Persónuverndarstefna

Í skilningi persónuverndarlaga frá 1988 (Cth) og áströlskra persónuverndarreglna (APPs), almennrar persónuverndarreglugerðar ESB (EU GDPR) og almennrar persónuverndarreglugerðar Bretlands (UK GDPR), er **ábyrgðaraðili** persónuupplýsinga sem safnað er í gegnum Reco-vettvanginn:

Þar sem krafist er samkvæmt persónuverndarreglugerð ESB er fulltrúi okkar fyrir ESB birtur á vettvanginum. Þar sem krafist er samkvæmt persónuverndarreglugerð Bretlands er fulltrúi okkar fyrir Bretland birtur á vettvanginum.

Reco meðhöndlar persónuupplýsingar í tveimur aðskildum hlutverkum:

• Sem ábyrgðaraðili gagna, fyrir upplýsingar sem þú sendir okkur beint til að stofna og nota reikninginn þinn (til dæmis nafn þitt, netfang og virkni á reikningnum). Þessi stefna nær yfir þá vinnslu.
• Sem gagnavinnsluaðili, þegar þjónustuaðili hleður upp tengiliðaupplýsingum viðskiptavina á vettvanginn til að senda tilvísunarboð. Í því tilviki er þjónustuaðilinn ábyrgðaraðili og við vinnum úr gögnunum fyrir hönd þjónustuaðilans samkvæmt viðauka okkar um gagnavinnslu. Sjá 12. kafla.

„Reco“ er vörumerkið og vöruheitið. Lögaðilinn er Netfect Platforms Pty Ltd. Tilvísanir í þessum skilmálum til Reco þýða Netfect Platforms Pty Ltd sem starfar undir nafninu Reco.

Við söfnum aðeins þeim persónuupplýsingum sem við þurfum í þeim tilgangi sem lýst er í 4. kafla. Flokkarnir eru:

Við söfnum ekki og þú ættir ekki að senda inn:

• Auðkenni stjórnvalda (skattskráarnúmer, vegabréfsnúmer, ökuskírteinisnúmer).
• Full greiðslukortanúmer eða bankareikningsupplýsingar (greiðslumiðlun okkar sér um þetta).
• Líffræðilegar eða erfðafræðilegar upplýsingar.
• Efni skilaboða sem send eru í gegnum forrit þriðja aðila (t.d. WhatsApp, iMessage) sem þú notar utan kerfisins til að áframsenda tilvísunarhlekk — við sjáum aðeins að tengill hafi verið búinn til, ekki hvert þú sendir hann.

Þegar tilvísandi sendir tilvísun gerist eftirfarandi í þeirri röð:

1. Tilvísandi veitir tengiliðaupplýsingar fyrir tilvísanda (nafn og að minnsta kosti eitt af eftirfarandi: netfang, farsímanúmer). Við söfnum þessum upplýsingum til að virkja tilvísunina.
2. Við látum tilvísunaraðila vita tafarlaust í gegnum valda rás með skýrri útskýringu á hver vísaði honum, hvaða þjónustuaðili er að ræða og hvaða möguleikar eru í boði.
3. Miðlarinn velur hvort hann samþykkir, afþakkar eða hunsar. Hægt er að afþakka þátttöku í fyrstu skilaboðunum og á hvaða síðu sem þeir komast á vettvanginn.
4. Ef tilvísunaraðilinn afþakkar bönnum við frekari samskipti varðandi þá tilvísun, eyðum tengiliðaupplýsingum viðkomandi innan hæfilegs tíma (nema ef þörf krefur til að halda áfram að bæla niður framtíðarboð á sömu rás) og tilkynnum tilvísunaraðilanum að tilvísunin hafi ekki verið framkvæmd (án þess að upplýsa ástæðuna).
5. Ef meðmælandinn staðfestir tilvísunina er nafni hans og samskiptaupplýsingum deilt með viðeigandi veitanda svo að veitandinn geti afhent umbunina og fylgt eftir. Samþykki meðmælandans fyrir þessari miðlun er skráð í staðfestingarskrefinu.

Við leitum ekki eftir viðkvæmum upplýsingum (eins og skilgreint er í persónuverndarlögunum og GDPR — þar á meðal heilsufarsupplýsingum, kynþætti eða þjóðernisuppruna, stjórnmálaskoðunum, trúarbrögðum, kynhneigð, aðild að verkalýðsfélagi, líffræðilegum eða erfðafræðilegum gögnum, sakavottorð).

Þar sem þjónustuaðilar á heilbrigðissviði nota Reco, ættu viðskiptavinir að forðast að hafa viðkvæmar upplýsingar með í umsögnum eða skilaboðum. Ef þú gerir það, þá meðhöndlum við þær sem sjálfviljugar upplýsingar og við geymum þær með sömu öryggisráðstöfunum og aðrar persónuupplýsingar. Þú getur beðið okkur um að fjarlægja þær hvenær sem er.

Þegar þjónustuaðili gerir kleift að fá umsagnir um einstaka samstarfsaðila verður þjónustuaðilinn að hafa upplýst viðkomandi um það og samþykki hans áður en hægt er að gera umsagnir um hann á vettvanginum. Samstarfsaðilar eiga rétt á að:

• fara yfir það sem hefur verið birt um þá;
• óska eftir leiðréttingu á staðreyndavillu efnis;
• óska eftir því að nafn þeirra verði nafnlaust eða fjarlægt úr umsögnum;
• óska eftir því að þeir verði fjarlægðir af listanum yfir endurskoðanlega samstarfsaðila héðan í frá.

Hægt er að senda beiðnir á privacy@reco.tips eða senda þær í gegnum þjónustuveituna.

Reco er fyrir fullorðna. Við söfnum ekki vísvitandi persónuupplýsingum frá neinum yngri en 18 ára. Sjá 16. kafla.

Pallurinn notar gervigreind til að aðstoða þjónustuaðila við að semja lýsingar á umbunum og skilmála umbunar. Þegar þjónustuaðili notar þessa eiginleika:

• Innsláttur veitandans (venjulega stutt lýsing á fyrirtækinu og óskir) er sendur til þjónustuveitanda sem sérhæfir sig í gervigreind til vinnslu.
• Við notum ekki persónuupplýsingar þínar til að þjálfa gervigreindarlíkön þriðja aðila. Samningar okkar við þjónustuaðila gervigreindar banna þeim notkun á API-inntaki okkar til þjálfunar.
• Úttak gervigreindar eru einungis drög. Þjónustuveitandinn ber ábyrgð á að fara yfir þau og samþykkja þau, eins og útskýrt er í 6. grein þjónustuskilmálanna.

Þjónustuaðilar mega ekki færa inn persónuupplýsingar í gervigreindaraðgerðir umfram það sem nauðsynlegt er og mega ekki færa inn viðkvæmar upplýsingar eða trúnaðarupplýsingar sem tilheyra eigin viðskiptavinum.

Pallurinn inniheldur **sjálfvirka** svikagreiningu sem metur tilvísanir eftir vísbendingum um misnotkun. Svikamerki geta leitt til þess að tilvísun er frestað til skoðunar, gjald endurgreitt eða reikningi lokað.

• Þessar niðurstöður eru **ekki eingöngu sjálfvirkar** — við höldum manneskju upplýstri um mikilvægar ákvarðanir sem hafa veruleg áhrif á þig (eins og að loka þjónustuveitureikningi).
• Þegar þjónustuaðili mótmælir tilkynningu um svik gildir 14 daga mótmælafresturinn í 15. grein þjónustuskilmálanna og mannlegur fer yfir ákvörðunina.
• Þar sem við erum háð 22. grein GDPR, hefur þú rétt til að óska eftir mannlegri úttekt, láta sjónarmið þín í ljós og kæra ákvörðunina — skrifaðu á privacy@reco.tips.

Við notum fámennan hóp þjónustuaðila til að reka kerfið. Þeir vinna úr persónuupplýsingum að okkar fyrirmælum samkvæmt skriflegum samningum sem krefjast viðeigandi öryggis og trúnaðar og þeir mega ekki nota gögnin í eigin þágu. Flokkarnir sem við notum eru:

• Skýhýsing, gagnagrunnur, auðkenning og skráageymsla (nú Google Cloud og Firebase, rekið af Google LLC).
• Greiðsluvinnsla og áskriftarreikningur (sem nú er Stripe, Inc. og svæðisbundin dótturfélög þess). Stripe meðhöndlar kortagögn beint og ber ábyrgð á eigin vinnslu samkvæmt eigin persónuverndarstefnu.
• SMS og tölvupóstur í viðskiptum (sem stendur Twilio og tölvupóstsendingaraðili, birt á núverandi lista okkar yfir undirvinnsluaðila).
• Uppfletting og kortlagning heimilisfanga (nú Google Maps Platform, fyrir virkni sem hentar hverju landi fyrir sig).
• Verkfæri fyrir þjónustuver viðskiptavina fyrir þjónustuborð og tölvupóstsamskipti.
• Þjónustuveitendur gervigreindar sem knýja fram eiginleika gervigreindar sem lýst er í 7. kafla.

Núverandi listi yfir undirvinnsluaðila er birtur á kerfinu og uppfærður þegar birgjar okkar breytast. Þjónustuaðilar geta gerst áskrifendur að tilkynningum um breytingar á undirvinnsluaðilum samkvæmt viðauka um gagnavinnslu.

Þegar meðmælandi staðfestir tilvísun deilum við nafni og samskiptaupplýsingum meðmælandans með viðeigandi þjónustuaðila svo að þjónustuaðilinn geti afhent umbunina og fylgt eftir. Þessi miðlun:

• gerist aðeins eftir að dómarinn hefur staðfest;
• takmarkast við upplýsingar sem meðmælandinn veitti í þeim tilgangi að tilvísa málinu;
• inniheldur ekki upplýsingar um tilvísarann umfram nafn tilvísarans (svo að þjónustuaðilinn geti borið kennsl á hver vísaði nýja viðskiptavininum og veitt tilvísunarverðlaun).

Þegar upplýsingunum hefur verið deilt er veitandinn ábyrgðaraðili þeirra hvað varðar eftirfylgni sína við meðmælandann og persónuverndarstefna veitandans gildir.

Við gætum deilt persónuupplýsingum með:

• **Faglegir ráðgjafar** (lögfræðingar, endurskoðendur, tryggingafélög) undir trúnaðarskyldu, ef þörf krefur.
• **Yfirvöld**, í kjölfar lögmætra beiðna (dómsúrskurða, stefnur, gildar kröfur eftirlitsaðila). Við förum yfir hverja beiðni og höfnum henni ef hún er of víðtæk eða ólögleg.
• Afturtakandi aðila í tengslum við sölu fyrirtækja, sameiningu, endurskipulagningu eða svipaðan atburð, þar sem arftaki bundinn af skuldbindingum sem veita að minnsta kosti jafn mikla vernd og þessi stefna.

Áður en persónuupplýsingar eru fluttar til útlanda gerum við hæfilegar ráðstafanir til að tryggja að viðtakandinn meðhöndli þær í samræmi við þessar persónuverndarstefnur og gildandi lög, þar á meðal:

• fyrir millifærslur sem falla undir **APP 8** (Áströlsk persónuverndarregla), meta persónuverndarreglur viðtakandans og gera viðeigandi ráðstafanir til að tryggja meðhöndlun sem jafngildir APP;
• fyrir flutning persónuupplýsinga frá EES/Bretlandi til lands án ákvörðunar um fullnægjandi vernd, með hliðsjón af stöðluðum samningsákvæðum framkvæmdastjórnar Evrópusambandsins (eða breska IDTA / breska viðaukanum eftir því sem við á) og, þar sem við á, viðbótarráðstöfunum sem byggjast á Schrems II ákvörðuninni og gildandi leiðbeiningum EDPB/ICO.

Núverandi listi inniheldur Ástralíu (aðal), Bandaríkin (skýhýsing, greiðsluvinnsla, gervigreindarþjónustur), Evrópska efnahagssvæðið (tölvupóstsendingar, afritunarsvæði) og Bretland. Núverandi listi er birtur á kerfinu ásamt lista okkar yfir undirvinnsluaðila.

Með því að nota kerfið samþykkir þú að þjónustuaðilarnir sem taldir eru upp í kafla 8.1 vinna úr sumum persónuupplýsingum erlendis. Þar sem við getum ekki gripið til aðgerða sem sambærilegar eru við APP-8, leitum við til þíns sérstaks samþykkis áður en við flytjum þær.

Áður en þú sendir inn formlegar beiðnir geturðu stjórnað miklu magni af persónuupplýsingum þínum beint í reikningsstillingunum þínum, þar á meðal:

• Prófílupplýsingar — skoða, leiðrétta og uppfæra nafn þitt, tengiliðaupplýsingar, staðsetningu, tungumál og tímabelti.
• Sýnileiki og deiling — veldu hvað er sýnilegt á opinbera prófílnum þínum eða samfélagssíðunni og hvaða reitir eru deilt með þjónustuaðilum þegar þú staðfestir tilvísun.
• Tilkynningarstillingar — veldu hvort þú færð tölvupóst, SMS, tilkynningar eða tilkynningar í forriti, fyrir hvaða flokka skilaboða (þjónusta, tilvísunarvirkni, markaðssetning) og hversu oft.
• Markaðsstillingar — þú getur valið að taka við eða hafnað markaðssamskiptum hvenær sem er. Þetta er aðskilið frá þjónustusamskiptum, sem eru nauðsynlegar til að reka reikninginn þinn.
• Stillingar um umsögn (veitendur) — stjórna hvort hægt sé að fara yfir einstaka samstarfsaðila og á hvaða nákvæmnisstigi.
• Tengdir þjónustuaðilar (Viðskiptavinir) — sjáðu hvaða þjónustuaðilar þú ert tengdur við og aftengstu hvenær sem er.
• Lokun reiknings og eyðing gagna — hefja eyðingu reikningsins þíns og tengdra persónuupplýsinga úr stillingunum þínum.

Þegar þú breytir stillingu tekur breytingin gildi umsvifalaust og er fljótlegasta leiðin til að aðlaga hvernig upplýsingum þínum er farið með. Notkun stjórntækja í reikningnum jafngildir, í flestum tilfellum, því að leggja fram formlega beiðni um réttindi samkvæmt þessum kafla. Þú getur alltaf sent formlega beiðni (kafli 11.11) ef stilling gerir ekki það sem þú þarft.

Þú getur óskað eftir afriti af þeim persónuupplýsingum sem við geymum um þig.

Þú getur beðið okkur um að leiðrétta upplýsingar sem eru ónákvæmar, úreltar, ófullkomnar, óviðeigandi eða villandi. Flest reiti er hægt að leiðrétta beint í reikningsstillingunum þínum.

Þú getur beðið okkur um að eyða persónuupplýsingum þínum. Við munum gera það nema við séum lagalega skylt eða heimilt að geyma þær (sjá 10. kafla). Þú getur hafið eyðingu beint í reikningsstillingum þínum eða með því að senda tölvupóst á privacy@reco.tips. Við munum staðfesta auðkenni þitt áður en við bregðumst við beiðni og staðfesta að því sé lokið innan 30 daga.

Þú getur hvenær sem er afþakkað markaðssetningu með því að smella á afskráningarhlekkinn í hvaða markaðstölvupósti sem er eða með því að uppfæra stillingar í reikningsstillingum þínum.

Þegar við byggjum á lögmætum hagsmunum getur þú mótmælt vinnslu. Þegar ákveðin skilyrði eru uppfyllt getur þú beðið okkur um að takmarka vinnslu.

Þegar við reiðum okkur á samþykki eða samning og vinnum úr gögnum þínum með sjálfvirkum hætti geturðu óskað eftir afriti af gögnunum þínum á skipulegu, almennt notaðu, tölvulesanlegu sniði eða beðið okkur um að senda þau til annars ábyrgðaraðila ef það er tæknilega mögulegt.

Þegar við reiðum okkur á samþykki getur þú afturkallað það hvenær sem er. Afturköllun hefur ekki áhrif á lögmæti vinnslunnar fyrir afturköllun.

Samkvæmt APP 2, þar sem það er löglegt og mögulegt, máttu eiga viðskipti við okkur nafnlaust eða undir dulnefni. Fyrir reikning er þetta venjulega ekki mögulegt þar sem staðfesting er lykilatriði á kerfinu; við munum útskýra hvar svo er.

Sjá kafla 7.2. Þú getur óskað eftir að maðurinn fari yfir efnislega sjálfvirka ákvörðun sem hefur áhrif á þig.

Þú getur kvartað til eftirlitsyfirvalds — sjá 18. gr.

Sendu okkur tölvupóst á privacy@reco.tips. Vinsamlegast láttu okkur vita hvaða rétt þú vilt nýta þér og láttu okkur vita af nægum upplýsingum til að bera kennsl á þig (venjulega netfangið á reikningnum þínum). Við gætum þurft að staðfesta hver þú ert til að vernda gögnin þín gegn því að vera auðkennd. Við svörum staðfestum beiðnum innan 30 daga (eins mánaðar innan EES/Bretlands) og munum láta þig vita ef við þurfum að framlengja þetta, allt að þrjá mánuði fyrir flóknar beiðnir, eins og lögin leyfa. Engin gjöld eru innheimt fyrir sanngjarnar beiðnir.

Ef við höfnum beiðni munum við segja þér hvers vegna og útskýra frekari réttindi þín.

Þegar þjónustuaðili hleður inn, flytur inn eða setur á annan hátt upplýsingar um eigin viðskiptavini sína á vettvanginn (til dæmis tengiliðalista sem notaður er til að bjóða núverandi viðskiptavinum að taka þátt í tilvísunarforriti þjónustuaðilans), þá er þjónustuaðilinn ábyrgðaraðili þessara upplýsinga og Reco er vinnsluaðilinn.

Í 18. grein þjónustuskilmálanna eru settar fram ábyrgðir veitandans, þar á meðal að veitandinn hafi lögmætan grundvöll til að veita Reco gögnin og hafi gefið allar nauðsynlegar tilkynningar og fengið nauðsynleg samþykki samkvæmt gildandi persónuverndarlögum í lögsögu veitandans.

Þar sem gildandi persónuverndarlög (þar á meðal GDPR og breska GDPR) krefjast þess, gildir viðauki Reco um gagnavinnslu („DPA“) milli veitanda og Reco. Núverandi gagnavinnslusamningur er birtur á kerfinu og er hluti af þjónustuskilmálunum þegar veitandi hleður upp persónuupplýsingum. Í gagnavinnslusamningnum er kveðið á um:

• efni og lengd vinnslunnar;
• flokkar skráðra einstaklinga og persónuupplýsinga;
• skilmálar undirvinnsluaðila;
• alþjóðlegar millifærsluaðferðir (þar með taldar staðlaðar samningsákvæði ef þörf krefur);
• öryggisráðstafanir (32. gr. GDPR);
• tilkynning um brot;
• réttindi til endurskoðunar og aðstoðar; og
• skil/eyðing gagna við uppsögn.

Þjónustuaðilar verða að viðhalda eigin persónuverndarstefnu sem nær yfir eigin söfnun og notkun viðskiptavinaupplýsinga, þar á meðal notkun þeirra á Reco-kerfinu. Stefna Reco kemur ekki í stað skyldna þjónustuaðilans.

Samfélagssíða er síða sem er opin almenningi um fyrirtæki sem viðskiptavinur hefur mælt með. Hún getur verið til staðar hvort sem fyrirtækið hefur skráð sig hjá Reco eða ekki. Sjá 27. kafla þjónustuskilmála okkar.

Fyrir fyrirtæki sem ekki eru meðlimir getur samfélagssíða innihaldið:

• nafn fyrirtækis, staðsetning viðskipta (á úthverfi/borgarstigi) og opinberlega skráðar tengiliðaupplýsingar;
• lýsing og flokkur;
• umsagnir og einkunnir sem viðskiptavinir senda inn;
• sú staðreynd að fyrirtækinu hefur verið mælt með og samanlagðar meðmælatölur.

Þegar fyrirtæki sem ekki er meðlimur er einstaklingsfyrirtæki eða þegar nafn fyrirtækisins inniheldur nafn einstaklings, getur samfélagssíðan innihaldið persónuupplýsingar. Við meðhöndlum þessar upplýsingar samkvæmt þessari stefnu og gildandi persónuverndarlögum.

Þú getur:

• Krafðu síðuna með því að stofna staðfestan þjónustuaðilareikning, eftir það færðu stjórn á henni.
• Leiðréttu staðreyndarvillur í gegnum complaints@reco.tips eða kvörtunarferli vettvangsins.
• Fjarlægðu síðuna með því að senda inn staðfesta beiðni. Við munum fara yfir hana innan 14 daga og fjarlægja hana nema varðveisla sé nauðsynleg vegna lagalegra, almannahagsmuna eða lögbundinna verndarása, og jafnvel þá aðeins í lágmarksmæli.
• Mótmæla tilteknum umsögnum eða efni, sem við munum meðhöndla samkvæmt 9. grein þjónustuskilmálanna og 18. grein þessarar stefnu.

Við munum ekki nota upplýsingar af samfélagssíðunni til að koma á framfæri viðskiptalegum yfirlýsingum til beinna samkeppnisaðila án þíns samþykkis (til dæmis munum við ekki láta samkeppnisaðila vita að fyrirtæki þitt hafi fengið neikvæða umsögn).

Þegar líklegt er að gagnaleki valdi einstaklingum sem verða fyrir áhrifum alvarlegum skaða og uppfyllir skilyrði „hæfs gagnaleka“ samkvæmt III. hluta persónuverndarlaganna, munum við tilkynna það skrifstofu ástralska upplýsingafulltrúans og einstaklingum sem verða fyrir áhrifum eins fljótt og kostur er, í samræmi við áætlunina.

Þar sem GDPR eða breska GDPR á við munum við tilkynna viðeigandi eftirlitsyfirvöldum innan 72 klukkustunda frá því að við verðum á varðbergi gagnvart persónuupplýsingabroti ef þörf krefur, og einstaklingum sem verða fyrir áhrifum án ótilhlýðilegrar tafar ef brotið er líklegt til að leiða til mikillar áhættu fyrir réttindi þeirra og frelsi.

Ef þú verður var við grun um gagnaleka sem hefur áhrif á kerfið (til dæmis reikning sem hefur verið brotinn, upplýsingar um meðmælendur hafa verið afhjúpaðar eða tölvupóst sem virðist koma frá Reco sem þú bjóst ekki við), verður þú að láta okkur vita innan 24 klukkustunda á privacy@reco.tips og á complaints@reco.tips.

Ef þú telur að við höfum farið ranglega með persónuupplýsingar þínar, vinsamlegast hafðu samband við okkur á privacy@reco.tips (eða complaints@reco.tips ef um er að ræða mál varðandi fjarlægingu efnis). Við munum staðfesta það innan 3 virkra daga og svara efnislega innan 30 daga.

Þú hefur einnig rétt til að kvarta til persónuverndareftirlitsaðila. Það getur verið:

• Ástralía — Skrifstofa upplýsingafulltrúa Ástralíu (OAIC), á oaic.gov.au.
• **Málefni opinberra starfsmanna í Nýja Suður-Wales** — Upplýsinga- og friðhelgisnefnd Nýja Suður-Wales (IPC), á ipc.nsw.gov.au.
• Evrópska efnahagssvæðið — eftirlitsyfirvald í ESB-aðildarríkinu þar sem þú býrð, vinnur eða þar sem meint brot átti sér stað.
• Bretland — Upplýsingaeftirlitsstofnunin (ICO), á ico.org.uk.
• Önnur lögsagnarumdæmi — persónuverndar- eða gagnaverndaryfirvöld á þínu svæði.

Þú þarft ekki að kvarta til okkar fyrst áður en þú ferð til eftirlitsaðila, en við kunnum að meta tækifærið til að taka ábendingar beint.