Persónuverndarstefna Bláa Lónsins

Persónuvernd skiptir okkur öllu máli. Við leggjum áherslu á að persónuupplýsingar séu unnar með öruggum, gagnsæjum og lögmætum hætti.

1. Inngangur

Bláa Lónið Ísland ehf., kt. 490792-2369, Norðurljósavegi 9, 241 Grindavík (einnig kallað „við“ í þessari persónuverndarstefnu) rekur baðlón, heilsulindir, hótel og veitingastaði í Svartsengi í Grindavík.

Í þessari persónuverndarstefnu er fjallað um þær persónuupplýsingar sem við söfnum, hvers vegna við söfnum þeim og hvernig við notum þær eða miðlum þeim. Þá er fjallað um þau réttindi sem þú hefur í tengslum við vinnslu persónuupplýsinga um þig.

Þegar við vinnum með persónuupplýsingar er Bláa Lónið Ísland ehf. ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir „persónuverndarlög“).

2. Persónuupplýsingar sem við söfnun

Það ræðst af þeirri þjónustu sem um ræðir hverju sinni, hvaða persónuupplýsingum við söfnum og vinnum. Við vinnum með persónuupplýsingar fyrst og fremst til að veita þjónustu okkar og bæta hana, eiga skilvirk samskipti við viðskiptavini, tryggja öryggi og vernd húsnæðis og eigna, og markaðssetja vörur okkar og þjónustu.

Við vinnum með persónuupplýsingar á grundvelli einnar eða fleiri vinnsluheimilda persónuverndarlaga, í samræmi við eðli vinnslunnar.

2.1 Baðlón, heilsulindir, hótel, veitingastaðir, og tengd þjónusta
Þegar þú bókar aðgang í Bláa Lónið eða heilsulindir, gistingu á hóteli, borð á veitingastað eða aðra tengda þjónustu, söfnum við þeim upplýsingum sem okkur eru nauðsynlegar til að geta veitt þér þá þjónustu sem þú hefur óskað eftir.

  • Nafn - Nauðsynlegt svo afgreiða megi bókun og taka á móti þér á ákveðnum tíma.
  • Tölvupóstfang - Til að senda þér greiðslukvittun og tilkynningar um stöðu bókunar, eða hafa samband við þig af öðrum ástæðum ef þörf krefur.
  • Símanúmer - Í undantekningartilvikum kunnum við að hafa samband við þig símleiðis ef við teljum brýnt að upplýsa þig um einhver atriði sem varða bókun þína og við teljum tölvupóst ekki duga í því skyni.
  • Heimilisfang og afrit persónuskilríkja - Við óskum eingöngu eftir þessum persónuupplýsingum þegar hótelgisting er bókuð, þar sem okkur ber skylda til þess að lögum.
  • Greiðsluupplýsingar - Greiðsluupplýsingar eru unnar með öruggum hætti í gegnum greiðslumiðlunina Planet.
  • Myndir af þér í Bláa Lóninu - Ef þú hefur óskað sérstaklega eftir því við okkur.
  • Aðrar upplýsingar sem þú deilir með okkur að eigin frumkvæði - Þetta gætu til dæmis verið heilsufarsupplýsingar eða óskir um sérstaka aðstoð.

2.2 Vinaklúbbur Bláa Lónsins
Ef þú gerist meðlimur í Vinaklúbbi Bláa Lónsins vinnum við með þær persónuupplýsingar sem þú deilir með okkur við skráningu í klúbbinn til að eiga samskipti við þig, senda þér fréttabréf, markaðsefni og aðrar upplýsingar sem þú kynnir að hafa áhuga á. Þú getur hætt í Vinaklúbbi Bláa Lónsins hvenær sem er.

2.3 Fyrirspurnir til okkar
Þegar þú sendir okkur beiðnir, fyrirspurnir, kvartanir eða ábendingar vinnum við úr tengiliðaupplýsingum þínum, auk upplýsinganna sem þú sendir okkur, til þess að geta svarað þér eða brugðist við erindi þínu.

2.4 Greining og markaðsrannsóknir
Við kunnum að nota upplýsingar sem búnar eru til úr persónuupplýsingum, en hafa verið gerðar ópersónugreinanlegar, vegna markaðsrannsókna og tölfræðigreininga sem við nýtum í því skyni að bæta vörur okkar og þjónustu.

2.5 Vefsíðan okkar
Á vefsíðunni okkar eru notaðar vefkökur í því skyni að birta fyrir notendum eins viðeigandi upplýsingar og unnt er hverju sinni og tryggja grunnvirkni síðunnar, en jafnframt til að greina notkun hennar og nýta upplýsingar sem vefkökur safna í markaðsskyni, að því marki sem notandi hefur heimilað okkur það með vali á stillingum í vefkökuborða. Í gegnum vefkökuborðann má nálgast ítarlegar upplýsingar um allar vefkökur á vefsíðunni, þ. á m. um eðli þeirra, tilgang og líftíma.

2.6 Rafræn vöktun
Á starfsstöðvum okkar fer fram rafræn vöktun með eftirlitsmyndavélum í öryggis- og eignavörsluskyni. Ströng aðgangsstýring er að öllu efni sem verður til við rafræna vöktun og hafa einungis tilteknir starfsmenn okkar aðgang að efninu. Upptökur eru ekki geymdar lengur en í 30 daga nema þær tengist hugsanlegum lagalegum álitamálum, eins og slysum eða þjófnaði.

2.7 Vefverslun Blue Lagoon Skin Science
Þegar notandi smellir á flipann Húðvörur á vefsíðunni okkar færist hann yfir á vefsíðu Blue Lagoon Skin Science ehf. Um vinnslu persónuupplýsinga á þeirri vefsíðu gildir persónuverndarstefna Blue Lagoon Skin Science ehf. sem er ábyrgðaraðili vegna þeirrar vinnslu persónuupplýsinga.

3. Heimildir fyrir vinnslu persónuupplýsinga

Söfnun og vinnsla okkar á persónuupplýsingum er ávallt reist á grunni einhverra þeirra vinnsluheimilda sem taldar eru upp í 9. gr. persónuverndarlaga.

Við vinnum með persónuupplýsingar á grundvelli eftirfarandi vinnsluheimilda:

  • Til að efna samning við þig (2. tölul. 9. gr. persónuverndarlaga)
    Vinnsla sem lýtur að nafni, tövupóstfangi, símanúmeri, og greiðsluupplýsingum er nauðsynleg til að efna samning sem til stofnast þegar þú bókar hjá okkur þjónustu.
  • Lögmætir hagsmunir (6. tölul. 9. gr. persónuverndarlaga)
    Í ákveðnum tilvikum vinnum við með persónuupplýsingar á grundvelli lögmætra hagsmuna sem við höfum af vinnslunni. Sú vinnsluheimild á við um vinnslu persónupplýsinga sem felst í samskiptum okkar við viðskiptavini, t.d. þegar við svörum fyrirspurnum um tiltekna þjónustu eða um réttindi viðskiptavina samkvæmt persónuverndarlögum. Við höfum lögmæta hagsmuni af því að svara slíkum fyrirspurnum. Vinnsla persónuupplýsinga sem verða til við rafræna vöktun er byggð á þeim lögmætu hagsmunum sem við höfum af öryggis- og eignavörslu. Þá er vinnsla ópersónugreinanlegra upplýsinga vegna greininga og markaðsrannsókna byggð á þeim lögmætu hagsmunum sem við höfum af því að bæta vörur okkar og þjónustu.
  • Samþykki (1. tölul. 9. gr. og 1. tölul. 11. gr. persónuverndarlaga)
    Vinnsla persónuupplýsinga grundvallast stundum á samþykki þínu. Sú vinnsluheimild gæti til dæmis átt við ef þú sendir okkur að eigin frumkvæði viðkvæmar persónuupplýsingar, s.s. um heilsufar þitt. Ef þörf krefur óskum við eftir skýru samþykki frá þér til að vinna frekar með upplýsingarnar að því marki sem þú óskar eftir því. Vinnsla persónuupplýsinga sem safnað er í gegnum valkvæðar vefkökur, í greiningar- eða markaðssyni, grundvallast á samþykki þínu. Þá byggir tiltekin vinnsla sem á sér stað í tengslum við Vinaklúbb Bláa Lónsins einnig á samþykki þínu, s.s. um að fá sent markaðsefni. Þegar vinnsla persónuupplýsinga byggir á samþykki þínu, getur þú afturkallað það samþykki hvenær sem er.
  • Lagaskylda (3. tölul. 9. gr. persónuverndarlaga)
    Stundum er vinnsla persónuupplýsinga nauðsynleg til að fullnægja lagaskyldu sem hvílir á okkur. Sú vinnsluheimild á til dæmis við um skyldu til að halda skrá um heimilisföng og afrit persónuskilríkja hótelgesta, og skyldu til að varðveita bókhaldsgögn.
  • Brýnir hagsmunir (4. tölul. 9. gr. persónuverndarlaga)
    Í undantekningartilvikum kann vinnsla persónuupplýsinga að vera nauðsynleg til að vernda brýna hagsmuni einstaklinga. Sú vinnsluheimild gæti t.d. átt við ef slys yrði í einni af starfsstöðvum okkar.

4. Miðlun persónuupplýsinga til vinnsluaðila og þriðju aðila

Við seljum ekki persónuupplýsingar.

Vera kann að við deilum persónupplýsingum með svokölluðum vinnsluaðilum sem veita okkur þjónustu á ákveðnum sviðum eða veita viðskiptavinum þjónustu fyrir okkar hönd, þar sem vinnsla persónuupplýsinga er óhjákvæmileg. Þetta á til dæmis við um upplýsingatækniþjónustu, skýjalausnir og greiðsluþjónustu. Dæmi um slíkan vinnsluaðila er Bláa Lónið hf. móðurfélag okkar, sem veitir okkur margháttaða stoðþjónustu, s.s. á sviði upplýsingatækni, mannauðsmála, stjórnunar og fjármála.

Þegar við deilum persónuupplýsingum með vinnsluaðilum er það gert á grundvelli sérstakra vinnslusamninga, sem ætlað er að tryggja örugga meðferð upplýsinganna og trúnað um þær. Vinnsluaðilar hafa eingöngu aðgang að persónuupplýsingum til að sinna tilteknum verkefnum fyrir okkar hönd og er óheimilt að nota persónuupplýsingarnar í öðrum tilgangi. Þessir aðilar geta verið staðsettir annars staðar en á Íslandi. Við munum hins vegar ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema þegar viðeigandi löggjöf um persónuvernd leyfir það, til dæmis á grunni staðlaðra samningsskilmála (SCC), eða ákvörðunar framkvæmdastjórnar Evrópusambandsins um ríki sem veita persónuupplýsingum fullnægjandi vernd.

Við áskiljum okkur rétt til að deila persónuupplýsingum þegar okkur er það skylt samkvæmt lögum, s.s. á grundvelli dómsúrskurðar eða réttmætrar beiðni lögreglu, eða með lögmönnum okkar að því marki sem nauðsynlegt er til að standa vörð um réttindi okkar sem fyrirtækis eða starfsfólks okkar.

Loks nýtum við þjónustu þriðja aðila við vefgreiningu og markaðssetningu á grunni upplýsinga sem fást í gegnum vefkökur, að því marki sem þú hefur heimilað okkur að safna og miðla slíkum upplýsingum með vali á stillingum í vefkökuborða. Þessir þjónustuaðilar geta ýmist verið vinnsluaðilar okkar eða sjálfstæðir ábyrgðaraðilar vegna þeirra upplýsinga sem um ræðir. Í gegnum vefkökuborðann má nálgast ítarlegar upplýsingar um allar vefkökur á vefsíðunni, þ. á m. um eðli þeirra, tilgang og líftíma.

5. Varðveisla persónuupplýsinga

Við geymum persónuupplýsingar ekki lengur en lög heimila eða þörf krefur miðað við upphaflegan tilgang vinnslunnar. Lagaskyldur sem á okkur hvíla kunna að stýra því hversu lengi við geymum persónuupplýsingar, t.d. í sjö ár frá lokum viðkomandi reikningsárs, samkvæmt bókhaldslögum, eða í eitt ár samkvæmt lögum um gististaði.

Þegar vinnslutíma lýkur eyðum við persónuupplýsingum með öruggum hætti eða gerum þær ópersónugreinanlegar, þannig að þær teljist ekki lengur til persónuupplýsinga.

6. Miðlun persónuupplýsinga frá þriðja aðila til okkar

Þegar þú hefur heimilað þriðja aðila, svo sem ferðaskrifstofu eða bókunarþjónustu, að miðla þínum persónuupplýsingum til okkar (t.d. til að bóka þjónustu fyrir þína hönd) gildir þessi persónuverndarstefna um vinnslu þeirra upplýsinga af okkar hálfu.

Í tilvikum þar sem aðrir þjónustuveitendur veita þér hluta af þjónustu, dvöl eða ferð, bera þeir þjónustuveitendur ábyrgð á vinnslu persónuupplýsinga sem fer fram af þeirra hálfu. Persónuverndarstefnur þessara aðila ættu að vera aðgengilegar hjá þeim.

7. Greiðslur og öryggi

Greiðslur fara fram í gegnum greiðslumiðlunina Planet. Greiðslur eru verndaðar öllum stundum og vottaðar samkvæmt PCI DSS (Payment Card Industry Data Security Standard) til að tryggja örugga meðferð greiðslukortaupplýsinga.

Vefsvæðin okkar eru tryggð með SSL-vottorðum með hæsta dulkóðunar- og öryggisstigi. SSL stendur fyrir „Secure Sockets Layer“ og býður upp á örugg dulkóðuð samskipti milli vefsíðu og vafra.

8. Þín réttindi samkvæmt persónuverndarlögum

Vegna vinnslu persónuupplýsinga um þig hefur þú eftirtalin réttindi samkvæmt persónuverndarlögum:

  • Aðgangur - Þú átt rétt á að fá aðgang að persónuupplýsingum sem við vinnum um þig og upplýsingar um vinnsluna.
  • Leiðrétting - Þú átt rétt á að fá leiðréttar persónuupplýsingar um þig, sem þú telur rangar eða ónákvæmar.
  • Takmörkun - Þú átt rétt á að fara fram á að við takmörkum vinnslu persónuupplýsinga um þig í ákveðnum tilvikum, t.d. ef þú véfengir að upplýsingarnar séu réttar eða ef vinnslan telst ólögmæt.
  • Flutningur - Þú átt rétt á að fá afhentar persónuupplýsingar um þig á rafrænu og tölvulesanlegu formi þannig að þú getir sent þær, eða óskað eftir því að við sendum þær, til annars ábyrgðaraðila. Þessi réttur á við þegar vinnslan byggist á samþykki þínu
  • Afturköllun samþykkis - Þegar vinnsla persónuupplýsinga byggir á samþykki þínu átt þú rétt á að afturkalla samþykki þitt hvenær sem er. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti þeirrar vinnslu sem fór fram áður en samþykkið var afturkallað.
  • Andmæli - Þú átt rétt á að andmæla vinnslu persónuupplýsinga sem byggir á okkar lögvörðu hagsmunum. Þú átt einnig rétt á að andmæla vinnslu sem tengist beinni markaðssetningu.
  • Kvörtun - Þú átt rétt á að leggja inn kvörtun hjá Persónuvernd ef þú telur vinnslu okkar á persónuupplýsingum um þig ekki samræmast persónuverndarlögum.

Vinsamlegast hafðu samband við okkur í gegnum netfangið [email protected] ef þú vilt nýta þér einhver ofantalinna réttinda.

9. Börn yngri en 13 ára

Við tökum á móti og veitum fjölskyldum þjónustu og kunnum í því sambandi að vinna með persónuupplýsingar um börn vegna hótelgistingar eða annars konar bókana. Við söfnum ekki vísvitandi persónuupplýsingum um börn yngri en 13 ára án aðkomu eða samþykkis foreldris eða forsjáraðila.

Ef foreldri eða forsjáraðila verður þess var að barn undir 13 ára hefur deilt persónuupplýsingum með okkur er viðkomandi beðinn um að hafa samband við okkur svo gera megi viðeigandi ráðstafanir, t.d. með því að eyða upplýsingum.

10. Umsækjendur um störf

Við vinnum með persónuupplýsingar þeirra sem sækja um starf hjá okkur. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna, svo sem tengiliðaupplýsingar, ferilskrá, kynningarbréf, upplýsingar um menntun, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur. Þessi vinnsla er nauðsynlegur undanfari þess að gera megi ráðningarsamning.

Við geymum persónuupplýsingar umsækjenda aðeins á meðan ráðningarferli stendur, nema umsækjandi samþykki að þær séu geymdar lengur vegna atvinnutækifæra sem gefast síðar. Umsækjendur um störf fá sérstaka fræðslu um þá vinnslu persónuupplýsinga sem fer fram af okkar hálfu í umsóknar- og ráðningarferli.

11. Öryggisbrestur

Komi til öryggisbrests við meðferð persónuupplýsinga munum við án óeðlilegrar tafar og eigi síðar en innan 72 klst. eftir að við verðum brestsins vör, tilkynna Persónuvernd um brestinn, nema ólíklegt þyki að leiði til áhættu fyrir réttindi þín og frelsi. Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi þín og frelsi munum við tilkynna þér um brestinn án óeðlilegrar tafar, nema lög kveði á um annað.

12. Fyrirspurnir og kvartanir

Ef þú hefur spurningar um vinnslu okkar á persónuupplýsingum um þig, eða persónuverndarstefnu þessa, getur þú haft samband við okkur með tölvupósti á netfangið [email protected], eða með því að senda okkur bréfpóst. Póstfang okkar er Urriðaholtsstræti 2-4, 210 Garðabæ.

Þú átt rétt á að leggja fram kvörtun til Persónuverndar, Rauðarárstíg 10, 105 Reykjavík (www.personuvernd.is) ef þú telur vinnslu okkar á persónuupplýsingum ekki í samræmi við persónuverndarlög.

13. Breytingar á þessari persónuverndarstefnu

Við kunnum að gera breytingar á þessari persónuverndarstefnu til að hún endurspegli á nákvæman hátt söfnun okkar og vinnslu persónuupplýsinga á hverjum tíma. Breytingar taka gildi um leið og uppfærð útgáfa er birt á vefsíðunni okkar.

Síðast uppfært: 2. júlí 2026

Bláa Lónið Norðurljósavegur 9 240 Grindavík Sjá á korti

+354 420 8800

Hafa samband

Mín bókun