1. Um Kraft, stuðningsfélag
Kraftur stuðningsfélag, Skógarhlíð 8, 105 Reykjavík, www.kraftur.org, sími 540 1945, hér eftir nefnt Kraftur, eru frjáls félagasamtök sem rekin eru fyrir gjafir og styrktarframlög almennings og fyrirtækja. Megin markmið Krafts eru að styðja við ungt fólk sem greinst hefur með krabbamein og aðstandendur með því að halda úti jafningjastuðningi, hagsmunagæslu, öflugri fræðslu, samveru á jafningjagrunni, veita hagnýtar upplýsingar og stuðla að samvinnu félagasamtaka, heilbrigðisstarfsmanna og annarra sem koma að málefnum þeirra sem tengjast sjúkdómnum. Kraftur er eitt af aðildarfélögum Krabbameinsfélags Íslands. Persónuverndarstefna þessi er byggð á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Hún fjallar um þá vinnslu á persónuupplýsingum einstaklinga sem Kraftur er ábyrgðaraðili fyrir.
Í undirköflum stefnunnar er því nánar lýst hvers konar persónuupplýsingar er um að ræða hverju sinni, hvaðan þeirra er aflað, hver sé tilgangur með vinnslu þeirra, á grundvelli hvaða heimildar vinnslan fari fram og hver séu viðmið varðandi geymslutíma þeirra. Þá er fjallað um, þar sem það á við, hverjir séu viðtakendur upplýsinganna og hvort við miðlum viðkomandi persónuupplýsingum út fyrir EES.
Starfsfólk Krafts undirritar trúnaðaryfirlýsingu varðandi þagnarskyldu um allar persónugreinanlegar upplýsingar sem það meðhöndlar í starfi sínu.
Þeim sem leita til Krafts og veita félaginu persónuupplýsingar sínar í eftirtaldar vinnslur er í engum tilvikum skylt að veita þær upplýsingar en þær eru jafnan forsenda þess að hægt sé að veita þeim þá þjónustu sem vinnslan lýtur að og afleiðingar þess að upplýsingarnar eru ekki veittar verða því að ekki reynist unnt að veita umbeðna þjónustu.
Engin vinnsla persónuupplýsinga hjá Krafti felur í sér eða byggir á sjálfvirkri ákvarðanatöku, þ.m.t. gerð persónusniðs.
2. Hvað eru persónuupplýsingar?
Persónuverndarlögin skilgreina persónuupplýsingar sem þær upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Sem dæmi um persónuupplýsingar má nefna: Nafn, símanúmer, heimilisfang, netfang, kennitölu, heilsufarsupplýsingar o.s.frv. Gögn sem ekki eru persónugreinanleg falla ekki undir skilgreininguna. Þegar kemur að vinnslu persónuupplýsinga er Kraftur ábyrgðaraðili vinnslunnar. Þú átt margvísleg réttindi tengd vinnslu persónuupplýsinga, til dæmis rétt á því að vita hvort við vinnum með persónuupplýsingar um þig eða ekki og getur óskað eftir aðgangi að þeim. Sjá nánar í kafla 7.
3. Persónuupplýsingar sem Kraftur vinnur með vegna vefsvæða sinna og vefverslunar
3.1 Almennt
Kraftur rekur nokkur vefsvæði sem tengjast starfsemi félagsins. Þar má nefna www.kraftur.org og www.lifidernuna.is
Við notum mælingartól frá Google og Facebook í þeim tilgangi að afla almennra upplýsinga um notkun vefsvæðanna (Google Analytics) og til að mæla árangur okkar markaðsstarfs (Facebook Pixel og tengingar við auglýsinganet Google). Þessi tól skrá og vinna með IP-tölur sem heimsóknir stafa frá og tímasetningar heimsókna og eru upplýsingarnar fengnar frá þeim vélum sem heimsækja vefsvæðin. Upplýsinganna er aflað með svonefndum vefkökum en þessar vefkökur eru valfrjálsar og geta þeir sem nota vefsvæðin afþakkað notkun þeirra. Vefkökur eru einnig notaðar til að tryggja rétta virkni vefsvæðanna, svo sem til að passa að réttir hlutir haldist í innkaupakörfu þegar farið er milli vefsíða eða að notendur geti skráð sig inn á vefsvæðin. Vefkökurnar hafa skamman líftíma og framangreindar persónuupplýsingar sem Kraftur vinnur með eru gerðar ópersónugreinanlegar eftir að unnin hefur verið úr þeim tölfræði eða heimsókn lýkur en aldrei þó lengur en tveimur vikum eftir að þeirra var aflað.
Þessar mælingar sýna okkur fjöldatölur og samtölur varðandi t.d. aldur og kyn notenda hvers vefsvæðis en eru ópersónugreinanlegar í okkar notkun, þótt Facebook og Google búi yfir meiri upplýsingum um eigin viðskiptavini þeirra að baki þeim fjöldatölum.
Þó að við höfum ekki upplýsingar um hvaða einstaklingur er á bak við tiltekna heimsókn á vefsvæði okkar nema þeir gefi okkur upp þær upplýsingar en fyrir viðskiptavini Facebook sem eru eða hafa nýlega verið innskráðir á samfélagsmiðilinn getur Facebook tengt upplýsingar um heimsókn á okkar vef beint við viðkomandi Facebook notanda. Með sama hætti geta auglýsingakerfi Google tengt notkunarupplýsingar við þá persónuprófíla sem þau búa yfir, prófíla sem eru ýmist nafnlausir eða innihalda persónurekjanlegar upplýsingar á borð við nafn, netfang eða símanúmer.
Heimild Krafts til að stunda framangreinda vinnslu persónuupplýsinga, þ.e. að stunda vefgreiningu og tryggja nauðsynlega virkni vefsvæða sinna, er sú að félaginu sé það nauðsynlegt vegna lögmætra hagsmuna sinna, nánar tiltekið þeirra að geta veitt notendum vefsvæðanna betri þjónustu og geta tekið upplýstar ákvarðanir um fyrirkomulag vefsvæðanna.
Vefnotendur geta á vefjum Krafts sent okkur gögn sem innihalda persónupplýsingar, til dæmis við bókun viðtals eða þjónustu, með því að senda okkur ábendingu um efni eða senda okkur fyrirspurn. Fjallað er um þær vinnslur í kafla 6 hér að neðan.
Loks er hægt að nota vefsvæði félagsins til að leggja af mörkum stakan styrk, kaupa minningarkort, skrá sig sem mánaðarlegan styrktaraðila, skrá sig sem félaga, sótt um styrk í Neyðarsjóð félagsins eða sótt um aðra þjónustu sem félagið býður upp á. Fjallað er um þær vinnslur í köflum 4 og 5 hér að neðan. Þær upplýsingar sem veittar eru í tengslum við þær vinnslur eru geymdar í vefumsjónarkerfinu og sjálfkrafa eytt þaðan að 180 dögum liðnum nema þegar kemur að upplýsingum um félagatal félagsins og mánaðarlega styrktaraðila.
3.2 Vefverslun Krafts
Þegar vörur eru keyptar í vefverslun okkar biðjum við notandann sjálfan um þær persónuupplýsingar sem nauðsynlegar eru til að geta afgreitt pöntunina (nafn, heimilisfang, símanúmer, netfang, kennitölu og greiðsluupplýsingar).
Vefverslun Krafts er í vefverslunarkerfi sem heitir Wocommerce sem er kerfi sérhannaði fyrir WordPress síður. Í vefversluninni er unnið með þær upplýsingar sem notendur gefa upp í kaupferlinu auk tæknilegra upplýsinga um þær vélar sem notendur nota til að versla, þ.e. IP tölur þeirra og tegundir vafra. Wocommerce notar þessar upplýsingar m.a. til að birta yfirlit yfir notkun í vefverslun Krafts og gæti einnig notað þær t.d. til að flýta fyrir skráningu ef sami einstaklingur kaupir vörur í annarri verslun rekinni af Wocommerce. Woocommerce gögnin eru vistuð á netþjónum á Íslandi.
Greiðslur í vefverslun fara í gegnum greiðslukerfi Borgunar og hvorki Woocommerce né kerfi Krafts hafa aðgang að greiðslukortanúmerum.
Starfsmenn Krafts hafa aðgang að framangreindum persónuupplýsingum tengdum kaupum gegnum kerfi Woocommerce til þess að geta afgreitt pantanir, í bókhaldstilgangi og til að geta haft samband við viðskiptavin ef upp koma vandamál eða ef hann óskar eftir að haft verði samband við hann vegna frekari stuðnings við félagið. Félaginu er því nauðsynlegt að vinna með upplýsingarnar til að efna samning við notendur vefverslunarinnar um kaup á vörum í henni og til að uppfylla lagaskyldur. Farið er með öll gögn og upplýsingar sem trúnaðarmál. Kraftur notar upplýsingarnar til að upplýsa um verkefni félagsins og leiðir til að styðja við starfsemi þess. Ef gögn eru afhent þriðja aðila í þágu félagsins er gerður vinnslusamningur um meðhöndlun persónuupplýsinganna. Upplýsingar um sölu í vefversluninni geymir félagið í samræmi við skyldur sínar samkvæmt bókhaldslögum en í þeim er kveðið á um að geyma skuli bókhaldsupplýsingar í sjö ár frá lokum viðkomandi reikningsárs.
4. Persónuupplýsingar sem Kraftur vinnur um styrktaraðila og aðra
Kraftur hefur lögmæta hagsmuni af því að geta tekið við fjárstyrkjum til starfseminnar og halda góðum tengslum við þá sem sýna áhuga á því að styðja starfsemi og málstað félagsins. Byggt á þeim hagsmunum viðheldur félagið skrá með tengiliðaupplýsingum sem þeir sem gerast stuðningsaðilar veita félaginu (nafn, heimilisfang, símanúmer, netfang, kennitölu og greiðsluupplýsingar) þar til viðkomandi óskar eftir því að vera tekinn af þeirri skrá.
4.1 Minningarkort
Styrkja má Kraft með því að senda minningarkort um látinn ástvin. Hægt er að senda kortin með pöntun á vef félagsins eða með símtali.
Beðið er um þær persónuupplýsingar sem nauðsynlegar eru til að geta gengið frá greiðslu, brugðist við mögulegum vandamálum í greiðsluferlinu og til að koma minningarkorti til aðstandenda, uppfyllt bókhaldslög og skráð þá sem vilja á stuðningsaðilaskrá. Greiðslur fara í gegnum greiðslukerfi Borgunar og kerfi Krafts vista engin greiðslukortanúmer. Félaginu er því nauðsynlegt að vinna með upplýsingarnar til að efna samning við hinn skráða um sendingu minningarkorts og veitingu styrks.
Fyrir utan upplýsingar í framangreindri stuðningsaðilaskrá og í vörslu bókhaldsupplýsinga þá eru þær upplýsingar sem eru geymdar tímabundið í vefumsjónarkerfi félagsins eftirtaldar:
- Nafn hins látna og nafn þess sem sendir
- Heimili, póstnúmer og staður viðtakanda
- Nafn, kennitala, heimili, póstnúmer, staður og netfang greiðanda
- Upphæð gjafar
4.2 Stakir styrkir og mánaðarlegir styrktaraðilar
Styrkja má Kraft með eingreiðslu eða skrá sig sem mánaðarlegan styrktaraðila í gegnum vef félagsins eða með símtali.
Beðið er um þær persónuupplýsingar sem nauðsynlegar eru til að geta gengið frá greiðslu, brugðist við mögulegum vandamálum í greiðsluferlinu, uppfyllt bókhaldslög og viðhaldið skrá um mánaðarlega styrktaraðila félagsins. Greiðslur fara í gegnum greiðslukerfi Borgunar og kerfi Krafts vista engin greiðslukortanúmer.
Fyrir utan upplýsingar í framangreindri stuðningsaðilaskrá og í vörslu bókhaldsupplýsinga þá eru þær upplýsingar sem eru geymdar tímabundið í vefumsjónarkerfi félagsins eftirtaldar:
- Nafn, heimili, póstnúmer, staður, netfang og símanúmer verðandi mánaðarlega styrktaraðila.
- Upphæð mánaðarlegs framlags.
- Einnig geta einstaklingar styrkt félagið með valgreiðslum í banka, stökum styrk, eða greitt áheit eða styrk með því að senda SMS eða hringja í styrktarnúmer
Þá geta einstaklingar styrkt Kraft í gegnum þriðja aðila, svo sem með því að gefa framlag á vefsíðu þriðja aðila. Greiðslunni er miðlað til Krafts en félagið vinnur hins vegar ekki frekar með upplýsingar um greiðanda nema hann óski eftir því. Sem dæmi má nefna Reykjavíkurmaraþon Íslandsbanka.
Kraftur fær upplýsingar frá þriðja aðila ef að fólk sendir inn staka stuðningsgreiðslu í gegnum SMS eða í gegnum snjallforrit. Kraftur geymir upplýsingar um símanúmer til að geta haft samband við viðkomandi aðila síðar meir. Farið er með öll gögn og upplýsingar sem trúnaðarmál. Kraftur notar upplýsingarnar til að upplýsa um verkefni félagsins og leiðir til að styðja við starfsemi þess. Ef gögn eru afhent þriðja aðila í þágu félagsins er gerður vinnslusamningur um meðhöndlun persónuupplýsinganna.
4.3 Félagsmenn Krafts
Kraftur vinnur með persónuupplýsingar sinna félagsmanna. Upplýsingarnar eru geymdar í vefumsjónarkerfi félagsins. Upplýsingarnar eru geymdar til að halda utan um félaga Krafts og geta veitt þeim viðeigandi þjónustu og stuðning. Upplýsingar sem eru geymdar: Nafn, kennitalat, heimili, póstnúmer, staður, netfang og símanúmer sem og upplýsingar um hvort viðkomandi sé krabbameinsgreindur/aðstandandi. Þessum upplýsingum er ekki eytt nema viðkomandi segi upp félagsaðild.
Félagsmenn geta sótt um ýmiskonar þjónustu inn á vef félagsins þ.m.t. styrkur til lyfjakaupa, neyðarsjóð Krafts, styrkur til útfarar, ósk um endurhæfingu/þjálfun, markþjálfun, jafningjastuðning, gerast stuðningsfulltrúi og sálfræðiþjónustu. Eftifarandi persónuupplýsingar (nafn, sími, netfang, krabbameinsgreindur/aðstandandi) eru geymdar í 180 daga. Ef sótt er um styrk til útfarar þá er beðið um dánarvottorð sem er geymt í 180 daga. Félagið áskilur rétt til að geyma læknisvottorð sem skila þarf inn vegna styrks til lyfjakaupa til að halda utan um úthlutanir lyfjastyrkja.
Öll gögn sem Neyðarsjóður Krafti berast eru meðhöndluð sem trúnaðargögn og farið með þau sem slík hjá félaginu. Að lokinni úthlutun verður innsendum gögnum skilað, eða þeim eytt. Stjórn áskilur sér það að halda til haga kennitölu viðkomandi, nafni og upphæð styrks til að hægt sé að halda utan um úthlutanir styrkja.
4.3 Annað
Ef fyllt eru út ákveðin form á vefsíðu Krafts sem síðan deilast á samfélagsmiðla þá safnar Kraftur þeim upplýsingum til að upplýsa viðkomandi um verkefni og þjónustu félagsins sem og leiðir til að styðja við starfsemi þess. Ef gögn eru afhent þriðja aðila í þágu félagsins er gerður vinnslusamningur um meðhöndlun persónuupplýsinganna.
5. Persónuupplýsingar sem Kraftur vinnur um starfsmenn, verktaka og sjálfboðaliða.
Kraftur vinnur með persónuupplýsingar sinna starfsmanna, verktaka og annarra sem fá greitt fyrir störf í þágu félagsins á grundvelli viðkomandi samninga (t.d. ráðningar- eða verktakasamnings).
Þær persónuupplýsingar sem um ræðir eru tengiliðaupplýsingar viðkomandi (nöfn, heimilisföng, símanúmer, kennitölur, símanúmer og netföng), reikningsupplýsingar og aðrar viðeigandi upplýsingar sem tengjast störfunum, þ.e. upplýsingar hvað varðar starfsfólk um launakjör, viðveru, orlof, starfstengd réttindi og framgang í starfi og um samningskjör verktaka og efndir á samningum við þá. Upplýsinganna er aflað frá viðkomandi starfsfólki og verktökum og viðhaldið með samkeyrslu við tengiliðaupplýsingar í þjóðskrá. Upplýsingar þessar eru notaðar til að hægt sé að uppfylla framangreinda samninga og til að uppfylla lagaskyldur Krafts sem vinnuveitandi og verkkaupi þjónustu, auk reglna hvað varðar samþykki og greiðslu reikninga. Eins og að framan greinir ber félaginu skylda samkvæmt bókhaldslögum til að geyma bókhaldsupplýsingar í sjö ár frá lokum viðkomandi reikningsárs.
Gögn um starfsmenn þ.e launavinnslur og upplýsingar ásamt launagreiðslum geymast eftir að starfsmenn hafa hætt störfum til að geta staðfest fyrir þá upplýsingar um starfsferil og svarað fyrirspurnum þeirra. Upplýsingar þessar eru ekki notaðar í öðru skyni eftir að störfum lýkur.
Fulltrúar í stjórn og nefndum
Þær upplýsingar sem um ræðir eru nafn, kennitala, heimilisfang, netfang og sími. Upplýsingarnar eru geymdar meðan aðilar eru í stjórnum eða nefndum félagsins og ekki notaðar í öðru skyni eða eftir þann tíma.
Sjálfboðaliðar í Stuðningsneti Krafts og Krabbameinsfélagsins
Þær persónuupplýsingar sem um ræðir eru nafn, símanúmer, netfang, tegund veikinda og reynsla til að geta betur sinnt jafningjastuðningi. Upplýsingarnar eru geymdar meðan aðili er sjálfboðaliði og ekki notaðar í öðru skyni eða eftir þann tíma.
6. Bókanir, fyrirspurnir og ábendingar
Þær persónuupplýsingar sem Kraftur vinnur með vegna neðangreindra erinda eru tengiliðaupplýsingar, þ.e. nöfn viðkomandi, nema um nafnlausa fyrirspurn og ábendingu sé að ræða, símanúmer og/eða netfang og tilefni erindis. Unnið er með þessar upplýsingar í þeim tilgangi að geta orðið við óskum eða ábendingum hins skráða sjálfs og geta veitt honum þá þjónustu sem hann óskar eftir. Vinnslan er því nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða.
Bókanir
Upplýsingar sem notendur gefa upp við bókun viðtala og skráningu á námskeið og viðburði berast þeim starfsmönnum Krafts sem halda utan um bókanir. Aðrir starfsmenn hafa ekki aðgang að þeim og upplýsingarnar eru ekki notaðar í öðrum tilgangi.
Fyrirspurnir og ábendingar
Sama gildir um fyrirspurnir sem sendar eru í gegnum vefi Krafts, þær berast einungis þeim starfsmönnum sem taka á móti fyrirspurninni og eftir því sem við á til starfsmanna sem fyrirspurnin beinist til.
Innsendum gögnum er sjálfkrafa eytt úr vefkerfinu að 180 dögum liðnum og þar fer ekki fram nein frekari söfnun eða úrvinnsla gagna.
7. Réttindi þín varðandi persónuupplýsingar sem Kraftur vinnur
Réttur til upplýsinga
Þú átt rétt á upplýsingum um eftirtalin atriði um vinnslu persónuupplýsinga um þig, hvort sem upplýsinganna er aflað frá þér eða annars staðar frá: Upplýsingar um ábyrgðaraðila vinnslunnar, samskiptaupplýsingar persónuverndarfulltrúa, upplýsingar um tilgang vinnslu, heimild til hennar og viðtakendur persónuupplýsinganna, ef einhverjir eru. Þá átt þú rétt á upplýsingum um geymslutíma persónuupplýsinganna, hver réttindi þín séu varðandi vinnsluna og hvort til standi að vinna upplýsingarnar frekar í öðrum og óskyldum tilgangi.
Þessa upplýsingaskyldu leitast Kraftur við að uppfyllla með því að setja fram og viðhalda þessari persónuverndarstefnu, auk frekari upplýsingagjafar til hinna skráðu eftir því sem hægt er að koma henni við.
Réttur til aðgangs
Þú átt rétt á því að vita hvort við vinnum persónuupplýsingar um þig eða ekki og getur óskað eftir aðgangi að þeim upplýsingum.
Vegna þess hve viðkvæmar persónuupplýsingar Kraftur vinnur með er unnið eftir ströngum vinnureglum varðandi óskir um aðgang að eigin persónupplýsingum.
Ef þú vilt óska eftir aðgangi að eigin persónuupplýsingum þarf að fylla út viðeigandi eyðublað og afhenda það í Skógarhlíð 8 eða senda með tölvupósti á netfangið kraftur@kraftur.org Nauðsynlegt er að framvísa gildum persónuskilríkjum þegar beiðni er lögð inn.
Í framhaldinu verður haft samband við þig varðandi frekara fyrirkomulag á miðlun upplýsinganna til þín. Leitast er við að afhenda gögn innan mánaðar frá mótttöku beiðnarinnar en að öðrum kosti verður þér tilkynnt að töf verði á afhendingu og gerð grein fyrir hvaða ástæður séu fyrir henni. Ef þú hefur einhverjar spurningar eða athugasemdir varðandi meðferð persónuupplýsinga eða persónuverndarstefnu Krafts hvetjum við þig til að hafa samband við okkur í síma 866-9600 eða senda tölvupóst til persónuverndarfulltrúa okkar gegnum netfangið kraftur@kraftur.org. Ef þú ert ósátt/ósáttur við vinnslu Krafts á persónuupplýsingum getur þú sent erindi til Persónuverndar.
Réttur til leiðréttingar, eyðingar, takmörkunar, andmæla og til að flytja eigin gögn
Þú átt rétt til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar þínar, eyða þeim eða takmarka vinnslu þeirra hvað þig varðar eða til að andmæla vinnslu, auk réttarins til að flytja eigin gögn.
Réttur til að afturkalla samþykki
Í þeim tilvikum sem vinnsla persónuupplýsinga þinna byggir á samþykki þínu hefur þú rétt til að draga samþykki þitt til baka hvenær sem er, án þess þó að það hafi áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni.
Réttur til að leggja fram kvörtun
Eins og fram kemur hér að framan getur þú leitað til persónuverndarfulltrúa Krafts ef þú hefur athugasemd eða fyrirspurn vegna vinnslu persónuupplýsinga þinna. Þá átt þú ætíð rétt til að leggja fram kvörtun hjá Persónuvernd vegna vinnslunnar. Skrifstofa Persónuverndar er að Rauðarárstíg 10, 105 Reykjavík, símanúmer hjá stofnuninni er 510 9600 og netfang postur@personuvernd.is.
8. Eftirfylgni með persónuverndarstefnu Krafts
Gildandi persónuverndarstefna hverju sinni er birt á vef félagsins, kraftur.org.
Kraftur áskilur sér rétt til að uppfæra persónuverndarstefnu sína, til dæmis ef breytingar verða á því hvernig unnið er með persónuupplýsingar eða ef þörf reynist á að skýra betur einstaka liði.
Persónuverndarstefna þessi var síðast uppfærð 19. janúar 2021