Persónuverndarstefna — Flugbætur

Persónuverndarstefna

ESJA Legal ehf., kt. 470909-2180, og HF15 ehf., kt. 620824-1000, hér eftir sameiginlega „félögin“ eða „við“, eru sameiginlegir ábyrgðaraðilar að vinnslu persónuupplýsinga í tengslum við flugbótaþjónustuna á flugbaetur.is, sbr. 26. gr. reglugerðar (ESB) 2016/679. ESJA Legal ehf. rekur vefinn, annast söfnun og mat umsókna og lögfræðiþjónustu, en HF15 ehf. kaupir og á kröfurnar og ber ábyrgð á innheimtu þeirra. Félögin hafa gert með sér samkomulag um skiptingu skyldna sinna samkvæmt persónuverndarlögum og er meginefni þess rakið í 13. lið hér að neðan.

Stefna þessi byggist á lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, https://www.althingi.is/lagas/nuna/2018090.html, og almennu persónuverndarreglugerðinni (ESB) 2016/679. Um orðskýringar vísast til 3. gr. laganna. Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem rekja má beint eða óbeint til einstaklings.

Í stefnunni er lýst hvaða persónuupplýsingum félögin safna og vinna með, í hvaða tilgangi, á hvaða heimild vinnslan byggist, hve lengi upplýsingarnar eru varðveittar og hvernig öryggis þeirra er gætt.

Megininntak stefnunnar er fjórþætt:

  1. Þær persónuupplýsingar sem við vinnum með nýtum við eingöngu á grundvelli heimildar samkvæmt lögum, samningi eða umboði, og aðeins í þeim tilgangi að veita þá þjónustu sem viðskiptavinurinn hefur óskað eftir.
  2. Persónuupplýsingar eru varðveittar með tryggum hætti og þess gætt að þær berist ekki óviðkomandi.
  3. Upplýsingum er ekki miðlað til annarra nema á grundvelli skýrrar heimildar, lagaboðs eða endanlegs úrskurðar dóms.
  4. Upplýsingum er eytt með varanlegum hætti eins fljótt og heimilt er eða skylt samkvæmt lögum.

Nánari skilmálar:

  1. Tilgangur og heimild. Þegar farþegi sækir um á flugbaetur.is safna félögin persónuupplýsingum hans og meta hvort flugið sem sótt er um sé bótaskylt samkvæmt reglugerð EB 261/2004 og íslenskum lögum. Reynist krafan bótaskyld er hún keypt af HF15 ehf. og innheimt. Vinnslan er nauðsynleg til að efna samning við hinn skráða, sbr. b-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og styðst jafnframt við lögmæta hagsmuni félaganna af mati og innheimtu kröfunnar, sbr. f-lið sömu málsgreinar. Sé upplýsinga aflað frá öðrum en hinum skráða sjálfum er það gert í samræmi við heimildir laga.
  2. Hvaða upplýsingar eru unnar. Félögin vinna einkum með nafn, kennitölu, netfang, símanúmer og bankaupplýsingar farþega, ásamt upplýsingum um flugið sem sótt er um, þ.e. flugnúmer, dagsetningu, flugleið, tafir og afpantanir, og fylgigögn á borð við farseðla og bókunarstaðfestingar. Vegabréfsupplýsinga er aðeins aflað þegar þeirra er þörf til að sanna kröfuna eða koma henni í innheimtu.
  3. Uppruni upplýsinga. Upplýsingar berast að jafnaði frá farþeganum sjálfum við umsókn. Þá kunna upplýsingar að berast frá flugfélögum, bókunaraðilum eða handhöfum dóms- eða framkvæmdavalds. Sömu vinnureglur gilda óháð því hvernig upplýsinga er aflað.
  4. Sjálfvirk greining og gervigreind. Við mat á umsóknum nýta félögin sjálfvirka greiningu, þ. á m. gervigreind, til að meta hvort flugið sé bótaskylt. Greiningin styðst við upplýsingar um flugnúmer, dagsetningu, tafir og önnur atvik og ber þær saman við skilyrði reglugerðar EB 261/2004. Engin endanleg ákvörðun er tekin á grundvelli sjálfvirkrar vinnslu eingöngu; lögmaður á vegum félaganna yfirfer niðurstöðuna og gögn málsins áður en afstaða er tekin. Hinn skráði á rétt á mannlegri íhlutun, að koma sjónarmiðum sínum á framfæri og vefengja niðurstöðuna, sbr. 22. gr. reglugerðarinnar.
  5. Flutningur upplýsinga út fyrir Evrópska efnahagssvæðið. Við vinnslu umsókna kunna félögin að nýta vinnsluaðila sem staðsettir eru utan Evrópska efnahagssvæðisins, einkum í Bandaríkjunum. Slíkur flutningur fer fram á grundvelli viðeigandi verndarráðstafana skv. 46. gr. reglugerðarinnar, þ.e. staðlaðra samningsákvæða framkvæmdastjórnar ESB, og eftir atvikum á grundvelli persónuverndarramma ESB og Bandaríkjanna þar sem vinnsluaðili er vottaður. Félögin hafa lagt mat á áhrif flutningsins og gripið til viðbótarráðstafana, þ. á m. dulkóðunar og lágmörkunar þeirra upplýsinga sem fluttar eru.
  6. Vinnsluaðilar. Félögin nýta vinnsluaðila við hýsingu vefsins, sjálfvirkni, gervigreindarvinnslu og tölvupóstþjónustu. Um alla slíka vinnslu liggur fyrir vinnslusamningur skv. 28. gr. reglugerðarinnar. Listi yfir vinnsluaðila er aðgengilegur sé þess óskað.
  7. Miðlun til þriðju aðila. Persónuupplýsingum er aðeins miðlað til þriðju aðila á grundvelli samþykkis, samnings, umboðs eða lagaboðs, t.d. til flugfélaga, dómstóla eða innheimtuaðila vegna kröfunnar. Miðlun upplýsinga milli félaganna tveggja fer fram innan hinnar sameiginlegu vinnslu og telst ekki miðlun til þriðja aðila.
  8. Öryggisráðstafanir. Félögin grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar gegn því að þær glatist, breytist fyrir slysni eða komist í hendur óviðkomandi. Meðal annars eru gagnageymslur aðgangsstýrðar, dulkóðaðar og aðgangur skráður.
  9. Varðveislutími. Almennar upplýsingar um viðskiptavini eru varðveittar í eitt ár frá lokum viðskipta, nema upplýsingar falli undir sérlög eða reglugerðir. Upplýsingar sem falla undir bókhaldslög eru varðveittar í sjö ár frá lokum viðkomandi reikningsárs.
  10. Réttindi hins skráða. Einstaklingur á rétt á að fá upplýsingar um vinnslu persónuupplýsinga um sig og afrit þeirra, láta leiðrétta rangar upplýsingar, fá þeim eytt, takmarka vinnslu, andmæla vinnslu og óska mannlegrar íhlutunar vegna sjálfvirkrar vinnslu, innan þeirra marka sem persónuverndarlög setja. Hafi vinnsla byggst á samþykki má afturkalla það hvenær sem er. Hinn skráði getur neytt réttinda sinna gagnvart hvoru félaginu sem er, sbr. 3. mgr. 26. gr. reglugerðarinnar. Þá á hann rétt á að leggja fram kvörtun hjá Persónuvernd, personuvernd.is, telji hann vinnsluna brjóta í bága við persónuverndarlög.
  11. Börn. Þegar forsjáraðili framselur kröfu ólögráða barns vinna félögin persónuupplýsingar barnsins með sérstakri aðgát og einungis í þeim tilgangi sem nauðsynlegur er til að meta og innheimta kröfuna.
  12. Þagnarskylda. Lögmenn ESJA Legal ehf. sem yfirfara gögn málsins eru bundnir þagnarskyldu samkvæmt lögmannalögum.
  13. Sameiginleg ábyrgð og tengiliður. Félögin tvö eru sameiginlegir ábyrgðaraðilar og hafa gert með sér samkomulag um skiptingu skyldna skv. 26. gr. reglugerðarinnar. Í meginatriðum annast ESJA Legal ehf. rekstur vefsins, fræðslu til skráðra einstaklinga, afgreiðslu beiðna um réttindi, öryggi vinnslunnar og samskipti við vinnsluaðila, en HF15 ehf. ber ábyrgð á vinnslu vegna keyptra krafna og innheimtu þeirra. Sameiginlegur tengiliður félaganna er Ómar R. Valdimarsson lögmaður, omar@esl.is, sími 517-3100. Beiðnir um réttindi og fyrirspurnir má senda til ESJA Legal ehf. að Hlíðarfæti 15, 102 Reykjavík. Gerð er krafa um fullgild persónuskilríki með mynd til að tryggja örugga auðkenningu. Beiðnir eru ekki afgreiddar í gegnum síma eða tölvupóst, enda uppfylla þeir samskiptamátar ekki persónuverndarkröfur. Einstaklingar eru hvattir til að senda aldrei viðkvæmar persónuupplýsingar um sig með tölvupósti. Almennum fyrirspurnum er svarað á info@flugbaetur.is.
  14. Breytingar. Félögin geta breytt þessari stefnu hvenær sem er, t.d. til að samræma hana gildandi lögum og reglum. Breytingar taka gildi við birtingu.

Stefna þessi var sett 15. júlí 2018 og síðast uppfærð 5. júní 2026.

Vefkökustefna

Á vef flugbaetur.is verða til upplýsingar um heimsóknina. Við notum vafrakökur til að vefurinn virki rétt, til að halda utan um heimsóknir og til að geyma stillingar notenda, svo sem tungumálastillingar.

Nauðsynlegar vafrakökur eru settar til að vefurinn virki og krefjast ekki samþykkis. Vafrakökur til vefmælinga og markaðssetningar, þ. á m. frá Google Analytics og Meta (Facebook), eru aðeins settar eftir að notandi hefur veitt samþykki sitt á samþykkisborða vefsins. Notandi getur hvenær sem er breytt eða afturkallað samþykki sitt í stillingum vefsins og getur einnig hafnað vafrakökum í stillingum vafrans.

Google Analytics er notað til vefmælinga og safnar upplýsingum við hverja heimsókn, t.d. um dagsetningu og tíma, hvernig notandinn kemur inn á vefinn og hvaða vafra og tæki hann notar. Þessar upplýsingar geta falið í sér miðlun til Google. Meta-vafrakaka er notuð til mælinga á árangri auglýsinga og getur falið í sér miðlun til Meta.

Vafrakökur sem vistaðar eru og líftími þeirra:

  • _ga_TCC8KX0YWC — Google Analytics — 2 ár
  • _ga — Google Analytics — 2 ár
  • _gid — Google Analytics — 1 dagur
  • _gat_gtag_UA_191197783_1 — Google Analytics — 1 mínúta
  • _fbp — Meta (Facebook) — 3 mánuðir

Vefurinn notar SSL-skilríki þannig að öll samskipti milli notanda og vefs eru dulkóðuð. Tilgangurinn er að hindra að utanaðkomandi aðilar komist yfir viðkvæm gögn á borð við lykilorð eða persónuupplýsingar.

© 2017–2026 ESJA Legal ehf. og HF15 ehf. Allur réttur áskilinn.