Persónuverndaryfirlýsing

Ábyrgðaraðili í skilningi almennrar persónuverndarreglugerðar ESB ("GDPR") er:
EvoBus GmbH (við)
HPC R512
Mercedesstraße 127/6
70327 Stuttgart
Þýskalandi

E-Mail: mbox-datenschutz-evobus@daimler.com

Persónuverndarfulltrúi:
Persónuverndarfulltrúi fyrirtækisins
HPC E600
D-70546 Stuttgart
Þýskalandi

E-Mail: data.protection@daimler.com

1. Persónuvernd
Við hlökkum til heimsóknar þinnar á vefsíður okkar og gleðjumst yfir áhuga þínum á tilboðum okkar. Við leggjum ríka áherslu á að vernda persónuupplýsingar þínar. Í þessum upplýsingum um persónuvernd útskýrum við hvernig við söfnum persónuupplýsingum um þig, hvað við gerum við þær, hvaða tilgangi það þjónar og á hvaða lagagrundvelli það byggist sem og hvaða réttindi þú hefur í þessu sambandi. Við vísum jafnframt á persónuverndarreglur Daimler:

Persónuverndarstefna Daimler

Upplýsingar okkar um persónuvernd við notkun á vefsíðum okkar, persónuverndarreglur Daimler AG og upplýsingar EvoBus GmbH um persónuvernd fyrir viðskiptavini gilda ekki um það sem notendur gera á samfélagsmiðlum eða hjá öðrum rekstraraðilum sem nálgast má í gegnum tengla á vefsíðum okkar. Kynna skal sér persónuverndarákvæði á vefsíðum viðkomandi rekstraraðila.

2. Söfnun og úrvinnsla persónuupplýsinga þinna
a. Þegar þú heimsækir vefsíður okkar geymum við ákveðnar upplýsingar um vafrann og stýrikerfið sem þú notar, dagsetningu og tíma heimsóknarinnar, stöðu aðgangs (t.d. hvort tekist hafi að sækja síðuna eða hvort villumelding hafi komið upp), hvaða virkni vefsíðunnar er notuð, hugsanleg leitarorð sem slegin eru inn, hversu oft þú sækir ákveðnar vefsíður, lýsing á þeim gögnum sem þú sækir, flutt gagnamagn, vefsíðuna þaðan sem þú komst á okkar vefsíðu, og vefsíðuna sem þú heimsækir frá okkar vefsíðu, hvort sem það er með því að smella á tengla á okkar vefsíðu eða með því að slá inn veffang beint í innsláttarreit sama flipans í vafranum (eða í sama glugga) þar sem þú opnaðir okkar vefsíður. Þar að auki vistum við IP-tölu þína og heiti netþjónustuveitu þinnar í sjö daga, en það er gert af öryggisástæðum og þá sérstaklega til að koma í veg fyrir og greina árásir á vefsíður okkar eða tilraunir til sviksamlegra athafna.

b. Aðrar persónuupplýsingar geymum við aðeins ef þú deilir þessum upplýsingum með okkur, t.d. í formi nýskráningar, ef fyllt er inn í eyðublað fyrir sambandsupplýsingar, í könnunum, í vinningsleikjum, eða til að koma samningi í framkvæmd, en í slíkum tilfellum eru upplýsingarnar þó aðeins geymdar ef fyrir liggur leyfi frá þér eða það er samræmi við gildandi ákvæði laga (frekari upplýsingar er að finna í hlutanum "Lagagrundvöllur fyrir úrvinnslu").

c. Þú ert ekki bundinn af lögum né neinum samningi um að afhenda persónuupplýsingar þínar. Þó getur verið að tiltekin virkni vefsíða okkar sé háð afhendingu persónuupplýsinga. Kjósir þú að gefa ekki upp persónuupplýsingar þínar í slíkum tilfellum getur það leitt til þess ekki sé hægt að nota ákveðna virkni eða að hana megi aðeins nota að hluta.

3. Tilgangur fyrir notkun
a. Þær upplýsingar sem við söfnum þegar vefsíður okkar eru sóttar notum við til að gera síðurnar sem allra þægilegastar fyrir þig og einnig til að vernda UT-kerfi okkar fyrir árásum og öðrum ólöglegum athöfnum.

b. Ef þú deilir með okkur frekari persónuupplýsingum, t.d. í formi nýskráningar, með því að fylla inn í eyðublað fyrir sambandsupplýsingar, í könnunum, í vinningsleikjum eða til að koma samningi í framkvæmd, þá notum við þessar upplýsingar í fyrrgreindum tilgangi, til að halda utan um samband okkar við viðskiptavini og – ef nauðsyn krefur – til að framfylgja og gera upp hvers kyns viðskipti, að svo miklu leyti sem hvert og eitt tilvik krefst.

c. Í öðrum tilgangi (t.d. til þess að birta persónusniðið efni eða auglýsingar á grundvelli notkunar þinnar) notum við og e.t.v. valdir þriðju aðilar persónuupplýsingar þínar, svo fremi sem þú hefur veitt samþykki þitt fyrir því í Consent Management-kerfi okkar. Frekari upplýsingar og valkosti er að finna hér.

d. Jafnframt notum við persónuupplýsingar svo fremi sem okkur ber lagaleg skylda til þess (m.a. vistum við þær vegna lögbundinnar varðveisluskyldu og afhendum þær að skipun opinberra aðila eða dómstóla, t.d. löggæsluyfirvalda).

4. Afhending persónuupplýsinga til þriðja aðila; Social Plug-ins (viðbætur frá samfélagsmiðlum)
a. Á vefsíðum okkar getur einnig verið að finna tilboð frá þriðju aðilum. Ef þú smellir á slík tilboð sendum við nauðsynlegt magn upplýsinga á viðkomandi þriðja aðila  (t.d. þá staðreynd að þú hafir fundið tilboðið hjá okkur og hugsanlega frekari upplýsingar sem þú hefur þegar gefið upp í þessum tilgangi á vefsíðum okkar).

b. Þegar við notumst við svokölluð "Social Plug-in" viðbætur á vefsíðum okkar frá samfélagsmiðlum eins og Facebook, Twitter og Google+ er uppsetning þeirra á eftirfarandi hátt:

Þegar þú ferð á vefsíður okkar eru þessi Social Plug-in ekki virk, þ.e. engin gögn eru send til rekstraraðila þessara netkerfa. Ef þú vilt nota eitt þessara netkerfa smellirðu að viðkomandi Social Plug-in, og kemur þannig á beinu sambandi við netþjón viðkomandi netkerfis.

Ef þú ert þegar með notandareikning á því netkerfi og ert þar innskráður á því augnabliki sem þú smellir á Social Plug-in-viðbótina, getur netkerfið samþætt heimsókn þína á okkar vefsíður við notandareikninginn. Viljirðu komast hjá þessu, vinsamlegast skráðu þig þá út af hinu netkerfinu áður en þú virkjar Social Plug-in viðbótina. Netkerfi samfélagsmiðils getur ekki tengst öðrum vefsíðum frá Daimler sem þú heimsækir fyrr en þú hefur einnig virkjað aðra Social Plug-in viðbót sem þar er til staðar.

Þegar þú virkjar Social Plug-in viðbótina flytur netkerfið upplýsingarnar sem þá verða tiltækar beint í vafrann þinn sem síðan samþættir þær við vefsíður okkar. Við slíkar aðstæður getur flutningur gagna átt sér stað, en viðkomandi netkerfi samfélagsmiðils sér um framkvæmd og stjórnun flutningsins. Eingöngu persónuverndarákvæði viðkomandi netkerfis gilda að því er varðar tengingu þína við netkerfi samfélagsmiðils og gagnaflutnings sem á sér stað á milli netkerfisins og þíns kerfis og aðgerðir þínar á þeim vettvangi.

c. Þegar notandi smellir á tengil í efni eða gerir "social plug-in" virkan getur verið að persónuupplýsingar séu sendar til þjónustuaðila í löndum utan Evrópska efnahagssvæðisins sem Evrópusambandið ("ESB") lítur svo á að tryggi ekki "fullnægjandi vernd" vegna vinnslu persónuupplýsinga samkvæmt ESB-reglum. Hafa skal þetta í huga áður en smellt er á tengil eða "social plug-in" er gerður virkur og flutningur á persónuupplýsingum er þar með settur í gang.

d. Við rekstur, endurbætur og öryggisráðstafanir á vefsíðum okkar notumst við jafnframt við sérhæfða þjónustuaðila (t.d. þjónustuaðila á sviði upplýsingatækni og markaðsstofur). Við miðlum persónuupplýsingum eingöngu til þessara aðila að því marki sem nauðsynlegt er til þess að hægt sé að bjóða upp á og nota vefsíðurnar og eiginleika þeirra, til að standa vörð um lögmæta hagsmuni, til að uppfylla lagalegar skuldbindingar eða að því marki sem þú hefur veitt samþykki þitt fyrir (sjá lið 7). Nánari upplýsingar um viðtakendur koma fram í Consent Management-kerfi okkar.

5. Vafrakökur
a. Þegar vefsíður okkar eru heimsóttar kunna að vera notaðar vafrakökur. Tæknilega er um að ræða svokallaðar HTML-vafrakökur og álíka hugbúnaðarverkfæri á borð við "Web/DOM Storage" eða "Local Shared Objects" (svokallaðar "Flash-vafrakökur"), sem í sameiningu nefnast vafrakökur.

b. Vafrakökur eru litlar skrár sem eru vistaðar á borðtölvu, fartölvu eða fartæki notandans meðan á heimsókn á vefsíðu stendur. Þannig er t.d. hægt að sjá hvort tækið hefur þegar tengst vefsíðunum, taka tillit til valins tungumáls notanda eða annarra stillinga, bjóða notanda upp á tiltekna eiginleika (t.d. netverslun eða hönnunartól) eða greina áhugasvið út frá notkun. Vafrakökur geta einnig innihaldið persónuupplýsingar.

c. Það hvort og þá hvaða vafrakökur eru notaðar við heimsókn notanda á vefsíðum okkar fer eftir því hvaða svæði og eiginleikar á vefsíðum okkar eru notuð og hvort notandi veiti samþykki sitt fyrir notkun vafrakaka sem eru ekki tæknilega nauðsynlegar í Consent Management-kerfi okkar. Frekari upplýsingar og valkosti er að finna hér.

d. Notkun á vafrakökum fer jafnframt eftir stillingum vafrans sem er notaður (Microsoft Edge, Google Chrome, Apple Safari, Mozilla Firefox).  Flestir vafrar eru stilltir á að samþykkja tilteknar vafrakökur sjálfkrafa, en yfirleitt er hægt að breyta þessari stillingu. Hægt er að eyða fyrirliggjandi vafrakökum hvenær sem er. Hægt er að eyða "Web/DOM-Storage" og "Local Shared Objects" sérstaklega. Leiðbeiningar um hvernig þetta er gert í viðkomandi vafra eða tæki er að finna í leiðbeiningum framleiðandans hverju sinni.

e. Val um að samþykkja, hafna eða eyða vafrakökum er bundið við tækið og vafrann sem notast er við hverju sinni. Ef notast er við mismunandi tæki eða vafra er hægt að breyta vali eða stillingum í hverju tæki eða hverjum vafra fyrir sig.

f. Velji notandi að samþykkja ekki notkun á vafrakökum eða að eyða vafrakökum getur verið að einhverjir eiginleikar á vefsíðum okkar standi ekki til boða eða aðeins að takmörkuðu leyti.

6. Öryggi
Við gerum viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að koma í veg fyrir að notendagögn í okkar umsjá séu misnotuð, glatist, eyðileggist eða komist í hendur óviðkomandi aðila. Við bætum öryggisráðstafanirnar stöðugt í samræmi við tækninýjungar.

7. Lagalegur grundvöllur fyrir úrvinnslu
a. Svo fremi sem þú hefur veitt samþykki þitt fyrir því að við vinnum úr persónuupplýsingum þínum er það orðinn lagalegur grundvöllur fyrir úrvinnslu þeirra (Grein 6, málsgr. 1, liður a í GDPR).

b. Fyrir úrvinnslu persónuupplýsinga, í þeim tilgangi að leggja grunnin að eða uppfylla samning við þig, er lagalegi grundvöllurinn grein 6, málsgr. 1, liður b í GDPR.

c. Ef úrvinnsla persónuupplýsinga þinna er nauðsynleg til að uppfylla lagalegar skyldur okkar (t.d. geymsla gagna), höfum við til þess heimild í samræmi við grein 6, málsgr. 1, lið c í GDPR.

d. Jafnframt vinnum við úr persónuupplýsingum í því skyni að gæta lögmætra hagsmuna okkar sem og lögmætra hagsmuna þriðja aðila samkvæmt f-lið 1. mgr. 6. gr. almennu persónuverndarreglugerðarinnar. Til slíkra lögmætra hagsmuna telst það að tryggja starfhæfi tölvukerfa okkar, (bein) markaðssetning á vörum og þjónustu frá okkur eða öðrum (hafi notandi ekki veitt samþykki sitt fyrir slíku) og lögboðin skráning á viðskiptamönnum. Innan ramma nauðsynlegs hagsmunamats hverju sinni tökum við einkum tillit til þess um hvers kyns persónuupplýsingar er að ræða, tilganginn með notkun þeirra, skilyrðum við vinnslu og hagsmuna þinna af því að farið sé með persónuupplýsingar þínar sem trúnaðarmál.

8. Eyðing persónuupplýsinga þinna
Við eyðum IP-tölu þinni og heiti netþjónustuveitu þinnar, sem við geymum aðeins af öryggisástæðum, innan sjö daga. Annars eyðum við persónuupplýsingum þínum um leið og ástæðan fyrir því að við sóttum og unnum úr upplýsingunum er ekki lengur til staðar. Að þeim tíma liðnum eru upplýsingar eingöngu vistaðar sé þess krafist samkvæmt lögum, reglugerðum eða öðrum lagaákvæðum Evrópusambandsins eða aðildarríkis Evrópusambandsins.

9. Réttindi hlutaðeigandi einstaklings
a. Sem hlutaðeigandi einstaklingur að gagnaúrvinnslunni átt þú rétt á upplýsingum (gr. 15 GDPR), leiðréttingu (gr. 16 GDPR), eyðingu gagna (gr. 17 GDPR), takmörkun á úrvinnslu (gr. 18 GDPR) að flytja eigin gögn (gr. 20 GDPR).

b. Hafir þú veitt samþykki þitt fyrir því að við vinnum úr persónuupplýsingum þínum hefurðu rétt á því að afturkalla samþykkið hvenær sem er. Réttmæti úrvinnslu persónuupplýsinga þinna fram að afturköllun samþykkis verður ekki fyrir áhrifum af afturkölluninni. Sömuleiðis hefur það ekki áhrif á frekari úrvinnslu gagnanna ef úrvinnslan byggist á öðrum lagalegum grundvelli, eins og til að uppfylla réttarfarslegar skyldur (sjá kaflann "Lagalegur grundvöllur fyrir úrvinnslu").

c. Andmælaréttur  
Notandi hefur hvenær sem er, af ástæðum sem rekja má til sérstakra aðstæðna hans, rétt til að andmæla vinnslu persónuupplýsinga sem honum tengjast og fer fram á grundvelli e-liðs 1. mgr. 6. gr. almennu persónuverndarreglugerðarinnar (vinnsla persónuupplýsinga í þágu almannahagsmuna) eða f-liðs 1. mgr. 6. gr. almennu persónuverndarreglugerðarinnar (vinnsla persónuupplýsinga á grundvelli vægis lögmætra hagsmuna). Leggi notandi fram andmæli munum við ekki halda vinnslu persónuupplýsinga hans áfram nema að við getum sýnt fram á mikilvægar lögmætar ástæður fyrir slíku sem vega þyngra en hagsmunir, réttindi og frelsi notandans, eða að vinnslan fari fram í því skyni að stofna, hafa uppi eða verja réttarkröfur. Svo fremi sem við vinnum úr persónuupplýsingum þínum til þess að geta stundað beina markaðssetningu í því skyni að verja lögmæta hagsmuni okkar á grundvelli hagsmunamats hefur notandi jafnframt hvenær sem er rétt til að leggja fram andmæli án þess að tilgreina ástæður.

d. Vinsamlegast sendu kröfur þínar eða útskýringar á eftirfarandi sambandsupplýsingar ef mögulegt er: mbox-datenschutz-evobus@daimler.com.

e. Sértu þeirrar skoðunar að úrvinnsla persónuupplýsinga þinna brjóti gegn lagaákvæðum hefurðu rétt á að leggja fram kvörtun til þess bærra yfirvalda sem sjá um gagnaöryggi (grein 77 GDPR).

10. Fréttapistlar
Ef þú gerist áskrifandi að fréttapistlum okkar, sem við bjóðum þér að gera á vefsíðu okkar, eru upplýsingarnar sem þú slærð inn við skráningu fyrir fréttapistlunum aðeins notaðar til að senda þér fréttapistlana, nema þú hafir samþykkt aðra og meiri notkun þeirra. Notandi getur hvenær sem er hætt í áskrift með afskráningarmöguleikanum í fréttabréfinu.

11. Miðlæg aðgangsþjónusta Daimler AG
Með miðlægri aðgangsþjónustu Daimler AG geturðu skráð þig inn á allar vefsíður og forrit á vegum Daimler-samsteypunnar og vörumerkja hennar sem tengd eru þessari þjónustu. Sérstök persónuverndarstefna á við um notkunarskilmálana sem þar eru í gildi. Þú getur sótt notkunarskilmála á viðkomandi innskráningarsíðum sem tengdar eru vefsíðunum og forritunum.

12. Miðlun upplýsinga til viðtakenda utan Evrópska efnahagssvæðisins
a. Þegar notast er við þjónustuaðila (sjá lið 4. d.) og upplýsingum er miðlað með samþykki þínu til þriðju aðila (sjá lið 3.c) kann persónuupplýsingum að vera miðlað til viðtakenda í löndum utan Evrópusambandsins ("ESB"), Íslands, Liechtenstein og Noregs (= Evrópska efnahagssvæðisins) og unnið úr þeim þar, einkum í Bandaríkjunum og Indlandi.

b. Evrópusambandið lítur svo á að eftirfarandi lönd tryggi fullnægjandi vernd vegna vinnslu persónuupplýsinga samkvæmt ESB-reglum: Andorra, Argentína, Kanada (að takmörkuðu leyti), Færeyjar, Guernsey, Ísrael, Mön, Japan, Jersey, Nýja-Sjáland, Sviss, Úrúgvæ. Þegar um er að ræða viðtakendur í öðrum löndum semjum við um beitingu fastra samningsákvæða Evrópusambandsins, bindandi fyrirtækjareglna eða annarra leyfilegra ráðstafana til þess að bjóða upp á "fullnægjandi vernd" samkvæmt kröfum laga þar að lútandi. Til þess að fá frekari upplýsingar um þetta má gjarnan hafa samband við okkur með þeim samskiptaleiðum sem koma fram í lið 9.d.

Útgáfa: Október 2020