Hjá Origo ehf., kt. 450723-1690, Borgartúni 37, 105 Reykjavík er lögð rík áhersla á að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem félögin vinna. Tilvísun til „félagsins“ og/eða „okkar“ í persónuverndarstefnu þessari tekur til Origo nema annað sé sérstaklega tekið fram.

Meðferð persónuupplýsinga

Persónuverndarstefnu þessari er ætlað að upplýsa þig um vinnslu félagsins á persónuupplýsingum, þ. á m. hvaða persónuupplýsingum félagið safnar og með hvaða hætti það nýtir slíkar persónuupplýsingar. 

Persónuverndarstefna þessi á eingöngu við þegar félagið vinnur persónuupplýsingar sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, t.d. þegar félagið vinnur persónuupplýsingar einstaklinga sem eiga í viðskiptum við félagið, tengiliða sem koma fram fyrir hönd lögaðila sem eiga í viðskiptum við félagið eða umsækjenda um störf hjá félaginu.

Persónuverndarstefna þessi nær ekki til vinnslu félagsins á persónuupplýsingum sem fer fram í tengslum við veitingu á upplýsingatækniþjónustu til lögaðila. Við slíkar aðstæður telstviðskiptavinur félagsins ábyrgðaraðili að vinnslu persónuupplýsinga, en félagið kemur þá fram sem vinnsluaðili fyrir hönd viðskiptavinarins og vinnur félagið slíkar upplýsingar á grundvelli samnings við viðskiptavin. 

Félagið hefur skipað persónuverndarfulltrúa sem hefur eftirlit með því að félagið uppfylli skyldur sínar samkvæmt gildandi persónuverndarlögum hverju sinni, sbr. kafla 7 í stefnu þessari.

Vinnsla félagsins á persónuupplýsingum fer eftir sambandi félagsins við þá einstaklinga sem upplýsingarnar tilheyra. 

Í köflum a-g hér að neðan má finna nánari upplýsingar um hvaða persónuupplýsingar félagið vinnur í ólíkum samningssamböndum, lýsingu á því í hvaða tilgangi vinnslan fer fram, á hvaða grundvelli vinnslan byggir og hversu lengi félagið varðveitir upplýsingarnar. 

Meginstarfsemi félagsins felst í að veita upplýsingatækniþjónustu til lögaðila. Komir þú fram fyrir hönd slíks viðskiptavinar okkar vinnum við eftirfarandi upplýsingar um þig, á grundvelli lögmætra viðskiptahagsmuna félagsins:

kennitala, í þeim tilgangi að staðreyna heimild þínar til að eiga reikningsviðskipti fyrir hönd viðskiptavinar, eftir því sem við á

Þá kann félagið að nota tengiliðaupplýsingar til að senda þér skoðunar- og þjónustukannanir, upplýsingar um fræðslu og viðburði á vegum félagsins, sem og um nýjar vörur og tilboð. Sú vinnsla byggir á lögmætum viðskiptahagsmunum félagsins, en þú getur ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti. 

Símtöl viðskiptavina sem koma í gegnum þjónustuborð félagsins kunna að vera hljóðrituð og er viðskiptavinum gert grein fyrir hljóðritun í upphafi símtals.

Á vefsíðu Origo má finna upplýsingar um helstu vörur og þjónustu Origo. Þar getur þú skráð þig á póstlista til þess að fá upplýsingar um fréttir, fræðslu og viðburði á vegum Origo Þegar þú skráir þig á póstlista Origo óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli lögmætra viðskiptahagsmuna félagsins:

upplýsingar um fyrirtæki og starfstitil

Á vefsíðu Origo getur þú jafnframt sent okkur erindi, hvort sem það er almenn fyrirspurn, beiðni um ráðgjöf, eða erindi til sérstakrar deildar innan Origo eða félags innan samstæðu Origo. Þegar þú sendir okkur fyrirspurn óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli beiðni þinnar um að gera samning:

Félagið kann að nota netfang þitt til að senda þér upplýsingar um fræðslu og viðburði á vegum félagsins, sem og upplýsingar um nýjar vörur og tilboð. Vinnsla þessi byggir á lögmætum viðskiptahagsmunum félagsins, en viðskiptavinir geta ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.

Við notum vefkökur til að bæta upplifun þína á vefsíðu Origo. Nánari upplýsingar má finna í vefkökustefnu Origo.

Þegar þú skráir þig á viðburð eða námskeið (sameiginlega vísað til „viðburðar“) á vegum félagsins kunnum við að óska eftir persónuupplýsingum þínum til að halda utan um skráningu þína og greiðslu, þegar það á við. Við söfnum mismunandi upplýsingum eftir því hvers konar viðburð er um að ræða, en almennt er óskað eftir eftirfarandi upplýsingum, sem eru nauðsynlegar fyrir okkur til að verða við beiðni þinni um þátttöku:

Á sumum viðburðum eru teknar ljósmyndir sem birtar eru á vefsíðu Origo, eftir atvikum á grundvelli lögmætra viðskiptahagsmuna félagsins eða samþykkis þíns. Meðalhófs er þó ávallt gætt við slíka myndbirtingu. 

Eftir að viðburði er lokið kunnum við að senda þér eftirfylgnitölvupóst, sem og tölvupósta með efni sem við teljum þig hafa áhuga á, s.s. boð á aðra sambærilega viðburði. 

Eftirfarandi persónuupplýsingum er safnað um fundargesti sem koma í húsnæði Origo, en sú vinnsla er byggð á lögmætum hagsmunum okkar, þar sem hún er nauðsynleg í öryggisskyni og til að uppfylla skilyrði ISO 27001 öryggisvottunar sem félagið starfar eftir:

Origo viðhefur rafræna vöktun með eftirlitsmyndavélum á starfsstöðvum félagsins, bæði innandyra og í kringum viðkomandi húsnæði. Öll vöktuð svæði innandyra eru merkt sérstaklega. Myndavélaeftirlit er viðhaft í öryggis- og eignarvörsluskyni á grundvelli lögmætra hagsmuna félagsins. Myndefni sem safnast með eftirlitsmyndavélum er ekki varðveitt lengur en í 30 daga nema lög eða reglur um rafræna vöktun heimili.. Þetta á þó ekki við um myndefni sem nauðsynlegt er að varðveita til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. 

Ef þú sækir um starf hjá félaginu vinnum við eftirfarandi persónuupplýsingar um þig:

upplýsingar sem fram koma í ferilskrá og kynningarbréfi

upplýsingar á umsóknarformi, þ. m. t. um starfsferil og menntun 

upplýsingar sem koma fram í starfsviðtali, eftir því sem við á

Komist þú áfram í ráðningarferlinu óskum við eftir eftirfarandi upplýsingum:

persónuleikapróf eða annars konar viðurkennd hæfnipróf kunna að vera lögð fyrir með samþykki umsækjanda

Við óskum þó einungis eftir sakavottorði ef til stendur að bjóða þér starf og er þá óskað eftir því áður en ákvörðun er tekin um ráðningu. Eftir að sakavottorð hefur verið skoðað er því eytt. Þessi vinnsla byggir á lögmætum hagsmunum félagsins af því að tryggja öryggi og heilleika vinnustaðarins. 

Upplýsingum um þig er fyrst og fremst aflað frá þér, en kann einnig að vera aflað frá meðmælendum og eftir atvikum ráðningarskrifstofum og eru þær notaðar til að meta hæfni þína til að sinna viðkomandi starfi. Byggir sú vinnsla okkar á beiðni þinni um gerð ráðningarsamnings. 

Félagið geymir persónuupplýsingar umsækjenda í allt að 9 mánuði eftir að umsókn berst félaginu, en að þeim tíma loknum er umsóknum eytt með öruggum hætti. Ef þú kýst að viðhalda umsókn sinni á umsóknarvef félagsins eru persónuupplýsingar umsækjanda geymdar í 9 mánuði til viðbótar. Félagið kann að óska eftir því að geyma umsóknir lengur vegna frekari starfstækifæra hjá félaginu. Í þeim tilvikum mun félagið hafa samband við þig og óska eftir samþykki fyrir lengri varðveislu.

Að öðru leyti en tekið er sérstaklega fram í stefnu þessari aflar félagið persónuupplýsinga beint frá þér. Upplýsingar kunna þó jafnframt að koma frá þriðju aðilum, t.d. úr Þjóðskrá. 

Að öðru leyti en tekið er sérstaklega fram í stefnu hér að framan varðveitir félagiðpersónuupplýsingar eins lengi og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum. Persónuupplýsingar eru þó að jafnaði ekki varðveittar lengur en í sjö ár.

Félagið kann að miðla persónuupplýsingum til þriðju aðila sem veita félaginu þjónustu sem tengist vinnslu persónuupplýsinga og er hluti af rekstri félagsins. Dæmi um slíka aðila eru utanaðkomandi ráðgjafar, s.s. endurskoðendur, lögmenn og úttektaraðilar, en einnig aðilar sem veita félaginu upplýsingatækni- og fjarskiptaþjónustu, sem og félög innan samstæðu móðurfélags Origo, Skyggni ehf. Miðlun persónuupplýsinga til slíkra aðila er byggð á lögmætum hagsmunum félagsins af því að úthýsa tilteknum verkefnum til utanaðkomandi aðila. 

Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann félagið jafnframt að miðla afmörkuðum upplýsingum til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar. Slík miðlun á sér einnig stað á grundvelli lögmætra hagsmuna félagsins. 

Þar að auki kann félagið að miðla persónuupplýsingum til eftirlitsyfirvalda þegar félaginu er það skylt samkvæmt lögum, stjórnvaldsfyrirmælum eða dómsúrskurði. Dæmi um slíka miðlun er afhending persónuupplýsinga til eftirlitsyfirvalds, s.s. Fjármálaeftirlitsins, Ríkisskattstjóra eða lögreglu á grundvelli dómsúrskurðar eða lögmætrar beiðni.

Þessir aðilar kunna að vera staðsettir utan Íslands. Félagið mun þó ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar, s.s. á grundvelli staðlaðra samningsskilmála, samþykki þíns eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.

Stjórnunarkerfi upplýsingaöryggis hjá Origo er vottað samkvæmt ISO 27001:2013 staðlinum Öryggisráðstafanir í samræmi við staðalinn hafa því verið  innleiddar. 

Nánari upplýsingar um öryggisvottun og stefnu félagsins í öryggismálum má finna hér.

Persónuverndarlög tryggja einstaklingum ákveðin réttindi yfir persónuupplýsingum sínum. Þannig geta einstaklingar t.d. óskað eftir aðgangi að persónuupplýsingum sínum eða að þeim sé eytt. 

Tekið skal fram að réttindi þín á grundvelli persónuverndarlaga eru ekki fortakslaus. Þannig kunna lög t.a.m. að skylda félagið til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni þinni vegna réttinda félagsins, s.s. á grundvelli hugverkaréttar, eða réttinda annarra aðila, s.s. til friðhelgi einkalífs, telji félagið þau réttindi vega þyngra.

Ef upp koma aðstæður þar sem að við getum ekki orðið við beiðni þinni munum við leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

Það er mikilvægt að þær persónuupplýsingar sem félagið vinnur með séu bæði réttar og viðeigandi. Því er mikilvægt að okkur sé tilkynnt um allar breytingar sem kunna að verða á persónuupplýsingum þínum.

Þú átt rétt á því að fá óáreiðanlegar persónuupplýsingar um þig leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga átt þú jafnframt rétt á að láta fullgera ófullkomnar persónuupplýsingar um þig, þ.m.t. með því að leggja fram frekari upplýsingar.

Þú átt rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki, og ef svo er getur þú óskað eftir aðgangi að upplýsingunum og hvernig vinnslunni er hagað. Þá kann einnig að vera að þú hafir rétt á að fá afrit af upplýsingunum. 

Við ákveðnar aðstæður getur þú farið fram á það við félagið að við sendum upplýsingar, sem þú hefur sjálf/ur látið okkur í té eða stafa frá þér, beint til þín eða þriðja aðila. Þessi réttur á þó eingöngu við þegar vinnslan á viðkomandi persónuupplýsingum byggir annað hvort á samþykki þínu eða samnings þíns við félagið. 

Við ákveðnar aðstæður getur þú óskað eftir því að persónuupplýsingum um þig verði eytt án tafar, til að mynda þegar að varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að þú hefur afturkallað samþykki þitt fyrir vinnslu persónuupplýsinganna og engin önnur heimild liggur til grundvallar henni. 

Réttur til að afturkalla samþykki fyrir vinnslu

Sé vinnsla á persónuupplýsingum þínum byggð á samþykki er þér hvenær sem er heimilt að afturkalla samþykki þitt.

Viljir þú ekki láta eyða upplýsingum þínum, t.d. vegna þess að þú þarft á þeim að halda til að verjast kröfu, en vilt samt sem áður að þær séu ekki unnar frekar af hálfu félagsins getur þú óskað eftir því að vinnsla þeirra verði takmörkuð.

Sé vinnsla á persónuupplýsingum þínum byggð á lögmætum hagsmunum félagsins átt þú rétt á að mótmæla þeirri vinnslu.

Viljir þú nýta réttindi þín á grundvelli persónuverndarlaga getur þú sent beiðni til félagsins í gegnum þjónustugátt Origo. 

Félagið hefur einungis heimild til að afgreiða beiðnir á grundvelli persónuverndarlaga þegar félagið er í stöðu ábyrgðaraðila, s.s. þegar þú sem einstaklingur ert í viðskiptum við félagiðeða kemur fram fyrir hönd lögaðila í viðskiptum við félagið. Aðrar beiðnir vegna vinnslu persónuupplýsinga af hálfu lögaðila sem kaupir upplýsingatækniþjónustu af félaginu skal beina til viðkomandi lögaðila sem hefur stöðu ábyrgðaraðila. 

Við tökum almennt ekki taka gjald fyrir við afgreiðslu beiðna sem berast frá einstaklingum. Við áskiljum okkur hins vegar rétt til að gjaldfæra fyrir beiðnir sem teljast augljóslega tilefnislausar, endurteknar og/eða óhóflegar. Auk þess kann félaginu að vera heimilt að neita að verða við beiðni í framangreindum tilfellum.

Félagið mun auðkenna þá einstaklinga, sem senda beiðni til félagsins, með rafrænum skilríkjum. Sú auðkenning er nauðsynleg svo félagið geti uppfyllt lagaskyldu sína samkvæmt persónuverndarlögum og felur í sér öryggisráðstafanir svo persónuupplýsingar einstaklinga séu ekki birtar óviðkomandi aðilum.

Félagið kann einnig að hafa samband við einstaklinga og óska eftir frekari upplýsingum ef það er talið nauðsynlegt.

Félagið mun varðveita beiðni þína, allar upplýsingar tengdar beiðninni sem og samskipti í tengslum við beiðnina í 4 ár frá afgreiðslu hennar.

Persónuverndarfulltrúi tekur á móti fyrirspurnum og beiðnum í tengslum við persónuvernd,auk þess að ráðleggja félaginu um vinnslu persónuupplýsinga og gegna því hlutverki að vera tengiliður við Persónuvernd.

Allar fyrirspurnir vegna persónuverndar skulu berast persónuverndarfulltrúa á netfangið personuvernd@origo.is eða með pósti á:

Persónuverndarfulltrúi Origo 
Borgartúni 37 
105. Reykjavík

Ef þú ert ekki sátt/sáttur við meðferð félagsins á persónuupplýsingum þínum getur þú ávallt sent kvörtun á Persónuvernd. 

Upplýsingar um Persónuvernd má finna á www.personuvernd.is.

Félagið getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á persónuverndarlögum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á heimasíðu félagsins. 

Persónuverndarstefna þessi var síðast uppfærð 14. febrúar 2025.

Persónuverndarstefna Origo

Persónuverndarstefna

Persónuverndarstefnu þessari er ætlað að upplýsa þig um vinnslu félagsins á persónuupplýsingum, þ. á m. hvaða persónuupplýsingum félagið safnar og með hvaða hætti það nýtir slíkar persónuupplýsingar.

Meðferð persónuupplýsinga

Meðferð persónuupplýsinga

Stefnan

Persónuverndarstefna Origo