PERSÓNUVERNDARSTEFNA

PERSÓNUVERNDARSTEFNA 
  
BLUE LAGOON SKINCARE ehf., kt. 671296-2819, Norðurljósavegi 9, 241 Grindavík (einnig kallað „við“ í þessari persónuverndarstefnu) rekur verslanir sem selja húðvörur, snyrtivörur og aðrar heimilisvörur, auk vefverslunar fyrir íslenskan markað. 
Persónuverndarstefna þessi nær til persónuupplýsinga sem við söfnum og vinnum varðandi viðskiptavini, hugsanlega viðskiptavini og þá sem heimsækja vefsvæði okkar. Þegar það er gert er BLUE LAGOON SKINCARE ehf. ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. 
Persónuvernd þín skiptir okkur miklu máli og við leggjum okkur fram við að vernda þær persónuupplýsingar sem þú lætur okkur í té. Það er mikilvægt að þú lesir persónuverndarstefnu þessa vandlega þar sem hún útskýrir hvaða tegundum upplýsinga við söfnum, í hvaða tilgangi við notum þær, hverjum við kunnum að deila þeim með og réttindi þín. Með því að staðfesta lestur þessarar persónuverndarstefnu staðfestir þú að þú gerir þér grein fyrir vinnslu persónuupplýsinga þinna og hvernig sú vinnsla fer fram. 
  
HVAÐA PERSÓNUUPPLÝSINGUM SÖFNUM VIÐ OG Í HVAÐA TILGANGI 
  
Við söfnum ekki persónuupplýsingum án vitundar þinnar eða samþykkis. Við söfnum persónuupplýsingum sem þú sendir okkur af fúsum og frjálsum vilja þegar þú kaupir vöru í verslunum okkar og notar þjónustu okkar á annan hátt, þar á meðal en ekki takmarkað við, að búa til reikning og meðlimaaðgang í Vinaklúbbi Blue Lagoon Skincare, eða þegar þú skilur eftir athugasemdir þínar eða umsagnir á vörusíðu. Við notum persónuupplýsingar þínar fyrst og fremst til að veita þér þjónustu og bæta þjónustu okkar og vörur. 
Hafðu í huga að ef þú vilt ekki láta okkur í té persónuupplýsingar, sem eru t.d. nauðsynlegar fyrir framkvæmd samnings eða sem okkur er skylt að vinna úr samkvæmt lögum, er hugsanlegt að við getum ekki veitt þér umbeðna þjónustu, að hluta til eða í heild sinni og það kann að hafa áhrif á upplifun þína.  
Innlend vefverslun 
Þegar vara er keypt í vefverslun okkar fyrir íslenskan markað söfnum við nauðsynlegum upplýsingum til að geta unnið úr pöntuninni og afgreitt vöruna. BLUE LAGOON SKINCARE ehf. er ábyrgðaraðili vinnslu persónuupplýsinga er varða innlenda vefverslun okkar. 
Upplýsingarnar sem við kunnum að safna og vinna eru meðal annars: 
•       Auðkenni og tengiliðaupplýsingar, svo sem nafn, netfang, símanúmer og heimilisfang. 
•       Greiðsluupplýsingar, svo sem kreditkortanúmer, gildistími og CVC-kóði. 
•       Val á sendingarmáta. 
•       Sendingarnúmer til að rekja sendingu. 
•       Upplýsingar sem þú sendir okkur sérstaklega, t.d. gjafaskilaboð. 
•       Innkaupaferill. 
•       Samskipti okkar og bréfaskipti við þig. 
•       Ábendingar eða kvartanir. 
  
Persónuupplýsingarnar þínar geta verið notaðar til að: 
•       Vinna úr pöntuninni þinni. 
•       Senda þér uppfærðar upplýsingar um vöru sem þú hefur keypt. 
•       Sinna bókhaldi, reikningagerð og öðrum rekstri. 
•       Útvega þjónustu þriðja aðila. 
•       Svara fyrirspurnum, beiðnum og ábendingum sem þú sendir, t.d. í gegnum vefsvæði okkar eða með tölvupósti. 
•       Senda þér upplýsingar um stöðu sendingar á vöru sem þú hefur keypt. 
•       Bæta vörur okkar og þjónustu. 
•       Fylgja lögum og reglum. 
  
Vinnsla tengiliðaupplýsinga, greiðsluupplýsinga, upplýsinga um stöðu sendingar og þess háttar er á grundvelli samningsbundinnar nauðsynjar. Vinnsla samskiptaupplýsinga og bréfaskipta við þig, ábendinga og þess háttar kann að grundvallast á samningsbundinni nauðsyn, samþykki þínu eða lögmætum hagsmunum okkar af því að tryggja góða þjónustu eða vinna úr beiðnum sem snúa að réttindum einstaklinga. Þegar við vinnum persónuupplýsingar á grundvelli samþykkis þíns geturðu dregið það samþykki til baka hvenær sem er. Vinnsla persónuupplýsinga er í sumum tilvikum einnig byggð á lagalegri nauðsyn, t.d. bókhaldslögum nr. 145/1994. 
Eftirlitsmyndavélar eru staðsettar á mikilvægum stöðum á starfsstöðvum okkar til að tryggja öryggi eigna og gesta okkar. Eftirlitið byggist á lögmætum hagsmunum okkar. Upptökur eru ekki geymdar lengur en í 30 daga nema þær tengist hugsanlegum lagalegum álitamálum, eins og slysum. 
Við kunnum að vinna upplýsingar um þig í tengslum við notkun og virkni á vefsvæðum okkar, t.d. vegna tölfræðilegrar greiningar, til að bæta vefsvæði okkar og sérsníða efni að þörfum þínum. Frekari upplýsingar þar að lútandi er að finna í Vefkökustefnu okkar. 
  
Vinaklúbbur Blue Lagoon Skincare og fyrirspurnir til okkar 
Ef þú gerist meðlimur í Vinaklúbbi Blue Lagoon Skincare vinnum við úr tengiliðaupplýsingunum þínum til að eiga samskipti við þig. Við kunnum að nota persónuupplýsingarnar þínar til að senda þér fréttabréf, markaðssetningarefni eða kynningarefni og aðrar upplýsingar sem þú gætir haft áhuga á. Unnið er úr upplýsingunum á grundvelli samþykkis þíns.  
Þegar þú sendir okkur beiðnir, fyrirspurnir, kvartanir eða ábendingar vinnum við úr tengiliðaupplýsingum þínum auk upplýsinganna sem þú sendir okkur til þess að geta svarað þér. Unnið er úr upplýsingum á grundvelli samþykkis þíns eða lögmætra hagsmuna okkar. 
Þú færð engin skilaboð frá okkur sem eru óumbeðin eða eru ekki tengd vöru eða þjónustu sem þú hefur keypt eða spurt um. 
Þegar vinnsla byggist á samþykki þínu hefurðu rétt til að draga samþykki þitt til baka hvenær sem er, án þess þó að það hafi áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni. Þú getur skrifað okkur á [email protected] með „Persónuvernd“ í efnislínu til að draga samþykki þitt til baka. Öll markaðssamskipti sem send eru til þín með tölvupósti munu einnig gefa þér möguleika á að afskrá þig til að hætta að fá markaðssetningarefni frá okkur. 
  
Önnur notkun til greiningar og markaðsrannsókna 
Við kunnum að nota nafnlausar upplýsingar eða upplýsingar undir dulnefni sem unnar eru úr persónuupplýsingunum þínum til að framkvæma greiningar og markaðsrannsóknir í eigin þágu. Til dæmis getum við þurft að greina hvernig viðskiptavinir nota vörur okkar og þjónustu til að skilja hvernig við getum bætt vörur og þjónustu sem við bjóðum upp á. Unnið er úr upplýsingunum á grundvelli lögmætra hagsmuna okkar af því að bæta þjónustu okkar og vörur. 
 
Vefsvæðið okkar 
Á vefsvæði okkar eru notaðar vefkökur til að veita þér eins viðeigandi upplýsingar og hægt er og sérsníða þær að þínum þörfum.  
Við notum Google Analytics, Google AdWords og önnur verkfæri. Við notum til dæmis Google Analytics til að safna upplýsingum um það hvernig gestir nota vefsvæðið okkar, upplýsingum á borð við IP-tölu, stýrikerfi, tegund vafra, uppruna heimsókna o.s.frv. Þessi gögn eru svo notuð til að mæla afköst og innleiða úrbætur eins og þörf er á. Við notum Google AdWords til dæmis fyrir endurmarkaðssetningu og til að auglýsa vörur okkar og þjónustu á vefsvæðum þriðju aðila sem eru ætluð sérstökum markhópum og fyrri gestum á vefsvæði okkar. Þetta gæti komið fyrir á sniði auglýsingar á niðurstöðusíðu Google-leitar eða á síðu á Google Display Network. Þriðju aðilar, þar á meðal Google, nota vefkökur til að birta auglýsingar byggðar á fyrri heimsóknum á vefsíðum. Þú getur valið kjörstillingar fyrir auglýsingar frá Google á stillingasíðu Google-auglýsinga. Þú getur valið að samþykkja ekki tilteknar vefkökur þegar þú heimsækir vefsvæði okkar. Þú getur einnig valið að samþykkja ekki vefkökur með því að slökkva á þeim í stillingum vafra. Nánari upplýsingar um notkun á vefkökum og öðrum aðferðum til að rekja vafranotkun eru í Vefkökustefnu okkar. 
Frekari upplýsingar um vefkökur almennt er að finna á: http://www.allaboutcookies.org.  
Þú átt rétt á að andmæla vinnslu upplýsinga um þig hvenær sem er þegar vinnslan tengist beinni markaðssetningu. Ef þú andmælir endurmarkaðssetningu sem byggir á upplýsingum þínum geturðu til dæmis afþakkað notkun þriðja aðila á vefkökum með því að fara á afþökkunarsíðu Network Advertising Initiative. 
  
VARÐVEISLA PERSÓNUUPPLÝSINGA 
Persónuupplýsingar eru geymdar eins lengi og þörf er á fyrir þann tilgang sem þeim var safnað nema annað reynist nauðsynlegt til að uppfylla kröfur laga. Í sumum tilvikum gætu persónuupplýsingarnar þínar til dæmis verið geymdar í sjö ár frá lokum viðkomandi reikningsárs í samræmi við 20. gr. bókhaldslaga nr. 145/1994. 
  
MIÐLUN PERSÓNUUPPLÝSINGA TIL VINNSLUAÐILA, ÞRIÐJU AÐILA OG INNAN SAMSTÆÐU 
Við kunnum að deila persónuupplýsingum með vinnsluaðilum til að geta veitt umbeðna þjónustu og til að aðstoða okkur við að greina hvernig þjónusta okkar er notuð og bæta hana. Sem dæmi kann póstþjónusta að hafa tiltekinn aðgang að persónuupplýsingum vörukaupanda í þeim tilgangi að afgreiða vörupöntun sem gerð hefur verið í innlendri vefverslun okkar. Þá kunnum við að deila persónuupplýsingum með vinnsluaðilum sem veita okkur þjónustu á sviði upplýsingatækni, skýjaþjónustu, greiðsluþjónustu og aðra þjónustu sem tengist vinnslu og er hluti af rekstri okkar. 
Þessir aðilar hafa eingöngu aðgang að persónuupplýsingum um þig til að sinna tilteknum verkefnum fyrir okkar hönd og er óheimilt að nota persónuupplýsingarnar í öðrum tilgangi. Þessir  aðilar geta verið staðsettir annars staðar en á Íslandi. Við munum hins vegar ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema þegar viðeigandi löggjöf um persónuvernd leyfir það, til dæmis á grunni staðlaðra samningsskilmála, samþykkis þíns eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd. 
Persónuupplýsingum þínum gæti einnig verið deilt innan samstæðu Bláa Lónsins, með Bláa Lóninu hf., sem er móðurfélag BLUE LAGOON SKINCARE ehf., og kann móðurfélagið að aðstoða okkur við að bæta og markaðssetja vörur okkar. 
Við áskiljum okkur rétt til að afhenda persónuupplýsingarnar þínar þegar þess er krafist í lögum, með stefnu eða dómsúrskurði eða samkvæmt réttmætri beiðni lögreglu eða yfirvalda. Við áskiljum okkur einnig rétt til að afhenda lögmönnum okkar persónuupplýsingarnar þínar til að þeir geti staðið vörð um lagaleg réttindi okkar sem fyrirtækis eða réttindi starfsfólks okkar. 
Við gætum einnig notið aðstoðar vinnsluaðila við greiningar á vefsvæði okkar og til að birta viðeigandi markaðsefni fyrir gesti vefsvæðisins. Frekari upplýsingar þar að lútandi má finna í Vefkökustefnu okkar. 
Afhending á persónuupplýsingum til utanaðkomandi aðila er ávallt gerð í trúnaði. 
   
GREIÐSLUR OG ÖRYGGI 
Greiðslur fara fram í gegnum Planet. Greiðslur eru verndaðar öllum stundum. Þær eru vottaðar samkvæmt PCI DSS (Payment Card Industry Data Security Standard) til að tryggja öruggar færslur greiðslukortaupplýsinga. Vefsvæðin okkar eru tryggð með SSL-vottorðum með hæsta dulkóðunar- og öryggisstigi. SSL stendur fyrir „Secure Sockets Layer“ og býður upp á örugg dulkóðuð samskipti milli vefsvæðis og vafra. 
Persónuupplýsingar kunna að vera geymdar hjá vinnsluaðilum sem eru skyldugir til að fara að lögum og reglum um persónuvernd og halda uppi viðeigandi öryggi til þess að koma í veg fyrir upplýsingaleka, að upplýsingar tapist eða verði fyrir tjóni. 
Ef um öryggisbrot við meðferð persónuupplýsinga er að ræða munum við án ótilhlýðilegrar tafar og eigi síðar en innan 72 klst. eftir að við verðum brotsins vör, tilkynna það Persónuvernd, nema ólíklegt þyki að brotið leiði til áhættu fyrir réttindi þín og frelsi. Ef líklegt er að öryggisbrot við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi þín og frelsi munum við tilkynna þér um brotið án ótilhlýðilegrar tafar nema lög kveði á um annað. 
  
RÉTTINDI ÞÍN HVAÐ VARÐAR ÞÆR PERSÓNUUPPLÝSINGAR SEM VIÐ VINNUM – AFTURKÖLLUN SAMÞYKKIS 
Þú átt rétt á að fá aðgang að persónuupplýsingum um þig og láta leiðrétta þær ef þær eru ónákvæmar eða rangar. Þú átt rétt á því að við takmörkum vinnslu persónuupplýsinga um þig ef þú véfengir að þær séu réttar þar til við höfum fengið tækifæri til að staðfesta að þær séu réttar. Þú átt einnig rétt á að takmarka vinnslu persónuupplýsinga um þig ef vinnslan telst ólögmæt eða ef við þurfum ekki lengur að vinna úr upplýsingunum en þú vilt ekki að þeim verði eytt. 
Ef vinnsla persónuupplýsinga grundvallast á lögmætum hagsmunum okkar hefurðu einnig rétt á að mótmæla slíkri vinnslu. Þú átt rétt á að andmæla vinnslu persónuupplýsinga um þig hvenær sem er þegar vinnslan tengist beinni markaðssetningu, t.d. þegar þú hefur skráð þig fyrir fréttabréfi okkar. 
Í ákveðnum tilvikum átt þú rétt á að láta eyða persónuupplýsingum um þig ef upplýsingarnar eru ekki lengur nauðsynlegar miðað við tilgang söfnunar og vinnslu þeirra, þú hefur afturkallað samþykki þitt sem vinnslan byggist á eða unnið hefur verið úr upplýsingunum með ólögmætum hætti. Undantekning frá þessu skal t.d. gerð ef þess er krafist að gögn séu varðveitt í samræmi við lög, t.d. bókhaldslög nr. 145/1994. 
Þú átt rétt á að senda persónuupplýsingar um þig sem þú hefur afhent okkur til annars aðila þegar vinnslan grundvallast á samþykki þínu og hún fer fram með sjálfvirkum hætti. Slíkur réttur skal þó ekki skerða réttindi og frelsi annarra. 
Ef þú vilt láta fjarlægja persónuupplýsingar um þig úr gagnagrunni okkar, vilt afturkalla samþykki þitt fyrir vinnslu eða ef þú hefur einhverjar frekari spurningar um þessa persónuverndarstefnu eða vinnslu og vernd persónuupplýsinga skaltu senda okkur tölvupóst á [email protected] og setja „Persónuvernd“ í efnislínuna. 
Ef þú sendir inn beiðni samkvæmt ofangreindu getum við óskað eftir því að þú framvísir viðeigandi sönnun á því hver þú ert, t.d. afriti af opinberum skilríkjum á borð við vegabréf eða ökuskírteini auk undirskriftar þinnar. 
  
BÖRN YNGRI EN 13 ÁRA 
  
Við söfnum ekki persónuupplýsingum um börn yngri en 13 ára viljandi. Ef barn á þessum aldri hefur veitt okkur upplýsingar ætti foreldri eða forráðamaður viðkomandi að hafa samband við okkur og við munum fjarlægja upplýsingarnar úr gagnagrunni okkar án tafar. 
  
BREYTINGAR Á PERSÓNUVERNDARSTEFNU 
  
Við kunnum að gera breytingar á þessari persónuverndarstefnu til að hún endurspegli vinnslu okkar á persónuupplýsingum á hverjum tíma fyrir sig. Breytingar, viðbætur eða brottfellingar taka gildi um leið og uppfærð útgáfa er birt og gildir fyrir öll ný vörukaup, fyrirspurnir og heimsóknir á vefsvæði okkar sem eiga sér stað eftir birtingu uppfærðrar stefnu. Dagsetning síðustu endurskoðunar á þessari persónuverndarstefnu kemur fram neðst á síðunni.  
  
KVARTANIR 
  
Þú átt rétt á að leggja fram kvörtun til Persónuverndar, Rauðarárstíg 10, 105 Reykjavík (www.personuvernd.is) ef þú ert ósammála því hvernig við vinnum persónuupplýsingar um þig. 
  
  
Uppfært: 6. febrúar 2024.