PERSÓNUVERNDARSTEFNA YAY

YAY ehf., kt. 671218-0940, Bjargargötu 1, 102 Reykjavík (einnig vísað til sem „félagsins“) er umhugað um persónuvernd viðskiptavina sinna og starfar í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Í persónuverndarstefnu þessari er því lýst hvernig félagið vinnur með persónuupplýsingar viðskiptavina sinna og annarra sem félagið á í samskiptum við og gildir stefnan um allar YAY-lausnir félagsins (einnig sameiginlega vísað til sem „þín“).

YAY-lausnir eru smáforrit (e. app) sem aðgengileg eru m.a. á Google Play og í Apple App Store. Með YAY smáforritinu og öðrum tengdum hugbúnaðarlausnum (saman nefnast lausnirnar „YAY-lausnir“) geta viðskiptavinir t.d. keypt og gefið rafræn gjafabréf.

1. Persónuupplýsingar sem félagið vinnur

1.1 Persónuupplýsingar notenda YAY-lausna

Við stofnun aðgangs í YAY-lausn og notkun hennar þarf notandi að skrá upplýsingar um símanúmer sitt og skrá inn auðkenningarkóða sem YAY sendir viðkomandi með SMS.

Auk símanúmers vinnur YAY með eftirfarandi persónuupplýsingar notenda í tengslum við lausnina:

  • Tengiliðaupplýsingar, þ.e. nafn og netfang
  • Auðkennisupplýsingar, þ.e. afmælisdagur, heimilisfang og ríkisborgararéttur svo hægt sé að bera kennsl á notanda
  • Notkunarsögu, þ.e. upplýsingar um keypt, móttekin og notuð gjafabréf
  • Tæknilegar stillingar, s.s. val notanda á tungumáli og markaði í lausninni

Vinnsla þessara persónuupplýsinga er nauðsynleg svo YAY geti uppfyllt samning sinn gagnvart notenda.

Auk ofangreindra upplýsinga vinnur YAY með tilgreindar upplýsingar í því skyni að tryggja öryggi lausnarinnar, þ.e. upplýsingar um IP tölu með tímastimpli. Þessi vinnsla byggir á lögmætum hagsmunum félagsins.

Velji notandi að gefa gjafabréf í gegnum lausnina vinnur félagið jafnframt með tengiliðaupplýsingar móttakanda og upplýsingar um kveðju sem notandi getur valið að láta fylgja með gjafabréfinu, hvort sem slík kveðja er skrifleg eða í mynd/myndbandi. Vinnsla þessi byggir á samningi.

Notandi ber ábyrgð á réttleika þeirra upplýsinga sem hann skráir í lausnina hverju sinni, einkum símanúmer sitt og eftir atvikum greiðslukortanúmer.

1.2 Forsvarsmenn viðskiptavina

Í þeim tilvikum er viðskiptavinir YAY eru lögaðilar, s.s. fyrirtæki sem kaupa gjafabréf fyrir starfsfólk sitt, vinnur félagið með tengiliðaupplýsingar forsvarsmanna, þ.e. upplýsingar um nafn, netfang og símanúmer auk samskiptasögu.

Viðskiptavinir YAY geta valið að afhenda gjafabréf í gegnum Facebook Workplace og í slíkum tilvikum vinnur YAY jafnframt með notendanúmer viðtakanda gjafabréfanna á Facebook Workplace (e. user ID).

1.3 Forsvarsmenn og starfsfólk söluaðila

Í þeim tilgangi að geta átt í samskiptum við söluaðila vinnur YAY með tengiliðaupplýsingar forsvarsmanna og starfsfólks söluaðila. Söluaðilar geta tekið móti YAY gjafabréfum með svokölluðum YAY scanner og í tengslum við notkun á honum vinnur YAY einnig með upplýsingar um notendanafn og lykilorð starfsfólks sem og aðgerðarskráningar í lausninni. Þessi vinnsla er nauðsynleg á grundvelli lögmætra hagsmuna YAY.

1.4 Samskipti í gegnum heimasíðu eða samfélagsmiðla

Notendur og aðrir einstaklingar geta sett sig í samband við YAY í gegnum vefsíðuna eða með því að senda félaginu tölvupóst. Í tengslum við móttöku á slíkum skilaboðum er unnið með tengiliðaupplýsingar sendanda og efni skilaboða. Vinnsla þessi er félaginu nauðsynleg til að svara erindi viðkomandi aðila.

Félagið leitast við að varðveita efni skilaboða sem móttekin eru ekki lengur en í eitt ár.

1.5 Aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka

YAY er skylt að þekkja viðskiptavini sína og framkvæma áhættumat á þeim. Við stofnun viðskiptasambands þurfa allir viðskiptavinir að fara í gegnum áreiðanleikakönnun og í ákveðnum tilfellum þurfa viðskiptavinir að fara í gegnum auka áreiðanleikakönnun. YAY er sömuleiðis skylt að hafa eftirlit með viðskiptasamböndum, þ.m.t. með skráningu viðskiptavina og raunverulegra eiganda á listum yfir aðila með stjórnmálaleg tengsl og alþjóðlegar þvingunaraðgerðir.

YAY er tilkynningarskyldur aðili til Fjármálaeftirlits Seðlabanka Íslands og ber því skyldu skv. lögum nr. 140/2018 að vinna persónuupplýsingar í þeim tilgangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Þá ber YAY skyldu skv. lögum nr. 68/2023 að hafa eftirlit með skráningu á listum yfir alþjóðlegar þvingunaraðgerðir. Vinnslan byggir þannig á lagaskyldu.

Þær persónuupplýsingar sem YAY vinnur í tengslum við aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka eru eftirfarandi en umfang vinnslu fer eftir áhættumati hverju sinni:

  • Fullt nafn og fæðingardagur (sem staðfest er með fullgildum persónuskilríkjum, t.d. rafrænum skilríkjum eða vegabréfi)
  • Heimilisfang
  • Ríkisfang
  • Tengiliðaupplýsingar (tölvupóstfang og símanúmer)
  • Upplýsingar um stjórnmálaleg tengsl
  • Upplýsingar um starfsemi og orðspor

1.6 Markaðssetning á vörum og þjónustu

YAY vinnur persónuupplýsingar í því skyni að kynna fyrir viðskiptavinum vörur og þjónustur YAY. YAY áskilur sér rétt til að senda viðskiptavini markaðsskilaboð sem tengjast þeim vörum eða þjónustu sem viðskiptavinurinn hefur þegar nýtt sér eða keypt. Slík markaðsskilaboð geta verið send með tölvupósti eller í gegnum tilkynningar í YAY appinu. Viðskiptavinir geta hvenær sem er afþakkað frekari markaðsskilaboð með því að smella á afskráningartengil í tölvupósti.

YAY hefur lögmæta hagsmuni af því að vinna persónuupplýsingar vegna markaðssetningar á vörum og þjónustu. Viðskiptavinur hefur alltaf rétt til að andmæla vinnslu YAY á persónuupplýsingum hans sem eru unnar til notkunar í þágu markaðssetningar sbr. 5. gr. persónuverndarstefnunnar.

Í þeim tilvikum sem YAY vill nýta persónuupplýsingar viðskiptavinar og framkvæma dýpri greiningu á persónuupplýsingum viðskiptavinar í tengslum við markaðssetningu á vörum og þjónustu YAY og samstarfsaðila YAY kann YAY að óska eftir sérstöku samþykki fyrir þeirri vinnslu. Veiti viðskiptavinur YAY samþykki fyrir vinnslu persónuupplýsinga í tengslum við markaðssetningu hefur viðskiptavinur ávallt rétt til þess að afturkalla samþykki sitt sbr. 5. gr. persónuverndarstefnunnar.

2. Miðlun til þriðju aðila

Félagið nýtir þriðju aðila til að hýsa persónuupplýsingar þær sem félagið vinnur með um notendur auk þess sem þriðju aðilar kunna að hafa aðgang að upplýsingunum í þeim tilgangi að veita félaginu þjónustu. Þessir aðilar koma fram sem svokallaðir vinnsluaðilar fyrir hönd félagsins og hefur félagið gengið frá skriflegum vinnslusamningum við viðkomandi aðila sem m.a. tryggja öryggi upplýsinganna.

Öll hýsing þeirra upplýsinga sem félagið vinnur með fer fram innan Evrópska efnahagssvæðisins. Að því leyti er félagið kann að nýta vinnsluaðila, eða undirvinnsluaðila, sem hafa staðfestu utan Evrópska efnahagssvæðisins („EES“), mun félagið ganga úr skugga um að gripið hafi verið til fullnægjandi ráðstafana til að vernda þær persónuupplýsingar sem viðkomandi aðilar vinna með af hálfu félagsins. Það sama á við sé ekki hægt að útiloka aðgang eftirlitsyfirvalda utan EES að þeim persónuupplýsingum sem félagið vinnur með.

Að öðru leyti miðlar félagið ekki persónuupplýsingum notenda eða annarra til þriðju aðila, að undanskildum opinberum aðilum en þó aðeins í þeim tilvikum er lagaskylda hvílir á YAY, eða félaginu reynist slíkt skylt á grundvelli dómsúrskurðar. Í tengslum við mögulega sölu eða aðkomu fjárfesta að félaginu kann þó að vera nauðsynlegt að miðla takmörkuðum upplýsingum til hugsanlegs kaupanda eða fjárfesta, s.s. í tengslum við gerð áreiðanleikakönnunar.

3. Öryggi persónuupplýsinga

YAY gætir ýtrasta öryggis í meðferð persónuupplýsinga. Viðeigandi tæknilegar og skipulegar ráðstafana eru þannig til staðar í þeim tilgangi að vernda persónuupplýsingar. Dæmi um slíkar öryggisráðstafanir eru aðgangsstýringar að kerfum þar sem upplýsingar eru vistaðar og notkun eldveggja.

Starfsmenn YAY undirrita einnig trúnaðaryfirlýsingar og eru bundnir trúnaði um allt sem þeir fá vitneskju um við störf sín. Trúnaðarskylda hvílir á starfsmönnum, þrátt fyrir að látið sé af starfi hjá YAY.

4. Varðveiðslutími persónuupplýsinga

Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og YAY varir eða eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, skilmálum samninga, reglna YAY og að því gefnu að málefnalegar ástæður séu til staðar. YAY kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár, upplýsingar er tengjast peningaþvætti og könnun á áreiðanleika viðskiptavina í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur og afriti af viðskiptafyrirmælum í fimm ár.

5. Réttindi þín

Þú átt rétt á að fá aðgang og í ákveðnum tilvikum afrit af þeim persónuupplýsingum sem við vinnum um þig sem og upplýsingar um vinnsluna.

Við ákveðnar aðstæður kannt þú jafnframt að hava heimild til að óska eftir því að persónuupplýsingum um þig verði eytt eða að vinnsla þeirra verði takmörkuð. Þá átt þú rétt á að fá persónuupplýsingar þínar leiðréttar, séu þær rangar eða óáreiðanlegar. Því er mikilvægt að þú tilkynnir okkur um allar breytingar sem kunna að verða á persónuupplýsingum þeim sem þú hefur látið okkur í té, á þeim tíma sem við á.

Auk þess kann að vera að þú eigir rétt á afriti af þeim upplýsingum sem þú hefur afhent okkur á tölvutæku formi, eða að við sendum þær beint til þriðja aðila.

Þegar við vinnum persónuupplýsingar þínar á grundvelli lögmætra hagsmuna okkar getur þú andmælt þeirri vinnslu. Sé vinnsla byggð á samþykki þínu átt þú jafnframt alltaf rétt á að afturkalla slíkt samþykki.

Ofangreind réttindi þín eru þó ekki fortakslaus. Þannig kunna lög eða reglugerðir að heimila eða skylda félagið til að hafna beiðni þinni um að nýta þér umrædd réttindi. Réttur þinn til að andmæla vinnslu persónuupplýsinga þinna vegna beinnar markaðssetningar er þó fortakslaus.

Til að nýta þér þessi réttindi þín getur þú sent tölvupóst á gdpr@yay.is. Rétt er að benda á að það getur tekið 30 daga að fá svör við slíkri beiðni og jafnvel lengur í ákveðnum tilvikum. Við munum þó svara þér eins fljótt og auðið er, a.m.k. til að láta þig vita að beiðnin sé móttekin og að verið sé að afgreiða hana.

6. Fyrirspurnir og kvörtun til Persónuverndar

Hafir þú spurningar um meðferð persónuupplýsinga hjá YAY ehf getur þú haft samband við okkur með tölvupósti á gdpr@yay.is.

Ef þú ert ósátt/ur við vinnslu félagsins á persónuupplýsingum getur þú jafnframt sent erindi til Persónuverndar (www.personuvernd.is).

7. Endurskoðun

Félagið getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Verði gerðar breytingar á persónuverndarstefnu þessari verður uppfærð útgáfa tilkynnt þér á sama hátt og stefna þessi var kynnt.

Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt.

Þessari persónuverndarstefnu var síðast breytt þann 25.06.2025.