Persónuverndarskilmálar fyrir Gripið og Greitt

Gripið og Greitt er þjónusta sem við bjóðum viðskiptavinum okkar upp á til að afgreiða sig sjálfir þegar þeir kaupa vörur í verslunum okkar, halda til haga upplýsingum um þau kaup sín og fá persónusniðin tilboð um afslætti af vörum í verslununum (hér nefnd þjónustan). Til að nota þjónustuna til að kaupa vörur hleður viðskiptavinur niður smáforritinu okkar, Bónus appinu (hér nefnt smáforritið), sem má hlaða niður úr Google Play Store (fyrir Android síma) eða úr Apple App Store (fyrir iPhone síma) skráir sig þar inn og opnar Bónus kortið sem inniheldur QR-kóða, tekur því næst sérstakan handskanna sem hann fær lánaðan hverju sinni í viðkomandi verslun, skráir sig inn í hann með QR-kóðanum og notar skannann til að skanna þær vörur sem hann ætlar að kaupa, setur þær því næst í eigin innkaupapoka og greiðir loks fyrir þær á sérstöku greiðslusvæði í versluninni í lok innkaupaferðar. Til að nota þjónustuna til að halda til haga upplýsingum um kaup sín getur viðskiptavinur skoðað þær upplýsingar í smáforritinu eða á „mínum síðum“ á vefsetri okkar og persónubundin afsláttartilboð birtast í smáforritinu eða á handskanna á meðan á innkaupum stendur. Þjónustan er algerlega valfrjáls og hægt er að velja hvenær sem er að nota hana við innkaupin eða að versla með hefðbundnum hætti.

Við erum ábyrgðaraðili allrar vinnslu persónuupplýsinga í tengslum við þjónustuna. Í persónuverndarskilmálunum er fjallað um hvaða persónuupplýsingar við vinnum með í tengslum við þjónustuna, tilgang vinnslunnar og heimildir fyrir henni, miðlun persónuupplýsinga og geymslutíma þeirra, auk ýmissa annarra atriða um þá vinnslu persónuupplýsinga sem fram fer í tengslum við þjónustuna.

Til þess að við getum veitt þér þjónustuna þurfum við að vinna með margs konar persónuupplýsingar, í ýmiss konar tilgangi og á grundvelli ólíkra heimilda. Þetta eru þær tegundir persónuupplýsinga sem við vinnum með um þig í tengslum við þjónustuna:

Tengiliðaupplýsingar,þ.e. nafn, kennitala, símanúmer, heimilisfang skv. þjóðskrá og netfang: Þessar upplýsingar eru nauðsynlegar til að við getum auðkennt þig þegar þú skráir þig í smáforritið okkar eða á mínar síður á vefsíðu okkar, til að geta vistað samþykki þitt fyrir vinnslunni, til að geta aðstoðað þig í tengslum við þjónustuna, svo sem til einkvæmrar auðkenningar ef lykilorð glatast og til að gefa okkur kost á að eiga í öðrum samskiptum vegna þjónustunnar, svo sem til að geta sent þér plastkort ef þú vilt það frekar en kort í snjallsíma, í tengslum við skráningu kaupa þinna og reikningagerðar og til að birta þér rafrænar greiðslukvittanir að verslunarferð lokinni. Okkur er því nauðsynlegt að vinna með þessar upplýsingar vegna samnings þíns við okkur um veitingu þjónustunnar, sem og vegna lagaskyldu sem hvílir á okkur, einkum vegna laga um neytendakaup. Við vinnum ekki frekar með fyrrgreindar tengiliðaupplýsingar með persónugreinanlegum hætti en tökum hins vegar saman ópersónugreinanlegar tölfræðiupplýsingar um hópa viðskiptavina okkar og vinnum með þær undir tveimur ópersónugreinanlegum auðkennum, þ.e. aldursbili og svæði sem heimilisfang er á, sem fengin eru úr kennitölum og heimilisföngum viðskiptavina okkar. Þar sem sú vinnsla er með öllu ópersónugreinanleg þá fellur hún ekki undir lög um persónuvernd.

Greiðsluupplýsingar:Við vistum aldrei greiðslukortanúmer þitt heldur gefum þér, þegar kemur að því að greiða fyrir vörur á þar til gerðu greiðslusvæði í versluninni og ef þú notar til þess greiðslukort, aðgang að greiðsluvél („POSa“) sem skannar greiðslukort þitt eða upplýsingar um það í snjalltæki og fær beint samband við færsluhirði. Í staðinn fáum við frá færsluhirðinum staðfestingu í greiðslukerfi okkar á að skuldfærsla á greiðslukortið hafi tekist og þær upplýsingar vinnum við með í bókhaldslegum tilgangi. Því er okkur nauðsynlegt að vinna með þessar upplýsingar vegna samnings þíns við okkur um vörukaupin og vegna lagaskyldu okkar, einkum samkvæmt lögum um bókhald.

Upplýsingar um hverja verslunarferð,þ.e. hvaða vörur þú keyptir, í hvaða verslun, hvenær og fyrir hvaða upphæð, hvort og hvaða vörum þú skilaðir aftur í hillu og tímalengd, tímasetning verslunarferðarinnar og hvort takist að skanna réttilega vörur sem þú kaupir í verslunarferðum þínum: Við vinnum með þessar upplýsingar í öryggis- og eignavörsluskyni, þ.e. til að geta dregið úr líkum á að ekki sé greitt réttilega fyrir þær vörur sem eru teknar úr versluninni. Í því skyni gerum við í lok verslunarferðar viðskiptavina tilvikabundnar úrtaksskoðanir, á grundvelli framangreindra upplýsinga, þar sem við óskum eftir að fá að athuga hvort tilteknar eða allar vörur úr verslunarferðinni hafi verið réttilega skannaðar og hvort virt hafi verið aldurstakmörk við kaup á vörum sem eru háðar slíku. Þá vinnum við með þær til að geta veitt þér þjónustuna þ.e. birt þér upplýsingar um innkaup þín og afsláttartilboð í smáforritinu eða á „mínum síðum“ og til að geta staðið við lagaskyldur okkar, svo sem varðandi vöruskil og endurgreiðslur. Loks vinnum við með þessar upplýsingar til að hafa eftirlit með því að kerfið okkar virki rétt og lagfæra þegar svo reynist ekki vera. Okkur er því nauðsynlegt að vinna með þessar upplýsingar vegna samnings þíns og okkar, vegna lagaskyldu sem hvílir á okkur og vegna lögmætra hagsmuna sem við gætum. Við vinnum ekki frekar með framangreindar upplýsingar um innkaup þín með persónugreinanlegum hætti en hins vegar tökum við saman tölfræðilegar upplýsingar um hópa viðskipavina okkar og vinnum með þær frekar til að geta bætt þjónustuna og vöruframboð okkar.

Auk þess að vinna með persónuupplýsingar notum við margs konar ópersónugreinanlegar upplýsingar til að stýra álagi á kerfi okkar og til að tryggja uppitíma og rétta virkni þjónustunnar, t.d. tölfræðilegar upplýsingar um hvenær viðskiptavinir okkar versla hvaða vörur, af hvaða svæðum þeir viðskiptavinir komas.frv. Engar slíkar upplýsingar er hægt að rekja til tiltekins viðskiptavinar heldur er einungis um að ræða ópersónugreinanlegar upplýsingar um hópa viðskiptavina.

Þeim persónuupplýsingum um þig sem við vinnum með vegna þjónustunnar miðlum við ekki til þriðja aðila, svo sem til utanaðkomandi vinnsluaðila til dæmis til geymslu eða bókhaldsþjónustu, nema í eftirtöldum tilvikum:

Það upplýsingakerfi sem við notum til að veita þjónustuna er rekið af vinnsluaðila okkar og hýst, ásamt öllum upplýsingum, innan Evrópska efnahagssvæðisins (EES).

Bókhaldsgögn eru afhent innlendum endurskoðendum okkar eftir því sem þeir kunna að óska eftir lögum samkvæmt.

Við áskiljum okkur rétt til að hlíta fyrirmælum þar til bærra íslenskra dómstóla og eftirlitsstofnana um afhendingu gagna, þar á meðal þeirra sem kunna að innihalda persónuupplýsingar.

Geymslutími þeirra persónuupplýsinga sem við vinnum með ræðst af þeim tilgangi sem þeirra er aflað í og þeirri heimild sem vinnslan byggist á. Þannig geymum við tengiliðaupplýsingar þínar á meðan þú ert skráður notandi þjónustunnar. Rétt er að ítreka að notendur geta afskráð sig hvenær sem er og lokað aðgangi sínum fyrirvaralaust.

Við vinnum með upplýsingar um hverja verslunarferð ásamt greiðsluupplýsingum í þann tíma sem okkur er skylt vegna ákvæða í lögum um bókhald í lögum, þ.e. nú í minnst 7 ár en ekki lengur en í 10 ár.

Þar sem við vinnum, eins og kemur fram hér að framan, með persónuupplýsingar um þig þá hefur þú margs kyns réttindi sem mikilvægt er að þú fáir upplýsingar um:

Þú átt rétt á að óska eftir aðgangi að og afriti af persónuupplýsingum þínum hjá okkur, láta okkur leiðrétta þær ef þær eru rangar eða villandi eða láta okkur eyða þeim ef við höfum ekki lengur heimild til að vinna með þær. Þessum réttindum er nánar lýst í lögum um persónuvernd, sbr. nú 17. og 20. gr. laga nr. 90/2018, Þá átt þú samkvæmt síðarnefndu lagagreininni rétt á að flytja eigin gögn eða að við takmörkum vinnslu persónuupplýsinga um þig, að uppfylltum nánar tilteknum skilyrðum. Þú átt einnig rétt á að andmæla vinnslunni skv. 21. gr. laganna.

Þú getur hvenær sem er sent okkur fyrirspurn eða kvörtun vegna vinnslunnar, á netfangið personuvernd(hjá)bonus.is. Þá átt þú rétt á að leggja fram kvörtun hjá Persónuvernd vegna vinnslunnar. Skrifstofa hennar er að Rauðarárstíg 10, 105 Reykjavík og netfang hennar er postur@personuvernd.is.

Um persónuverndarskilmála þessa gilda íslensk lög. Rísi dómsmál um ágreining milli aðila í tengslum við þá skal það mál rekið fyrir héraðsdómi Reykjavíkur.

Persónuverndarskilmálarnir eru ávallt aðgengilegar á vefsíðu okkar, https://www.bonus.is/gripidoggreitt. Við áskiljum okkur rétt til að breyta þeim án fyrirvara og þarf þá að samþykkja hina uppfærðu skilmála til að nota þjónustuna. Í skilmálunum kemur ávallt fram hvenær núgildandi útgáfa tók gildi.

Þessi útgáfa persónuverndarskilmálanna er frá 25. maí 2023 og gildir um alla vinnslu sem á sér stað frá og með þeim degi.