Meðferð persónuupplýsinga

Velkomin á upplýsingasíðu Icepharma um meðferð persónuupplýsinga

Icepharma er umhugað um öryggi gagna sem meðhöndluð eru í tengslum við starfsemi fyrirtækisins og leggur ríka áherslu á að vernda persónuupplýsingar einstaklinga og virða réttindi þeirra. Öll vinnsla persónuupplýsinga fer fram í samræmi við gildandi lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (''persónuverndarlögin'')  og reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga o.fl. ''persónuverndarreglugerðin'').

Icepharma ber ábyrgð á vinnslu og meðferð persónuupplýsinga sem unnið er með í starfsemi fyrirtækisins ýmist sem ábyrgðaraðili persónuupplýsinga, þ.e. sá aðili sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga, eða sem vinnsluaðili þeirra, þ.e. sá aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila. Persónuupplýsingar teljast sérhverjar persónugreinanlegar upplýsingar um skráðan einstakling eða upplýsingar sem hægt er að nota til að persónugreina einstakling, beint eða óbeint, af upplýsingunum einum og sér eða með frekari gögnum, sem eru í vörslu Icepharma eða sem Icepharma getur auðveldlega nálgast. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

Vakin er athygli á því að það sem fram kemur á upplýsingasíðu þessari er til viðbótar öðrum persónuverndarfyrirvörum sem Icepharma kann að veita einstaklingum í ákveðnum tilvikum vegna tiltekinnar vinnslu persónuupplýsinga. Þar af leiðandi er ekki hægt að ganga út frá því sem vísu að efni upplýsingasíðunnar sé á hverju tíma tæmandi heimild um hvers konar vinnslustarfsemi sem framkvæmdar eru í starfsemi Icepharma. Þegar fyrirtækinu gefst færi á að veita einstaklingum beint allar nauðsynlegar upplýsingar um vinnslu persónuupplýsinga á þeim tíma sem persónuupplýsingunum er safnað er það gert með viðeigandi persónuverndarfyrirvara sem tekur þá sérstaklega til tiltekinnar vinnslustarfsemi hverju sinni.

Það er hins vegar von Icepharma að efni upplýsingasíðunnar veiti aðilum frekari innsýn í það hvernig vinnsla og meðferð persónuupplýsinga er háttað í starfsemi Icepharma og í hvaða tilgangi og hvaða heimildir liggja að baki slíkri vinnslu. Aðilar eru þó hvattir til að beina öllum frekari fyrirspurnum, athugasemdum, ábendingum og eða beiðnum er varða persónuvernd og meðferð persónuupplýsinga á netfangið personuvernd@icepharma.is.

1. Um persónuverndaryfirlýsingu Icepharma

Persónuverndaryfirlýsing þessi veitir upplýsingar um meðferð persónuupplýsinga í starfsemi Icepharma, s.s. um hvaða flokka einstaklinga upplýsingum er safnað og hvaða tegundir af persónuupplýsingum er safnað hverju sinni, í hvaða tilgangi unnið er með persónuupplýsingar og með hvaða heimildum, um varðveislu upplýsinganna, um miðlun þeirra og hvernig öryggis þeirra er gætt. Í yfirlýsingunni er einstaklingum einnig veittar upplýsingar um réttindi þeirra í tengslum við persónuvernd og hvernig aðilar geta neytt réttar síns á grundvelli persónuverndarlaga.

Tilgangurinn með persónuverndaryfirlýsingu Icepharma er að tryggja að til staðar sé heildstæð sýn á söfnun, skráningu, flutning, vistun, varðveislu og eyðingu persónugreinanlegra upplýsinga og stuðla að því að viðskiptavinir, aðrir viðsemjendur, samstarfsaðilar, starfsmenn og aðrir einstaklingar, eins og við á hverju sinni, séu upplýstir um það hvernig fyrirtækið meðhöndlar og vinnur persónuupplýsingar í starfsemi sinni sem telst í senn afar fjölbreytt. 

2. Um persónuverndarráð Icepharma

Icepharma hefur skipað sérstakt persónuverndarráð sem ber meginábyrgð á málefnum er varða persónuvernd og er tengiliður fyrirtækisins við persónuverndaryfirvöld. Persónuverndarráð Icepharma skipa; Forstjóri Icepharma, Framkvæmdastjóri Lyfjasviðs, Framkvæmdastjóri Samskiptasviðs og Gæðastjóri Icepharma. Ráðið hefur það meginhlutverk að hafa eftirlit með reglufylgni í starfseminni, svo sem að innri stefnum og verkferlum er varða meðhöndlum persónuupplýsinga sé fylgt, og hefur þannig mikilvægu hlutverki að gegna gagnvart starfsmönnum Icepharma, s.s. við vitundavakningu, upplýsingagjöf og fræðslu. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfsemi Icepharma og það er á ábyrgð ráðsins að sjá til þess að allir starfsmenn Icepharma séu meðvitaðir um og þjálfaðir í öllum innri verklagsreglum er varða persónuvernd og meðferð persónuupplýsinga. 

3. Söfnun og vinnsla persónuupplýsinga

Icepharma kann að safna, skrá, nota, varðveita eða flytja mismunandi flokka persónuupplýsinga um einstaklinga. Þessum upplýsingum má skipta í eftirfarandi flokka:

  • Auðkennisupplýsingar: s.s. nafn, notendanafn og samskonar auðkenni, kennitala og kyn.
  • Samskiptaupplýsingar: s.s. heimilisfang, tölvupóstur, símanúmer.
  • Starfstengdar upplýsingar: s.s. upplýsingar um vinnustað, sérgrein, starfsnúmer
  • Fjármálaupplýsingar: s.s. bankareikningsupplýsingar eða aðrar greiðsluupplýsingar.
  • Upplýsingar um viðskiptasögu: yfirlit yfir þær vörur sem keyptar hafa verið og reikninga sem gefnir hafa verið út.
  • Tæknilegar upplýsingar: s.s. ip-tala, innskráningarupplýsingar, upplýsingar um tegund og útgáfu vafra.
  • Upplýsingar um notendahegðun: s.s. upplýsingar um hvernig heimasíður, vörur eða þjónusta er notuð.
  • Upplýsingar um markaðssetningu: s.s. upplýsingar sem tengjast vali einstaklings á því hvort Icepharma er heimilt að senda honum markaðsefni.
  • Ferðaupplýsingar: s.s. upplýsingar úr vegabréfi o.fl.
  • Upplýsingar um áhugamál og venjur: s.s. upplýsingar er tengjast heilsu og lífstíl, upplýsingar er tengjast áhugasviði/sérsviði heilbrigðisstarfsmanna o.fl.
  • Aðrar upplýsingar sem gætu talist persónuupplýsingar í skilningi laganna: s.s. upplýsingar í tengslum við notkun heilbrigðisstarfsmanns á ákveðinni vöru, upplýsingar um samskipti ákveðins aðila við Icepharma, upplýsingar um umbeðnar samskiptaleiðir Icepharma við heilbrigðisstarfsmenn eða aðra aðila o.fl.

Icepharma kann einnig að safna, nota eða miðla hagskýrslugögnum eða líffræðilegum gögnum sem eru ekki persónugreinanleg. Dæmi um notkun á slíkum gögnum væri að greina upplýsingar um notendahegðun til þess að fá tölfræði yfir notendur sem nýta sér ákveðna þætti á vefsíðum Icepharma. Í undantekningartilvikum er Icepharma einnig nauðsynlegt að vinna viðkvæmar persónuupplýsingar t.d. heilsufarsupplýsingar um einstaklinga, og þá aðeins þegar slík vinnsla uppfyllir lagaskilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.

 

4. Aðferðir við söfnun persónuupplýsinga

Icepharma notar mismunandi aðferðir við söfnun persónuupplýsinga. Eftirfarandi eru dæmi um það með hvaða hætti Icepharma safnar persónuupplýsingum í starfsemi sinni:

Söfnun upplýsinga beint frá einstaklingi sjálfum:
Algengast er að Icepharma móttaki og safni auðkennis- og samskiptaupplýsingum beint frá einstaklingnum sjálfum, m.a. frá viðskiptavinum, tengiliðum viðskiptavina, heilbrigðisstarfsmönnum, sjúklingum, aðstandendum sjúklinga, starfsfólki o.fl. Í öðrum tilvikum geta einstaklingar einnig verið beðnir um að láta af hendi starfstengdar upplýsingar, fjármálaupplýsingar sem og aðra flokka persónuupplýsinga. Í undantekningartilvikum móttekur Icepharma viðkvæmar persónuupplýsingum frá einstaklingnum sjálfum, t.d. heilsufarsupplýsingar.

Dæmi um hvenær Icepharma kann að safna upplýsingum beint frá einstaklingi:

  • Þegar einstaklingur stofnar aðgang á vefsvæðum Icepharma;
  • Þegar einstaklingur kaupir vöru eða þjónustu af Icepharma;
  • Þegar einstaklingur hringir inn á þjónustuborð Icepharma eða hefur samband í gegnum netföng Icepharma;
  • Þegar einstaklingur kemur fram fyrir hönd fyrirtækis/stofnunar sem Icepharma á í samskiptum og/eða viðskiptum við;
  • Þegar einstaklingur tilkynnir tilvik er varðar vöru- og/eða þjónustuframboð Icepharma;
  • Þegar einstaklingur tilkynnir tilvik er varðar öryggi lyfja- og/eða lækningatækja;
  • Þegar einstaklingur er heilbrigðisstarfsmaður sem fær sent öryggisefni er varðar lyf
  • Þegar einstaklingur sækir um starf hjá Icepharma;
  • Þegar einstaklingur telst starfsmaður Icepharma;
  • Þegar einstaklingur óskar eftir nálgun Icepharma í formi markaðssetningar, s.s. þegar einstaklingur skráir sig á póstlista hjá Icepharma, fær sent markaðsefni frá Icepharma, fær fundar- eða ráðstefnuboð eða boð á viðburði í tengslum við annað markaðs- og kynningarstarf.

Einstaklingar geta ætíð hafnað því að afhenda Icepharma persónuupplýsingar þegar eftir því er leitað. Hins vegar, ef einstaklingur kýs að láta ekki af hendi upplýsingar sem eru nauðsynleg fyrir Icepharma til að veita umbeðna þjónustu eða framkvæma samningsbundnar skyldur, gæti það leitt til þess að Icepharma er ómögulegt, að öllu leyti eða hluta, að veita einstaklingnum þá þjónustu sem óskað er eftir eða fullnægja samningsskuldbindingum sínum á annan hátt.

Sjálfvirk tækni eða samskipti:
Icepharma kann einnig að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður Icepharma. Þeim persónuupplýsingum er safnað með notkun á vafrakökum, loggum og svipaðri tækni. Sjá nánar um vafrakökur 

Söfnun upplýsinga frá þriðja aðila:
Í vissum tilvikum gæti Icepharma tekið við persónuupplýsingum frá þriðja aðila eða aflað persónuupplýsinga frá fyrirtækjum, stofnunum eða tengiliðum lögaðila, sem búa yfir persónuupplýsingum um einstakling, þegar fyrrnefndir aðilar hafa heimild til að afhenda fyrirtækinu slíkar upplýsingarnar og þegar Icepharma eru upplýsingarnar nauðsynlegar í ákveðnum tilgangi. Það sama á við um persónuupplýsingar sem eru birtar opinberlega, s.s. persónuupplýsingar heilbrigðisstarfsmanna í opinberum skrám eða af vefsíðum, enda er vinnsla þeirra almennt heimil og upplýsingarnar aðeins unnar að því marki og í þeim tilgangi sem viðkomandi upplýsingar voru upphaflega gerðar aðgengilegar.

5. Heimildir fyrir vinnslu persónuupplýsinga

Persónuverndarlögin takmarka hvernig persónuupplýsingar skulu meðhöndlaðar. Takmarkanirnar koma þó ekki í veg fyrir vinnslu persónuupplýsinga heldur eiga að stuðla að því að persónuupplýsingar séu unnar á sanngjarnan og lögmætan hátt og aðeins í sérstaklega tilgreindum tilgangi.

Icepharma vinnur aðeins persónuupplýsingar einstaklinga ef heimild er fyrir því í persónuverndarlögum. Vinnsla almennra persónuupplýsinga í starfsemi Icepharma fer þannig einungis fram þegar a.m.k. eitt af eftirfarandi skilyrðum er uppfyllt:

  1. Einstaklingur hefur gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða;
  2. Vinnsla persónuupplýsinga telst nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
  3. Vinnsla persónuupplýsina telst nauðsynleg til að uppfylla lagaskyldu;
  4. Vinnsla persónuupplýsinga telst nauðsynleg til að vernda brýna hagsmuni hins skráða einstaklings eða annars einstaklings;
  5. Vinnsla persónuupplýsinga telst nauðsynleg vegna lögmætra hagsmuna Icepharma, viðskiptavinar eða annars þriðja aðila, þ.e. þegar hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vega ekki þyngra.

Mismunandi persónuupplýsingar einstaklings kunna að vera unnar samkvæmt fleiri en einni heimild en einstaklingum er ætíð velkomið að hafa samband við Icepharma ef þeir óska eftir því að fá nánari upplýsingar um tilgang vinnslu og það hvaða heimild býr að baki vinnslunni.

Vinnsla viðkvæmra persónuupplýsinga í starfsemi Icepharma fer einungis fram þegar einstaklingur hefur gefið samþykki sitt fyrir slíkri vinnslu eða ef hún telst nauðsynleg til að uppfylla lagaskyldu eða til að vernda brýna hagsmuni einstaklings eða annars einstaklings og aðeins þegar uppfyllt er a.m.k. eitt af lagaskilyrðum fyrir vinnslu viðkvæmra persónuupplýsinga, sbr. 11. gr. persónuverndarlaga nr. 90/2018. 

6. Tilgangur vinnslu persónuupplýsinga

Icepharma leitast eftir því að haga allri vinnslu persónuupplýsinga með sanngjörnum og gagnsæjum hætti gagnvart hinum skráða einstakling. Persónuupplýsingarnar eru ætíð unnar í skýrt tilgreindum og málefnanlegum tilgangi og ekki unnar í öðrum og óskyldum tilgangi nema fyrirtækið hafi til þess heimild og einstaklingur hafi verið upplýstur um hinn nýja tilgang. Vinnsla persónuupplýsinga er ætíð takmörkuð við þær upplýsingar sem teljast nauðsynlegar og viðeigandi miðað við tilgang vinnslunnar hverju sinni.
Hér á eftir má finna upptalningu og nánari lýsingu á því hvenær Icepharma kann að vinna persónuupplýsingar um einstaklinga og á hvaða heimild/um vinnslan byggir. Þegar fyrirtækinu gefst færi á að veita einstaklingum beint allar nauðsynlegar upplýsingar um vinnslu persónuupplýsinga á þeim tíma sem þeim er safnað eða þær mótteknar er það gert með viðeigandi persónuverndarfyrirvara sem tekur þá sérstaklega til tiltekinna vinnsluaðgerða. Þannig ber ekki að túlka þá upptalningu sem á eftir fer sem tæmandi heimild fyrir hvers konar vinnsluaðgerðir sem framkvæmdar eru í starfsemi Icepharma.

6.1 Vinnsla persónuupplýsinga við heimsókn á heimasíður Icepharma

Icepharma kann að safna tæknilegum upplýsingum um einstaklinga, sem gætu falið í sér persónuupplýsingar, með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður Icepharma. Þeim persónuupplýsingum er safnað með notkun á vafrakökum, loggum og svipaðri tækni. Dæmi um slíkar upplýsingar eru; IP-tölur, auðkenni tækis, tungumálastillingar, tækisstillingar, tegund stýrikerfis, tegund vafra, leitarsaga, heimsóttar síður o.fl. Söfnun og vinnsla persónuupplýsinga í þessu samhengi byggist ýmist á samþykki einstaklinga eða á lögmætum hagsmunum fyrirtækisins sem felast í því að geta veitt góða upplifun á vefsíðum og til að stuðla að frekari þróun hennar. Nánari upplýsingar um það hvernig við notum vafrakökur er að finna í kafla 14.

6.2 Vinnsla persónuupplýsinga um tengiliði fyrirtækja/stofnana

Í tengslum við fjölbreytta starfsemi Icepharma eiga starfsmenn fyrirtækisins í samskiptum við breiðan hóp tengiliða fyrirtækja og/eða stofnana við framkvæmd starfa sinna. Í tengslum við slík samskipti geta aðilar verið beðnir um að afhenda Icepharma persónuupplýsingar, s.s. auðkennis- og samskiptaupplýsingar (nafn, símanúmer, netfang), þegar þess þarf. Slíkt söfnun og móttaka persónuupplýsinga telst nauðsynleg vegna lögmætra hagsmuna Icepharma sem felast í því að hægt sé að stunda viðskipti og til að viðhalda góðu sambandi við samstarfsaðila og viðskiptavini. Persónuupplýsingar sem safnast eru eingöngu varðveittar í eins langan tíma og nauðsynlegt er hverju sinni en varðveiðslutímabil getur verið mismunandi eftir eðli samskipta hverju sinni.

6.3 Vinnsla persónuupplýsinga vegna fyrirspurna og kvartana

Þar sem starfsemi Icepharma er fjölbreytt getur fyrirtækinu borist margvíslegar fyrirspurnir og/eða kvartanir sem tengjast á einn eða annan hátt vöru- og/eða þjónustuframboði Icepharma. Í þeim tilvikum þegar ekki er hægt að svara slíkum fyrirspurnum og/eða kvörtunum um leið og þær berast, getur sá sem ber fram fyrirspurn og/eða kvörtun verið beðinn um að afhenda Icepharma persónuupplýsingar í formi auðkennis- og samskiptaupplýsinga þannig að hægt verði að hafa samband við viðkomandi aftur í tengslum við úrvinnslu, afgreiðslu og eftirfylgni erindis. Afhendi einstaklingur Icepharma nauðsynlegar persónuupplýsingar í þessum tilgreinda tilgangi er litið svo á að hann hafi gefið samþykki sitt fyrir vinnslu persónuupplýsinganna í þágu þess markmiðs.

Vinnsla persónuupplýsinga í tengslum við fyrirspurnir og/eða kvartanir getur einnig talist nauðsynleg vegna lögmætra hagsmuna Icepharma að greina fyrirspurnir og/eða kvartanir sem gætu varðað gæði og öryggi lyfja, lækningatækja eða annarra vara sem Icepharma býður og gætu krafist þess að fyrirtækið grípi til ákveðinna öryggisráðstafana á grundvelli laga og reglna. Þegar allri afgreiðslu er varðar almenna fyrirspurn eða kvörtun er lokið og ekki þörf á frekari aðgerðum eða eftirfylgni er persónuupplýsingunum eytt eða þær gerðar ópersónugreinanlegar.

6.4 Vinnsla persónuupplýsinga vegna tilkynninga er varða öryggi lyfja eða lækningatækja

Einstaklingur sem vill tilkynna aukaverkun lyfja eða bera fram atvikatilkynningu í tengslum við lækningatæki (s.s. tilkynningu um frávik, galla eða óvirkni) er hvattur til að hafa samband við heilbrigðisstarfsmann. Icepharma hvetur síðan heilbrigðisstarfsmenn til að tilkynna um slíkar aukaverkanir/atvik beint til Lyfjastofnunar Íslands .

Kjósi einstaklingur samt sem áður að tilkynna slík atvik til Icepharma ber fyrirtækinu skylda til að taka slíkar tilkynningar til afgreiðslu. sbr. tilkynningarskylda til eftirlitsaðila á grundvelli lyfjalaga og laga um lækningatæki, og þarf í því samhengi að safna og vinna persónuupplýsingar um þann sem ber fram slíkar tilkynningar. Það fer eftir eðli og efni tilkynninga, og því hver ber hana fram, hvaða persónuupplýsingum er safnað hverju sinni og hvaða upplýsingar eru skráðar.
Þegar það á við að tilkynnandi er annar en sá einstaklingur sem tilvik að baki tilkynningu varðar, s.s. heilbrigðisstarfsmaður eða aðstandandi sjúklings/skjólstæðings, er viðkomandi vinsamlegast beðinn um að gefa ekki upp persónugreinanlegar upplýsingar um þann einstakling sem tilvik að baki tilkynningu varðar, svo sem nafn sjúklings/skjólstæðings.

Sumar tilkynningar krefjast ítarlegrar skráningar um tilefni, ástæðu og atvik að baki tilkynningu, svo sem nánari lýsing á aukaverkun lyfs og áhrif hennar á einstakling, upplýsingar um sjúkrasögu, upplýsingar um fyrri lyfjanotkun eða aðrar heilsufarstengdar upplýsingar sem varða líkamlegt og andlegt heilbrigði þess einstaklings sem tilvik að baki tilkynningu varðar. Til að vernda réttindi skráðra einstaklinga í þessu samhengi og tryggja öryggi viðkvæmra persónuupplýsinga hefur Icepharma gert viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir, s.s. innleitt verkferla sem miða að því að viðkvæmar persónuupplýsingar séu gerðar ópersónugreinanlegar þannig að þær verði ekki rekjanlegar til ákveðins einstaklings, hvorki beint né óbeint.

Söfnun og vinnsla persónuupplýsinga um tilkynnendur og þá sem tilvik að baki tilkynningu varðar telst nauðsynleg til að fullnægja lagaskyldum um tilkynningu atvika er varða öryggi lyfja og lækningatækja til eftirlitsaðila. Að auki telst vinnslan nauðsynleg til að vernda brýna hagsmuni einstaklinga sem og almannahagsmuni á sviði lýðheilsu, s.s. til að tryggja að strangar kröfur séu gerðar um gæði og öryggi lyfja og lækningatækja. Upplýsingar er tengjast tilkynningarskyldum atvikum um öryggi lyfja og lækningatækja, þ.m.t. persónuupplýsingar, eru geymdar og varðveittar hjá Icepharma í nefndum tilgangi á meðan lyf eða lækningatæki, sem varðar tilvik að baki tilkynningu, er á markaði og lengur eftir því sem lög og reglur kveða á um.

6.5 Vinnsla persónuupplýsinga í tengslum við dreifingu á fræðsluefni til heilbrigðisstarfsmanna:

Samkvæmt tilskipun Evrópuþingsins og ráðsins 2001/83/EB um bandalagsreglur um lyf sem ætluð eru mönnum (grein 21a) kann markaðsleyfishafa lyfja að vera skylt að útvega og láta heilbrigðisstarfsfólki í té fræðsluefni og aðrar upplýsingar er varðar öryggi lyfja (hér eftir nefnt ,,fræðsluefni‘‘) í samræmi við áætlun um áhættustjórnun fyrir lyfið sem samþykkt er af Lyfjastofnun Evrópu/Íslands. Í því samhengi þarf markaðsleyfishafi að leggja dreifingaráætlun fyrir viðkomandi fræðsluefni fyrir lyfjayfirvöld, til skoðunar og samþykktar. Markaðsleyfishafi þarf að halda skrá til staðfestingar því að samþykkt dreifing hafi átt sér stað og þarf hún að vera tiltæk hjá markaðsleyfishafa sé eftir því óskað við úttekt eða eftirlit.
Til að uppfylla ofangreindar skyldur safnar Icepharma, ýmist sem markaðsleyfishafi eða sem umboðsaðili markaðsleyfishafa, nauðsynlegum persónugreinanlegum upplýsingum um viðtakendur fræðsluefnis og heldur skrá yfir viðtakendur. Útsending og dreifing fræðsluefnisins grundvallast á lagaskyldu og hefur þann tilgang að tryggja að mikilvægar öryggisupplýsingar skili sér til heilbrigðisstarfsfólks og sjúklinga. Söfnun og vinnsla persónuupplýsinga um viðtakendur fræðsluefnisins telst því nauðsynleg til að fullnægja lagaskyldu þessari. Persónuupplýsingarnar sem safnast eru geymdar og varðveittar hjá Icepharma í nefndum tilgangi á meðan það lyf sem fræðsluefnið fjallar um er á markaði og lengur eftir því sem lög og reglur kveða á um.

6.6 Vinnsla persónuupplýsinga um viðskiptavini vefverslana

Þegar einstaklingur stofnar aðgang að vefverslunum sem heyra til starfsemi Icepharma og þegar skráður notandi staðfestir pöntun/viðskipti og gerist viðskiptavinur Icepharma þarf hann að skrá almennar persónuupplýsingar um sig. Icepharma lítur svo á að slík skráning jafngildi samþykki viðskiptavinar til vinnslu nauðsynlegra persónuupplýsinga í þeim tilgangi að Icepharma geti veitt viðkomandi umbeðna þjónustu og efnt samningsskuldbindingar. Að auki telst vinnsla persónuupplýsinganna nauðsynleg vegna framkvæmdar samnings aðila eða vegna ráðstafana sem gera þarf að beiðni einstaklings áður en samningur kemst á milli aðila. Hér á eftir fer nánari lýsing á eðli vinnslu persónuupplýsinga um skráða notendur og viðskiptavini vefverslana á vegum Icepharma.

Þegar einstaklingur stofnar aðgang í vefverslun:
Þegar einstaklingur stofnar eigin aðgang í vefverslunum Icepharma þarf hann að skrá auðkennis- og samskiptaupplýsingar, s.s. nafn, kennitölu, kyn, símanúmer og netfang.

Þegar skráður notandi staðfestir pöntun og kaup á vöru:
Þegar einstaklingur staðfestir kaup á vöru þarf hann að skrá auðkennis-, og samskiptaupplýsingar, s.s. nafn, kennitölu, kyn, heimilisfang, símanúmer og netfang, þannig að viðskiptavinur geti sannað á sér deili er hann vitjar vöru sinnar. Samskiptaupplýsingum er safnað þannig að mögulegt sé að hafa samband við viðskiptavin í tengslum við afgreiðslu á pöntun hans sem og ef viðskiptavinur óskar eftir því að fá rafræna kvittun fyrir kaupunum senda á netfangið sitt. Hafi viðskiptavinur óskað eftir því að fá vöruna senda heim þá er upplýsingum um nafn og heimilisfang viðskiptavinar einnig miðlað til dreifingaraðila (Póstsins). Þannig að viðskiptin geti átt sér stað þurfa viðskiptavinir einnig að skrá greiðsluupplýsingar sem sendast beint á greiðsluþjónustu og vistast aldrei hjá Icepharma. Þegar viðskiptavinur staðfestir viðskipti sín með greiðslu safnast einnig upplýsingar um pöntun hans, s.s. pöntunarnúmer, upplýsingar um keypta vöru og upplýsingar um greiðslumáta. Þessar upplýsingar eru hluti af bókhaldsgögnum og auðvelda rekjanleika ef fletta þarf upp fyrri viðskiptum viðskiptavinar.

Þegar móttakandi pöntunar er annar en hinn eiginlegi viðskiptavinur Icepharma:
Þegar viðskiptavinur hefur óskað eftir heimsendingu á pantaðri vöru en útnefnir annan einstakling sem móttakanda vörunnar þarf viðskiptavinur einnig að skrá upplýsingar um nafn, heimilisfang og póstnúmer þess móttakanda. Þegar þetta á við lítur Icepharma svo á að viðskiptavinur Icepharma hafi fengið heimild móttakanda fyrir slíkri skráningu. Þessum upplýsingum er einnig nauðsynlegt að miðla til dreifingaraðila (Póstsins).

6.7 Vinnsla persónuupplýsinga í tengslum við markaðs- og kynningarstarf

Icepharma framkvæmir ýmsar aðgerðir í tengslum við markaðs- og kynningarstarf á vörum og þjónustu fyrirtækisins. Í tengslum við slíkt starf eiga starfsmenn fyrirtækisins í samskiptum við heilbrigðisstéttir, einstaka heilbrigðisstarfsmenn og aðra og í því samhengi getur verið nauðsynlegt að safna og vinna persónuupplýsingar um þann sem markaðsstarfinu er beint að.
Vinnsla persónuupplýsinga í tengslum við markaðs- og kynningarstarf Icepharma fer fram þegar einstaklingur hefur gefið samþykki sitt fyrir vinnslunni eða þegar vinnslan telst nauðsynleg vegna lögmætra hagsmuna Icepharma sem felast í því að viðhalda góðu sambandi við heilbrigðisstarfsfólk, skjólstæðinga þeirra og aðra, s.s. til að vekja athygli á nýjungum í tengslum við vöruúrval og þjónustu fyrirtækisins eða upplýsa um nýjungar í meðferð sjúklinga m.a. til að tryggja rétta notkun lyfja og lækningatækja.

Einstaklingur sem veitir samþykki sitt fyrir söfnun og vinnslu persónuupplýsinga í þágu kynningar- og markaðsstarfs Icepharma getur ávallt dregið samþykki sitt til baka og þar með hafnað frekari samskiptum við Icepharma í tilgreindum tilgangi. Veitt samþykki má afturkalla með því að senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Icepharma eða með tölvupósti á netfangið persónuvernd@icepharma.is.

Markaðs- og kynningarstarf í tengslum við lyf og lækningatæki
Icepharma, sem markaðsleyfishafi lyfja, umboðsaðili markaðsleyfishafa lyfja og umboðs- og þjónustuaðili fyrir lækningatæki, ber ríka upplýsingaskyldu gagnvart heilbrigðisstarfsmönnum og almenningi, m.a. til að tryggja rétta notkun lyfja og lækningatækja og til að vekja athygli á nýjungum. Við markaðssetningu lyfja og lækningatækja ber Icepharma að fylgja lögum er varða markaðssetningu lyfja og lækningatækja, sbr. lyfjalög nr. 93/1994 og lög um lækningatæki nr. 16/2001, og reglugerðum settum á grundvelli laganna, og vinna í samræmi við samskiptareglur EFPIA og Frumtaka. Með markaðssetningu, í þessu samhengi, er átt við allar þær athafnir og ferla í tengslum við auglýsinga- eða kynningarstarfsemi sem skapa, miðla og dreifa upplýsingum um lyf og lækningatæki til heilbrigðisstarfsmanna, skjólstæðinga og samfélagsins í heild.
Starfsmenn Icepharma eiga í samskiptum við heilbrigðisstéttir, einstaka heilbrigðisstarfsmenn og aðra, s.s. í tengslum við kynningar, fundi, fræðslunámskeið og ráðstefnur, en slíkir atburðir skulu ætíð hafa skýran vísindalegan tilgang. Í því samhengi safnar Icepharma persónuupplýsingum um heilbrigðisstarfsmenn en eingöngu nauðsynlegum upplýsingum, m.a. vegna póstsendinga, samskipta, skipulagningar og framkvæmdar funda, kynninga, námskeiða og ferða í tengslum við ráðstefnur. Þessar upplýsingar gætu t.d. verið nafn, vinnustaður, starfsheiti, sérgrein, netfang, símanúmer og heimilisfang ef við á. Icepharma varðveitir ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er miðað við upphaflegan tilgang með söfnun þeirra og vinnslu.

Samþykki veitt Icepharma
Viljir þú veita Icepharma samþykki þitt fyrir vinnslu persónuupplýsinga í tilgreindum tilgangi, þannig að starfsmenn Icepharma geti nálgast þig í þágu kynningar- og markaðsstarf fyrirtækisins, svo sem með tölvupósti, bréfpósti eða í tengslum við kynningar, ráðstefnu- og fundarboð, bendum við þér á að fylla inn eftirfarandi form og staðfesta veitt samþykki.

Annað markaðs- og kynningarstarf
Í tengslum við annað almennt markaðs- og kynningarstarf Icepharma getur einstaklingur verið beðinn um að afhenda fyrirtækinu með beinum hætti persónugreinanlegar upplýsingar.
Afhending persónuupplýsinga í almennum markaðssetningartilgangi er einstaklingum alltaf valkvæð og aldrei skilyrði fyrir veittri þjónustu. Einstaklingum og viðskiptavinum getur verið boðið að skrá netfang sitt á póstlista og er netfang viðkomandi þá notað í markaðslegum tilgangi, t.d. til að kynna nýjar vörur, tilboð og viðburði. Icepharma minnir skráða einstaklinga á tölvupóstlistum fyrirtækisins á rétt þeirra til afskráningar af tölvupóstlistum og jafnframt geta viðskiptavinir ávallt andmælt vinnslu persónuupplýsinga um sig eða afturkallað samþykki sitt fyrir beinni markaðssetningu með því að senda inn formlega persónuverndarbeiðni í gegnum heimasíðu Icepharma eða senda beiðni þess efnis á netfangið personuvernd@icepharma.is.

6.8 Vinnsla persónuupplýsinga um starfsmenn Icepharma

Icepharma safnar, vinnur og varðveitir ýmsar persónuupplýsingar um starfsmenn Icepharma sem og um einstaklinga sem ráðnir eru í verktöku. Ólíkum persónuupplýsingum kann að vera safnað um ólíka starfsmenn og kann söfnun og vinnsla að fara eftir eðli starfs hverju sinni. Söfnun og vinnsla persónuupplýsinga um núverandi og/eða fyrrverandi starfsmenn telst nauðsynleg fyrst og fremst til að efna samning milli aðila, þ.e. þannig að fyrirtækið geti uppfyllt skyldur samkvæmt ráðningarsamningi. Vinnsla persónuupplýsinga um núverandi og eða fyrrverandi starfsmenn kann einnig í einhverjum tilvikum að vera Icepharma nauðsynleg til að fullnægja lagaskyldu, s.s. á grundvelli vinnulöggjafar eða skattalöggjafar. Að auki getur vinnsla persónuupplýsinga um núverandi og eða fyrrverandi starfsmenn talist nauðsynleg vegna lögmætra hagsmuna Icepharma, s.s. í öryggis- og eignavörsluskyni.

Nánari upplýsingar m.a. um söfnun, vinnslu, miðlun og varðveislu persónuupplýsinga um starfsmenn Icepharma er að finna í innri reglum Icepharma um Persónuvernd starfsmanna Icepharma sem aðgengilegar eru öllum núverandi starfsmönnum Icepharma. Óska má eftir frekari upplýsingum um vinnslu persónuupplýsinga núverandi og fyrrverandi starfsmanna Icepharma með því að senda fyrirspurn á netfangið personuvernd@icepharma.is.

Persónuupplýsingar sem safnast um starfsmenn Icepharma eru eingöngu varðveittar í þann tíma sem ráðningarsamband varir og eftir það í eins langan tíma og nauðsynlegt er hverju sinni eða lög og reglur kveða á um.

6.9 Vinnsla persónuupplýsinga umsækjenda um störf hjá Icepharma

Icepharma safnar og vinnur persónuupplýsingar um umsækjendur um störf hjá fyrirtækinu. Ólíkum persónuupplýsingum kann að vera safnað um ólíka umsækjendur og kann söfnun og vinnsla persónuupplýsinganna að fara eftir eðli starfs sem sótt er um. Ef sótt er um auglýst starf hjá Icepharma eða almenn umsókn send inn þarf einstaklingur að byrja á því að stofna aðgang inn á ráðningarvef fyrirtækisins með því að fylla út kennitölu og lykilorð. Í framhaldi fyllir umsækjandi út rafrænt umsóknarform þar sem nauðsynlegt er að skrá auðkenna- og samskiptaupplýsingar, upplýsingar um menntun, þjálfun, starfsferil og starfsreynslu. Auk framangreindra upplýsinga kann Icepharma einnig að safna og vinna aðrar upplýsingar sem umsækjendur láta sjálfir í té og vilja koma á framfæri með starfsumsókn sinni, s.s. afriti af prófskírteini, mynd af umsækjanda, umsóknarbréf o.fl. Icepharma óskar aldrei eftir því að umsækjendur skrái viðkvæmar persónuupplýsingar um sig eins og þær eru skilgreindar í persónuverndarlögum.

Söfnun og vinnsla persónuupplýsinga í ofangreindum tilgangi telst nauðsynleg vegna lögmætra hagsmuna fyrirtækisins sem felast í því að Icepharma geti lagt mat á það hvort umsækjandi komi til greina fyrir þau störf sem sótt er um og/eða önnur laus störf sem ekki eru auglýst. Icepharma notar upplýsingar einstaklinga vegna starfsumsóknar ekki í öðrum tilgangi en vegna starfsráðninga.
Upplýsingar í tengslum við nýskráningu inn á ráðningarvef Icepharma geymist í gagnagrunni Icepharma í 6 mánuði eftir innskráningu. Viðhalda má þeirri skráningu með endurskráningu inn á vefinn en sé það ekki gert er skráningu eytt að 6 mánuðum liðnum. Innsendar umsóknir eru geymdar í umsóknargrunni Icepharma í 6 mánuði frá því að hún er innsend en að þeim tíma liðnum er umsókninni alfarið eytt.

Í flestum tilfellum fær Icepharma persónuupplýsingarnar beint frá umsækjandanum sjálfum en ef til þess kemur að upplýsinga er aflað frá þriðja aðila mun Icepharma upplýsa umsækjanda um slíkt. Í undantekningartilvikum kann Icepharma að vera nauðsynlegt að miðla upplýsingum sem safnast vegna starfsumsókna til þriðju aðila, s.s. til ráðningaskrifstofa sem hafa aðkomu að ráðningum hjá Icepharma og/eða til annarra lögaðila sem Icepharma á í viðskiptasambandi við og er umsækjandi þá upplýstur um slíkt. Icepharma afhendir ekki persónuupplýsingar nema slík miðlun sé heimil samkvæmt lögum og er þess þá ávallt gætt að upplýsingar séu meðhöndlaðar sem trúnaðarmál.
Eftir að einstaklingur hefur sent inn umsókn í gegnum umsóknargrunn Icepharma getur hann ávallt dregið starfsumsóknir sínar til baka og þar með afturkallað samþykki sitt fyrir vistun og meðhöndlun gagna sem hann hefur látið Icepharma í té í formi starfsumsóknar eða óskað eftir leiðréttingu á innsendum gögnum. Það gerir hann með því að senda inn formlega persónuverndarbeiðni í gegnum heimasíðu Icepharma eða senda beiðni þess efnis á netfangið personuvernd@icepharma.is.

6.10 Vinnsla persónuupplýsinga í tengslum við rafræna vöktun og móttöku gesta í húsnæði Icepharma

Vegna eðlis starfsemi Icepharma fer fram rafræn vöktun með eftirlitsmyndavélum á og í kringum starfsstöðvar Icepharma. Upplýsingarnar eru varðveittar í öryggis- og eignavörsluskyni sem og í þágu rekjanleika, skjalafestingar og gæðamála. Öll notkun slíkra eftirlitsmyndavéla er í samræmi við ákvæði persónuverndarlaga og reglna settra samkvæmt þeim. Farið er með allt efni sem safnast við vöktun sem trúnaðarmál. Allt efni sem safnast með notkun myndavélakerfis eyðist sjálfkrafa eigi síðar en 90 dögum frá því að það varð til, nema nauðsyn beri til að varðveita það lengur vegna gruns um refsiverðan verknað, brots í starfi, slyss eða annað sambærilegt.

Gestir sem koma í húsnæði Icepharma, t.d. vegna funda eða annarra viðburða, kunna að vera beðnir um að afhenda auðkennisupplýsingar, s.s. nafn. Skráning persónuupplýsinga í þessum tilgreinda tilgangi er nauðsynleg vegna lögmætra hagsmuna Icepharma sem felast m.a. í því að gæta öryggis og eigna.

6.11 Önnur vinnsla persónuupplýsinga

Í ákveðnum tilvikum vinnur Icepharma persónuupplýsingar þegar vinnslan er nauðsynleg til þess að Icepharma, þriðji aðili eða aðilar sem upplýsingum er miðlað til geti gætt lögmætra hagsmuna sinna. Dæmi um slíka vinnslu er til að mynda afgreiðsla umsóknar um aðgang að persónuupplýsingum sem lýtur að réttindum einstaklinga o.s.frv. Önnur dæmi væri vinnsla sem hefði þann tilgang að þróa og bæta upplýsingakerfi fyrirtækisins, að greina og rannsaka mál er varða net- og upplýsingaöryggi innan Icepharma og/eða til að fyrirbyggja misnotkun á þjónustu. Slík vinnsla fer hins vegar aldrei fram ef ljóst er að grundvallarréttindi og frelsi einstaklinga sem krefjast persónuverndar vega þyngra en aðrir hagsmunir af vinnslunni.

7. Miðlun persónuupplýsinga

Miðlun persónuupplýsinga á milli starfsmanna Icepharma getur verið nauðsynleg en er aðeins heimil þegar viðtakandi upplýsinganna hefur ástæðu til að öðlast upplýsingarnar starfs síns vegna og miðlunin er í samræmi við viðeigandi takmarkanir á miðlun persónuupplýsinga.

Icepharma selur ekki persónuupplýsingar til þriðja aðila en fyrirtækinu kann hins vegar að vera skylt eða nauðsynlegt að miðla eða afhenda persónuupplýsingum til þriðja aðila, t.d. til eftirlitsaðila, stjórnvalda eða annarra lögaðila sem Icepharma á í viðskiptasambandi við. Slík afhending fer eingöngu fram sé hún heimil samkvæmt lögum og þannig að ávallt sé gætt að upplýsingarnar séu meðhöndlaðar sem trúnaðarmál.

Þjónustuaðilar Icepharma í hlutverki vinnsluaðila, sem hafa m.a fengið það hlutverk að vinna persónuupplýsingar á vegum Icepharma, kunna að fá afhentar persónuupplýsingar vegna framkvæmdar á þjónustusamningi milli aðila. Slíkir vinnsluaðilar geta ýmist verið þjónustuveitendur, umboðsmenn eða verktakar á vegum fyrirtækisins en einungis er leitað til vinnsluaðila sem geta veitt nægilegar tryggingar fyrir því að vinnsla persónuupplýsinga og réttindi einstaklinga uppfylli þær kröfur sem persónuverndarlög áskilja. Icepharma afhendir vinnsluaðilum sínum einungis þær persónuupplýsingar sem eru nauðsynlegar vegna tilgangs vinnslunnar og slík vinnsla byggist ætíð á samningi aðila þar sem vinnsluaðilinn undirgengst þær skyldur að tryggja öryggi upplýsinganna og nota þær eingöngu í þeim tilgangi sem getið er um í samningi aðila.

8. Miðlun og flutningur persónuupplýsinga milli landa

Persónuverndarlög takmarka miðlun persónuupplýsinga yfir landamæri til þess að tryggja viðeigandi persónuvernd einstaklinga. Miðlun persónuupplýsinga yfir landamæri er talin eiga sér stað þegar persónuupplýsingar frá einu landi eru fluttar, sendar, skoðaðar eða með öðrum hætti eru gerðar aðgengilegar í öðru landi. Icepharma kann að miðla og/eða flytja persónuupplýsingar úr landi, þ.e. til viðtökulands sem veita persónuupplýsingum fullnægjandi vernd, sbr. öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd. Í undantekningartilfellum er persónuupplýsingum miðlað til landa utan EES-svæðisins og þá eingöngu þegar heimild er fyrir slíku, s.s. þegar viðeigandi verndarráðstafanir eru til staðar, svo sem bindandi fyrirtækjareglur, stöðluð ákvæði um persónuvernd sem eftirlitsyfirvald hefur samþykkt og framkvæmdastjórn Evrópusambandsins viðurkennt, viðurkenndar hátternisreglur, viðurkennt vottunarkerfi, þegar hinn skráði einstaklingur hefur verið upplýstur um mögulega áhættu slíks flutnings og hefur gefið afdráttarlaust samþykki sitt fyrir flutningnum eða á grundvelli annarra ráðstafana sem um getur í 46. gr. almennu persónuverndarreglugerðarinnar. Í slíkum tilfellum eru aldrei sendar meiri upplýsingar er nauðsynlegt er.

9. Varðveislutími persónuupplýsinga

Icepharma varðveitir ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er miðað við upphaflegan tilgang með söfnun þeirra og vinnslu. Persónuupplýsingar eru varðveittar á meðan viðskiptasambönd vara, eins lengi og lög kveða á um eða lögmætir hagsmunir krefjast og málefnaleg ástæða gefur tilefni til. Málefnanleg ástæða telst til staðar ef enn er unnið með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra. Af framangreindu leiðir að mismunandi varðveislutímabil getur átt við eftir tegund og eðli persónuupplýsinga.

Starfsmenn Icepharma fylgja stefnu fyrirtækisins og verklagsreglum um varðveislu og eyðingu persónuupplýsinga. Einu sinni á ári fer fram úttekt á varðveislu persónuupplýsinga og þeim persónuupplýsingum eytt sem ekki er lengur þörf á að varðveita eða þær gerðar ópersónugreinanlegar, nema lög krefjist þess að slíkar upplýsingar séu varðveittar í lengri tíma.

10. Réttindi einstaklinga er varða vinnslu persónuupplýsinga

Persónuverndarlög kveða á um og tryggja einstaklingum ákveðin réttindi varðandi meðhöndlun persónuupplýsinga, m.a. til fræðslu og upplýsinga um hvernig persónuupplýsingar eru unnar. Icepharma virðir réttindi eigenda persónuupplýsinga en eftirtalin réttindi geta þó verið háð takmörkunum sem leiða m.a. af lögum, hagsmunum annarra sem upplýsingarnar varða eða mikilvægum fjárhags- eða viðskiptahagsmunum Icepharma. Vilji einstaklingur leggja fram beiðni er varða neðangreind réttindi hans (persónuverndarbeiðni) skal það gert með því að fylla út og senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Icepharma.

Réttur til upplýsinga og aðgangs að eigin persónuupplýsingum

Einstaklingur á rétt á að fá fræðslu og upplýsingar um það hvort og þá hvernig unnið er með persónuupplýsingar hans í starfsemi Icepharma. Þannig getur einstaklingur átt rétt á upplýsingum um tilgang vinnslu persónuupplýsinga, flokka persónuupplýsinga, viðtakendur þeirra, viðmið um varðveislutíma, réttindi sem hann hefur, og heimild hans til að leggja fram kvörtun hjá Persónuvernd o.fl. Þá á einstaklingur jafnframt rétt á að óska eftir aðgangi að persónuupplýsingum og skulu þær afhentar á því formi sem mögulegt er hverju sinni, skriflega eða rafrænt.

Réttur til leiðréttingar og eyðingar persónuupplýsinga 

Einstaklingur sem óskar eftir að koma á framfæri breyttum upplýsingum er bent á að koma þeim á framfæri við Icepharma með því að senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Icepharma eða með tölvupósti á netfangið personuvernd@icepharma.is. Einstaklingur á rétt á að fá óáreiðanlegar eða rangar persónuupplýsingar um sig leiðréttar og í ákveðnum tilvikum á hann einnig rétt á að persónuupplýsingum sé alfarið eytt, sbr. þegar persónuupplýsingar eru ekki lengur nauðsynlegar fyrir þann tilgang sem þeirra var aflað upphaflega eða þegar einstaklingur hefur ákveðið að draga samþykki sitt fyrir notkun þeirra til baka, þegar hann hefur andmælt vinnslu persónuupplýsinga um sig eða ef vinnslan samrýmist ekki lögum og reglugerð um persónuvernd að öðru leyti.

Réttur til að andmæla vinnslu persónuupplýsinga

Einstaklingur getur andmælt vinnslu persónuupplýsinga sem varða hans tilteknu aðstæður þegar vinnsla hefur verið réttlætt á grundvelli lögmætra hagsmuna eða almannahagsmuna.
Icepharma leitast ætíð eftir því að gera einstaklingum sérstaklega grein fyrir andmælarétti með skýrum hætti þegar það á við. Komi andmæli fram við vinnslu persónuupplýsinga mun Icepharma ekki vinna persónuupplýsingar frekar nema lagaskilyrði til þess séu til staðar.
Réttur til að óska eftir takmörkun á vinnslu persónuupplýsinga
Þá getur einstaklingur í ákveðnum tilvikum farið fram á að vinnsla persónuupplýsinga um sig sé takmörkuð tímabundið, t.d. ef hann telur að persónuupplýsingar sem Icepharma vinnur séu ekki réttar, ef hann telur Icepharma ekki hafa heimild til vinnslunnar eða að fyrirtækið þurfi ekki lengur á persónuupplýsingunum að halda. Í slíkum tilfellum er vinnsla stöðvuð meðan slík beiðni er yfirfarin og upplýsingar veittar um framhaldið.

Réttur til þess að flytja persónuupplýsingar 

Einstaklingur á rétt á að fá upplýsingar sem hann hefur sjálfur látið Icepharma í té fluttar til annars ábyrgðaraðila sem einstaklingur vísar á ef það er tæknilega framkvæmanlegt. Einungis er um að ræða persónuupplýsingar sem Icepharma hefur aflað á grundvelli samþykkis einstaklings eða vegna framkvæmdar samnings og eru unnar með sjálfvirkum hætti. Eftir flutninginn ber þriðji aðili ábyrgð á upplýsingunum sem einstaklingur hefur óskar eftir að séu fluttar.

Réttur til að draga samþykki fyrir vinnslu persónuupplýsinga til baka

Einstaklingur sem veitt hefur samþykki sitt fyrir vinnslu persónuupplýsinga í ákveðnum tilgangi á rétt á að draga það samþykki til baka. Afturkalli einstaklingur samþykki sitt mun það þó ekki hafa áhrif á þá vinnslu sem átt hefur sér stað áður en samþykki var dregið til baka en getur orðið til þess að Icepharma geti ekki veitt ákveðna þjónustu áfram sem óskað er eftir.

Réttur til að leggja fram kvörtun hjá Persónuvernd

Einstaklingar hafa rétt til að leggja fram kvörtun hjá Persónuvernd vegna meðferðar á persónuupplýsingum um sig. Komi upp ágreiningur um meðferð persónuupplýsinga óskar Icepharma þess þó að fá tækifæri til að leysa úr þeim ágreiningi áður en kvörtun er send til Persónuverndar. Upplýsingar um Persónuvernd má finna hér .

11. Afgreiðsla persónuverndarbeiðna

Vilji einstaklingur leggja fram beiðni er varða réttindi hans á grundvelli laga um persónuvernd skal það gert með því að fylla út og senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Icepharma. Berist Icepharma formleg persónuverndarbeiðni frá einstaklingum um að neyta ofangreindra réttinda upplýsir Icepharma beiðanda um þær aðgerðir sem gripið verður til eins fljótt og auðið er en í síðasta lagi innan tveggja vikna frá viðtöku hennar.

Icepharma verður almennt við beiðnum er varða ofangreind réttindi einstaklinga þegar Icepharma telst ábyrgðaraðili persónuupplýsinganna en áskilur sér þó rétt til að neita að verða við beiðni sem er augljóslega tilefnislaus eða óhófleg. Svo unnt sé að afgreiða slíkar beiðnir er Icepharma nauðsynlegt að afla persónuupplýsinga um beiðanda til að tryggja auðkenningu. Formleg afgreiðsla persónuverndarbeiðni getur því ekki hafist fyrr en auðkenning hefur farið fram.

Telji beiðandi að Icepharma verði ekki á fullnægjandi hátt við framkominni persónuverndarbeiðni getur beiðandi lagt fram kvörtun til persónuverndarráðs Icepharma á netfangið personuvernd@icepharma.is eða sent kvörtun til Persónuverndar. 

12. Um öryggi, eftirlit og ábyrgð

Öryggisráðstafanir í þágu persónuverndar og fylgni við meginreglur

Icepharma hefur sett sér upplýsingaöryggisstefnu og innleitt tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja upplýsingaöryggi almennt og það að farið sé að meginreglum um vinnslu persónuupplýsinga. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfsemi Icepharma og hafa viðeigandi verkferla, aðferðir, þjálfun, öryggisþætti og aðra þætti verið innleiddir með það að markmiði að tryggja fylgni við meginreglur laga um persónuvernd.

Persónuupplýsingar sem Icepharma safnar, vinnur og varðveitir eru varðar með ströngum reglum og ferlum bæði þegar kemur að mannshöndinni og rafrænu umhverfi. Öllum slíkum öryggisráðstöfunum er fyrst og fremst ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Aðrar ráðstafanir miða að því að tryggja að sjálfgefið sé að persónuupplýsingar, sem safnað er og notaðar eins og nauðsyn krefur í sértækum tilgangi, séu ekki geymdar lengur en þurfa þykir og séu ekki gerðar tiltækar fyrir of marga einstaklinga.

Virk öryggisvitund starfsmanna

Icepharma stuðlar að virkri öryggisvitund starfsmanna og sér starfsmönnum fyrir fullnægjandi og viðeigandi fræðslu og þjálfun. Allir starfsmenn Icepharma eru þátttakendur í stefnum fyrirtækisins er varða persónuvernd og skuldbinda sig til að fylgja persónuverndaryfirlýsingu Icepharma og þeim verklagsreglum sem eiga að tryggja framfylgd hennar. Samningsbundin- og lögbundin þagnarskylda hvílir á öllum starfsmönnum, og öðrum sem koma að vinnslu persónuupplýsinga fyrir hönd Icepharma, um allt það sem þeir fá vitneskju um við framkvæmd starfa sinna. Brot á trúnaðarskyldum eru litin alvarlegum augum og fara í skilgreindan farveg innan Icepharma.

Skjölun

Icepharma skjalfestir með nákvæmum hætti vinnslu persónuupplýsinga, að því marki sem slíkrar skráningar er krafist samkvæmt persónuverndarlögum. Þannig skilgreinir Icepharma og skjalfestir grundvöll fyrir vinnslu hvers vinnsluþáttar persónuupplýsinga í starfsemi fyrirtækisins og heldur skrá yfir vinnslustarfsemina, þ.m.t. skrá yfir samþykki hinna skráðu einstaklinga og hvernig samþykkis er aflað.

Innbyggð persónuvernd og mat á áhrifum á persónuvernd

Reglulega fer fram mat á því með hvaða hætti unnt er að tryggja innbyggða persónuvernd í öllum forritum, kerfum og ferlum sem notuð eru og stuðst er við í starfsemi Icepharma. Slíkt mat fer fram með hliðsjón af ýmsum atriðum, s.s. nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslustarfseminnar sem og þeirrar áhættu sem vinnslan getur haft á réttindi og frelsi einstaklinga. Til viðbótar fer reglulega fram mat á áhrifum persónuverndar sé um að ræða áhættusama vinnslu í skilningi persónuverndarlaga.

Strangar kröfur gerðar til upplýsingakerfa

Til allra upplýsingakerfa sem notuð eru í starfsemi Icepharma eru gerðar þær kröfur að þau styðji markmið fyrirtækisins um fylgni við lög og reglur um persónuvernd og þess er ávallt gætt að persónuupplýsingar séu eingöngu aðgengilegar þeim starfsmönnum sem er aðgangurinn nauðsynlegur vegna framkvæmd starfa sinna. Aðgangi að upplýsingum er stýrt í gegnum aðgangsstýringar sem upplýsingaöryggisteymi Icepharma ber ábyrgð á.

Öryggisbrestur við meðferð og vinnslu persónuupplýsinga

Icepharma gerir allt til þess að tryggja að ekki komi til öryggisbrests við vinnslu persónuupplýsinga í starfsemi fyrirtækisins. Öryggisbrestur er það þegar brestur eða brot verður á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, að persónuupplýsingar eru sendar óviðkomandi aðila, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Öryggisbrestur getur falið í sér brot á trúnaði, leitt til þess að upplýsingar verði ekki aðgengilegar eða persónuupplýsingum er breytt.

Upplýsingaöryggisteymi Icepharma hefur eftirlit með mögulegum öryggisbrestum meðal annars til að tryggja fylgni við lög og reglur varðandi meðhöndlun frávika og frávikaskráningar. Komi upp öryggisbrestur við meðferð persónuupplýsinga virkjast skilgreindir innri verkferlar hjá upplýsingaöryggisteymi Icepharma sem m.a. tryggja að öryggisbrestir séu tilkynntir með viðeigandi hætti innan þeirra tímamarka sem lög og reglur krefjast.

Tilkynning um öryggisbrest

Ef upp kemur öryggisbrestur við vinnslu persónuupplýsinga sem líklegt er að hafi í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga er Persónuvernd og eftir atvikum einstaklingum gert viðvart, án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72.klst. eftir að hann verður öryggisbrestsins var, í samræmi við 27. laga um persónuvernd og vinnslupersónuupplýsinga.

Ef aðilar verða varir við öryggisbrest er varðar persónuvernd eru þeir vinsamlegast beðnir um að hafa samband við persónuverndarráð Icepharma á netfangið personuvernd@icepharma.is án ótilhlýðilegrar tafar til að draga úr líkum á tjóni. Dæmi um öryggisbrot sem Icepharma vill fá upplýsingar um er t.d. ef einstaklingur fær sendan tölvupóst sem inniheldur persónuupplýsingar sem eru móttakandanum óviðkomandi og/eða inniheldur persónuupplýsingar um einhvern annan aðila.

13. Um vefkökur (e. cookies) og þráðlaust internet Icepharma

Um vefkökur
Icepharma kann að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður Icepharma. Þeim persónuupplýsingum er safnað með notkun á vafrakökum, loggum og svipaðri tækni. Sjá nánar um vafrakökur hér.

Um þráðlaust net Icepharma
Þráðlaust net Icepharma heitir Icepharma_starfsmenn og er læst með WPA lykli. Icepharma skráir ekki sérstaklega netnotkun þeirra sem tengjast þráðlausu neti Icepharma en hins vegar er öll netumferð skráð í öryggisbúnað Icepharma. Öryggisbúnaðurinn skráir upplýsingar um tæki notandans, s.s. IP-tölu og tegund tækis. Ekki er leitað í skrár sem tilheyra öryggisbúnaðinum nema rökstuddur grunur sé uppi um brot á lögum, ef rökstuddur grunur er uppi um að alvarlegur öryggisbrestur hefur átt sér stað eða við bilanaleit. 

14. Samskipti við Icepharma og persónuvernd.

Persónuverndarráð Icepharma hefur eftirlit með því að farið sé að gildandi lögum og reglum um persónuvernd í starfsemi fyrirtækisins. Fyrirspurnum, athugasemdum og ábendingum sem varða vinnslu persónuupplýsinga í starfsemi fyrirtækisins er unnt að beina á netfangið personuvernd@icepharma.is eða með því að senda bréfpóst til: Persónuverndarráð Icepharma, Lynghálsi 13, 110 Reykjavík, Ísland.

Einstaklingar hafa rétt til að senda kvörtun til Persónuverndar hvenær sem er ef þeir eru andvígir eða ósáttir við það hvernig unnið er með persónuupplýsingar um þá eða ef þeir telja að slíkar upplýsingar séu ekki meðhöndlaðar á þann hátt sem lög um meðferð persónuupplýsinga kveða á um. Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið: postur@personuvernd.is eða með því að senda bréfpóst til: Persónuvernd, Rauðarárstígur 10, 105 Reykjavík, Ísland. Icepharma óskar þó eftir því að einstaklingur hafi fyrst samband við persónuverndarráð Icepharma þannig að fyrirtækið fái tækifæri til að leysa úr ágreiningi áður en kvörtun er send til Persónuverndar.

15. Endurskoðun

Eftirfarandi persónuverndaryfirlýsing var síðast endurskoðuð í ágúst 2020. Icepharma endurskoðar yfirlýsinguna reglulega, og ekki sjaldnar en árlega, til að sjá til þess að hún endurspegli þá vinnslu persónuupplýsinga sem á sér stað á hverjum tíma og til að tryggja rétta upplýsingagjöf um vinnslu og meðferð persónuupplýsinga í starfsemi fyrirtækisins. Efni yfirlýsingarinnar kann að taka breytingum í samræmi við breytingar á lögum og reglum um notkun og meðferð persónuupplýsingar. Breytingar á yfirlýsingunni öðlast gildi við birtingu uppfærðrar yfirlýsingar hér á vefsíðu Icepharma.

Útgáfa 1 – Samþykkt af stjórn Icepharma þann 10. september 2018.

Útgáfa 2 – Samþykkt af stjórn Icepharma 1. apríl 2020

Útgáfa 3 – Yfirfarin og uppfærð í ágúst 2020.