Meðferð og vinnsla persónuupplýsinga hjá Pacta lögmönnum ehf.

Pacta lögmenn ehf., kt. 480623-1420 (hér eftir “Pacta” eða “félagið”) er ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fer fram hjá félaginu í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir “persónuverndarlög”) og reglugerðar (ESB) 2016/679. Í ákveðnum tilvikum getur félagið einnig verið sameiginlegur ábyrgðaraðili í skilningi persónuverndarlaga.

Hér að neðan er útlistað hvernig félagið vinnur með persónuupplýsingar, þar á meðal í hvaða tilgangi, hvaðan þeirra er aflað, helstu flokkar þeirra, hvernig þeim er miðlað og með hvaða hætti rétt meðferð þeirra er tryggð. Upplýsingarnar hér að neðan eiga við upplýsingar um alla þá sem félaginu ber nauðsyn til að vinna persónuupplýsingar um vegna starfsemi sinnar.

1. Hvaða upplýsingar vinnur félagið með

Þær persónuupplýsingar sem félagið vinnur með teljast bæði almennar og viðkvæmar í skilningi persónuverndarlaga. Þegar félagið vinnur með viðkvæmar persónuupplýsingar er ávallt gætt að því að uppfyllt séu skilyrði persónuverndarlaga fyrir vinnslunni, s.s. samþykki eða lagaheimild.

Persónuupplýsingar sem félagið vinnur um einstaklinga geta m.a. verið eftirfarandi:

  • Nafn, kennitala, heimilisfang, sími og netfang
  • Reikningsupplýsingar
  • Samskiptaupplýsingar
  • Hljóð- og myndbandsupptökur
  • Gögn frá þriðju aðilum, s.s. dómstólum eða sýslumönnum
  • Skráningarnúmer bifreiða
  • Fasteignanúmer
  • Upplýsingar um stjórnmálaleg tengsl í þeim tilvikum þegar áreiðanleikakannanir eru framkvæmdar
  • Upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífsskoðun eða aðild að stéttarfélagi
  • Heilsufarsupplýsingar, upplýsingar um kynlíf manna og kynhneigð
  • Erfðafræðilegar upplýsingar
  • Lífkennaupplýsingar

2. Hvaðan er upplýsinganna aflað

Þær persónuupplýsingar sem félagið vinnur um einstaklinga berast ýmist frá einstaklingunum sjálfum en geta jafnframt borist frá þriðju aðilum. Algengast er að einstaklingar láti félaginu í té upplýsingar en þegar upplýsingar berast frá þriðja aðila er í flestum tilvikum um að ræða upplýsingar frá opinberum aðilum eða úr opinberum skrám. Upplýsingarnar geta jafnframt verið sóttar frá fjárhagsupplýsingastofum, af alþjóðlegum válistum eða úr lögbirtingarblaði.

3. Hver er tilgangur vinnslunnar

Félagið kappkostar við að vinna aðeins persónuupplýsingar í skýrum og yfirlýstum tilgangi í samræmi við persónuverndarlög. Vinnsla persónuupplýsinga er nauðsynleg til þess að félagið geti veitt þjónustu við lögfræðiráðgjöf og til að uppfylla lagaskyldur, s.s. á grundvelli bókhaldslaga eða laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og gereyðingarvopna. Þá getur vinnsla verið nauðsynleg til að vernda viðskiptavini, starfsfólk og aðra sem eiga erindi við félagið, m.a. með því að hafa til staðar rafræna vöktun.

4. Á hvaða lagagrundvelli byggir vinnslan

Samkvæmt ákvæðum persónuverndarlaga skal vinnsla persónuupplýsinga styðjast við eina af þeim vinnsluheimildum sem kveðið er á um er í lögunum. Að meginstefnu til fer vinnsla félagsins fram án samþykkis en einstaklingar geta ávallt dregið veitt samþykki til baka og er sú vinnsla sem samþykkið tekur til þá stöðvuð.

5. Til hvaða þriðju aðila er upplýsingunum miðlað

Persónuupplýsingar geta verið afhentar þriðju aðilum í ákveðnum tilvikum. Það er þó aldrei gert nema skýr lagaheimild sé fyrir hendi og er ávallt tryggt að ítrustu öryggis- og trúnaðarskyldu sé fylgt. Ef upplýsingum er miðlað til þriðju aðila á grundvelli þjónustusamnings er í öllum tilvikum til staðar vinnslusamningur þar að lútandi.

6. Hver er varðveislutími upplýsinganna

Félagið varðveitir persónuupplýsingar á meðan á viðskiptasambandi stendur. Algengast er að upplýsingar séu varðveittar í 7 ár en þó geta upplýsingar ýmist verið geymdar í lengri eða skemmri tíma. Varðveislutími gagna fer eftir eðli þeirra eða samkvæmt ákvæðum laga sem kveða á um varðveislutíma, s.s. bókhaldslaga. Þá geta komið upp aðstæður sem krefjast þess að gögn séu varðveitt lengur, s.s. vegna dómsmála, rannsóknar lögreglu eða eftirlitsyfirvalda.

7. Vefkökur

Félagið notar vefkökur á vefsíðu sinni í þeim tilgangi að bæta upplifun notenda og halda utan um og mæla frammistöðu vefsins og umferð um hann, svo sem tölfræðilegar upplýsingar um fjölda notenda og hegðun þeirra á honum. Vefkökur eru litlar textaskrár sem geyma upplýsingar til að greina notkun á vefsvæði félagsins.

8. Öryggi persónuupplýsinga

Stjórnkerfi upplýsingaöryggis hjá Pacta hefur hlotið vottun samkvæmt alþjóðlega staðlinum ISO/IEC 27001:2022. Þær öryggisráðstafanir sem krafist er samkvæmt staðlinum hafa verið innleiddar innan félagsins.

9. Réttindi einstaklinga

Samkvæmt ákvæðum persónuverndarlaga hafa einstaklingar rétt til þess að óska eftir aðgangi að persónuupplýsingum sínum.

Að tilteknum skilyrðum uppfylltum geta einstaklingar sömuleiðis haft rétt til þess að fá upplýsingar um vinnslu eigin persónuupplýsinga, fá aðgang að eigin gögnum, fá persónuupplýsingum sínum eytt eða leiðrétt, mótmæla vinnslu eða óska eftir takmörkun hennar.

Einstaklingar geta óskað eftir því að neyta þess réttar eða koma á framfæri öðrum fyrirspurnum er varða vinnslu persónuupplýsinga með því að senda tölvupóst á netfangið pacta@pacta.is. Ekki er tekið gjald fyrir afgreiðslu beiðna sem berast frá einstaklingum. Félagið áskilur sér þó rétt til þess að taka gjald fyrir beiðnir sem augljóslega teljast tilefnislausar eða endurteknar.

Einstaklingar hafa jafnframt rétt á að koma á framfæri kvörtun til Persónuverndar ef þeir telja vinnslu félagsins ekki samræmast lögum um persónuvernd með því að senda beiðni til Persónuverndar á netfangið postur@personuvernd.is.

Persónuverndarfulltrúi hefur eftirlit með því að vinnsla félagsins samræmist stefnu þessari og gildandi lögum og reglum um persónuvernd.