Bláa Lónið hf., kt. 490792-2369, Norðurljósavegi 9, 241 Grindavík (einnig kallað „við“ í þessari persónuverndarstefnu) rekur heilsulindir, hótel, veitingastaði og verslanir sem selja húðvörur, snyrtivörur og aðrar heimilisvörur, auk vefverslunar fyrir innlendan markað.

Persónuverndarstefna þessi nær til persónuupplýsinga sem við söfnum og vinnum varðandi gesti, viðskiptavini, hugsanlega viðskiptavini og þá sem heimsækja vefsvæði okkar. Þegar það er gert er Bláa Lónið hf. ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Persónuvernd þín skiptir okkur miklu máli og við leggjum okkur fram við að vernda þær persónuupplýsingar sem þú lætur okkur í té. Það er mikilvægt að þú lesir persónuverndarstefnu þessa vandlega þar sem hún útskýrir hvaða tegundum upplýsinga við söfnum, í hvaða tilgangi við notum þær, hverjum við kunnum að deila þeim með og réttindi þín.

Með því að staðfesta lestur þessarar persónuverndarstefnu staðfestir þú að þú gerir þér grein fyrir vinnslu persónuupplýsinga þinna og hvernig sú vinnsla fer fram.

Hvaða persónuupplýsingum kunnum við að safna og í hvaða tilgangi

Þær tegundir persónuupplýsinga sem við kunnum að safna um þig ræðst af þeirri þjónustu sem við veitum þér. Við notum persónuupplýsingar þínar fyrst og fremst til að veita þér þjónustu og bæta þjónustu okkar og vörur.

Hafðu í huga að ef þú vilt ekki láta okkur í té persónuupplýsingar, sem eru t.d. nauðsynlegar fyrir framkvæmd samnings eða sem okkur er skylt að vinna úr samkvæmt lögum, er hugsanlegt að við getum ekki veitt þér umbeðna þjónustu, að hluta til eða í heild sinni, og það kann að hafa áhrif á upplifun þína.

Heilsulindir, hótel, veitingastaðir og tengd þjónusta
Þegar þú bókar aðgang í heilsulindir, á hótel, veitingastaði eða tengda þjónustu á okkar vegum söfnum við nauðsynlegum upplýsingum til að við getum veitt þér þjónustuna.

Upplýsingarnar sem við kunnum að safna og vinna eru meðal annars:
• Auðkenni og tengiliðaupplýsingar, svo sem nafn, kennitala, netfang, símanúmer og heimilisfang.
• Upplýsingar sem tengjast bókun þinni og dvöl.
• Greiðsluupplýsingar, svo sem kreditkortanúmer, gildistími og CVC-kóði.
• Óskir um gistiaðstöðu, máltíðir og ferðatilhögun.
• Myndir af þér í lóninu ef þú óskar þess.
• Heilsufarsupplýsingar eða óskir um viðbótaraðstoð, ef þú hefur veitt okkur slíkar upplýsingar að eigin frumkvæði.
• Bókunarsaga.
• Samskipti okkar og bréfaskipti við þig.
• Ábendingar eða kvartanir.

Persónuupplýsingarnar þínar geta til dæmis verið notaðar til að:
• Vinna úr bókunum og pöntunum.
• Senda þér stöðu bókana og nýjar upplýsingar um þjónustu sem þú bókaðir og fá ábendingar þínar um þjónustuna.
• Sinna bókhaldi, reikningagerð og öðrum rekstri.
• Gera dvöl þína persónulega og ánægjulega.
• Bæta þjónustu okkar.
• Útvega þjónustu þriðja aðila þegar þú óskar sérstaklega eftir því.
• Svara fyrirspurnum, beiðnum og ábendingum sem þú sendir, t.d. í gegnum vefsvæði okkar eða með tölvupósti.
• Tryggja öryggi þitt og hafa samband við þig í neyðartilvikum.
• Fylgja lögum og reglum.

Vinnsla tengiliðaupplýsinga, bókunarupplýsinga, greiðsluupplýsinga og þess háttar er á grundvelli samningsbundinnar nauðsynjar. Vinnsla samskiptaupplýsinga og bréfaskipta við þig, ábendinga og þess háttar kann að grundvallast á samningsbundinni nauðsyn, samþykki þínu eða lögmætum hagsmunum okkar af því að tryggja góða þjónustu eða vinna úr beiðnum sem snúa að réttindum einstaklinga. Vinnsla heilsufarsupplýsinga, ljósmynda af þér í lóninu og þess háttar grundvallast á samþykki þínu. Þegar við vinnum persónuupplýsingar með samþykki þínu geturðu dregið það samþykki til baka hvenær sem er.

Vinnsla persónuupplýsinga er í sumum tilvikum einnig byggð á lagalegri nauðsyn, t.d. íslenskum bókhaldslögum. Í einstaka tilvikum getur verið bráð þörf að vinna persónuupplýsingar um þig til að vernda nauðsynlega hagsmuni þína, t.d. ef neyðartilvik kemur upp.

Eftirlitsmyndavélar eru staðsettar á mikilvægum stöðum á starfsstöðvum okkar til að tryggja öryggi eigna og þeirra gesta sem nýta sér þjónustu okkar. Eftirlitið byggist á lögmætum hagsmunum okkar. Upptökur eru ekki geymdar lengur en í 30 daga nema þær tengist hugsanlegum lagalegum álitamálum, eins og slysum.

Við kunnum að vinna upplýsingar um þig í tengslum við notkun og virkni á vefsvæðum okkar, t.d. vegna tölfræðilegrar greiningar, til að bæta vefsvæði okkar og sérsníða efni að þörfum þínum. Frekari upplýsingar er að finna í Vefkökustefnu okkar(https://www.bluelagoon.com/legal/cookie-statement).

Innlend vefverslun
Þegar vara er keypt í vefverslun okkar fyrir íslenskan markað söfnum við nauðsynlegum upplýsingum til að geta unnið úr pöntuninni og afgreitt vöruna. Bláa Lónið hf. og Bláa Lónið Heilsuvörur ehf. eru sameiginlegir ábyrgðaraðilar vinnslu persónuupplýsinga er varða innlenda vefverslun okkar.

Upplýsingarnar sem við kunnum að safna og vinna eru meðal annars:
• Auðkenni og tengiliðaupplýsingar, svo sem nafn, netfang, símanúmer og heimilisfang.
• Greiðsluupplýsingar, svo sem kreditkortanúmer, gildistími og CVC-kóði.
• Val á sendingarmáta.
• Sendingarnúmer til að rekja sendingu.
• Upplýsingar sem þú sendir okkur sérstaklega, t.d. gjafaskilaboð.
• Innkaupaferill.
• Samskipti okkar og bréfaskipti við þig.
• Ábendingar eða kvartanir.

Persónuupplýsingarnar þínar geta verið notaðar til að:
• Vinna úr pöntuninni þinni.
• Senda þér uppfærðar upplýsingar um vöru sem þú hefur keypt.
• Sinna bókhaldi, reikningagerð og öðrum rekstri.
• Útvega þjónustu þriðja aðila.
• Svara fyrirspurnum, beiðnum og ábendingum sem þú sendir, t.d. í gegnum vefsvæði okkar eða með tölvupósti.
• Senda þér upplýsingar um stöðu sendingar á vöru sem þú hefur keypt.
• Bæta vörur okkar og þjónustu.
• Fylgja lögum og reglum.

Vinnsla tengiliðaupplýsinga, greiðsluupplýsinga, upplýsinga um stöðu sendingar og þess háttar er á grundvelli samningsbundinnar nauðsynjar. Vinnsla samskiptaupplýsinga og bréfaskipta við þig, ábendinga og þess háttar kann að grundvallast á samningsbundinni nauðsyn, samþykki þínu eða lögmætum hagsmunum okkar af því að tryggja góða þjónustu eða vinna úr beiðnum sem snúa að réttindum einstaklinga. Þegar við vinnum persónuupplýsingar á grundvelli samþykkis þíns geturðu dregið það samþykki til baka hvenær sem er. Vinnsla persónuupplýsinga er í sumum tilvikum einnig byggð á lagalegri nauðsyn, t.d. bókhaldslögum nr. 145/1994.

Við kunnum að vinna upplýsingar um þig í tengslum við notkun og virkni á vefsvæðum okkar, t.d. vegna tölfræðilegrar greiningar, til að bæta vefsvæði okkar og sérsníða efni að þörfum þínum. Frekari upplýsingar þar að lútandi er að finna í Vefkökustefnu okkar(https://www.bluelagoon.com/legal/cookie-statement).

Meðlimaklúbbar Bláa Lónsins og fyrirspurnir til okkar
Ef þú gerist meðlimur í Vinaklúbbi Bláa Lónsins vinnum við úr tengiliðaupplýsingunum þínum til að eiga samskipti við þig. Við kunnum að nota persónuupplýsingarnar þínar til að senda þér fréttabréf, markaðssetningarefni eða kynningarefni og aðrar upplýsingar sem þú gætir haft áhuga á. Unnið er úr upplýsingunum á grundvelli samþykkis þíns.

Þegar þú sendir okkur beiðnir, fyrirspurnir, kvartanir eða ábendingar vinnum við úr tengiliðaupplýsingum þínum auk upplýsinganna sem þú sendir okkur til þess að geta svarað þér. Unnið er úr upplýsingum á grundvelli samþykkis þíns eða lögmætra hagsmuna okkar.

Þú færð engin skilaboð frá okkur sem eru óumbeðin eða eru ekki tengd vöru eða þjónustu sem þú hefur keypt eða spurt um.

Þegar vinnsla byggist á samþykki þínu hefurðu rétt til að draga samþykki þitt til baka hvenær sem er, án þess þó að það hafi áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni. Þú getur skrifað okkur á contact@bluelagoon.com með „Persónuvernd“ í efnislínu til að draga samþykki þitt til baka. Öll markaðssamskipti sem send eru til þín með tölvupósti munu einnig gefa þér möguleika á að afskrá þig til að hætta að fá markaðssetningarefni frá okkur.

Önnur notkun til greiningar og markaðsrannsókna
Við kunnum að nota nafnlausar upplýsingar eða upplýsingar undir dulnefni sem unnar eru úr persónuupplýsingunum þínum til að framkvæma greiningar og markaðsrannsóknir í eigin þágu. Til dæmis getum við þurft að greina hvernig viðskiptavinir nota vörur okkar og þjónustu til að skilja hvernig við getum bætt þjónustuna og vörurnar sem við bjóðum upp á. Unnið er úr upplýsingunum á grundvelli lögmætra hagsmuna okkar af því að bæta þjónustu okkar og vörur.

Vefsvæðið okkar
Á vefsvæði okkar eru notaðar vefkökur til að veita þér eins viðeigandi upplýsingar og hægt er og sérsníða þær að þínum þörfum. Dæmi um þetta er að sýna viðeigandi gjaldmiðil og geyma val notenda í bókunarferli.

Við notum Google Analytics, Google AdWords og önnur verkfæri. Við notum til dæmis Google Analytics til að safna upplýsingum um það hvernig gestir nota vefsvæðið okkar, upplýsingum á borð við IP-tölu, stýrikerfi, tegund vafra, uppruna heimsókna o.s.frv. Þessi gögn eru svo notuð til að mæla afköst og innleiða úrbætur eins og þörf er á. Við notum Google AdWords til dæmis fyrir endurmarkaðssetningu og til að auglýsa vörur okkar og þjónustu á vefsvæðum þriðju aðila sem eru ætluð sérstökum markhópum og fyrri gestum á vefsvæði okkar. Þetta gæti komið fyrir á sniði auglýsingar á niðurstöðusíðu Google-leitar eða á síðu á Google Display Network. Þriðju aðilar, þar á meðal Google, nota vefkökur til að birta auglýsingar byggðar á fyrri heimsóknum á vefsíðum. Þú getur valið kjörstillingar fyrir auglýsingar frá Google á stillingasíðu Google-auglýsinga (https://adssettings.google.com/authenticated).

Þú getur valið að samþykkja ekki tilteknar vefkökur þegar þú heimsækir vefsvæði okkar. Þú getur einnig valið að samþykkja ekki vefkökur með því að slökkva á þeim í stillingum vafra. Nánari upplýsingar um notkun á vefkökum og öðrum aðferðum til að rekja vafranotkun eru í Vefkökustefnu okkar (https://www.bluelagoon.com/legal/cookie-statement).

Frekari upplýsingar um vefkökur almennt er að finna á: http://www.allaboutcookies.org.

Þú átt rétt á að andmæla vinnslu upplýsinga um þig hvenær sem er þegar vinnslan tengist beinni markaðssetningu. Ef þú andmælir endurmarkaðssetningu sem byggir á upplýsingum þínum geturðu til dæmis afþakkað notkun þriðja aðila á vefkökum með því að fara á afþökkunarsíðu Network Advertising Initiative (https://optout.networkadvertising.org/?c=1#!%2F).

Varðveisla persónuupplýsinga
Persónuupplýsingar eru geymdar eins lengi og þörf er á fyrir þann tilgang sem þeim var safnað nema annað reynist nauðsynlegt til að uppfylla kröfur laga. Í sumum tilvikum gætu persónuupplýsingarnar þínar til dæmis verið geymdar í sjö ár frá lokum viðkomandi reikningsárs í samræmi við 20. gr. bókhaldslaga nr. 145/1994.

Miðlun persónuupplýsinga til vinnsluaðila, þriðju aðila og innan samstæðu
Við kunnum að deila persónuupplýsingum með vinnsluaðilum til að geta veitt umbeðna þjónustu og til að aðstoða okkur við að greina hvernig þjónusta okkar er notuð og bæta hana. Sem dæmi kann póstþjónusta að hafa tiltekinn aðgang að persónuupplýsingum vörukaupanda í þeim tilgangi að afgreiða vörupöntun sem gerð hefur verið í innlendri vefverslun okkar. Þá kunnum við að deila persónuupplýsingum með vinnsluaðilum sem veita okkur þjónustu á sviði upplýsingatækni, skýjaþjónustu eða greiðsluþjónustu, eða aðra þjónustu sem tengist vinnslu og er hluti af rekstri okkar.

Þessir aðilar hafa eingöngu aðgang að persónuupplýsingum um þig til að sinna tilteknum verkefnum fyrir okkar hönd og er óheimilt að nota persónuupplýsingarnar í öðrum tilgangi. Þessir aðilar geta verið staðsettir annars staðar en á Íslandi. Við munum hins vegar ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema þegar viðeigandi löggjöf um persónuvernd leyfir það, til dæmis á grunni staðlaðra samningsskilmála, samþykkis þíns eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.

Persónuupplýsingum þínum gæti einnig verið deilt innan samstæðu Bláa Lónsins með Bláa Lóninu Heilsuvörum ehf. þar sem dótturfélag okkar kann að aðstoða okkur við að bæta og markaðssetja vörur okkar.

Við áskiljum okkur rétt til að afhenda persónuupplýsingarnar þínar þegar þess er krafist í lögum, með stefnu eða dómsúrskurði eða samkvæmt réttmætri beiðni lögreglu eða yfirvalda. Við áskiljum okkur einnig rétt til að afhenda lögmönnum okkar persónuupplýsingarnar þínar til að þeir geti staðið vörð um lagaleg réttindi okkar sem fyrirtækis eða réttindi starfsfólks okkar.

Við kunnum að deila persónuupplýsingunum þínum með þriðja aðila þegar þú óskar eftir því, t.d. þegar þú hefur veitt þriðja aðila eins og ferðaskrifstofu heimild til að nota persónuupplýsingarnar þínar til að framkvæma bókanir, beiðnir, greiðslur o.s.frv. fyrir þína hönd.

Við gætum einnig notið aðstoðar vinnsluaðila við greiningar á vefsvæði okkar og til að birta viðeigandi markaðsefni fyrir gesti vefsvæðisins. Frekari upplýsingar þar að lútandi má finna í Vefkökustefnu okkar.

Afhending á persónuupplýsingum til utanaðkomandi aðila er ávallt gerð í trúnaði.

Miðlun persónuupplýsinga frá þriðja aðila til okkar
Þegar þú hefur heimilað þriðja aðila, svo sem ferðaskrifstofu eða bókunarþjónustu, að hafa umsjón með persónuupplýsingum þínum fyrir þína hönd til að sinna nauðsynlegum bókunum eða pöntunum í heilsulindir okkar, á hótel, veitingastaði eða tengda þjónustu gildir persónuverndarstefna okkar þegar upplýsingunum hefur verið miðlað til okkar.

Aðrir þjónustuveitendur sem veita þér hluta af þjónustu, dvöl eða ferð eru aðskildir ábyrgðaraðilar vinnslu samkvæmt persónuverndarlögum. Persónuverndarstefnur þessara aðila ættu að vera aðgengilegar hjá þeim ef óskað er frekari upplýsinga um vinnslu þeirra á persónuupplýsingum.

Greiðslur og öryggi
Greiðslur fara fram í gegnum Planet. Greiðslur eru verndaðar öllum stundum. Þær eru vottaðar samkvæmt PCI DSS (Payment Card Industry Data Security Standard) til að tryggja öruggar færslur greiðslukortaupplýsinga. Vefsvæðin okkar eru tryggð með SSL-vottorðum með hæsta dulkóðunar- og öryggisstigi. SSL stendur fyrir „Secure Sockets Layer“ og býður upp á örugg dulkóðuð samskipti milli vefsvæðis og vafra.

Persónuupplýsingar, fyrir utan myndskeið úr eftirlitsmyndavélum, kunna að vera geymdar hjá vinnsluaðilum sem eru skyldugir til að fara að lögum og reglum um persónuvernd og halda uppi viðeigandi öryggi til þess að koma í veg fyrir upplýsingaleka, að upplýsingar tapist eða verði fyrir tjóni. Myndskeið og upplýsingar úr eftirlitsmyndavélum eru geymd innanhúss með ströngu aðgangseftirliti.

Ef um öryggisbrot við meðferð persónuupplýsinga er að ræða munum við án ótilhlýðilegrar tafar og eigi síðar en innan 72 klst. eftir að við verðum brotsins vör, tilkynna það Persónuvernd, nema ólíklegt þyki að brotið leiði til áhættu fyrir réttindi þín og frelsi. Ef líklegt er að öryggisbrot við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi þín og frelsi munum við tilkynna þér um brotið án ótilhlýðilegrar tafar nema lög kveði á um annað.

Réttindi þín hvað varðar þær persónuupplýsingar sem við vinnum - afturköllun samþykkis
Þú átt rétt á að fá aðgang að persónuupplýsingum um þig og láta leiðrétta þær ef þær eru ónákvæmar eða rangar. Þú átt rétt á því að við takmörkum vinnslu persónuupplýsinga um þig ef þú véfengir að þær séu réttar þar til við höfum fengið tækifæri til að staðfesta að þær séu réttar. Þú átt einnig rétt á að takmarka vinnslu persónuupplýsinga um þig ef vinnslan telst ólögmæt eða ef við þurfum ekki lengur að vinna úr upplýsingunum en þú vilt ekki að þeim verði eytt.

Ef vinnsla persónuupplýsinga grundvallast á lögmætum hagsmunum okkar hefurðu einnig rétt á að mótmæla slíkri vinnslu. Þú átt rétt á að andmæla vinnslu persónuupplýsinga um þig hvenær sem er þegar vinnslan tengist beinni markaðssetningu, t.d. þegar þú hefur skráð þig fyrir fréttabréfi okkar.

Í ákveðnum tilvikum átt þú rétt á að láta eyða persónuupplýsingum um þig ef upplýsingarnar eru ekki lengur nauðsynlegar miðað við tilgang söfnunar og vinnslu þeirra, þú hefur afturkallað samþykki þitt sem vinnslan byggist á eða unnið hefur verið úr upplýsingunum með ólögmætum hætti. Undantekning frá þessu skal t.d. gerð ef þess er krafist að gögn séu varðveitt í samræmi við lög, t.d. bókhaldslög nr. 145/1994.

Þú átt rétt á að senda persónuupplýsingar um þig sem þú hefur afhent okkur til annars aðila þegar vinnslan grundvallast á samþykki þínu og hún fer fram með sjálfvirkum hætti. Slíkur réttur skal þó ekki skerða réttindi og frelsi annarra.

Ef þú vilt láta fjarlægja persónuupplýsingar um þig úr gagnagrunni okkar, vilt afturkalla samþykki þitt fyrir vinnslu eða ef þú hefur einhverjar frekari spurningar um þessa persónuverndarstefnu eða vinnslu og vernd persónuupplýsinga skaltu senda okkur tölvupóst á contact@bluelagoon.com og setja „Persónuvernd“ í efnislínuna.

Ef þú sendir inn beiðni samkvæmt ofangreindu getum við óskað eftir því að þú framvísir viðeigandi sönnun á því hver þú ert, t.d. afriti af opinberum skilríkjum á borð við vegabréf eða ökuskírteini auk undirskriftar þinnar.

Börn yngri en 13 ára
Við söfnum ekki persónuupplýsingum um börn yngri en 13 ára viljandi. Ef barn á þessum aldri hefur veitt okkur upplýsingar ætti foreldri eða forráðamaður viðkomandi að hafa samband við okkur og við munum fjarlægja upplýsingarnar úr gagnagrunni okkar án tafar.

Breytingar á persónuverndarstefnu
Við kunnum að gera breytingar á þessari persónuverndarstefnu til að hún endurspegli vinnslu okkar á persónuupplýsingum á hverjum tíma fyrir sig. Breytingar, viðbætur eða brottfellingar taka gildi um leið og uppfærð útgáfa er birt og gildir fyrir allar nýjar bókanir, vörukaup, fyrirspurnir og heimsóknir á vefsvæði okkar sem eiga sér stað eftir birtingu uppfærðrar stefnu. Dagsetning síðustu endurskoðunar á þessari persónuverndarstefnu kemur fram neðst á síðunni.

Kvartanir
Þú átt rétt á að leggja fram kvörtun til Persónuverndar, Rauðarárstíg 10, 105 Reykjavík (www.personuvernd.is) ef þú ert ósammála því hvernig við vinnum persónuupplýsingar um þig.

Uppfært: 11. febrúar 2022.