Um persónuvernd og meðferð persónuupplýsinga
Velkomin á upplýsingasíðu Icepharma um meðferð persónuupplýsinga
Icepharma er umhugað um öryggi gagna sem meðhöndluð eru í tengslum við starfsemi fyrirtækisins og leggur ríka áherslu á að vernda persónuupplýsingar einstaklinga og virða réttindi þeirra. Öll vinnsla persónuupplýsinga fer fram í samræmi við gildandi lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (''persónuverndarlögin'') og reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga o.fl. (''persónuverndarreglugerðin'').
Icepharma ber ábyrgð á vinnslu og meðferð persónuupplýsinga sem unnið er með í starfsemi fyrirtækisins ýmist sem ábyrgðaraðili persónuupplýsinga, þ.e. sá aðili sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga, eða sem vinnsluaðili þeirra, þ.e. sá aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila. Persónuupplýsingar teljast allar persónugreinanlegar upplýsingar um skráðan einstakling eða upplýsingar sem hægt er að nota til að persónugreina einstakling, beint eða óbeint, af upplýsingunum einum og sér eða með frekari gögnum, sem eru í vörslu Icepharma eða sem Icepharma getur auðveldlega nálgast. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
Það er von Icepharma að efni upplýsingasíðunnar veiti frekari innsýn í það hvernig vinnslu og meðferð persónuupplýsinga er háttað í starfsemi fyrirtækisins og hvaða tilgangur og heimildir liggja að baki slíkri vinnslu. Þó er vakin athygli á því að það sem fram kemur á upplýsingasíðu þessari er til viðbótar öðrum persónuverndarfyrirvörum sem Icepharma kann að veita einstaklingum í ákveðnum tilvikum vegna tiltekinnar vinnslu persónuupplýsinga. Þar af leiðandi er ekki hægt að ganga út frá því sem vísu að efni upplýsingasíðunnar sé á hverjum tíma tæmandi heimild um vinnslur sem framkvæmdar eru í tengslum við starfsemi Icepharma. Þegar persónuupplýsingum er safnað vegna ákveðinnar vinnslu eru einstaklingar upplýstir um það með viðeigandi persónuverndarfyrirvara sem tekur til tiltekinnar vinnslu hverju sinni.
Persónuverndarfulltrúi Icepharma er Helga Björnsdóttir, lögfræðingur.
Netfang: personuvernd@icepharma.is.
Símanúmer: 6993797
1. Um persónuverndaryfirlýsingu Icepharma
Persónuverndaryfirlýsing þessi veitir upplýsingar um meðferð persónuupplýsinga í starfsemi Icepharma, s.s. um hvaða einstaklinga upplýsingum er safnað og hvaða tegundir af persónuupplýsingum er safnað hverju sinni, í hvaða tilgangi unnið er með persónuupplýsingar og með hvaða heimildum, um varðveislu upplýsinganna, um miðlun þeirra og hvernig öryggis þeirra er gætt. Í yfirlýsingunni er einstaklingum einnig veittar upplýsingar um réttindi þeirra í tengslum við persónuvernd og hvernig aðilar geta neytt réttar síns á grundvelli persónuverndarlaga.
Tilgangurinn með persónuverndaryfirlýsingu Icepharma er að tryggja að til staðar sé heildstæð sýn á söfnun, skráningu, flutning, vistun, varðveislu og eyðingu persónugreinanlegra upplýsinga og stuðla að því að viðskiptavinir, aðrir viðsemjendur, samstarfsaðilar, starfsmenn og aðrir einstaklingar, eins og við á hverju sinni, séu upplýstir um það hvernig fyrirtækið meðhöndlar og vinnur persónuupplýsingar í starfsemi sinni sem er afar fjölbreytt.
2. Um persónuverndarráð Icepharma
Icepharma hefur skipað sérstakt persónuverndarráð sem ber meginábyrgð á málefnum er varða persónuvernd og er tengiliður fyrirtækisins við persónuverndaryfirvöld. Persónuverndarráð Icepharma skipa; Forstjóri Icepharma, persónuverndarfulltrúi Icepharma, gæðastjóri Icepharma, framkvæmdastjóri Lyfjasviðs og framkvæmdastjóri Samskiptasviðs. Ráðið hefur það meginhlutverk að hafa eftirlit með reglufylgni í starfseminni, svo sem að innri stefnum og verkferlum er varða meðhöndlum persónuupplýsinga sé fylgt, og hefur þannig mikilvægu hlutverki að gegna gagnvart starfsmönnum Icepharma, s.s. við vitundarvakningu, upplýsingagjöf og fræðslu. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfsemi Icepharma og það er á ábyrgð ráðsins að sjá til þess að allir starfsmenn Icepharma séu meðvitaðir um og þjálfaðir í öllum innri verklagsreglum er varða persónuvernd og meðferð persónuupplýsinga.
3. Söfnun og vinnsla persónuupplýsinga
Icepharma kann að safna, skrá, nota, varðveita eða flytja persónuupplýsingar um einstaklinga. Þessum persónuupplýsingum má skipta í eftirfarandi flokka:
- Auðkennisupplýsingar: s.s. nafn, notendanafn og samskonar auðkenni, kennitala og kyn.
- Samskiptaupplýsingar: s.s. heimilisfang, tölvupóstur, símanúmer.
- Starfstengdar upplýsingar: s.s. upplýsingar um vinnustað, sérgrein, starfsnúmer
- Fjármálaupplýsingar: s.s. bankareikningsupplýsingar eða aðrar greiðsluupplýsingar.
- Upplýsingar um viðskiptasögu: yfirlit yfir þær vörur sem keyptar hafa verið og reikninga sem gefnir hafa verið út.
- Tæknilegar upplýsingar: s.s. ip-tala, innskráningarupplýsingar, upplýsingar um tegund og útgáfu vafra.
- Upplýsingar um notendahegðun: s.s. upplýsingar um hvernig heimasíður, vörur eða þjónusta er notuð.
- Upplýsingar um markaðssetningu: s.s. upplýsingar sem tengjast vali einstaklings á því hvort Icepharma er heimilt að senda honum markaðsefni.
- Ferðaupplýsingar: s.s. upplýsingar úr vegabréfi o.fl.
- Upplýsingar um áhugamál og venjur: s.s. upplýsingar er tengjast heilsu og lífstíl, upplýsingar er tengjast áhugasviði/sérsviði heilbrigðisstarfsmanna o.fl.
- Aðrar upplýsingar sem gætu talist persónuupplýsingar í skilningi laganna: s.s. upplýsingar í tengslum við notkun einstaklinga á ákveðinni vöru, upplýsingar um samskipti ákveðins aðila við Icepharma, upplýsingar um umbeðnar samskiptaleiðir Icepharma við heilbrigðisstarfsmenn eða aðra aðila o.fl.
Að auki getur fyrirtækinu verið nauðsynlegt að vinna viðkvæmar persónuupplýsingar t.d. heilsufarsupplýsingar um einstaklinga, og þá aðeins þegar slík vinnsla uppfyllir lagaskilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.
4. Aðferðir við söfnun persónuupplýsinga
Í 6. kafla má finna dæmi um það í hvaða tilgangi Icepharma kann að safna og nota persónuupplýsingar um einstaklinga. Icepharma notar mismunandi aðferðir við söfnun persónuupplýsinga en eftirfarandi eru dæmi um það með hvaða hætti Icepharma safnar persónuupplýsingum í starfsemi sinni:
Söfnun upplýsinga beint frá einstaklingi
Algengast er að Icepharma móttaki og safni auðkennis- og
samskiptaupplýsingum beint frá einstaklingnum sjálfum, m.a. frá viðskiptavinum,
tengiliðum viðskiptavina, heilbrigðisstarfsmönnum, sjúklingum, aðstandendum
sjúklinga, starfsfólki, umsækjendum um störf o.fl. Í öðrum tilvikum geta
einstaklingar einnig verið beðnir um að láta af hendi starfstengdar
upplýsingar, fjármálaupplýsingar sem og aðra flokka persónuupplýsinga. Í ákveðnum
tilvikum taka starfsmenn Icepharma á
móti viðkvæmum persónuupplýsingum frá einstaklingnum sjálfum, t.d.
heilsufarsupplýsingum.
Einstaklingar geta ætíð hafnað því að afhenda Icepharma persónuupplýsingar
þegar eftir því er leitað. Hins vegar,
ef einstaklingur kýs að láta ekki af hendi upplýsingar sem eru nauðsynlegar
fyrir Icepharma til að veita umbeðna þjónustu eða framkvæma samningsbundnar
skyldur, gæti það leitt til þess að Icepharma
er ómögulegt, að öllu leyti eða hluta, að veita einstaklingnum þá þjónustu sem
óskað er eftir eða fullnægja samningsskuldbindingum sínum á annan hátt.
Sjálfvirk tækni eða samskipti
Icepharma kann einnig að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður Icepharma. Þeim persónuupplýsingum er safnað með notkun á vafrakökum, atvikaskráningu og svipaðri tækni. Sjá nánar um vafrakökur hér.
Söfnun upplýsinga frá þriðja aðila
Í vissum tilvikum gæti Icepharma tekið við
persónuupplýsingum frá þriðja aðila eða aflað persónuupplýsinga frá
fyrirtækjum, stofnunum eða tengiliðum lögaðila, sem búa yfir persónuupplýsingum
um einstakling, þegar fyrrnefndir aðilar hafa heimild til að afhenda
fyrirtækinu slíkar upplýsingarnar og þegar upplýsingarnar eru nauðsynlegar
Icepharma í ákveðnum tilgangi. Það sama á við um persónuupplýsingar sem eru
birtar opinberlega, s.s. persónuupplýsingar heilbrigðisstarfsmanna í opinberum
skrám eða af vefsíðum, enda er vinnsla þeirra almennt heimil og upplýsingarnar
aðeins unnar að því marki og í þeim tilgangi sem viðkomandi upplýsingar voru
upphaflega gerðar aðgengilegar.
5. Heimildir fyrir vinnslu persónuupplýsinga
Persónuverndarlögin takmarka hvernig persónuupplýsingar skulu meðhöndlaðar. Takmarkanirnar koma þó ekki í veg fyrir vinnslu persónuupplýsinga heldur eiga að stuðla að því að persónuupplýsingar séu unnar á sanngjarnan og lögmætan hátt og aðeins í tilgreindum tilgangi.
Icepharma vinnur aðeins persónuupplýsingar einstaklinga ef heimild er fyrir því í persónuverndarlögum. Vinnsla almennra persónuupplýsinga í starfsemi Icepharma fer þannig einungis fram þegar a.m.k. eitt af eftirfarandi skilyrðum er uppfyllt:
- Einstaklingur hefur gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða;
- Vinnsla persónuupplýsinga telst nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
- Vinnsla persónuupplýsina telst nauðsynleg til að uppfylla lagaskyldu;
- Vinnsla persónuupplýsinga telst nauðsynleg til að vernda brýna hagsmuni hins skráða einstaklings eða annars einstaklings;
- Vinnsla persónuupplýsinga telst nauðsynleg vegna lögmætra hagsmuna Icepharma, viðskiptavinar eða annars þriðja aðila, þ.e. þegar hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vega ekki þyngra.
Persónuupplýsingar einstaklings kunna að vera unnar samkvæmt fleiri en einni heimild eftir tilgangi vinnslunnar hverju sinni en einstaklingum er ætíð velkomið að hafa samband við Icepharma ef þeir óska eftir því að fá nánari upplýsingar um tilgang vinnslu og það hvaða heimild býr að baki vinnslunni.
Vinnsla viðkvæmra persónuupplýsinga hjá Icepharma fer einungis fram þegar einstaklingur hefur gefið samþykki sitt fyrir slíkri vinnslu eða ef hún telst nauðsynleg til að uppfylla lagaskyldu eða til að vernda brýna hagsmuni einstaklings eða annars einstaklings og aðeins þegar uppfyllt er a.m.k. eitt af lagaskilyrðum fyrir vinnslu viðkvæmra persónuupplýsinga, sbr. 11. gr. persónuverndarlaga nr. 90/2018.
6. Tilgangur vinnslu persónuupplýsinga
Icepharma leitast eftir því að haga allri vinnslu persónuupplýsinga með sanngjörnum og gagnsæjum hætti gagnvart hinum skráða einstakling. Persónuupplýsingarnar eru ætíð unnar í skýrt tilgreindum og málefnanlegum tilgangi og ekki unnar í öðrum og óskyldum tilgangi nema fyrirtækið hafi til þess heimild og einstaklingur hafi verið upplýstur um hinn nýja tilgang. Vinnsla persónuupplýsinga er ætíð takmörkuð við þær upplýsingar sem teljast nauðsynlegar og viðeigandi miðað við tilgang vinnslunnar hverju sinni.
Hér á eftir má finna upptalningu og nánari lýsingu á því hvenær Icepharma kann að vinna persónuupplýsingar um einstaklinga og á hvaða heimild/um vinnslan byggir. Þegar fyrirtækinu gefst færi á að veita einstaklingum beint allar nauðsynlegar upplýsingar um vinnslu persónuupplýsinga á þeim tíma sem þeim er safnað eða þær mótteknar er það gert með viðeigandi persónuverndarfyrirvara sem tekur þá sérstaklega til tiltekinna vinnsluaðgerða. Þannig ber ekki að túlka þá upptalningu sem á eftir fer sem tæmandi heimild fyrir hvers konar vinnsluaðgerðir sem framkvæmdar eru í starfsemi Icepharma.
Vinnsla persónuupplýsinga við heimsókn á vefsíður Icepharma
Icepharma kann að safna tæknilegum upplýsingum um einstaklinga, sem gætu falið í sér persónuupplýsingar, með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður Icepharma. Þeim persónuupplýsingum er safnað með notkun á vafrakökum, atvikaskráningu og svipaðri tækni. Dæmi um slíkar upplýsingar eru; IP-tölur, auðkenni tækis, tungumálastillingar, tækistillingar, tegund stýrikerfis, tegund vafra, leitarsaga, heimsóttar síður o.fl. Söfnun og persónuupplýsinga í þessu samhengi byggist ýmist á samþykki einstaklings eða á lögmætum hagsmunum fyrirtækisins sem felast í því að geta veitt góða upplifun á vefsíðum og til að stuðla að frekari þróun hennar. Nánari upplýsingar um það hvernig við notum vafrakökur er að finna hér .
Vinnsla persónuupplýsinga um tengiliði fyrirtækja/stofnana
Í tengslum við fjölbreytta starfsemi Icepharma eiga starfsmenn fyrirtækisins í samskiptum við breiðan hóp tengiliða fyrirtækja og/eða stofnana við framkvæmd starfa sinna. Í tengslum við slík samskipti geta aðilar verið beðnir um að afhenda Icepharma persónuupplýsingar, s.s. auðkennis- og samskiptaupplýsingar (nafn, símanúmer, netfang), þegar þess þarf. Slík söfnun og móttaka persónuupplýsinga telst nauðsynleg vegna lögmætra hagsmuna Icepharma sem felast í því að hægt sé að stunda viðskipti og til að viðhalda góðu sambandi við samstarfsaðila og viðskiptavini. Persónuupplýsingar sem safnast eru eingöngu varðveittar í eins langan tíma og nauðsynlegt er en varðveiðslutímabil getur verið mismunandi eftir eðli samskipta hverju sinni.
Vinnsla persónuupplýsinga vegna fyrirspurna og kvartana
Þar sem starfsemi Icepharma er fjölbreytt getur fyrirtækinu borist margvíslegar fyrirspurnir og/eða kvartanir sem tengjast á einn eða annan hátt vöru- og/eða þjónustuframboði Icepharma. Í þeim tilvikum þegar ekki er hægt að svara slíkum fyrirspurnum og/eða kvörtunum um leið og þær berast, getur sá sem ber fram fyrirspurn og/eða kvörtun verið beðinn um að afhenda Icepharma persónuupplýsingar í formi auðkennis- og samskiptaupplýsinga þannig að hægt verði að hafa samband við viðkomandi aftur í tengslum við úrvinnslu, afgreiðslu og eftirfylgni erindis.
Vinnsla persónuupplýsinga í tengslum við fyrirspurnir og/eða kvartanir getur einnig talist nauðsynleg vegna lögmætra hagsmuna Icepharma að greina fyrirspurnir og/eða kvartanir sem gætu varðað gæði og öryggi lyfja, lækningatækja eða annarra vara sem Icepharma býður og gætu krafist þess að fyrirtækið grípi til ákveðinna öryggisráðstafana á grundvelli laga og reglna. Þegar allri afgreiðslu er varðar almenna fyrirspurn eða kvörtun er lokið og ekki þörf á frekari aðgerðum eða eftirfylgni er persónuupplýsingunum eytt eða þær gerðar ópersónugreinanlegar.
Vinnsla persónuupplýsinga vegna tilkynninga er varða öryggi lyfja eða lækningatækja
Icepharma hvetur heilbrigðisstarfsmenn og aðra sem vilja tilkynna aukaverkun lyfja eða bera fram atvikatilkynningu í tengslum við lækningatæki (s.s. tilkynningu um frávik, galla eða óvirkni) til að tilkynna um slíkar aukaverkanir/atvik beint til Lyfjastofnunar. Kjósi einstaklingur samt sem áður að tilkynna aukaverkun/atvik til Icepharma ber fyrirtækinu skylda til að taka slíkar tilkynningar til afgreiðslu, sbr. tilkynningarskylda til eftirlitsaðila á grundvelli lyfjalaga og laga um lækningatæki, og þarf í því samhengi að safna og vinna persónuupplýsingar um þann sem ber fram slíkar tilkynningar. Það fer eftir eðli og efni tilkynninga, og því hver ber hana fram, hvaða persónuupplýsingum er safnað hverju sinni og hvaða upplýsingar eru skráðar.
Þegar tilkynnandi er annar en sá einstaklingur sem tilvikið varðar, s.s. heilbrigðisstarfsmaður eða aðstandandi sjúklings/skjólstæðings, er viðkomandi vinsamlegast beðinn um að gefa ekki upp persónugreinanlegar upplýsingar um þann einstakling sem tilvikið varðar, svo sem nafn sjúklings/skjólstæðings.
Sumar tilkynningar krefjast ítarlegrar skráningar um tilefni, ástæðu og atvik að baki tilkynningu, svo sem nánari lýsing á aukaverkun lyfs og áhrif hennar á einstakling, upplýsingar um sjúkrasögu, upplýsingar um fyrri lyfjanotkun eða aðrar heilsufarstengdar upplýsingar sem varða líkamlegt og andlegt heilbrigði þess einstaklings sem tilvik varðar. Til að vernda réttindi skráðra einstaklinga í þessu samhengi og tryggja öryggi viðkvæmra persónuupplýsinga hefur Icepharma gert viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir, s.s. innleitt verkferla sem miða að því að viðkvæmar persónuupplýsingar séu gerðar ópersónugreinanlegar þannig að þær verði ekki rekjanlegar til ákveðins einstaklings, hvorki beint né óbeint.
Söfnun og vinnsla persónuupplýsinga um tilkynnendur og þá sem tilkynnt tilvik varðar telst nauðsynleg til að fullnægja lagaskyldum um tilkynningu atvika er varða öryggi lyfja og lækningatækja til eftirlitsaðila. Að auki telst vinnslan nauðsynleg til að vernda brýna hagsmuni einstaklinga sem og almannahagsmuni á sviði lýðheilsu, s.s. til að tryggja að strangar kröfur séu gerðar um gæði og öryggi lyfja og lækningatækja. Upplýsingar er tengjast tilkynningarskyldum atvikum um öryggi lyfja og lækningatækja, þ.m.t. persónuupplýsingar, eru geymdar og varðveittar hjá Icepharma í nefndum tilgangi á meðan lyf eða lækningatæki, sem varðar tilkynnt tilvik, er á markaði og lengur eftir því sem lög og reglur kveða á um.
Vinnsla persónuupplýsinga í tengslum við dreifingu á öryggisefni/öryggisupplýsingum til heilbrigðisstarfsmanna
Samkvæmt tilskipun Evrópuþingsins og ráðsins 2001/83/EB um bandalagsreglur um lyf sem ætluð eru mönnum kann markaðsleyfishafa lyfja að vera skylt að útvega og láta heilbrigðisstarfsfólki í té fræðsluefni og aðrar upplýsingar er varðar öryggi lyfja (hér eftir nefnt ''öryggisefni'') í samræmi við áætlun um áhættustjórnun fyrir lyfið sem samþykkt er af Lyfjastofnun Evrópu/Íslands. Í því samhengi þarf markaðsleyfishafi að leggja dreifingaráætlun fyrir viðkomandi öryggisefni fyrir lyfjayfirvöld, til skoðunar og samþykktar. Markaðsleyfishafi þarf að halda skrá til staðfestingar því að samþykkt dreifing hafi átt sér stað og þarf hún að vera tiltæk hjá markaðsleyfishafa sé eftir því óskað við úttekt eða eftirlit.
Til að uppfylla ofangreindar skyldur safnar Icepharma, ýmist sem markaðsleyfishafi eða sem umboðsaðili markaðsleyfishafa, nauðsynlegum persónugreinanlegum upplýsingum um viðtakendur öryggisefnis og heldur skrá yfir viðtakendur. Útsending og dreifing öryggisefnis grundvallast á lagaskyldu og hefur þann tilgang að tryggja að mikilvægar öryggisupplýsingar skili sér til heilbrigðisstarfsfólks og sjúklinga. Söfnun og vinnsla persónuupplýsinga um viðtakendur öryggisefnis telst því nauðsynleg til að fullnægja lagaskyldu þessari. Persónuupplýsingarnar sem safnast eru geymdar og varðveittar hjá Icepharma í nefndum tilgangi á meðan það lyf sem öryggisefnið fjallar um er á markaði og lengur eftir því sem lög og reglur kveða á um.
Vinnsla persónuupplýsinga um viðskiptavini vefverslana
Þegar einstaklingur stofnar aðgang að vefverslunum sem heyra til starfsemi Icepharma og þegar skráður notandi staðfestir pöntun/viðskipti og gerist viðskiptavinur Icepharma þarf hann að skrá almennar persónuupplýsingar um sig. Slík vinnsla persónuupplýsinganna telst nauðsynleg til að Icepharma geti uppfyllt samning milli aðila eða vegna ráðstafana sem gera þarf að beiðni einstaklings áður en samningur kemst á milli aðila. Hér á eftir fer nánari lýsing á eðli vinnslu persónuupplýsinga um skráða notendur og viðskiptavini vefverslana á vegum Icepharma.
Þegar einstaklingur stofnar aðgang í vefverslun:
Þegar einstaklingur stofnar eigin aðgang í vefverslunum Icepharma þarf hann að skrá auðkennis- og samskiptaupplýsingar, s.s. nafn, kennitölu, kyn, símanúmer og netfang.
Þegar skráður notandi staðfestir pöntun og kaup á vöru:
Þegar einstaklingur staðfestir kaup á vöru þarf hann að skrá auðkennis-, og samskiptaupplýsingar, s.s. nafn, kennitölu, kyn, heimilisfang, símanúmer og netfang, þannig að viðskiptavinur geti sannað á sér deili er hann vitjar vöru sinnar. Samskiptaupplýsingum er safnað þannig að mögulegt sé að hafa samband við viðskiptavin í tengslum við afgreiðslu á pöntun hans sem og ef viðskiptavinur óskar eftir því að fá rafræna kvittun fyrir kaupunum senda á netfangið sitt. Hafi viðskiptavinur óskað eftir því að fá vöruna senda heim þá er upplýsingum um nafn og heimilisfang viðskiptavinar einnig miðlað til dreifingaraðila (Póstsins). Til að viðskiptin geti átt sér stað þurfa viðskiptavinir einnig að skrá greiðsluupplýsingar sem sendast beint á greiðsluþjónustu og vistast aldrei hjá Icepharma. Þegar viðskiptavinur staðfestir viðskipti sín með greiðslu safnast einnig upplýsingar um pöntun hans, s.s. pöntunarnúmer, upplýsingar um keypta vöru og upplýsingar um greiðslumáta. Þessar upplýsingar eru hluti af bókhaldsgögnum og auðvelda rekjanleika ef fletta þarf upp fyrri viðskiptum viðskiptavinar.
Þegar móttakandi pöntunar er annar en hinn eiginlegi viðskiptavinur Icepharma:
Þegar viðskiptavinur hefur óskað eftir heimsendingu á pantaðri vöru en skráir annan einstakling sem móttakanda vörunnar þarf viðskiptavinur einnig að skrá upplýsingar um nafn, heimilisfang og póstnúmer móttakandans. Þegar þetta á við lítur Icepharma svo á að viðskiptavinur Icepharma hafi fengið heimild móttakanda fyrir slíkri skráningu. Þessum upplýsingum er einnig nauðsynlegt að miðla til dreifingaraðila (Póstsins).
Vinnsla persónuupplýsinga um starfsmenn Icepharma
Icepharma safnar, vinnur og varðveitir ýmsar persónuupplýsingar um starfsmenn Icepharma sem og um einstaklinga sem ráðnir eru í verktöku. Ólíkum persónuupplýsingum kann að vera safnað um ólíka starfsmenn og kann söfnun og vinnsla að fara eftir eðli starfs hverju sinni. Söfnun og vinnsla persónuupplýsinga um núverandi og/eða fyrrverandi starfsmenn telst nauðsynleg fyrst og fremst til að efna samning milli aðila, þ.e. þannig að fyrirtækið geti uppfyllt skyldur samkvæmt ráðningarsamningi. Vinnsla persónuupplýsinga um núverandi og eða fyrrverandi starfsmenn kann einnig í einhverjum tilvikum að vera Icepharma nauðsynleg til að fullnægja lagaskyldu, s.s. á grundvelli vinnulöggjafar eða skattalöggjafar. Að auki getur vinnsla persónuupplýsinga um núverandi og eða fyrrverandi starfsmenn talist nauðsynleg vegna lögmætra hagsmuna Icepharma, s.s. í öryggis- og eignavörsluskyni.
Nánari upplýsingar m.a. um söfnun, vinnslu, miðlun og varðveislu persónuupplýsinga um starfsmenn Icepharma er að finna í ''innri reglum um persónuvernd starfsmanna'' sem aðgengilegar eru öllum núverandi starfsmönnum Icepharma. Óska má eftir frekari upplýsingum um vinnslu persónuupplýsinga núverandi og fyrrverandi starfsmanna Icepharma með því að senda fyrirspurn á netfangið: personuvernd@icepharma.is.
Persónuupplýsingar sem safnast um starfsmenn Icepharma eru eingöngu varðveittar í þann tíma sem ráðningarsamband varir og eftir það í eins langan tíma og nauðsynlegt er hverju sinni eða lög og reglur kveða á um.
Vinnsla persónuupplýsinga umsækjenda um störf hjá Icepharma
Icepharma safnar og vinnur persónuupplýsingar um umsækjendur um störf hjá fyrirtækinu. Ólíkum persónuupplýsingum kann að vera safnað um ólíka umsækjendur og kann söfnun og vinnsla persónuupplýsinganna að fara eftir eðli starfs sem sótt er um. Ef sótt er um auglýst starf hjá Icepharma eða almenn umsókn send inn þarf einstaklingur að byrja á því að stofna aðgang inn á ráðningarvef fyrirtækisins með því að fylla út kennitölu og lykilorð. Í framhaldi fyllir umsækjandi út rafrænt umsóknarform þar sem nauðsynlegt er að skrá auðkenna- og samskiptaupplýsingar, upplýsingar um menntun, þjálfun, starfsferil og starfsreynslu. Auk framangreindra upplýsinga kann Icepharma einnig að safna og vinna aðrar upplýsingar sem umsækjendur láta sjálfir í té og vilja koma á framfæri með starfsumsókn sinni, s.s. afriti af prófskírteini, mynd af umsækjanda, umsóknarbréf o.fl. Icepharma óskar aldrei eftir því að umsækjendur skrái viðkvæmar persónuupplýsingar um sig eins og þær eru skilgreindar í persónuverndarlögum.
Söfnun og vinnsla persónuupplýsinga í ofangreindum tilgangi telst nauðsynleg vegna lögmætra hagsmuna fyrirtækisins sem felast í því að Icepharma geti lagt mat á það hvort umsækjandi komi til greina fyrir þau störf sem sótt er um og/eða önnur laus störf sem ekki eru auglýst. Icepharma notar upplýsingar einstaklinga vegna starfsumsóknar ekki í öðrum tilgangi en vegna starfsráðninga.
Upplýsingar í tengslum við nýskráningu inn á ráðningarvef Icepharma geymist í gagnagrunni Icepharma í 6 mánuði eftir innskráningu. Viðhalda má þeirri skráningu með endurskráningu inn á vefinn en sé það ekki gert er skráningu eytt að 6 mánuðum liðnum. Innsendar umsóknir eru geymdar í umsóknargrunni Icepharma í 6 mánuði frá því að hún er innsend en að þeim tíma liðnum er umsókninni alfarið eytt.
Í flestum tilfellum fær Icepharma persónuupplýsingarnar beint frá umsækjandanum sjálfum en ef til þess kemur að upplýsinga er aflað frá þriðja aðila mun Icepharma upplýsa umsækjanda um slíkt. Í undantekningartilvikum kann Icepharma að vera nauðsynlegt að miðla upplýsingum sem safnast vegna starfsumsókna til þriðju aðila, s.s. til ráðningaskrifstofa sem hafa aðkomu að ráðningum hjá Icepharma og/eða til annarra lögaðila sem Icepharma á í viðskiptasambandi við og er umsækjandi þá upplýstur um slíkt. Icepharma afhendir ekki persónuupplýsingar nema slík miðlun sé heimil samkvæmt lögum og er þess þá ávallt gætt að upplýsingar séu meðhöndlaðar sem trúnaðarmál.
Eftir að einstaklingur hefur sent inn umsókn í gegnum umsóknargrunn Icepharma getur hann ávallt dregið starfsumsóknir sínar til baka og þar með afturkallað samþykki sitt fyrir vistun og meðhöndlun gagna sem hann hefur látið Icepharma í té í formi starfsumsóknar eða óskað eftir leiðréttingu á innsendum gögnum. Það gerir hann með því að senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Icepharma eða með tölvupósti á netfangið persónuvernd@icepharma.is. Sjá nánari í kafla 11.
Vinnsla persónuupplýsinga í tengslum við rafræna vöktun og móttöku gesta í húsnæði Icepharma
Vegna eðlis starfsemi Icepharma fer fram rafræn vöktun með eftirlitsmyndavélum á og í kringum starfsstöðvar Icepharma. Upplýsingarnar eru varðveittar í öryggis- og eignavörsluskyni sem og í þágu rekjanleika, skjalafestingar og gæðamála. Öll notkun slíkra eftirlitsmyndavéla er í samræmi við ákvæði persónuverndarlaga og reglna settra samkvæmt þeim. Farið er með allt efni sem safnast við vöktun sem trúnaðarmál. Allt efni sem safnast með notkun myndavélakerfis eyðist sjálfkrafa eigi síðar en 90 dögum frá því að það varð til, nema nauðsyn beri til að varðveita það lengur vegna gruns um refsiverðan verknað, brot í starfi, slyss eða annað sambærilegt.
Gestir sem koma í húsnæði Icepharma, t.d. vegna funda eða annarra viðburða, kunna að vera beðnir um að afhenda auðkennisupplýsingar, s.s. nafn. Skráning persónuupplýsinga í þessum tilgreinda tilgangi er nauðsynleg vegna lögmætra hagsmuna Icepharma sem felast m.a. í því að gæta öryggis og eigna.
Önnur vinnsla persónuupplýsinga
Í ákveðnum tilvikum vinnur Icepharma persónuupplýsingar þegar vinnslan er nauðsynleg til þess að Icepharma, þriðji aðili eða aðilar sem upplýsingum er miðlað til geti gætt lögmætra hagsmuna sinna. Dæmi um slíkt er til að mynda vinnsla sem hefði þann tilgang að þróa og bæta upplýsingakerfi fyrirtækisins, að greina og rannsaka mál er varða net- og upplýsingaöryggi innan Icepharma og/eða til að fyrirbyggja misnotkun á þjónustu. Slík vinnsla fer hins vegar aldrei fram ef ljóst er að grundvallarréttindi og frelsi einstaklinga sem krefjast persónuverndar vega þyngra en aðrir hagsmunir af vinnslunni.
7. Kynningar og markaðsstarf Icepharma
Icepharma framkvæmir ýmsar aðgerðir í tengslum við markaðs- og kynningarstarf á vörum og þjónustu fyrirtækisins. Í því samhengi getur verið nauðsynlegt að safna og nota persónuupplýsingar um þann sem markaðsstarfinu er beint að og er þá einna helst átt við samskiptaupplýsingar einstaklings, s.s. nafn, símanúmer og netfang.
Markaðs- og kynningarstarf í tengslum við lyf og lækningatæki
Icepharma ber ríka upplýsingaskyldu gagnvart heilbrigðisstarfsmönnum og almenningi, m.a. til að tryggja rétta notkun lyfja og lækningatækja og til að vekja athygli á nýjungum. Við markaðssetningu lyfja og lækningatækja fylgir Icepharma lögum er varða markaðssetningu lyfja og lækningatækja, sbr. lyfjalög nr. 100/2020 og lög um lækningatæki nr. 16/2001, reglugerðum settum á grundvelli laganna, sem og siða- og samskiptareglum EFPIA, Frumtaka og MedTech. Með markaðssetningu, í þessu samhengi, er átt við allar þær athafnir og ferla í tengslum við auglýsinga- eða kynningarstarfsemi sem skapa, miðla og dreifa upplýsingum um lyf og lækningatæki til heilbrigðisstarfsmanna, skjólstæðinga og samfélagsins í heild.
Í tengslum við slíkt starf eiga fulltrúar fyrirtækisins í samskiptum við heilbrigðisstéttir, einstaka heilbrigðisstarfsmenn, sjúklinga/skjólstæðinga, aðstandendur og aðra. Nauðsynleg notkun persónuupplýsinga í tilgreindum tilgangi byggir á heimild í persónuverndarlögum, þ.e. ýmist á samþykki viðkomandi sem markaðs- og kynningarstarfið beinist að eða því að Icepharma hefur lögmæta hagsmuni af því að nálgast viðkomandi í þágu markaðs- og kynningarstarfs fyrirtækisins, svo sem með bréfpósti, tölvupósti eða símtali, til þess að:
- Vekja athygli á nýjungum í tengslum við meðferð sjúklinga/skjólstæðinga.
- Vekja athygli á nýjungum í tengslum við vöruúrval og þjónustu.
- Vekja athygli á kynningum, fræðslunámskeiðum, fundum og ráðstefnum.
- Viðhalda að öðru leyti góðu samband við heilbrigðisstarfsfólk og viðskiptavini og veita afburða þjónustu.
Annað markaðs- og kynningarstarf
Í tengslum við annað almennt markaðs- og kynningarstarf Icepharma getur einstaklingur verið beðinn um að afhenda fyrirtækinu með beinum hætti persónugreinanlegar upplýsingar.
Afhending persónuupplýsinga í almennum tilgangi markaðssetningar er einstaklingum alltaf valkvæð og aldrei skilyrði fyrir veittri þjónustu. Einstaklingum og viðskiptavinum getur verið boðið að skrá netfang sitt á póstlista og er netfang viðkomandi þá notað í markaðslegum tilgangi, t.d. til að kynna nýjar vörur, tilboð og viðburði.
Samþykki veitt fyrir beinni rafrænni markaðssetningu
Í ákveðnum tilvikum, s.s. þegar stuðst er við beina rafræna markaðssetningu, krefjast lög þess að Icepharma afli fyrirfram samþykkis þess einstaklings sem markaðssetningunni er beint að. Vilji einstaklingur staðfesta samþykki sitt fyrir því að fulltrúar Icepharma nálgist viðkomandi með tölvupósti eða símtali, s.s. til að vekja athygli á nýjungum í tengslum við vöruúrval eða vegna kynningar-, funda- og ráðstefnuboða, þá skal það gert með tölvupósti á netfangið: personuvernd@icepharma.is eða með því fylla út samþykktarform á vefsíðu Icepharma. Einstaklingur sem veitir samþykki sitt getur ávallt dregið samþykki sitt til baka og þar með hafnað frekari samskiptum við Icepharma í tilgreindum tilgangi.
Höfnun á viðtöku markpósts
Vilji einstaklingur hafna því að fulltrúar Icepharma hafi samband við viðkomandi í formi beinnar markaðssetningar, s.s. með símtali eða tölvupósti, má senda beiðni þess efnis á netfangið: personuvernd@icepharma.is.
8. Miðlun persónuupplýsinga
Miðlun persónuupplýsinga á milli starfsmanna Icepharma getur verið nauðsynleg en er aðeins heimil þegar viðtakandi upplýsinganna hefur ástæðu til að öðlast upplýsingarnar starfs síns vegna og miðlunin er í samræmi við viðeigandi takmarkanir á miðlun persónuupplýsinga.
Icepharma selur ekki persónuupplýsingar til þriðja aðila en fyrirtækinu kann hins vegar að vera skylt eða nauðsynlegt að miðla eða afhenda persónuupplýsingum til þriðja aðila, t.d. til eftirlitsaðila, stjórnvalda eða annarra lögaðila sem Icepharma á í viðskiptasambandi við. Slík afhending fer eingöngu fram sé hún heimil samkvæmt lögum og þannig að ávallt sé gætt að upplýsingarnar séu meðhöndlaðar sem trúnaðarmál.
Þjónustuaðilar Icepharma í hlutverki vinnsluaðila, sem hafa m.a fengið það hlutverk að vinna persónuupplýsingar á vegum Icepharma, kunna að fá afhentar persónuupplýsingar vegna framkvæmdar á þjónustusamningi milli aðila. Slíkir vinnsluaðilar geta ýmist verið þjónustuveitendur, umboðsmenn eða verktakar á vegum fyrirtækisins en einungis er leitað til vinnsluaðila sem geta veitt nægilegar tryggingar fyrir því að vinnsla persónuupplýsinga og réttindi einstaklinga uppfylli þær kröfur sem persónuverndarlög áskilja. Icepharma afhendir vinnsluaðilum sínum einungis þær persónuupplýsingar sem eru nauðsynlegar vegna tilgangs vinnslunnar og slík vinnsla byggist ætíð á samningi aðila þar sem vinnsluaðilinn undirgengst þær skyldur að tryggja öryggi upplýsinganna og nota þær eingöngu í þeim tilgangi sem getið er um í samningi aðila.
9. Miðlun og flutningur persónuupplýsinga milli landa
Persónuverndarlög takmarka miðlun persónuupplýsinga yfir landamæri til þess að tryggja viðeigandi persónuvernd einstaklinga. Miðlun persónuupplýsinga yfir landamæri er talin eiga sér stað þegar persónuupplýsingar frá einu landi eru fluttar, sendar, skoðaðar eða með öðrum hætti eru gerðar aðgengilegar í öðru landi. Icepharma kann að miðla og/eða flytja persónuupplýsingar úr landi, þ.e. til viðtökulands sem veita persónuupplýsingum fullnægjandi vernd, sbr. öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd. Í undantekningartilfellum er persónuupplýsingum miðlað til landa utan EES-svæðisins og þá eingöngu þegar heimild er fyrir slíku, s.s. þegar viðeigandi verndarráðstafanir eru til staðar, svo sem bindandi fyrirtækjareglur, stöðluð ákvæði um persónuvernd sem eftirlitsyfirvald hefur samþykkt og framkvæmdastjórn Evrópusambandsins viðurkennt, viðurkenndar hátternisreglur, viðurkennt vottunarkerfi, þegar hinn skráði einstaklingur hefur verið upplýstur um mögulega áhættu slíks flutnings og hefur gefið afdráttarlaust samþykki sitt fyrir flutningnum eða á grundvelli annarra ráðstafana sem um getur í 46. gr. almennu persónuverndarreglugerðarinnar. Í slíkum tilfellum eru aldrei sendar meiri upplýsingar er nauðsynlegt er.
10. Varðveislutími persónuupplýsinga
Icepharma varðveitir ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er miðað við upphaflegan tilgang með söfnun þeirra og vinnslu. Persónuupplýsingar eru varðveittar á meðan viðskiptasambönd vara, eins lengi og lög kveða á um eða lögmætir hagsmunir krefjast og málefnaleg ástæða gefur tilefni til. Málefnanleg ástæða telst til staðar ef enn er unnið með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra. Af framangreindu leiðir að mismunandi varðveislutímabil getur átt við eftir tegund og eðli persónuupplýsinga.
Starfsmenn Icepharma fylgja stefnu fyrirtækisins og verklagsreglum um varðveislu og eyðingu persónuupplýsinga. Einu sinni á ári fer fram innri úttekt á varðveislu persónuupplýsinga og þeim persónuupplýsingum eytt sem ekki er lengur þörf á að varðveita eða þær gerðar ópersónugreinanlegar, nema lög krefjist þess að slíkar upplýsingar séu varðveittar í lengri tíma.
11. Réttindi einstaklinga er varða vinnslu persónuupplýsinga
Persónuverndarlög kveða á um og tryggja einstaklingum ákveðin réttindi varðandi meðhöndlun persónuupplýsinga, m.a. til fræðslu og upplýsinga um hvernig persónuupplýsingar eru unnar. Icepharma virðir réttindi eigenda persónuupplýsinga en eftirtalin réttindi geta þó verið háð takmörkunum sem leiða m.a. af lögum, hagsmunum annarra sem upplýsingarnar varða eða mikilvægum fjárhags- eða viðskiptahagsmunum Icepharma. Vilji einstaklingur leggja fram beiðni er varðar neðangreind réttindi hans (''persónuverndarbeiðni'') skal það gert með því að fylla út og senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Icepharma. Sjá nánari í kafla 11.
Réttur til upplýsinga og aðgangs að eigin persónuupplýsingum
Einstaklingur á rétt á að fá fræðslu og upplýsingar um það hvort og þá hvernig unnið er með persónuupplýsingar hans í starfsemi Icepharma. Þannig getur einstaklingur átt rétt á upplýsingum um tilgang vinnslu persónuupplýsinga, flokka persónuupplýsinga, viðtakendur þeirra, viðmið um varðveislutíma, réttindi sem hann hefur, og heimild hans til að leggja fram kvörtun hjá Persónuvernd o.fl. Þá á einstaklingur jafnframt rétt á að óska eftir aðgangi að persónuupplýsingum og skulu þær afhentar á því formi sem mögulegt er hverju sinni, skriflega eða rafrænt.
Réttur til leiðréttingar og eyðingar persónuupplýsinga
Einstaklingur sem óskar eftir að koma á framfæri breyttum upplýsingum er bent á að koma þeim á framfæri við Icepharma með því að senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Icepharma eða með tölvupósti á netfangið personuvernd@icepharma.is. Einstaklingur á rétt á að fá óáreiðanlegar eða rangar persónuupplýsingar um sig leiðréttar og í ákveðnum tilvikum á hann einnig rétt á að persónuupplýsingum sé alfarið eytt, sbr. þegar persónuupplýsingar eru ekki lengur nauðsynlegar fyrir þann tilgang sem þeirra var aflað upphaflega eða þegar einstaklingur hefur ákveðið að draga samþykki sitt fyrir notkun þeirra til baka, þegar hann hefur andmælt vinnslu persónuupplýsinga um sig eða ef vinnslan samrýmist ekki lögum og reglugerð um persónuvernd að öðru leyti.
Réttur til að andmæla vinnslu persónuupplýsinga
Einstaklingur getur andmælt vinnslu persónuupplýsinga sem varða hans tilteknu aðstæður þegar vinnsla hefur verið réttlætt á grundvelli lögmætra hagsmuna eða almannahagsmuna. Icepharma leitast ætíð eftir því að gera einstaklingum sérstaklega grein fyrir andmælarétti með skýrum hætti þegar það á við. Komi andmæli fram við vinnslu persónuupplýsinga mun Icepharma ekki vinna persónuupplýsingar frekar nema lagaskilyrði til þess séu til staðar.
Réttur til að óska eftir takmörkun á vinnslu persónuupplýsinga
Þá getur einstaklingur í ákveðnum tilvikum farið fram á að vinnsla persónuupplýsinga um sig sé takmörkuð tímabundið, t.d. ef hann telur að persónuupplýsingar sem Icepharma vinnur séu ekki réttar, ef hann telur Icepharma ekki hafa heimild til vinnslunnar eða að fyrirtækið þurfi ekki lengur á persónuupplýsingunum að halda. Í slíkum tilfellum er vinnsla stöðvuð meðan slík beiðni er yfirfarin og upplýsingar veittar um framhaldið.
Réttur til þess að flytja persónuupplýsingar
Einstaklingur á rétt á að fá upplýsingar sem hann hefur sjálfur látið Icepharma í té fluttar til annars ábyrgðaraðila sem einstaklingur vísar á ef það er tæknilega framkvæmanlegt. Einungis er um að ræða persónuupplýsingar sem Icepharma hefur aflað á grundvelli samþykkis einstaklings eða vegna framkvæmdar samnings og eru unnar með sjálfvirkum hætti. Eftir flutninginn ber þriðji aðili ábyrgð á upplýsingunum sem einstaklingur hefur óskað eftir að séu fluttar.
Réttur til að draga samþykki fyrir vinnslu persónuupplýsinga til baka
Einstaklingur sem veitt hefur samþykki sitt fyrir vinnslu persónuupplýsinga í ákveðnum tilgangi á rétt á að draga það samþykki til baka. Afturkalli einstaklingur samþykki sitt mun það þó ekki hafa áhrif á þá vinnslu sem átt hefur sér stað áður en samþykki var dregið til baka en getur orðið til þess að Icepharma geti ekki veitt áfram ákveðna þjónustu sem óskað er eftir.
Réttur til að leggja fram kvörtun hjá Persónuvernd
Einstaklingar hafa rétt til að leggja fram kvörtun hjá Persónuvernd vegna meðferðar á persónuupplýsingum sínum. Komi upp ágreiningur um meðferð persónuupplýsinga óskar Icepharma þó tækifæris til að leysa úr þeim ágreiningi áður en kvörtun er send til Persónuverndar. Upplýsingar um Persónuvernd má finna hér .
12. Afgreiðsla persónuverndarbeiðna
Vilji einstaklingur leggja fram beiðni er varðar réttindi hans á grundvelli laga um persónuvernd skal það gert með því að fylla út og senda inn formlega persónuverndarbeiðni . Berist Icepharma formleg persónuverndarbeiðni frá einstaklingum um að neyta ofangreindra réttinda, sem nefnd eru í 10. kafla, upplýsir Icepharma beiðanda um þær aðgerðir sem gripið verður til eins fljótt og auðið er en í síðasta lagi innan tveggja vikna frá viðtöku hennar.
Icepharma verður almennt við beiðnum er varða ofangreind réttindi einstaklinga þegar Icepharma telst ábyrgðaraðili persónuupplýsinganna en áskilur sér þó rétt til að neita að verða við beiðni sem er augljóslega tilefnislaus eða óhófleg. Svo unnt sé að afgreiða slíkar beiðnir er Icepharma nauðsynlegt að afla persónuupplýsinga um beiðanda til að tryggja auðkenningu. Formleg afgreiðsla persónuverndarbeiðni getur því ekki hafist fyrr en auðkenning hefur farið fram.
Telji beiðandi að Icepharma verði ekki á fullnægjandi hátt við framkominni persónuverndarbeiðni getur beiðandi lagt fram kvörtun til persónuverndarráðs Icepharma á netfangið personuvernd@icepharma.is eða sent kvörtun til Persónuverndar.
13. Um öryggi, eftirlit og ábyrgð
Öryggisráðstafanir í þágu persónuverndar og fylgni við meginreglur
Icepharma hefur innleitt tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja upplýsingaöryggi almennt og það að farið sé eftir meginreglum um vinnslu persónuupplýsinga. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfsemi Icepharma og hafa viðeigandi verkferlar, aðferðir, þjálfun, öryggisráðstafanir og aðrir þættir verið innleiddir með það að markmiði að tryggja fylgni við meginreglur laga um persónuvernd.
Persónuupplýsingar sem Icepharma safnar, vinnur og varðveitir eru varðar með ströngum reglum og ferlum bæði þegar kemur að mannshöndinni og rafrænu umhverfi. Öllum slíkum öryggisráðstöfunum er fyrst og fremst ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Aðrar ráðstafanir miða að því að tryggja að sjálfgefið sé að persónuupplýsingar, sem safnað er og notaðar eins og nauðsyn krefur í sértækum tilgangi, séu ekki geymdar lengur en þurfa þykir.
Virk öryggisvitund starfsmanna
Icepharma stuðlar að virkri öryggisvitund starfsmanna og sér starfsmönnum fyrir viðeigandi fræðslu og þjálfun. Allir starfsmenn Icepharma skuldbinda sig til að fylgja persónuverndaryfirlýsingu Icepharma og þeim verklagsreglum sem eiga að tryggja framfylgd hennar. Samningsbundin- og lögbundin þagnarskylda hvílir á öllum starfsmönnum, og öðrum sem koma að vinnslu persónuupplýsinga fyrir hönd Icepharma, um allt það sem þeir fá vitneskju um við störf sín. Brot á trúnaðarskyldum eru litin alvarlegum augum og fara í skilgreindan farveg innan Icepharma.
Skjölun
Icepharma skjalfestir með nákvæmum hætti vinnslu persónuupplýsinga, að því marki sem slíkrar skráningar er krafist samkvæmt persónuverndarlögum. Þannig skilgreinir Icepharma og skjalfestir grundvöll fyrir vinnslu hvers vinnsluþáttar persónuupplýsinga í starfsemi fyrirtækisins og heldur skrá yfir vinnslustarfsemina, þ.m.t. skrá yfir samþykki hinna skráðu einstaklinga og hvernig samþykkis er aflað.
Innbyggð persónuvernd og mat á áhrifum á persónuverndar
Reglulega fer fram mat á því með hvaða hætti unnt er að tryggja innbyggða persónuvernd í öllum forritum, kerfum og ferlum sem notuð eru og stuðst er við í starfsemi Icepharma. Slíkt mat fer fram með hliðsjón af ýmsum atriðum, s.s. nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslu sem og þeirri áhættu sem vinnslan getur haft á réttindi og frelsi einstaklinga. Sé um að ræða áhættusama vinnslu í skilningi persónuverndarlaga fer til viðbótar fram reglulegt mat á áhrifum persónuverndar.
Strangar kröfur gerðar til upplýsingakerfa
Til allra upplýsingakerfa sem notuð eru í starfsemi Icepharma eru gerðar þær kröfur að þau styðji markmið fyrirtækisins um fylgni við lög og reglur um persónuvernd og þess er ávallt gætt að persónuupplýsingar séu eingöngu aðgengilegar þeim starfsmönnum sem er aðgangurinn nauðsynlegur í störfum sínum. Aðgangi að upplýsingum er stýrt með aðgangsstýringum sem upplýsingaöryggisteymi Icepharma ber ábyrgð á.
Öryggisbrestur við meðferð og vinnslu persónuupplýsinga
Icepharma gerir allt til þess að tryggja að ekki komi til öryggisbrests við vinnslu persónuupplýsinga í starfsemi fyrirtækisins. Öryggisbrestur er þegar brestur eða brot verður á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, að persónuupplýsingar eru sendar óviðkomandi aðila, varðveittar eða unnar á annan hátt, eða þær glatast, breytast, eru birtar eða aðgangur er veittur að þeim í leyfisleysi. Öryggisbrestur getur falið í sér brot á trúnaði, leitt til þess að upplýsingar verði ekki aðgengilegar eða persónuupplýsingum er breytt.
Upplýsingaöryggisteymi Icepharma hefur eftirlit með mögulegum öryggisbrestum meðal annars til að tryggja fylgni við lög og reglur varðandi meðhöndlun frávika og frávikaskráningar. Komi upp öryggisbrestur við meðferð persónuupplýsinga virkjast skilgreindir innri verkferlar hjá upplýsingaöryggisteymi Icepharma sem m.a. tryggja að öryggisbrestir séu tilkynntir með viðeigandi hætti innan þeirra tímamarka sem lög og reglur krefjast.
Tilkynning um öryggisbrest
Ef upp kemur öryggisbrestur við vinnslu persónuupplýsinga sem líklegt er að hafi í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga er Persónuvernd og eftir atvikum einstaklingum gert viðvart, án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72.klst. eftir að hann verður öryggisbrestsins var, í samræmi við 27. laga um persónuvernd og vinnslu persónuupplýsinga.
Ef aðilar verða varir við öryggisbrest er varðar persónuvernd eru þeir vinsamlegast beðnir um að hafa samband við persónuverndarráð Icepharma á netfangið personuvernd@icepharma.is án ótilhlýðilegrar tafar til að draga úr líkum á tjóni. Dæmi um öryggisbrot sem Icepharma vill fá upplýsingar um er t.d. ef einstaklingur fær sendan tölvupóst sem inniheldur persónuupplýsingar sem eru móttakandanum óviðkomandi og/eða inniheldur persónuupplýsingar um einhvern annan aðila.
14. Um vafrakökur (e. cookies) og þráðlaust internet Icepharma
Um vafrakökur
Icepharma kann að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður Icepharma. Slíkum upplýsingum er safnað með notkun á vafrakökum, atvikaskráningu og svipaðri tækni. Í sumum tilfellum kann notkun vafrakaka að vera tæknilega nauðsynleg þannig notendur fái góða upplifun á vefsíðum Icepharma. Að auki kann tímabundin varðveisla þeirra gagna sem safnast með notkun slíkra vafrakaka einnig að teljast nauðsynleg af öryggisástæðum, þ.e. til að geta tryggt rekjanleika upplýsinganna komi til óheimils aðgangs að netþjónum Icepharma. Vafrakökur safna ekki upplýsingum um nöfn notenda, tölvupóstföng, símanúmer eða kennitölur og tilgangur Icepharma með notkun vafrakaka er ekki að auðkenna notendur. Hins vegar gæti komið til þess á ákveðnum tilvikum að vafrakaka safnar það miklu magni af öðrum tegundum upplýsinga sem gætu mögulega auðkennt notanda á einn eða annan hátt. Þegar það á við teljast upplýsingarnar til persónuupplýsinga í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Lagagrundvöllur fyrir tæknilegri söfnun, notkun og varðveislu persónuupplýsinga með notkun vafrakaka er samþykki notandans. Sjá nánar um vafrakökur hér.
Um þráðlaust net Icepharma
Þráðlaust net Icepharma heitir Icepharma_starfsmenn og er læst með WPA lykli. Icepharma skráir ekki sérstaklega netnotkun þeirra sem tengjast þráðlausu neti Icepharma en hins vegar er öll netumferð skráð í öryggisbúnað Icepharma. Öryggisbúnaðurinn skráir upplýsingar um tæki notandans, s.s. IP-tölu og tegund tækis. Ekki er leitað í skrár sem tilheyra öryggisbúnaðinum nema rökstuddur grunur sé uppi um brot á lögum, ef rökstuddur grunur er uppi um að alvarlegur öryggisbrestur hefur átt sér stað eða við bilanaleit.
15. Samskipti við Icepharma og persónuvernd.
Persónuverndarráð Icepharma hefur eftirlit með því að farið sé að gildandi lögum og reglum um persónuvernd í starfsemi fyrirtækisins. Fyrirspurnum, athugasemdum og ábendingum sem varða vinnslu persónuupplýsinga í starfsemi fyrirtækisins er unnt að beina á netfangið personuvernd@icepharma.is eða með því að senda bréfpóst til: Persónuverndarráð Icepharma, Lynghálsi 13, 110 Reykjavík, Ísland.
Einstaklingar hafa rétt til að senda kvörtun til Persónuverndar hvenær sem er ef þeir eru andvígir eða ósáttir við það hvernig unnið er með persónuupplýsingar um þá eða ef þeir telja að slíkar upplýsingar séu ekki meðhöndlaðar á þann hátt sem lög um meðferð persónuupplýsinga kveða á um. Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið: postur@personuvernd.is eða með því að senda bréfpóst til: Persónuvernd, Rauðarárstígur 10, 105 Reykjavík, Ísland. Icepharma óskar þó eftir því að einstaklingur hafi fyrst samband við persónuverndarráð Icepharma þannig að fyrirtækið fái tækifæri til að leysa úr ágreiningi áður en kvörtun er send til Persónuverndar.
16. Endurskoðun
Eftirfarandi persónuverndaryfirlýsing var síðast endurskoðuð í september 2020. Icepharma endurskoðar yfirlýsinguna reglulega, og ekki sjaldnar en árlega, til að sjá til þess að hún endurspegli þá vinnslu persónuupplýsinga sem á sér stað á hverjum tíma og til að tryggja rétta upplýsingagjöf um vinnslu og meðferð persónuupplýsinga í starfsemi fyrirtækisins. Efni yfirlýsingarinnar kann að taka breytingum í samræmi við breytingar á lögum og reglum um notkun og meðferð persónuupplýsinga. Breytingar á yfirlýsingunni öðlast gildi við birtingu uppfærðrar yfirlýsingar hér á vefsíðu Icepharma.
Útgáfa 1 – Samþykkt af stjórn Icepharma þann 10. september 2018.
Útgáfa 2 – Samþykkt af stjórn Icepharma 1. apríl 2020, uppfærð í september 2020