsynlegt er til að framfylgja samningsskyldum félagsins.
Hekla Legal varðveitir persónuupplýsingar um viðskiptamenn eins og lengi og nauðsynlegt er til að uppfylla tilganginn með söfnun þeirra og varðveitir gögn sem málunum tengjast, þ.m.t. persónuupplýsingar, að jafnaði ekki lengur en tíu ár frá því að máli er lokað. Undanskilin þessu eru gögn sem Hekla Legal er skylt að varðveita lengur samkvæmt lögum eða ef málefnaleg ástæða er fyrir áframhaldandi varðveislu þeirra.
Bókhaldsgögn í tengslum við þjónustu Hekla Legal til viðskiptamanna eru varðveitt í samræmi við lög um bókhald nr. 145/1994, en samkvæmt þeim ber að varðveita bókhaldsgögn í sjö ár frá lokum viðkomandi reikningsárs.
7. Breytingar á persónuupplýsingum
Mikilvægt er að þær persónuupplýsingar sem Hekla Legal vinnur með séu réttar. Því þarf að tilkynna félaginu um þær breytingar sem kunna verða á persónuupplýsingum viðskiptamanna. Einstaklingar eiga rétt á því að fá óáreiðanlegar persónuupplýsingar leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga á einstaklingur jafnframt rétt á að láta fullgera ófullkomnar persónuupplýsingar, þ.m.t. með því að leggja fram frekari upplýsingar. Til þess að koma slíkum breytingum á framfæri þarf að hafa samband við ábyrgðarmann, sbr. 9. gr. stefnunnar.
8. Réttindi einstaklinga varðandi persónuupplýsingar sem unnar eru
Einstaklingar eiga rétt á að fá staðfest hvort unnið sé með persónuupplýsingar um þá eða ekki, og ef svo er getur hlutaðeigandi óskað eftir aðgangi að upplýsingunum og hvernig vinnslu er hagað. Þá kann einnig að vera að einstaklingur hafi rétt á að fá afrit af upplýsingunum og getur einnig óska eftir að fá sendar upplýsingar, sem einstaklingur hefur sjálfir látið félaginu í té eða stafa beint frá viðkomandi, til þriðja aðila;
Við ákveðnar aðstæður getur viðskiptavinur óskað eftir því að persónuupplýsingum um hann verði eytt án tafar, til að mynda þegar að varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að samþykki fyrir vinnslu persónuupplýsinganna hefur verið afturkallað og engin önnur heimild liggur til grundvallar henni. Sé vinnslan byggð á samþykki er viðskiptavini heimilt að afturkalla samþykki sitt hvenær sem er. Þá getur viðskiptavinur átt rétt á að fá upplýsingar um uppruna persónuupplýsinga sem ekki er aflað frá honum sjálfum.
Vilji viðskiptavinur ekki láta eyða upplýsingum sínum, t.d. vegna þess að hann þarft á upplýsingunum að halda til að verjast kröfu, en vill samt sem áður að þær séu ekki unnar frekar af hálfu félagsins getur hann óskað eftir því að vinnsla þeirra verði takmörkuð. Sé vinnsla á persónuupplýsingum byggð á lögmætum hagsmunum félagsins á viðskiptavinur einnig rétt á að mótmæla þeirri vinnslu.
Framangreind réttindi eru ekki fortakslaus. Þannig kunna lög að skylda félagið til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni vegna réttinda félagsins, s.s. á grundvelli réttinda annarra aðila svo sem til friðhelgi einkalífs, telji félagið þau réttindi vega þyngra.
Ef upp koma aðstæður þar sem að félagið getur ekki orðið við beiðni viðskiptavinar
mun félagið leitast við að útskýra ástæður þess að beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.
9. Samskiptaupplýsingar, fyrirspurnir og kvartanir
Hekla Legal hefur tilnefnt ábyrgðarmann til að hafa eftirlit með fylgni við þessa persónuverndarstefnu. Hafir þú einhverjar nánari spurningar eða athugasemdir við stefnu þessa bendum við þér á að hafa samband í samræmi við neðangreindar upplýsingar. Ábyrgðarmaður mun bregðast við erindi þínu eins fljótt og auðið er.
- Hekla Legal ehf.
- Bíldshöfða 16, 110 Reykjavík
- Vigdís Þóra Sigfúsdóttir, vigdis@heklalegal.is
- Sími: 497 4020
Viðskiptamenn eiga rétt á að leggja fram kvörtun hjá Persónuvernd (www.personuvernd.is) ef þeir telja að Hekla Legal hafi ekki virt réttindi þeirra við meðferð á persónuupplýsingum.
10. Breytingar á persónuverndarstefnu
Hekla Legal áskilur sér rétt til að breyta persónuverndarstefnu þessari í samræmi við breytingar á persónuverndarlögum, reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Hekla Legal mun vekja athygli á því ef efnislegar breytingar verða á persónuverndarstefnu þessari. Breytingar sem kunna verða á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á heimasíðu félagsins.
Persónuverndarstefna þessi var sett 25. febrúar 2023 og síðast uppfærð þann 24. september 2024.