Persónuverndarstefna þessi gildir um vinnslu persónuupplýsinga hjá Spesíu eignastýringu hf., kt. 430924-0440, Grandagarði 16, 101 Reykjavík (hér eftir „Spesía“).

Spesíu er skylt, lögum samkvæmt, að vernda persónuupplýsingar notenda sinna og tekur þá skyldu alvarlega. Traust er lykilatriði í öllum rekstri Spesíu og þess vegna leggjum við ríka áherslu á að tryggja að persónuverndarstefnu þessari sé framfylgt í samræmi við lagalegar kröfur. Raunar göngum við lengra en lagalegar kröfur segja til um í þágu notenda okkar og þannig tryggja að unnið sé með persónuupplýsingar á öruggan, siðlegan og ábyrgan hátt.

Eftirfarandi stefna útskýrir hvernig fyrirtækið safnar, notar, miðlar og verndar persónulegar og fjárhagslegar upplýsingar notenda sinna. Markmið hennar er að upplýsa notendur um öryggi og vinnslu persónuupplýsinga hjá Spesíu, tilgang og grundvöll hennar, með það fyrir augum að tryggja gagnsæi í samræmi við gildandi persónuverndarlög.

Gildissvið og meðferð persónuupplýsinga

Spesía skuldbindur sig til þess að vinna aðeins með persónuupplýsingar á þann hátt sem lýst er í stefnu þessari og samræmist ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð Evrópuþingsins og ráðsins (ESB) nr. 2016/679 (GDPR). 

Nánar tiltekið gildir stefna þessi um alla starfsemi Spesíu í tengslum við þjónustu þar sem vinnsla persónuupplýsinga fer fram, allar persónuupplýsingar sem þú afhendir Spesíu og/eða sem Spesía safnar um þig í gegnum vef, smáforrit Spesíu og aðrar samskiptaleiðir s.s. tölvupóst og önnur forrit (hér eftir “vefþjónustur” eða “þjónusta Spesíu”). Stefna þessi tekur þó aðeins til einstaklinga en ekki lögaðila. Þá nær stefna þessi ekki yfir aðrar vefþjónustur á ábyrgð þriðja aðila sem þjónusta Spesía vísar til með tengli. 

Vinsamlega kynntu þér persónuverndarstefnu þessa vel og vandlega. Ef þú samþykkir ekki efni hennar getur þú ávallt hætt að nota þjónustu Spesíu.

Ábyrgðaraðili og vinnsluaðili

Spesía skuldbindur sig til þess að vinna aðeins með persónuupplýsingar á þann hátt sem lýst er í stefnu þessari og samræmist ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð Evrópuþingsins og ráðsins (ESB) nr. 2016/679 (GDPR). 

Nánar tiltekið gildir stefna þessi um alla starfsemi Spesíu í tengslum við þjónustu þar sem vinnsla persónuupplýsinga fer fram, allar persónuupplýsingar sem þú afhendir Spesíu og/eða sem Spesía safnar um þig í gegnum vef, smáforrit Spesíu og aðrar samskiptaleiðir s.s. tölvupóst og önnur forrit (hér eftir “vefþjónustur” eða “þjónusta Spesíu”). Stefna þessi tekur þó aðeins til einstaklinga en ekki lögaðila. Þá nær stefna þessi ekki yfir aðrar vefþjónustur á ábyrgð þriðja aðila sem þjónusta Spesía vísar til með tengli. 

Spesía er ábyrgðaraðili vinnslu persónuupplýsinga og ber ábyrgð á því að sú vinnsla sem fram fer samræmist persónuverndarlögum hverju sinni og verður að geta sýnt fram á það. Ábyrgðaraðili ákveður tilgang vinnslunnar og aðferðir við vinnslu persónuupplýsinga.

Vinnsluaðili er sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila eða f.h. ábyrgðaraðila á grundvelli vinnslusamnings. Nýti Spesía sér þjónustu vinnsluaðila gerir hún vinnslusamning við þá vinnsluaðila.

Í einhverjum tilvikum geta ábyrgðaraðilar verið fleiri en einn en þá fer vinnsla persónuupplýsinga fram á vegum tveggja eða fleiri aðila. Þá bera allir aðilar ábyrgð á afmörkuðum þáttum vinnslunnar og teljast vera sameiginlegir ábyrgðaraðilar. Ef Spesía vinnur á þann hátt með aðila um vinnslu persónuupplýsinga er gert samkomulag um sameiginlega ábyrgð.

Hvaða upplýsingum söfnum við?

Með það að markmiði að veita skilvirka og persónulega þjónustu, safnar Spesía margvíslegum upplýsingum um þig, bæði sem þú afhendir Spesíu og sem koma frá öðrum aðilum í tengslum við þjónustuna. Í því skyni má helst nefna:

• Samskiptaupplýsingum sem er aflað þegar þú stofnar aðgang hjá Spesíu. Það eru upplýsingar eins og nafn, heimilisfang, netfang, símanúmer eða upplýsingar sem auðkenna þig eins og kennitala eða skilríki s.s. vegabréf, ökuskírteini og rafræn auðkenning.
• Persónuupplýsingar sem þú veitir Spesíu í tengslum við þjónustu hennar. Þar má m.a. nefna upplýsingar um markmið og tilgang með fjárfestingum, auk upplýsinga um þekkingu og reynslu af fjárfestingum ásamt viðhorfi gagnvart áhættu.
• Tæknilegum upplýsingum um hvernig þú notar Spesíu, t.d. með hvaða vafra, síma eða smáforriti þú nálgast þjónustuna, hvaðan og hvaða virkni þú notar helst, er safnað í þeim tilgangi að bæta þjónustu og vörur Spesíu. Þannig finnum við út hvaða þættir af okkar þjónustu virka best og hvernig megi bæta aðgengi og virkni öllum notendum til hagsbóta.

Ofangreindar upplýsingar eru ekki tæmandi talning á þeim persónuupplýsingum sem er safnað en Spesía getur safnað öðrum upplýsingum um þig ef nauðsynlegt þykir vegna eðli viðskiptasamband eða samskipta hverju sinni. Séu réttar upplýsingar ekki veittar kann það að hafa áhrif á möguleika Spesíu til að veita þér viðeigandi þjónustu.

Hvers vegna söfnum við þessum upplýsingum?

Við söfnum, geymum og greinum gögn í gegnum þjónustu okkar í eftirfarandi tilgangi:

1. Til þess að veita persónulega þjónustu.

Til þess að Spesía geti veitt þér viðeigandi þjónustu óskum við eftir ákveðnum upplýsingum frá þér. Unnið er með slíkar upplýsingar á grundvelli samþykkis þíns og til að efna samning okkar við þig um þjónustu. Í einhverjum tilvikum er þeim safnað til að fullnægja lagaskyldu sem hvílir á Spesíu.

2. Til þess að þróa og viðhalda vörunni

Við greinum einnig notkun þína á smáforriti eða vefþjónustum Spesíu til að geta bætt og þróað þjónustuna enn frekar. Í þessari greiningu felst meðal annars að greina hvaða virkni þú notar helst og hversu oft þú skráir þig inn, hvaðan og með hvaða vafra, síma og stýrikerfi. Við söfnum einnig upplýsingum á annan hátt frá notendum í sama tilgangi, m.a. út frá ábendingum í gegnum tölvupóst, samfélagsmiðla eða notendaprófanir. Þú getur afþakkað markaðspóst hvenær sem er, t.d. með því að smella á afskráningarhnapp í tölvupóstum eða með því að hafa samband við Spesíu. Unnið er með slíkar upplýsingar á grundvelli samþykkis þíns, til að efna samning okkar við þig og lögmætra hagsmuna Spesíu.

3. Til þess að veita þér samanburð

Auk þess kann Spesía að nýta þínar upplýsingar til að búa til ópersónulegar lýðfræðilegar eða tölfræðilegar, samantektir sem eru m.a. notaðar í þeim tilgangi að sýna þér hvernig þínar upplýsingar, hegðun eða aðstæður eru í samanburði við samantekt (t.d. meðaltöl) á upplýsingum, hegðun eða aðstæðum annarra. Unnið er með slíkar upplýsingar á grundvelli samþykkis þíns og til að efna samning okkar við þig um þjónustu

4. Til þess að eiga í góðum samskiptum

Það er Spesíu mjög mikilvægt að geta átt í opnum samskiptum við þig og aðra notendur. Bæði svo við getum upplýst þig um uppfærslur, nýjungar eða aðrar mikilvægar breytingar á þjónustunni en einnig svo þú eigir auðvelt með að láta okkur vita ef þú vilt koma ábendingum eða tillögum á framfæri við okkur. Við fögnum allri endurgjöf og reynum að bregðast við henni fljótt og vel. Unnið er með slíkar upplýsingar á grundvelli samþykkis þíns, til að efna samning okkar við þig og lögmætra hagsmuna Spesíu.

5. Hvernig varðveitum við persónuupplýsingar?

Öryggi persónuupplýsinga þinna er lykilatriði í öllum rekstri Spesíu sem hefur gert ýmsar öryggisráðstafanir til að vernda persónuupplýsingar þínar. Tilgangurinn er að uppfylla lagalegar kröfur Spesíu í tengslum við upplýsingaöryggi og koma í veg fyrir óheimila notkun, afritun, aðgang eða afhendingu til þriðja aðila til að fyrirbyggja að upplýsingar glatist, séu ranglega skráðar eða önnur misnotkun á upplýsingum eigi sér stað. Dulkóðun gagna, notkun gerviauðkenna og viðamiklar öryggisprófanir eru dæmi um slíkar öryggisráðstafanir.

Spesía geymir persónuupplýsingar aðeins eins lengi og nauðsynlegt er til að Spesía geti sinnt þeirri þjónustu sem er í boði hverju sinni og/eða í samræmi við lagalegar skyldur félagsins. Í einhverjum tilvikum eru upplýsingarnar gerðar ópersónugreinanlegar með afmáningu persónuauðkennis. Þá eru upplýsingarnar ekki lengur persónuupplýsingar.

Hvernig miðlum við persónuupplýsingum?

Persónuupplýsingum getur verið miðlað til þriðja aðila að því marki sem það er nauðsynlegt til að veita þjónustu til notenda. Spesía gætir þess að þjónustuaðilar sem vinna í þágu félagsins veiti persónuupplýsingum fullnægjandi vernd samkvæmt persónuverndarstefnu þessari.

Hvaða réttindi hefur þú?

Í samræmi við persónuverndarlögin átt þú rétt á því að ákveðnar ráðstafanir séu gerðar til að tryggja réttindi þín við vinnslu persónuupplýsinga. Þessi réttindi eru eftirfarandi:

• Upplýsingaréttur: Þú átt rétt á að fá upplýsingar um þau gögn sem verið er að vinna með um þig þannig að þú getir gætt annarra réttinda þinna samkvæmt persónuverndarlögum.
• Aðgangsréttur: Þú átt rétt á að fá upplýsingar um það hvort verið sé að vinna með persónuupplýsingar um þig. Í því felst réttur til að fá staðfestingu á því, afrit af upplýsingunum sem er verið að vinna með og aðrar upplýsingar um vinnsluna, s.s. tilgang og afleiðingar slíkrar vinnslu fyrir þig.
• Andmælaréttur: Réttur til að mótmæla því að persónuupplýsingar um þig séu notaðar í sérstökum tilgangi s.s. í markaðslegum tilgangi.
• Flutningsréttur. Réttur til að flytja eigin gögn sem þú hefur afhent ábyrgðaraðila, t.a.m. ef þú vilt endurnýta þau hjá annarri þjónusta eða ábyrgðaraðila.
• Réttur til leiðréttingar og eyðingar. Þú átt rétt á að láta leiðrétta eða eyða persónuupplýsingum um þig sem eru óáreiðanlegar eða rangar.
• Réttur til að gleymast. Í ákveðnum tilvikum átt þú rétt á því að öllum persónuupplýsingum um þig sé eytt, ef þær eru ekki lengur nauðsynlegar í ljósi upphaflegs tilgangs fyrir vinnslu.

Í einhverjum tilvikum geta undantekningar á rétti þínum átt við, svo sem ef ákvæði annarra laga kveða á um hið gagnstæða eða réttindi annarra vega þyngra. Meginreglan er þó að réttindi þín eiga við.

Þú hefur ávallt rétt til að afturkalla samþykki þitt fyrir vinnslu persónuupplýsinga án þess að það hafi áhrif á lögmæti vinnslunnar áður en afturköllum átti sér stað, t.d. með því að eyða Spesíu aðgangi þínum eða hafa beint samband við Spesíu og láta loka aðganginum. Ef þú afturkallar samþykki þitt þýðir það hins vegar að þú getur ekki notað þjónustu Spesíu lengur í heild eða að hluta, eða þá að ákveðnir þjónustuþættir virki ekki sem skyldi.

Vinnsla persónuupplýsinga um börn

Vinnsla á persónuupplýsingum um börn getur farið fram af hálfu Spesíu ef það er nauðsynlegt í þeim tilgangi að veita þá þjónustu sem óskað er eftir. Ef barn sem nýtir sér þjónustu eða vöru Spesía hefur ekki náð 13 ára aldri mun Spesía ávallt afla samþykkis forráðamanns fyrir vinnslu persónuupplýsinga um barnið, í samræmi við persónuverndarlög.

Breytingar á persónuverndarstefnu Spesíu

Spesía áskilur sér rétt til að uppfæra stefnuna til samræmis við breytta viðskiptahætti og lagaskyldur. Komi til breytinga verða þær aðgengilegar á vefsíðu Spesíu og er litið svo á að þú hafir samþykkt breytingarnar með áframhaldandi notkun á þjónustu Spesíu. Ef breytingarnar eru stórvægilegar að mati Spesíu verður þér tilkynnt um það sérstaklega áður en þær taka gildi.

Tengiliður og réttarúrræði

Ef þú hefur einhverjar spurningar um þessa stefnu eða vinnslu persónuupplýsinga þinna getur þú haft samband við persónuverndarfulltrúa Spesíu. Persónuverndarfulltrúi er tengiliður við hinn skráða, veitir ráðgjöf um réttindi hans og hefur það hlutverk að sjá til þess að Spesía fari að persónuverndarlögum.

Ef þú telur að brotið hafi verið á rétti þínum vinsamlega hafðu samband. Allar fyrirspurnir, athugasemdir og ábendingar sem varða persónuvernd má senda á netfangið personuvernd@spesia.is.

Komi upp ágreiningur um meðferð persónuupplýsinga er hægt að senda kvörtun til

Persónuverndar á netfangið postur@personuvernd.is eða með því að senda bréfpóst til Persónuverndar, heimilisfang: Rauðarárstígur 10, 105 Reykjavík. Sjá nánar á vefnum www.personuvernd.is

Útgáfa og ábyrgð

Framkvæmdastjóri ber ábyrgð á stefnunni og skal hún endurskoðuð árlega, eða oftar ef tilefni gefst til.

Persónuverndarstefna þessi var síðast endurskoðuð í október 2025.