Persónuverndarstefna Verðbréfamiðstöðvar Íslands hf.
1. Mikilvægar upplýsingar um okkur og þessa stefnu
Verðbréfamiðstöð Íslands hf., kt. 451015-2140, (einnig „VBM“ eða „við“) er umhugað um áreiðanleika, öryggi og trúnað persónuupplýsinga, en VBM er ábyrgðaraðili að vinnslu persónuupplýsinga sem fer fram hjá félaginu. Þessari stefnu um meðferð persónuupplýsinga er ætlað að útskýra hvernig unnið er með persónuupplýsingar hjá okkur, til að mynda persónuupplýsingar er varða einstaklinga sem skráðir eru í viðskiptamannakerfi VBM, einstaklinga sem hafa samband við okkur, einstaklinga sem koma fram sem tengiliðir fyrir hönd lögaðila í viðskiptum við okkur, sem og aðra tengiliði (hér eftir sameiginlega vísað til „viðskiptavinir“eða „þín“), auk þess að upplýsa þig um réttindi þín í tengslum við persónuvernd.
Öll vinnsla persónuupplýsinga hjá VBM fer fram í samræmi við persónuverndarlög á hverjum tíma, sbr. nú lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin).
Ef einhverjar spurningar vakna varðandi persónuverndarstefnu þessa eða meðferð persónuupplýsinga hjá VBM er velkomið að hafa samband, til dæmis með tölvupósti á netfangið vbm@vbm.is.
2. Hvaða persónuupplýsingar vinnur VBM með?
VBM er með starfsleyfi sem verðbréfamiðstöð í samræmi við ákvæði laga um verðbréfamiðstöðvar, uppgjör og rafræna eignarskráningu fjármálagerninga. Í því felst fyrst og fremst rafræn eignarskráning verðbréfa, þ.e. við önnumst rafræna útgáfu og skráningu verðbréfa og eignarhald yfir þeim.
Við söfnum, notum, geymum og flytjum ýmsar tegundir upplýsinga um viðskiptavini okkar í tengslum við starfsemina, en persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, en einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint. Hvaða persónuupplýsingum um þig er safnað fer eftir því sambandi sem við eigum við þig, til dæmis eftir því hvort þú ert sjálf/-ur í viðskiptum við okkur eða hvort þú komir fram fyrir hönd lögaðila. Við leggjum í öllum tilvikum áherslu á að persónuupplýsingarnar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
Eftirfarandi eru dæmi um persónuupplýsingar sem við vinnum um einstaklinga sem skráðir eru í viðskiptakerfi VBM:
- Tengiliðaupplýsingar, svo sem nafn, heimilisfang, lögheimili, símanúmer og netfang;
- kennitala;
- samskiptasaga, þ. á m. aðrar upplýsingar sem fram koma í samskiptum;
- reikningsupplýsingar;
- upplýsingar um verðbréfaeign einstaklings;
- aðrar persónuupplýsingar sem einstaklingur veitir okkur.
Eftirfarandi eru dæmi um persónuupplýsingar sem við vinnum um einstaklinga, sem koma fram fyrir hönd lögaðila, í viðskiptum við okkur:
- Tengiliðaupplýsingar, svo sem nafn, símanúmer og netfang;
- Samskiptasaga, þ. á m. aðrar upplýsingar sem fram koma í samskiptum.
Eftirfarandi eru dæmi um persónuupplýsingar sem við vinnum um einstaklinga, sem hafa samband við okkur:
- Samskiptaupplýsingar, svo sem nafn, símanúmer og netfang;
- Samskiptasaga, þ. á m. aðrar upplýsingar sem fram koma í samskiptum. Hér undir geta jafnframt fallið upplýsingar vegna starfsumsókna.
Framangreint er ekki tæmandi talning á þeim persónuupplýsingum sem við kunnum að vinna um einstaklinga, og getur til dæmis verið um að ræða aðrar upplýsingar sem einstaklingar láta okkur sjálfir í té.
3. Hvernig og í hvaða tilgangi vinnur VBM með persónuupplýsingar?
Allur aðgangur að upplýsingum hjá VBM er aðgangsstýrður og skráður, en við vinnum með persónuupplýsingar til að þjónusta reikningsstofnanir, sem eru með samning við VBM; eftirlitsaðila, samkvæmt kröfum þar að lútandi; reikningseigendur, einu sinni á ári lögum samkvæmt, og loks í einstaka tilvikum samkvæmt beiðni eigenda verðbréfa hverju sinni.
Við öflum nánar tiltekið upplýsinga um þig með eftirfarandi hætti:
- Upplýsingar beint frá viðkomandi einstaklingi– þetta eru upplýsingar eins og nafn og tengiliðaupplýsingar sem viðskiptavinir veita okkur við upphaf þjónustu, auk upplýsinga sem veittar eru í tengslum við veitta þjónustu eða þegar einstaklingar hafa samband við okkur, s.s. til að sækja um starf.
- Upplýsingar um veitta þjónustu– þetta eru upplýsingar um þá þjónustu sem viðskiptavinurinn nýtir sér, eins og yfirlit um verðbréfaeign.
- Upplýsingar frá þriðja aðila- okkur kann að vera nauðsynlegt að afla tiltekinna upplýsinga frá þriðju aðilum, svo sem fjárhagsupplýsingastofum, stjórnvöldum, og Þjóðskrá Íslands. Þá kann upplýsingum einnig að vera safnað af netinu, eftir atvikum.
- Sjálfvirk upplýsingasöfnun vegna notkunar á vefsíðu okkar – við söfnum upplýsingum með því að nota vefkökur, veflogga og svipaða tækni en þetta eru upplýsingar um það hvernig viðskiptavinir nota vefsíðu félagsins. Þetta gerir okkur kleift að hanna vefsíðuna þannig að þær nýtist viðskiptavinum sem best.
Ef þú vilt takmarka, leiðrétta eða mótmæla vinnslu persónuupplýsinga biðjum við þig að hafa samband við okkur og við munum vinna úr beiðni þinni eins fljótt og unnt er, þó ekki síðar en einum mánuði eftir móttöku hennar.
Við vinnum aðeins með persónuupplýsingar í lögmætum tilgangi og til samræmis við gildandi persónuverndarlöggjöf á hverjum tíma. Upplýsingarnar kunna til dæmis að vera okkur nauðsynlegar til að auðkenna viðskiptavini og hafa samband við þá; og til að inna af hendi þá þjónustu, sem óskað er eftir hverju sinni.
Oftast eru upplýsingarnar unnar á grundvelli eftirfarandi heimilda:
- Þegar það er nauðsynlegt vegna lögmætra hagsmuna félagsins eða annarra og grundvallarréttindi og frelsi einstaklingsins verða ekki talin vega þyngra
- Þegar það er nauðsynlegt til að efna samning milli félagsins og einstaklings.
- Þegar það er nauðsynlegt vegna lagaskyldu sem hvílir á félaginu.
- Þegar einstaklingur hefur samþykkt að félagið noti upplýsingarnar.
Við munum einungis nota persónuupplýsingar í þeim tilgangi sem lá að baki söfnun þeirra.
4. Hve lengi eru persónuupplýsingarnar geymdar?
Við geymum aðeins persónuupplýsingar um þig eins lengi og nauðsynlegt er og í samræmi við þann tilgang sem þeim var safnað, þ.m.t. til þess að uppfylla lagaskyldu og bókhaldsskyldu. Við mat á hæfilegum geymslutíma fyrir persónuupplýsingar tökum við mið af umfangi, tegund og eðli upplýsinganna sem um ræðir, áhættunni af því að óviðkomandi fái aðgang að þeim eða nýti þær með óheimilum hætti.
5. Vefkökur
Vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvunni þinni eða í öðrum snjalltækjum þegar þú heimsækir vefsíðu. Vefkökur frá fyrsta aðila (e. first-party cookies) koma frá sama léni og vefsíðan sem þú heimsækir (í þessu tilviki personuvernd.is), á meðan vefkökur frá þriðja aðila (e. third-party cookies) eru vefkökur sem koma frá öðrum lénum. Vefsíðan okkar, www.vbm.is, notar þær vefkökur frá fyrsta aðila sem nauðsynlegar eru fyrir virkni vefsins. Þá eru vefkökur jafnframt notaðar í þágu vefgreiningar, en við notum Google Analytics til þess að greina notkun á vefsíðunni. Tilgangur þess er að fá fram tölfræðiupplýsingar sem notaðar eru til að betrumbæta og þróa vefsíðuna og þær upplýsingar sem þar eru birtar. Safnað er saman upplýsingum um heimsóknir á vefinn, s.s. tíma, dagsetningu, leitarorði, hvaðan komið er inn á vefinn, gerð vafra og stýrikerfis.
6. Hvenær er upplýsingum um mig afhentar til þriðju aðila?
Persónugreinanlegum upplýsingum um viðskiptavini og einstaklinga þeim tengdum kann að vera miðlað til annarra fyrirtækja eða opinberra aðila í ákveðnum tilvikum, að því marki sem heimild er til. Sem dæmi má nefna:
- Til þriðja aðila við skipti á dánarbúum, við gjaldþrot eða við erfðamál, þó aðeins í þeim tilvikum þar sem skylda hvílir á okkur að verða við slíkri beiðni og í samræmi við fyrirliggjandi skriflega heimild (s.s. úrskurð).
- Til þess að veita opinberum aðilum upplýsingar, svo sem lögreglu og dómstólum, þó aðeins í þeim tilvikum þar sem skylda hvílir á okkar að verða við slíkri beiðni lögum samkvæmt.
Félagið skuldbindur alla þriðju aðila sem það kann að miðla upplýsingum til í samræmi við framangreint til þess að tryggja öryggi persónuupplýsinganna og fara með þær í samræmi við lög. Er þeim óheimilt að nýta persónuupplýsingarnar í eigin tilgangi og þeim er aðeins leyfilegt að vinna upplýsingarnar í ákveðnum tilgangi í samræmi við fyrirmæli okkar hverju sinni.
Við munum ekki flytja persónuupplýsingar til þriðju ríkja utan Evrópska Efnahagssvæðisins („EES“) nema tryggt sé að upplýsingarnar njóti sambærilegrar verndar og innan EES eða samkvæmt sérstöku samþykki hverju sinni. Sé nauðsynlegt að flytja upplýsingar til þriðju ríkja utan EES þá flytjum við þær aðeins ef fullnægjandi ráðstafanir hafa verið gerðar í því skyni til samræmis við persónuverndarlöggjöf, svo sem með því að nota staðlað samningsform sem hefur verið samþykkt af framkvæmdastjórn ESB eða með öðrum fullnægjandi hætti.
7. Öryggi persónuupplýsinga
Við leggjum ríka áherslu á öryggi við vinnslu persónuupplýsinga. Við höfum því gripið til viðeigandi öryggisaðgerða, meðal annars tæknilegra og skipulegra ráðstafana, til að tryggja að persónuupplýsingar hvorki glatist, komist í hendur þriðju aðila, né taki breytingum. Við stýrum til að mynda aðgengi að upplýsingum og tryggjum að starfsmenn séu bundnir trúnaði um vitneskju og störf sín hjá félaginu. Þá hvílir trúnaðarskylda á starfsmönnum, þrátt fyrir að látið sé af starfi.
Komi upp öryggisbrestur við meðferð persónuupplýsinga er Persónuvernd og eftir atvikum einstaklingum tilkynnt um öryggisbrest nema hann hafi ekki í för með sér mikla áhættu fyrir einstaklinga.
8. Réttindi þín í tengslum við þær persónuupplýsingar sem VBM vinnur
Þú átt við ákveðnar kringumstæður tiltekin réttindi á grundvelli persónuverndarlaga. Þú átt til að mynda rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki. Ef svo er getur þú óskað eftir aðgangi að þeim persónuupplýsingum um þig, sem við höfum undir höndum. Þá átt einnig rétt á að óska eftir leiðréttingu á þeim gögnum sem við erum að vinna með um þig. Þá getur þú við ákveðnar aðstæður óskað eftir því að persónuupplýsingum um þig verði eytt eða að við takmörkum vinnslu persónuupplýsinga um þig, auk þess sem þú getur í tilteknum tilvikum mótmælt vinnslunni. Ef að vinnsla persónuupplýsinga um þig er byggð á samþykki, er þér jafnframt heimilt að afturkalla samþykkið hvenær sem er. Í ákveðnum tilvikum getur þú einnig átt rétt á flutningi persónuupplýsinga til annars ábyrgðaraðila.
Þessi réttindi eru ekki fortakslaus og kann beiðni þinni því að vera hafnað, eftir því sem lög kveða á um. Komi til þess að við höfnum beiðni þinni í heild eða að hluta munum við leitast við að útskýra á hvaða grundvelli. Almennt kostar ekkert að fá aðgang að gögnum eða nýta þér réttindi þín, en við áskiljum okkur hins vegar rétt til þess að fara fram á sanngjarnt endurgjald ef beiðnin er augljóslega tilhæfulaus, endurtekin eða umfangsmikil.
Ef þú hefur einhverjar spurningar um meðferð persónuupplýsinga hjá okkur eða vilt nýta þér lögbundinn rétt þinn er velkomið að hafa samband við okkur í tölvupósti á vbm@vbm.is
Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið postur@personuvernd.is
9. Breytingar á þessari persónuverndarstefnu
Við kunnum að breyta persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi löggjöf eða vegna breytinga á meðferð persónuupplýsinga hjá félaginu. Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á vefsíðu félagsins.
Það er mikilvægt fyrir okkur að persónuupplýsingar sem við vinnum um þig séu ávallt réttar og uppfærðar, svo að endilega hafðu samband ef persónuupplýsingarnar þínar breytast meðan á viðskiptasambandi okkar stendur.
Persónuverndarstefna þessi var síðast samþykkt þann 4.mars 2020