Persónuverndarstefna
Megin ehf. (kt. 550321-3000) ber ábyrgð á vinnslu persónuupplýsinga á austurstraeti.is og við bókanir á gönguferðum.
Tekur gildi: TODO — fylltu inn dagsetningu eftir lögmannsyfirferð
1. Ábyrgðaraðili
Ábyrgðaraðili í skilningi laga nr. 77/2019 og almennu persónuverndarreglugerðarinnar (GDPR, reglugerð (ESB) 2016/679) er:
Megin ehf.
Kennitala: 550321-3000
Lögheimili: Stafafelli, 781 Höfn í Hornafirði
Póstfang: Fjólugata 25, 101 Reykjavík
Netfang: austurstraeti@austurstraeti.is
Allar fyrirspurnir varðandi persónuupplýsingar eða réttindi þín samkvæmt þessari stefnu skal senda á ofangreint netfang. Við svörum innan 30 daga.
2. Hvaða persónuupplýsingum söfnum við
Þegar þú bókar ferð:
- Fullt nafn (skráð eins og í vegabréfi)
- Netfang og símanúmer
- Heimilisfang og land
- Neyðartengiliður (nafn og símanúmer)
- Heilsufarslegar upplýsingar sem þú gefur sjálfviljugur og varða öryggi þitt á leiðinni — t.d. ofnæmi, lyfjagjöf, stoðkerfisvanda
- Greiðsluupplýsingar (við geymum ekki kortanúmer; þau fara beint til greiðslumiðlara)
Þegar þú heimsækir vefsíðuna:
- IP-tala (gagngerð til samskipta og öryggis vefþjóns)
- Vafratæki, stýrikerfi og útgáfa þeirra
- Tilvísunarsíða (síðan sem leiddi þig til okkar)
- Tímastaðir og slóðir á síðunni — gegnum vafrakökur (sjá vafrakökustefnu)
Þegar þú hefur samband: Innihald skilaboða og þær persónuupplýsingar sem þú gefur upp í þeim.
3. Lagagrundvöllur og tilgangur vinnslu
Við vinnum persónuupplýsingar á eftirfarandi lagagrundvelli:
| Tilgangur | Lagagrundvöllur |
|---|---|
| Bókun og framkvæmd ferðasamnings | Efndir samnings (GDPR 6.1.b) |
| Heilsufarsupplýsingar fyrir öryggi á leiðinni | Skýrt samþykki þitt (GDPR 9.2.a) — heilsufarsupplýsingar eru viðkvæmar persónuupplýsingar |
| Ferðatryggingar og björgunarsamskipti við þriðja aðila | Lögmætir hagsmunir og öryggi þátttakanda (GDPR 6.1.f / 9.2.c) |
| Bókhald og lögbundnar skyldur | Lagaskylda (GDPR 6.1.c) — lög nr. 145/1994 um bókhald |
| Vefsíðu-greining og virknigögn | Samþykki (GDPR 6.1.a) — sjá vafrakökustefnu |
| Markaðssending á netfang þitt um framtíðar ferðir | Samþykki (GDPR 6.1.a) — eingöngu ef þú hakar sérstaklega við |
4. Hverjir fá aðgang að persónuupplýsingum
Við seljum aldrei persónuupplýsingar þínar. Við deilum þeim aðeins með eftirfarandi aðilum, og aðeins að því marki sem nauðsynlegt er fyrir tilgang vinnslunnar:
| Þjónustuaðili | Hvað er deilt | Staðsetning |
|---|---|---|
| Bluehost (vefhýsing) | Allt sem fer um vefsíðuna | Bandaríkin (SCC undir GDPR) |
| WP Travel Engine (bókunarkerfi) | Bókunarupplýsingar, samskipti | Innan EES |
| Greiðslumiðlari — TODO (Stripe / Rapyd / Salt Pay) | Greiðsluupplýsingar | EES eða Bandaríkin (SCC) |
| Mapbox (kortagögn) | IP-tala þegar kort er hlaðið | Bandaríkin |
| Tölvupóstþjónusta — TODO | Bókunarstaðfestingar og samskipti | EES |
| Endurskoðandi / bókhaldari | Bókhaldsupplýsingar | Ísland |
| Tryggingafélag (TODO — vátryggingafélag) | Aðeins ef ferðaábyrgð er virkjuð | Ísland |
| Lögregla / Landsbjörg | Aðeins við neyðaraðstæður | Ísland |
Allir vinnsluaðilar starfa samkvæmt vinnslusamningum (e. data processing agreements) sem tryggja að persónuupplýsingum sé veitt sambærileg vernd og mælt er fyrir um í íslenskum og evrópskum persónuverndarlögum.
5. Hve lengi geymum við gögn
- Bókunargögn og samskipti: 7 ár frá lokum ferðar (til samræmis við skyldur til varðveislu samkvæmt lögum nr. 145/1994 um bókhald).
- Heilsufarsupplýsingar: Eyðast innan 30 daga frá lokum ferðarinnar nema áfram sé þörf vegna tjónsmáls.
- Vefsíðu-greining (gegnum vafrakökur): Allt að 14 mánuðir, sjá vafrakökustefnu.
- Markaðspóstur: Þangað til þú segir upp áskrift.
- Samskipti við fyrirspurnir án bókunar: 24 mánuðir.
6. Réttindi þín
Samkvæmt GDPR og lögum nr. 77/2019 hefur þú eftirfarandi réttindi gagnvart vinnslu persónuupplýsinga þinna:
- Aðgangur: Þú átt rétt á að fá afrit af þeim persónuupplýsingum sem við höfum um þig.
- Leiðrétting: Þú getur farið fram á að rangar eða ófullkomnar upplýsingar verði leiðréttar.
- Eyðing („rétturinn til að gleymast"): Þú getur farið fram á eyðingu, með ákveðnum undantekningum (t.d. þegar lög krefjast varðveislu).
- Takmörkun vinnslu: Þú getur farið fram á að vinnsla sé tímabundið stöðvuð.
- Flutningur gagna: Þú getur fengið gögn þín á vélrænu sniði til flutnings til annars þjónustuaðila.
- Andmæli: Þú getur andmælt vinnslu sem byggir á lögmætum hagsmunum eða markaðsstarfsemi.
- Afturköllun samþykkis: Þú getur dregið samþykki þitt til baka hvenær sem er, t.d. fyrir markaðspóst.
Til að nýta þessi réttindi sendu beiðni á austurstraeti@austurstraeti.is. Við svörum innan 30 daga.
Telir þú að við vinnum persónuupplýsingar þínar á ólöglegan hátt getur þú lagt fram kvörtun til Persónuverndar á personuvernd.is eða í síma 510 9600.
7. Öryggi
Við gætum þess að persónuupplýsingar séu varðar með viðeigandi tæknilegum og skipulagslegum ráðstöfunum: dulkóðun gagnasamskipta (TLS), reglulegt afrit, takmarkað aðgangsstýring, lykilorðastefna og uppfærð kerfi. Engin gagnaöryggis-aðferð er þó 100% örugg, og við getum því ekki tryggt algjöra vernd.
Ef öryggisbrot verður þar sem persónuupplýsingar þínar eru í hættu, tilkynnum við Persónuvernd innan 72 klst. og þér án óeðlilegrar tafar þegar áhættan er líkleg að valda tjóni.
8. Persónuupplýsingar barna
Við söfnum ekki vísvitandi persónuupplýsingum um börn yngri en 16 ára. Lágmarksaldur þátttakenda á Austurstrætisferðum er 16 ár (í fylgd löggilds forráðamanns) og 18 ár á eigin vegum. Sjá nánari upplýsingar í skilmálum okkar.
9. Breytingar á þessari stefnu
Við áskiljum okkur rétt til að uppfæra þessa stefnu þegar starfsemi okkar eða lög breytast. Núverandi útgáfa er ávallt aðgengileg á austurstraeti.is/personuvernd. Ef breytingar eru verulegar tilkynnum við þér gegnum tölvupóst eða með áberandi tilkynningu á vefsíðunni.