Greenfit ehf., kt. 44022-01500, Dalvegi 16b, 201 Kópavogi (einnig kallað „félagið“ í þessari persónuverndarstefnu) sérhæfir sig í veitingu heilsutengdrar ráðgjafar, svo sem varðandi hreyfingu, líkamsrækt og mataræði. Þjónusta Greenfit miðar öll að því yfirlýsta markmiði félagsins að efla heilsu og fjölga heilbrigðum æviárum. Greenfit notar heilsumælingar til að kortleggja heilsu og aðstoða viðskiptavini félagsins til að finna tækifæri til bætinga, betri lífsgæða og styðja við heilbrigðan lífsstíl.

Greenfit leggur ríka áherslu á að vernda persónuupplýsingar og virða réttindi viðskiptavina og annarra sem eiga í samskiptum við félagið. Greenfit hefur það að markmiði að tryggja í hvívetna öryggi, trúnað og áreiðanleika allra persónuupplýsinga sem unnið er með á vegum félagsins. Því hefur Greenfit sett svohljóðandi persónuverndarstefnu, í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (persónuverndarlaga) og ákvæði persónuverndarreglugerðar (ESB) nr. 2019/679.

Persónuverndarstefna þessi nær til persónuupplýsinga sem félagið safnar og vinnur með varðandi viðskiptavini sína. Greenfit ber ábyrgð á vinnslu og meðferð persónuupplýsinga sem unnið er með í starfsemi félagsins og telst því ábyrgðaraðili að þeim vinnslum samkvæmt lögum og reglum um persónuvernd. Markmið stefnunnar er að taka saman yfirlit yfir þær persónuupplýsingar sem Greenfit vinnur með og veita upplýsingar um hvernig söfnun og meðferð persónuupplýsinga er hjá félaginu í þeim tilgangi að framfylgja lögum og reglum um persónuvernd. Í stefnunni er einnig farið yfir hvernig öryggi persónuupplýsinga er tryggt og hvaða réttindi einstaklingar eiga á grundvelli persónuverndarlaga.

1. Um hverja vinnur Greenfit persónuupplýsingar?

Greenfit vinnur persónuupplýsingar um viðskiptavini, starfsmenn sína og aðra þá aðila sem félagið á í samskiptum við vegna starfsemi sinnar, m.a. birgja, verktaka og fleiri aðila sem sinna þjónustu eða eru í samstarfi við félagið. Það ræðst af eðli sambands við hvern og einn einstakling hvaða upplýsingar er um að ræða hverju sinni. Algengast er að félagið taki á móti persónuupplýsingum frá einstaklingi sjálfum og að persónuupplýsingar verði til við veitingu þjónustu Greenfit svo sem niðurstöður heilsufarsmælinga. Söfnun og vinnsla persónuupplýsinga er í mörgum tilvikum forsenda þess að félagið geti veitt heilsutengda þjónustu.

2. Hvaða persónuupplýsingar vinnur Greenfit og með hvaða hætti?

Öll vinnsla persónuupplýsinga er í samræmi við gildandi persónuverndarlöggjöf. Vinnslan fer ávallt fram í skýrum, lögmætum og málefnalegum tilgangi og tryggt er að upplýsingar séu nauðsynlegar og ekki umfram það sem nauðsynlegt er.

Persónupplýsingar sem Greenfit vinnur flokkast bæði sem almennar persónuupplýsingar og viðkvæmar persónuupplýsingar. Það fer eftir eðli þjónustunnar hvaða persónuupplýsingar Greenfit vinnur. Helstu persónuupplýsingar sem Greenfit vinnur með eru:

  • Grunnupplýsingar: Nafn, kennitala, heimilisfang, símanúmer, netfang og aðrar upplýsingar sem nauðsynlegar eru til þess að geta auðkennt einstakling og átt samskipti við viðkomandi.
  • Heilsutengdar upplýsingar: Heilsutengdar upplýsingar eru m.a. upplýsingar um heilsu og heilsufar, hæð, þyngd og niðurstöður mælinga og prófa sem eru unnar til þess að geta veitt þá þjónustu sem Greenfit býður upp á. Heilsufarsupplýsingar teljast til viðkvæmar persónuupplýsingar og er samþykki einstaklinga skilyrði þess að með þær sé unnið hjá Greenfit.
  • Aðrar upplýsingar: Framangreind upptalning er ekki tæmandi og Greenfit kann að vinna aðrar upplýsingar um einstakling sem nauðsynlegar eru hverju sinni en slíkt fer eftir eðli viðskiptasambandsins.

Í upphafi viðskiptasambands safnar Greenfit grunnupplýsingum um einstaklinga og fær upplýst samþykki fyrir vinnslu viðkvæmra persónuupplýsinga. Í framhaldinu lætur einstaklingur af hendi upplýsinga sem þörf er á svo unnt sé að veita þá þjónustu og ráðgjöf sem viðkomandi óskar eftir. Neiti einstaklingur að afhenda persónuupplýsingar eða andmælir vinnslu þeirra getur það haft áhrif á það hvort eða hvernig unnt sé að veita viðkomandi þjónustu og í sumum tilvikum getur það leitt til þess að Greenfit sé ómögulegt að veita umbeðna þjónustu.

Greenfit safnar aðeins persónuupplýsingum sem eru nauðsynlegar og viðeigandi hverju sinni og ræðst það af eðli sambands milli Greenfit og einstaklingsins sem um ræðir hvaða upplýsingar það eru.

3. Heimildir til vinnslu persónuupplýsinga

Söfnun og vinnsla persónuupplýsinga um einstaklinga hjá Greenfit grundvallast í flestum tilvikum á samningi milli viðskiptavinar og Greenfit um tiltekna þjónustu og samþykki viðkomandi einstaklings. Þegar unnið er með viðkvæmar persónuupplýsingar óskar Greenfit eftir upplýstu samþykki fyrir vinnslunni. Í þeim tilvikum getur einstaklingur hvenær sem er dregið samþykki sitt til baka og er þá þeirri vinnslu hætt sem samþykkið nær til. Greenfit safnar og vinnur einnig persónuupplýsingar í þeim tilvikum þar sem félaginu er það skylt samkvæmt lögum.

4. Miðlun persónuupplýsinga

Samskipti Greenfit við einstaklinga fara einkum fram með tölvupósti, í gegnum smáforrit (app) eða gegnum vefsíðu Greenfit þar sem notendur auðkenna sig með rafrænum skilríkjum. Einnig geta samskipti farið fram netspjalli, skriflega, munnlega eða á samfélagsmiðlum. Á vefsíðu Greenfit (Mín heilsa) og í gegnum smáforrit Greenfit eru niðurstöður mælinga og prófa aðgengilegar viðskiptavinum Greenfit.​

Greenfit miðlar persónuupplýsingunum til starfsmanna félagsins og viðskiptavina sinna. Greenfit miðlar ekki persónuupplýsingum um viðskiptavini til annarra nema félaginu sé það skylt samkvæmt lögum eða til að framfylgja skyldu á grundvelli samnings. Viðskiptavinur getur þó heimilað félaginu að afhenda persónuupplýsingar um viðkomandi til þriðja aðila með samþykki sínu. Persónuupplýsingum er einnig miðlað til vinnsluaðila sem vinna persónuupplýsingar á vegum Greenfit. Meðhöndlun upplýsinga og kröfur sem Greenfit gerir til vinnsluaðila eru tilgreindar í vinnslusamningum sem félagið gerir við sína þjónustuaðila. ​

Niðurstöður blóðmælinga sem gerðar eru á rannsóknarstofum hér á landi kunna að vera skráðar í sjúkraskrá viðkomandi einstaklings á grundvelli laga um sjúkraskrár nr. 55/2009 og aðgengilegar heilbrigðisstarfsfólki. Greenfit hefur ekki aðgang að upplýsingum í sjúkraskrá einstaklinga. Greenfit hefur aðeins aðgang að niðurstöðum mælinga og prófa sem unnar eru í tengslum við þjónustu Greenfit. Niðurstöður mælinga og prófa sem gerðar eru á vegum Greenfit eru skráðar í kerfi Greenfit sem er aðgengilegt viðskiptavinum félagsins.

5. Varðveisla persónuupplýsinga

Greenfit varðveitir persónuupplýsingar eins lengi og nauðsynlegt er og í samræmi við þann tilgang sem þeim var safnað. Um varðveislu sumra persónuupplýsinga er mælt fyrir í lögum, s.s. um varðveislu upplýsinga sem skráðar eru í sjúkraskrá fer samkvæmt lögum um sjúkraskrár nr. 55/2009 og um bókhaldsgögn fer samkvæmt lögum um bókhald nr. 145/1994.

Við mat á hæfilegum geymslutíma fyrir persónuupplýsingar er tekið mið af umfangi, tegund og eðli upplýsinganna sem um ræðir og áhættunni af því að óviðkomandi fái aðgang að þeim. Almennt er persónuupplýsingum eytt eða þær gerðar ópersónugreinanlegar um leið og ekki er lengur þörf á þeim vegna tilgangs vinnslunnar.

Í samræmi við það markmið Greenfit að efla heilsulæsi viðskiptavina félagsins eru heilsutengdar upplýsingar varðveittar, og eru viðskiptavini aðgengilegar, þar til viðkomandi dregur samþykki sitt fyrir vinnslu þeirra til baka og/eða óskar eftir eyðingu þeirra.

​6. Réttindi einstaklinga

Einstaklingar njóta ákveðinna réttinda á grundvelli persónuverndarlöggjafarinnar. Greenfit leitast við að tryggja einstaklingum eftirfarandi réttindi, með þeim takmörkunum sem við geta átt:

  • Réttur til aðgangs að eigin persónuupplýsingum: Einstaklingar eiga rétt á því að fá vitneskju um þá vinnslu persónuupplýsinga sem á sér stað hjá félaginu, upplýsingar um tilgang vinnslunnar og afrit af þeim upplýsingum sem unnið er með.
  • Réttur til leiðréttingar: Einstaklingur á rétt á því að fá rangar persónuupplýsingar er varða viðkomandi leiðréttar og láta lagfæra ófullkomnar persónuupplýsingar.
  • Réttur til eyðingar persónuupplýsinga: Í vissum tilvikum eiga einstaklingar rétt á því að persónuupplýsingum um þá sé eytt nema í þeim tilvikum þegar Greenfit er skylt að lögum að eiga upplýsingarnar eða hefur brýna hagsmuni af því. Viðskiptavinir félagsins geta hvenær sem er dregið samþykki sitt fyrir vinnslu heilsufarstengdra persónuupplýsinga til baka og óskað eftir eyðingu þeirra.
  • Réttur til takmörkunar á vinnslu: Einstaklingar geta í ákveðnum tilvikum krafist þess að vinnsla persónuupplýsinga sé takmörkuð. Ef niðurstaðan er sú að upplýsingaöflun hafi verið of víðtæk eða persónuupplýsingar rangar er meðferð þeirra breytt.
  • Réttur til að andmæla vinnslu persónuupplýsinga: Í þessu felst að hafi einstaklingur veitt samþykki fyrir vinnslu er honum heimilt að draga samþykki sitt til baka hvenær sem er.
  • Þessi réttindi eru ekki fortakslaus og kann beiðni að vera hafnað, eftir því sem lög kveða á um. Komi til þess að Greenfit hafnar beiðni í heild eða að hluta mun félagið útskýra á hvaða grundvelli það er gert. Einstaklingar þurfa ekki að greiða fyrir að nýta réttindi sín. Beiðnum sem félaginu berast er svarað án ótilhlýðilegra tafa og innan mánaðar frá viðtöku beiðninnar. Ef um er að ræða sérstaklega umfangsmikla beiðni er unnt að lengja frestinn um tvo mánuði til viðbótar.

Ef einstaklingur óskar eftir að nýta sér lögbundinn rétt sinn er unnt að hafa samband við Greenfit í tölvupósti á netfangið [email protected].

7. Trúnaður

Greenfit leggur ríka áherslu á að trúnaðar sé gætt um persónu- og heilsufarsupplýsingar. Allt starfsfólk félagsins er bundið þagnarskyldu og hefur skuldbundið sig til þess að gæta fyllsta trúnaðar og helst trúnaðarskyldan þrátt fyrir að látið sé af starfi.

8. Öryggi persónuupplýsinga og tilkynningar um öryggisbresti

Greenfit leggur ríka áherslu á öryggi við vinnslu persónuupplýsinga og hefur gripið til viðeigandi tæknilegra og skipulagslegra öryggisráðstafana til að tryggja að persónuupplýsingar glatist ekki, komist í hendur þriðju aðila, eða taki breytingum. Stuðlað er að virkri öryggisvitund starfsmanna og þjónustu- og samstarfsaðila. Aðeins starfsmenn félagsins og þjónustuaðilar félagsins hafa aðgang að persónuupplýsingum og eru aðgangsstýringar viðhafðar þar sem aðeins þau sem vinna með viðkomandi gögn starfs síns vegna hafa aðgang að þeim. Komi upp öryggisbrestur við meðferð persónuupplýsinga, þar sem staðfest er eða grunur leikur á að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Persónuvernd og eftir atvikum einstaklingum tilkynnt um öryggisbrest nema hann hafi ekki í för með sér mikla áhættu fyrir einstaklinga.

9. Samskipti við Greenfit og við Persónuvernd

Fyrirspurnum, athugasemdum og ábendingum sem varða persónuupplýsingar og persónuvernd hjá Greenfit er unnt að beina á netfangið [email protected]. Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið [email protected] eða með því að senda bréfpóst til: Persónuvernd, Rauðarárstígur 10, 105 Reykjavík, Ísland.

10. Uppfærsla á persónuverndarstefnunni

Greenfit er ávallt að leita leiða til þess að bæta og auka öryggi í viðskiptum sínum og kann persónuverndarstefnan að taka breytingum af þeim sökum. Greenfit er heimilt að breyta þessari stefnu og bæta við hana hvenær sem er til þess að endurspegla best þá vinnslu sem fer fram hverju sinni hjá Greenfit. Stefnan skal yfirfarin eigi sjaldnar en á tveggja ára fresti. Breytingar á stefnunni öðlast gildi við birtingu uppfærðar stefnu á vefsíðu félagsins, www.greenfit.is.

Síðast uppfært: 10.júlí 2023