Persónuverndarstefna

1. HVAÐA UPPLÝSINGUM VIÐ SÖFNUM OG HVERNIG

Upplýsingarnar sem við söfnum um notendur eru mismunandi eftir því hvort um er að ræða einstakling í atvinnuleit gegnum kerfi Xpat („expati“) eða fyrirtæki í leit að starfsmönnum gegnum kerfið („vinnuveitandi“).
Ef þú ert umsækjandi söfnum við eftirfarandi upplýsingum:
Upplýsingar sem þú veitir okkur: Um er að ræða persónuupplýsingar þínar sem þú veitir okkur þegar þú hefur samband við okkur, skráir þig inn í kerfi Xpat eða biður um aðstoð. Yfirleitt veitir þú þessar upplýsingar með því að fylla út og senda eyðublað gegnum vefsíðu okkar, skrá þig inn í kerfi Xpat annaðhvort gegnum Facebook-prófíl þinn eða með SMS-skilaboðum eða með því að bæta viðkomandi upplýsingum við í viðmót þitt hjá Xpat, sækir um starf með rafrænum skilríkjum, svara ánægjukönnun, eða fylla út samning eða beiðni um aðstoð. Þannig kanntu að láta okkur í té fornafn þitt, eftirnafn, rafræna undirskrift þína, prófílmynd í kerfi Xpat, netfang, símanúmer, fæðingardag, upplýsingar um lífshlaup þitt, menntun og starfsferil, viðhengi (s.s. ferilskrá eða skírteini), upplýsingar um tungumálakunnáttu, tengla í opinbera prófíla þína (t.d. vefsíðu þína, Facebook- eða LinkedIn- síðu o.s.frv.) og upplýsingar um aðra hæfni þína. Ef þú hefur beðið okkur um aðstoð höfum við upplýsingar um tilteknar þarfir þínar. Til að bæta þjónustu og notendaaðstoð okkar hljóðritum við einnig símtöl þegar þú ákveður að skilja eftir raddskilaboð handa okkur.
Upplýsingar sem við fáum þegar þú notar þjónustu okkar: við söfnum upplýsingum um hvernig þú notar þjónustu okkar, allt frá því að fara inn á vefsíðu okkar til þess að nota kerfi Xpat. Upplýsingarnar eru eftirfarandi:
Upplýsingar um athæfi þitt á vefsíðu okkar: Við notum vafrakökur til að greina umferð á vefsíðu okkar. Þegar þú ferð inn á vefsíðu okkar skráum við athæfi þitt á henni, s.s. fjölda síðna sem þú ferð inn á, hve lengi þú ert inni á síðunni, hvaða síður eru skoðaðar, endurteknar komur á síðu o.s.frv. Við tengjum þessar upplýsingar aldrei við persónuupplýsingar þínar, s.s. upplýsingar sem þú færir inn á eyðublöð gegnum vefsíðu okkar eða IP-tölu þína. 

Upplýsingar um athæfi þitt í kerfi Xpat: þegar þú notar kerfi Xpat, hvort sem er gegnum vefsíðuna eða appið okkar, fáum við upplýsingar um yfirlit starfsumsókna þinna, hvort notuð sé rafræn undirskrift, skilaboð milli þín og vinnuveitenda, stöðu umsókna þinna og starfsóskir þínar.
Upplýsingar um tæki þitt: Þegar okkur berast tilkynningar um tæknileg frávik (e. crash reports) eða beiðnir um aðstoð fáum við upplýsingar um útgáfu forritsins/appsins sem þú notar, tækið, þ.m.t. stýrikerfi og vélbúnað, svonefndan staflarakning (e. stack trace) fráviksins og aðrar upplýsingar sem eru nauðsynlegar til að bæta vörur okkar, þjónustu og lagfæringar á villum í hugbúnaði. Þessar upplýsingar, sem er safnað þegar Xpat appið er notað, eru ekki tengdar einstaklingum með neinum hætti. Ef þú tengist kerfi Xpat með vefforritinu söfnum við upplýsingum um stýrikerfi þitt, vafra, hve lengi kerfið er notað í viðkomandi skipti, haus aðgangsbúnaðar (e. user-agent header), veffang og svonefndar brauðmolaslóðir (e. breadcrumbs). Við getum einnig safnað upplýsingunum og tengt þær við IP-tölu þína, en notum IP-töluna aðeins til að leysa úr tæknilegum frávikum í kerfi Xpat, nánar tiltekið til að ganga úr skugga um að þú sért sami notandi og hefur orðið fyrir áhrifum vegna fráviksins og til að meta hve marga notendur sama frávik hefur haft áhrif á. Við notum ekki IP-tölur til að tengja upplýsingar um tæki við tiltekna einstaklinga.
Sértu vinnuveitandi erum við gagnavinnsluaðilinn fyrir flestar persónuupplýsingar þínar. Í slíkum tilfellum velta slíkar upplýsingar sem við vinnum með á gagnavinnslusamningnum milli okkar og fyrirtækis þíns. Hins vegar vinnum við samt sem áður með vissar upplýsingar sem ábyrgðaraðili gagna:

Upplýsingar sem við fáum þegar þú notar þjónustu okkar: Við söfnum upplýsingum um hvernig þú notar þjónustu okkar, allt frá því að fara inn á vefsíðu okkar til þess að nota kerfi Xpat. Upplýsingarnar eru eftirfarandi:
Upplýsingar um athæfi þitt á vefsíðu okkar: við notum vafrakökur til að greina umferð á vefsíðu okkar. Þegar þú ferð inn á vefsíðu okkar skráum við athæfi þitt á henni, s.s. fjölda síðna sem þú ferð inn á, hve lengi þú ert inni á síðunni, hvaða síður eru skoðaðar, endurteknar komur á síðu o.s.frv. Við tengjum þessar upplýsingar aldrei við persónuupplýsingar þínar, s.s. upplýsingar sem þú færir inn á eyðublöð gegnum vefsíðu okkar eða IP-tölu þína. 
Upplýsingar um tæki þitt: Þegar okkur berast tilkynningar um tæknileg frávik (e. crash reports) eða beiðnir um aðstoð fáum við upplýsingar um stýrikerfi þitt, vafra, hve lengi kerfið er notað í viðkomandi skipti, haus aðgangsbúnaðar (e. user-agent header), veffang og svonefndar brauðmolaslóðir (e. breadcrumbs). Við getum einnig safnað upplýsingunum og tengt þær við IP- tölu þína, en notum IP-töluna aðeins til að leysa úr tæknilegum frávikum í kerfi Xpat, nánar tiltekið til að ganga úr skugga um að þú sért sami notandi og hefur orðið fyrir áhrifum vegna fráviksins og til að meta hve marga notendur sama frávik hefur haft áhrif á. Við notum ekki IP- tölur til að tengja upplýsingar um tæki við tiltekna einstaklinga.
 

2. HVERNIG NOTUM VIÐ UPPLÝSINGAR SEM ER SAFNAÐ OG Á HVAÐA LAGA GRUNDVELLI

Við notum upplýsingarnar sem við söfnum til að veita þér þjónustu okkar, einkum til að gera þér kleift að stofna aðgang að kerfi Xpat, nota kerfi Xpat með réttum hætti og veita þær upplýsingar um þig sem skipta mestu máli til að fá starfið sem þú hefur áhuga á, eða til að gera fyrirtæki þínu kleift að finna þann einstakling sem hentar best í starfið. Við notum einnig persónuupplýsingar til að viðhalda, vernda og bæta frekar kerfi Xpat.

Upplýsingar sem við söfnum, þ.m.t. persónuupplýsingar þínar, eru einnig notaðar til að vernda okkur og aðra notendur þjónustu okkar.
Netfang þitt kann að vera notað til að senda þér fréttabréf um þjónustu okkar, s.s. tilkynningar um fyrirhugaðar breytingar eða umbætur.
Við notum upplýsingar sem safnað er með vafrakökum til að bæta viðmót og almenn gæði þjónustu okkar. Í þessum tilgangi þetta notum við ýmsa þjónustu þriðju aðila, svo sem Google Analytics.
Lagagrundvöllur vinnslunnar á persónuupplýsingum þínum er mismunandi eftir því hvort þú ert umsækjandi eða vinnuveitandi. Sértu vinnuveitandi vinnum við með persónuupplýsingar þínar til að efna samning við þig og lagalegar skyldur okkar og til að vernda lögmæta hagsmuni okkar. Sértu umsækjandi vinnum við einnig með persónuupplýsingar þínar til að efna samning við þig og lagalegar skyldur okkar og til að vernda lögmæta hagsmuni okkar, en þar sem við miðlum persónuupplýsingum þínum einnig til annarra ábyrgðaraðila – hugsanlegra vinnuveitenda þinna – þurfum við samþykki þitt fyrir slíkri meðferð upplýsinganna. Vegna þess að grunntilgangur kerfis Xpat er að sjá hugsanlegum vinnuveitendum þínum fyrir upplýsingum um þig er okkur ókleift að veita þér þjónustu okkar nema þú veitir okkur samþykki þitt fyrir því að miðla upplýsingunum til þeirra.
Þú getur treyst því að ef við hyggjumst einhvern tíma nota upplýsingar um þig í tilgangi sem ekki er greint frá í þessari stefnu munum við ávallt láta þig vita fyrir fram og veita þér tækifæri til að hætta að nota þjónustu okkar.
Lögmætir hagsmunir okkar vegna vinnslu á persónuupplýsingum þínum tengjast því að geta gert eftirfarandi:
að hafa samband við þig vegna gagnkvæms viðskiptasambands, þ.m.t. beinnar markaðssetningar;
að bæta þjónustu okkar;
að lagfæra villur sem koma upp við notkun þjónustu okkar;
að tryggja öryggisafrit og endurheimt kerfa og gagna þegar kerfi bila;
að verja réttarkröfur Xpat og annarra viðskiptavina okkar;
að meta gæði þjónustu okkar á grundvelli ánægjukannana sem þú svarar;
að meta árangur markaðssetningar sem þú hefur komið að og
að tryggja skilvirka viðskiptamannaþjónustu og framkvæmd vinnu.
 

3. HVE LENGI VINNUM VIÐ MEÐ UPPLÝSINGAR SEM ER SAFNAÐ

Persónuupplýsingar þínar eru aðeins geymdar og með þær unnið í þann tíma sem er nauðsynlegur í þeim tilgangi sem þeirra var aflað í. Ákveðir þú t.d. að eyða aðgangi þínum í kerfi Xpat munum við geyma persónuupplýsingar þínar í 30 daga til viðbótar vegna þess möguleika að þú ákveðir að endurstofna aðganginn, en að þeim tíma liðnum eyðum við persónuupplýsingum þínum.
Þegar við deilum persónuupplýsingum þínum með vinnuveitendum veitum við þeim aðgang að þeim í að hámarki 12 mánuði frá því að þú leggur fram starfsumsókn. Þegar 12 mánuðir eru liðnir frá umsókn þinni eða afturköllun á henni sér vinnuveitandinn ekki lengur persónuupplýsingar þínar.
Vinsamlega athugaðu að í sumum tilvikum kunnum við að geyma sumar persónuupplýsingar þínar í lengri tíma, einkum þegar lög krefjast þess (s.s. skattalög) eða þegar við þurfum á þeim að halda til að vernda lögmæta hagsmuni okkar (t.d. ef upp hefur komið ágreiningur milli okkar sem bíður afgreiðslu dómstóla og við þurfum upplýsingar til að sanna að þú hafir verið viðskiptavinur okkar). Í slíkum tilfellum geymum við aðeins þær persónuupplýsingar sem eru nauðsynlegar í slíkum tilgangi og eyðum þeim eins fljótt og auðið er.

UMSÓKNARFERLI

Hafi umsækjandi áhuga á að sækja um starf, sem auglýst er á Xpat, getur hann sent umsókn til fyrirtækis með þeim upplýsingum sem þegar eru til staðar á einstaklingsviðmót sínu ásamt þeim viðbótarupplýsingum sem fyrirtækið hefur óskað eftir og frekari upplýsingum sem umsækjandi vill koma á framfæri. Samskipti þessi eiga sér alltaf stað um Xpat.
Fyrirtækið og umsækjandinn bera ábyrgð á öllum samskiptum sem kunna að eiga sér stað þeirra á milli, hvort sem þau fara fram í gegnum Xpat eða ekki.
Umsækjandi getur dregið umsókn sína til baka hvenær sem er með því að velja viðeigandi valkost í Xpat.
Umsókn er aðgengileg fyrir fyrirtæki í Xpat í eitt ár frá því að umsækjandi sendir fyrirtæki umsókn nema umsækjandi loki aðgangi sínum áður eða dragi til baka umsókn.

4. HVER HEFUR AÐGANG AÐ UPPLÝSINGUM ÞÍNUM

Xpat leggur mikla áherslu á vernd persónuupplýsinga og mun aldrei selja þriðju aðilum persónuupplýsingar þínar. Við miðlum persónuupplýsingum aðeins til þriðju aðila í ofangreindum tilgangi og að því marki sem nauðsynlegt er.
Eins og að ofan greinir verður persónuupplýsingum þínum deilt með skráðum umsækjendum og vinnuveitendum í kerfi Xpat. Sértu umsækjandi verða persónuupplýsingar þínar aðeins sýnilegar vinnuveitendum sem þú hefur sótt um starf hjá. Sértu vinnuveitandi verða persónuupplýsingar þínar aðeins sýnilegar öðrum vinnuveitendum og umsækjendum ef þú setur þær í starfsauglýsinguna.
Við kunnum einnig að flytja persónuupplýsingar þínar til skýþjónustuveitenda sem sjá um gagnasendingar milli okkar og þín, tækniþjónustuveitenda og þjónustuaðila sem veita stuðnings- og viðhaldsþjónustu, þróunaraðila okkar, lögfræðiráðgjafa okkar vegna samningsgerðar eða lausn ágreiningsmála og til ytri endurskoðunar- og skattaráðgjafa.
Við deilum upplýsingum um notkun þína á kerfi Xpat með þriðju aðilum sem veita okkur þjónustu í tengslum við kynningar- og markaðsþjónustu.
Ef við flytjum persónuupplýsingar þínar til þriðju aðila gerum við það ávallt á grundvelli fullnægjandi samnings við viðkomandi aðila til að geta haft eftirlit með meðhöndlun þeirra á persónuupplýsingum þínum.

5. HVERNIG VIÐ TRYGGJUM ÖRYGGI PERSÓNU UPPLÝSINGA

Við leggjum áherslu á og okkur ber skylda til að tryggja öryggi persónuupplýsinga þinna. Því reynum við að gera bestu hugsanlegu varúðarráðstafanir í tengslum við upplýsingaöryggi til að koma í veg fyrir misnotkun og aðra óheimila meðferð persónuupplýsinga þinna. Til að tryggja öryggi persónuupplýsinga þinna höfum við gert eftirfarandi ráðstafanir:
Reglulegt áhættumat. Við metum reglulega áhættuþætti upplýsingaöryggis í tengslum við persónuupplýsingar til að tryggja að öryggi þeirra sé viðunandi hjá okkur.
Öryggisferlar innan fyrirtækisins. Við leggjum áherslu á að verja persónuupplýsingar þínar fyrir hættunni á mannlegum mistökum. Einkum má nefna eftirfarandi ráðstafanir:
Við förum eftir sérstökum öryggisleiðbeiningum og -skjölum sem gilda innan fyrirtækisins:
Við veitum starfsmönnum okkar reglulega þjálfun í tengslum við reglur sem gilda um meðhöndlun persónuupplýsinga og áhættuþætti í tengslum við upplýsingaöryggi;
Við skilgreinum með samningsbundnum hætti ábyrgð starfsmanna, ytri samstarfsaðila, þjónustuveitenda og annarra þriðju aðila sem hafa aðgang að persónuupplýsingum þínum;
Við höfum tekið upp og viðhöldum stöðluðum verkferlum um meðhöndlun persónuupplýsinga.
Tæknilegar ráðstafanir. Við höfum gert mikilvægar tæknilegar ráðstafanir til að tryggja öryggi persónuupplýsinga þinna. Einkum má nefna eftirfarandi ráðstafanir:
Vírusvarnarlausn fyrir miðlara/þjóna (e. servers) til verndar gegn spilliforritum (e. malware);
Netöryggislausnir sem sameina eldveggi, netstillingar og aðra tækni;
Dulkóðun gagnaflutnings í kerfi Xpats með HTTPS;
Allar persónuupplýsingar eru geymdar með öruggum hætti í SQL gagnagrunni á miðlurum innan ESB/EES;
Öryggisafrit af mikilvægum gögnum og innviðum.
Raunlægt öryggi. Til verndar persónuupplýsingum á skriflegu formi og raunlægu öryggi upplýsingatæknibúnaðar:
Stýrum við aðgangi að gagnagrunnum sem geyma persónuupplýsingar þínar;
Höfum við tryggt öryggi húsnæðis þar sem miðlarar eru staðsettir og geymslu persónuupplýsinga.

6. NÝTING RÉTTINDA ÞINNA

Þú hefur eftirfarandi réttindi í tengslum við vinnslu persónuupplýsinga þinna:
a) réttinn til aðgangs að persónuupplýsingum;
b) réttinn til lagfæringar;
c) réttinn til að eyða gögnum („réttinn til að gleymast“);
d) réttinn til að takmarka vinnslu;
e) réttinn til að andmæla vinnslu („andmælaréttur“); og
f) réttinn til að leggja fram kvörtun um vinnslu persónuupplýsinga.
Réttindi þín eru nánar útskýrð hér að neðan. Þú getur nýtt þér öll réttindi þín með því að skrifa okkur á einar@xpat.is. Þú getur lagt fram kvörtun til Persónuverndar (www.personuvernd.is).
Rétturinn til aðgangs merkir að þú getur hvenær sem er beðið okkur um að staðfesta hvort unnið sé með persónuupplýsingar þínar. Ef svo er áttu rétt til aðgangs að öllum viðkomandi upplýsingum og að upplýsingum um í hvaða tilgangi, að hvaða marki og hverjum þær eru gerðar aðgengilegar, hve lengi við munum vinna með þær, hvort þú átt rétt á að lagfæra þær, eyða þeim, takmarka vinnslu þeirra eða andmæla vinnslunni, hvar við fengum persónuupplýsingarnar og hvort þær eru notaðar til sjálfvirkrar ákvarðanatöku, þ.m.t. til gerðar persónusniða (e. profiling).
Rétturinn til lagfæringar merkir að þú getur hvenær sem er beðið okkur að lagfæra eða bæta við persónuupplýsingar þínar, séu þær rangar eða ófullgerðar.
Rétturinn til að eyða gögnum merkir að við verðum að eyða persónuupplýsingum þínum ef (i) ekki er lengur nauðsynlegt að geyma þær í þeim tilgangi sem þeirra var aflað í eða með þær unnið, (ii) vinnslan er ólögmæt, (iii) þú andmælir vinnslunni og ekki eru fyrir hendi lögmætar ástæður fyrir vinnslunni sem ganga framar rétti þínum, (iv) okkur ber það samkvæmt lagaskyldu eða (v) þú hefur afturkallað samþykki þitt fyrir vinnslu okkar á persónuupplýsingum þínum.
Rétturinn til takmörkunar á vinnslu merkir að þar til niðurstaða fæst um álitamál í tengslum við vinnslu persónuupplýsinga þinna verðum við að takmarka vinnslu þeirra.
Andmælaréttur merkir að þér er heimilt að andmæla vinnslu persónuupplýsinga þinna sem við vinnum með í tilgangi sem lögmætir hagsmunir okkar standa til, einkum til beinnar markaðssetningar. Ef þú andmælir vinnslu til beinnar markaðssetningar verður ekki lengur unnið með persónuupplýsingar þínar í þeim tilgangi.

7. GILDISTÍMI

Þessi persónuverndarstefna gildir frá og með 07. maí 2023.