This Privacy Policy describes how Vinnr ehf. ("we" or "the company") processes personal data in connection with providing its services at app.vinnr.is and vinnr.is. This policy is issued under Icelandic Act on Data Protection and the Processing of Personal Data no. 90/2018 and EU General Data Protection Regulation 2016/679 ("GDPR").
1. Roles and responsibilities
The company may process personal data in the role of either a data processor or a data controller, depending on the purpose and context of the processing:
Data processor: When customers (HR departments of companies) enter personal data into the platform - e.g. employee information, training records or salary data - the processing takes place according to the customer's instructions. In those cases the customer is the data controller and the company acts as data processor within the meaning of GDPR Article 4(8). Such processing is governed by a Data Processing Agreement between the parties in accordance with GDPR Article 28.
Data controller: The company acts as an independent data controller when personal data are processed for its own purposes, such as:
- recording and managing contact information for customer representatives,
- accounting, invoicing and other statutory bookkeeping and operational obligations,
- development, maintenance and improvement of the platform,
- security and access control for use of the platform.
Company contact details: Haf-Akur ehf., kt. 580924-0340, Sambyggð 18, 815 Þorlákshöfn, Iceland. Email: hallo@vinnr.is.
2. Sources of personal data
This section describes personal data that we collect in our capacity as a data controller (see §1). It does not cover employee and HR data that our customers upload into the platform on behalf of their own employees - that data is processed by us as a data processor under the customer's instructions, as described in §1.
Personal data are collected from customer representatives, employees who register on the platform, visitors to our website, and others who communicate with us.
3. Personal data we process
As data controller
In our own right as data controller, we process the following categories of personal data:
- Name, job title, and work contact details of customer representatives
- Login credentials for platform access
- Content of emails and other communications with us
- Technical data such as IP addresses, browser information, log data, and similar operational data
As data processor
When our customers use the platform to manage their own employees, we process employee and HR data on behalf of those customers and under their instructions. The categories of personal data processed in this capacity - which may include contact details, employment information, training records, and other HR data - are determined by each customer and governed by the Data Processing Agreement (DPA) concluded with that customer. For questions about how your employer processes your data through this platform, please contact your employer directly.
4. Purposes of processing
We process personal data in our capacity as data controller for the following purposes: to deliver and administer the platform and our contractual obligations; to communicate with customers and provide support; to develop, maintain, and improve our services; and to ensure the security of our systems and prevent unauthorised access or fraud. Processing of employee and HR data on behalf of customers takes place solely in accordance with each customer's instructions and the applicable Data Processing Agreement.
5. Legal bases for processing
We only process personal data where we have a legal basis to do so under data protection law.
Processing as data processor: Processing takes place on the basis of a Data Processing Agreement with our customers (data controllers).
Processing as data controller:
- We may process personal data where necessary to fulfil contracts with our customers - for example when communicating with customer representatives, sending invoices and providing technical support.
- We may process personal data where we consider it necessary on the basis of our legitimate interests, provided those interests are not overridden by your interests and fundamental rights. For example, we may process data on this basis to analyse how the platform is used so we can improve it.
- We may process personal data if you have given us consent to do so for a specific purpose. Consent may be withdrawn at any time without affecting the lawfulness of processing carried out before withdrawal.
- We may process your personal data where we consider it necessary to fulfil our legal obligations.
6. Sharing of personal data
We do not sell personal data. We may share personal data with third-party service providers (sub-processors) that assist us in operating the platform, to the extent necessary for their tasks and under appropriate data protection obligations. Where we process personal data on behalf of customers, sharing with sub-processors is governed by the Data Processing Agreement. Any transfers outside the EEA are made in accordance with applicable data protection law.
7. Security
Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risk, we have implemented appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including:
- Encryption: Personal data are encrypted both at rest and in transit. Sensitive data are encrypted using customer-specific keys, so that each organisation's data is protected by its own dedicated encryption key.
- Access control: Access to personal data is granted only to those with a legitimate need.
- Authentication: We use multi-factor authentication (MFA) to reduce the risk of unauthorised access.
- Regular security updates: Systems and services are updated regularly to maintain security and protection.
- Monitoring: All system access is logged and reviewed, and regular audits are conducted to identify potential anomalies.
- Backup and recovery: Data are regularly backed up and stored securely.
8. Retention
We retain personal data for as long as necessary and in accordance with the purpose for which they were collected. When assessing an appropriate retention period we take into account the scope, type and nature of the data and the risk of unauthorised access. When a customer account is closed, personal data are deleted or anonymised within 90 days, unless we are required by law to retain them longer (e.g. accounting records under bookkeeping legislation).
9. Cookies and similar technologies
We use cookies and similar technologies that are necessary for the basic functionality of our website.
a. What are cookies?
Cookies are small text files that websites store on your device when you visit them. Some cookies are necessary for the website to function correctly, while others are used for analytics or marketing.
b. Types of cookies we use
We use session cookies only. These are temporary and are deleted from your device when you close your browser. We use them to keep you logged in and remember your language preference.
c. How we use cookies
We use only strictly necessary cookies. These are essential for the basic functionality of the website and without them it would not work correctly. We do not use third-party advertising or tracking cookies.
d. Managing cookies
As we do not use analytics or marketing cookies you do not need to accept or reject them separately. You can however configure your browser to block or delete cookies at any time. Instructions for managing cookies in the main browsers: Google Chrome, Mozilla Firefox, Safari, Microsoft Edge.
10. Your rights
You have certain rights with respect to the processing of your personal data. Subject to the limitations that may apply under applicable law, you have the right to obtain information about and access to the personal data we hold about you. You have the right to withdraw consent to processing based on consent at any time. You also have the right to request that we correct, erase or restrict the processing of your personal data, or to object to such processing. In certain cases you also have the right to receive personal data you have provided to us in a portable format for transfer to another controller.
If you believe we have not respected your rights in the handling of your personal data, you may lodge a complaint with the Icelandic Data Protection Authority (Persónuvernd) by emailing postur@personuvernd.is or by post to Rauðarárstígur 10, 105 Reykjavík.
11. Contact
If you have any questions or comments about this Privacy Policy, or wish to exercise your rights, please contact us at hallo@vinnr.is. We will respond within 30 days.
12. Updates to this policy
The company reserves the right to amend and update this Privacy Policy at any time. When such an update is made, the new version will be published on the company's website.
If changes are material or affect the rights or obligations of users, the company will notify users in an appropriate manner and with reasonable notice before the changes take effect. Continued use of the company's services after an updated Privacy Policy has taken effect constitutes confirmation that you have read and accepted the updated policy.
Persónuverndarstefna þessi lýsir því hvernig Vinnr ehf. („við" eða „félagið") vinnur persónuupplýsingar um þig í tengslum við veitingu þjónustu félagsins á app.vinnr.is og vinnr.is. Persónuverndarstefna þessi er sett á grundvelli laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 („pvl.") og almennu persónuverndarreglugerð ESB nr. 2016/679 („pvrg.").
1. Hlutverk og ábyrgð
Félagið kann að vinna persónuupplýsingar í hlutverki vinnsluaðila eða ábyrgðaraðila, allt eftir tilgangi og samhengi vinnslunnar:
Vinnsluaðili: Þegar viðskiptavinir (mannauðsdeildir fyrirtækja) skrá persónuupplýsingar í lausnina – t.d. starfsmannaupplýsingar, þjálfunargögn eða laun – fer vinnslan fram samkvæmt fyrirmælum viðskiptavinarins. Í þeim tilvikum er viðskiptavinurinn ábyrgðaraðili vinnslunnar og félagið sinnir hlutverki vinnsluaðila í skilningi 7. tl. 3. gr. pvl. Slík vinnsla byggist á vinnslusamningi milli aðila í samræmi við 28. gr. pvrg.
Ábyrgðaraðili: Félagið telst sjálfstæður ábyrgðaraðili þegar persónuupplýsingar eru unnar í eigin tilgangi, svo sem vegna:
- skráningar og meðferðar samskiptaupplýsinga tengiliða viðskiptavina,
- reikningshalds, innheimtu og annarra lögbundinna bókhalds- og rekstrarskyldna,
- þróunar, viðhalds og endurbóta á lausninni,
- öryggis- og aðgangsstýringar vegna notkunar lausnarinnar.
Tengiliðaupplýsingar félagsins: Haf-Akur ehf., kt. 580924-0340, Sambyggð 18, 815 Þorlákshöfn, Ísland. Netfang: hallo@vinnr.is.
2. Hvaðan er persónuupplýsingum safnað?
Þessi kafli lýsir persónuupplýsingum sem við söfnum í hlutverki ábyrgðaraðila (sjá §1). Hann nær ekki til starfsmanns- og mannauðsgagna sem viðskiptavinir okkar hlaða inn í kerfið f.h. eigin starfsmanna - þau gögn vinnum við sem vinnsluaðili samkvæmt fyrirmælum viðskiptavinarins, eins og lýst er í §1.
Persónuupplýsingum er safnað frá tengiliðum viðskiptavina okkar, starfsmönnum sem skrá sig á vettvanginn, þeim sem heimsækja vefsíðu okkar og/eða þeim sem eiga að öðru leyti í samskiptum við okkur.
3. Persónuupplýsingar sem við vinnum
Sem ábyrgðaraðili
Í hlutverki ábyrgðaraðila vinnum við eftirfarandi flokka persónuupplýsinga:
- Nafn, starfstitill og starfstengdar samskiptaupplýsingar tengiliða viðskiptavina
- Innskráningarupplýsingar fyrir aðgang að vettvangi
- Innihald tölvupósta og annarra samskipta við okkur
- Tæknilegar upplýsingar eins og IP-tölur, vafraupplýsingar, annálagögn og sams konar rekstrargögn
Sem vinnsluaðili
Þegar viðskiptavinir okkar nota vettvanginn til að stjórna eigin starfsmönnum vinnum við starfsmanns- og mannauðsgögn f.h. þeirra viðskiptavina og samkvæmt fyrirmælum þeirra. Flokkar persónuupplýsinga sem unnið er með í þessu hlutverki - sem geta m.a. falið í sér samskiptaupplýsingar, starfsupplýsingar, þjálfunargögn og önnur mannauðsgögn - eru ákveðnir af hverjum viðskiptavini og falla undir vinnslusamning sem gerður er við þann viðskiptavin. Ef þú hefur spurningar um hvernig vinnuveitandi þinn vinnur gögn þín í gegnum þennan vettvang skaltu hafa samband við hann beint.
4. Tilgangur vinnslu persónuupplýsinga
Við vinnum persónuupplýsingar í hlutverki ábyrgðaraðila í eftirfarandi tilgangi: til að afhenda og reka vettvanginn og efna samningsskyldur okkar; til að eiga í samskiptum við viðskiptavini og veita þjónustuaðstoð; til að þróa, viðhalda og bæta þjónustu okkar; og til að tryggja öryggi kerfa okkar og koma í veg fyrir óheimilan aðgang eða svik. Vinnsla starfsmanns- og mannauðsgagna f.h. viðskiptavina fer eingöngu fram í samræmi við fyrirmæli hvers viðskiptavinar og á grundvelli gildandi vinnslusamnings.
5. Heimildir til vinnslu
Við vinnum aðeins persónuupplýsingar þegar við höfum heimild til þess samkvæmt persónuverndarlögum.
Vinnsla í hlutverki vinnsluaðila: Vinnslan fer fram á grundvelli vinnslusamnings við viðskiptavini okkar (ábyrgðaraðila).
Vinnsla í hlutverki ábyrgðaraðila:
- Við kunnum að vinna persónuupplýsingar þegar það er nauðsynlegt til að efna samninga við viðskiptavini okkar, t.a.m. þegar við eigum í samskiptum við tengiliði viðskiptavina okkar, sendum reikninga og veitum tæknilega aðstoð.
- Við kunnum að vinna persónuupplýsingar þegar við teljum að það sé nauðsynlegt á grundvelli lögmætra hagsmuna okkar og þeir hagsmunir vega ekki þyngra en hagsmunir þínir og grundvallarréttindi. Til dæmis gætum við unnið persónuupplýsingar á þessum grundvelli til að greina hvernig þjónustan er notuð svo við getum bætt hana.
- Við kunnum að vinna persónuupplýsingar ef þú hefur veitt okkur samþykki til vinnslunnar í ákveðnum tilgangi. Samþykkið er hægt að afturkalla hvenær sem er án þess að það hafi áhrif á lögmæti vinnslu sem fór fram áður.
- Við kunnum að vinna persónuupplýsingar þínar þegar við teljum það nauðsynlegt til að uppfylla lagalegar skyldur okkar.
6. Miðlun persónuupplýsinga
Við seljum ekki persónuupplýsingar. Við kunnum að miðla persónuupplýsingum til þjónustuaðila þriðja aðila (undirvinnsluaðila) sem aðstoða okkur við rekstur vettvangsins, að því marki sem nauðsynlegt er vegna verkefna þeirra og með viðeigandi persónuverndarskuldbindingum. Þegar við vinnum persónuupplýsingar f.h. viðskiptavina er miðlun til undirvinnsluaðila stjórnað af vinnslusamningnum. Allir flutningar utan EES fara fram í samræmi við gildandi persónuverndarlög.
7. Öryggi persónuupplýsinga
Með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, höfum við gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga þinna, svo sem:
- Dulkóðun: Persónuupplýsingar eru dulkóðaðar bæði við geymslu og flutning. Viðkvæm gögn eru dulkóðuð með dulkóðunarlykli sem er einstakur fyrir hvern viðskiptavin, þannig að gögn hvers fyrirtækis eru vernduð af eigin lykli.
- Aðgangsstýring: Aðgangur að persónuupplýsingum er aðeins veittur þeim sem hafa lögmæta þörf á slíkum aðgangi.
- Auðkenning: Við notum fjölþátta auðkenningu (MFA) til að takmarka áhættu á óviðkomandi aðgangi.
- Reglulegar öryggisuppfærslur: Kerfi og þjónustur eru uppfærð reglulega til að viðhalda öryggi og vernd.
- Eftirlit: Allur aðgangur að kerfum er skráður og yfirfarinn, auk þess sem framkvæmdar eru reglulegar úttektir til að greina hugsanleg frávik.
- Afritun og endurheimt gagna: Gögn eru reglulega afrituð og varðveitt á öruggan hátt.
8. Varðveisla persónuupplýsinga
Við varðveitum persónuupplýsingar eins lengi og nauðsynlegt er og í samræmi við þann tilgang sem þeim var safnað. Við mat á hæfilegum varðveislutíma er tekið mið af umfangi, tegund og eðli upplýsinganna og áhættunni af því að óviðkomandi fái aðgang að þeim. Þegar viðskiptavinarreikningi er lokað eru persónuupplýsingar eyddar eða gerðar ópersónugreinanlegar innan 90 daga, nema lög skyldi okkur til að geyma þær lengur (t.d. bókhaldsgögn samkvæmt lögum um bókhald).
9. Vefkökur og svipuð tækni
Við notum vefkökur og svipaða tækni sem eru nauðsynlegar fyrir grunnvirkni vefsíðu okkar.
a. Hvað eru vefkökur?
Vefkökur eru litlar textaskrár sem vefsíður vista á tækið þitt þegar þú heimsækir þær. Sumar kökur eru nauðsynlegar til að vefsíðan virki rétt, á meðan aðrar eru notaðar í greiningu eða markaðssetningu.
b. Tegundir vefkaka sem við notum
Við notum svokallaðar „Session Cookies". Slíkar vefkökur eru tímabundnar og eyðast af tækinu þínu þegar þú lokar vafranum. Við notum þær til að halda þér innskráðum og muna tungumálastillingu þína.
c. Hvernig við notum vefkökur
Við notum eingöngu nauðsynlegar vefkökur. Þessar kökur eru nauðsynlegar fyrir grunnvirkni vefsíðunnar og án þeirra myndi hún ekki virka rétt. Við notum ekki þriðja aðila auglýsinga- eða rekjarvafrakökur.
d. Meðhöndlun
Þar sem við notum ekki greiningar- eða markaðskökur þarftu ekki að samþykkja eða hafna notkun þeirra sérstaklega. Þú getur þó alltaf stillt vafrann þinn til að loka á vefkökur eða eyða þeim. Leiðbeiningar um hvernig þú stýrir vefkökum má finna hjá helstu vöfrum: Google Chrome, Mozilla Firefox, Safari, Microsoft Edge.
10. Réttindi þín
Þú átt tiltekin réttindi er varða vinnslu á persónuupplýsingum þínum. Með þeim takmörkunum sem við geta átt samkvæmt gildandi lögum og reglum, hefur þú rétt á að fá upplýsingar um og aðgang að persónuupplýsingum um þig sem við höfum með höndum. Þú átt rétt á að afturkalla samþykki þitt fyrir vinnslu persónuupplýsinga sem byggð er á samþykki hvenær sem er. Þú átt einnig rétt á að óska eftir að láta leiðrétta, eyða eða takmarka vinnslu persónuupplýsinga um þig eða andmæla slíkri vinnslu. Í ákveðnum tilvikum átt þú einnig rétt á flutningi persónuupplýsinga sem þú hefur látið okkur í té til annars ábyrgðaraðila.
Teljir þú að við höfum ekki virt réttindi þín við meðferð persónuupplýsinga getur þú lagt fram kvörtun hjá Persónuvernd með því að senda tölvupóst á postur@personuvernd.is eða með því að senda bréfpóst á Rauðarárstíg 10, 105 Reykjavík.
11. Tengiliðaupplýsingar
Hafir þú einhverjar spurningar eða athugasemdir varðandi persónuverndarstefnu þessa, eða viljir nýta þér réttindi þín, getur þú haft samband við okkur á netfangið hallo@vinnr.is. Við svörum innan 30 daga.
12. Uppfærsla á persónuverndarstefnunni
Félagið áskilur sér rétt til að breyta og uppfæra þessa persónuverndarstefnu hvenær sem er. Þegar slík uppfærsla er gerð verður ný útgáfa birt á vefsíðu félagsins.
Ef breytingar eru verulegar eða hafa áhrif á réttindi eða skyldur notenda mun félagið tilkynna um slíkar breytingar með viðeigandi hætti og með hæfilegum fyrirvara áður en þær taka gildi. Áframhaldandi notkun á þjónustu félagsins eftir að uppfærð persónuverndarstefna hefur tekið gildi telst staðfesting á því að þú hafir kynnt þér og samþykkt uppfærða persónuverndarstefnu.