Meðferð persónuupplýsinga

Persónuupplýsingar eru allar upplýsingar um einstakling sem geta persónugreint hann með einhverjum hætti. Til persónuupplýsinga teljast ekki þær upplýsingar þar sem auðkenni hefur verið fjarlægt og upplýsingar eru því ekki lengur persónugreinanlegar (e. anonymous data).

Origo kann að safna, nota, geyma eða flytja mismunandi flokka persónuupplýsinga um einstaklinga sem skipta má í eftirfarandi flokka:

Auðkennisupplýsingar: s.s. nafn, notendanafn og samskonar auðkenni, kennitala og kyn.

Samskiptaupplýsingar: s.s. heimilisfang, tölvupóstur, símanúmer.

Fjármálaupplýsingar: s.s. bankareikning eða aðrar greiðsluupplýsingar

Upplýsingar um viðskiptasögu: yfirlit yfir þær vörur sem keyptar hafa verið og reikninga sem gefnir hafa verið út

Tæknilegar upplýsingar: s.s. ip-tala, innskráningarupplýsingar, upplýsingar um tegund og útgáfu vafra.

Upplýsingar um notendahegðun: upplýsingar um hvernig heimasíða, vörur eða þjónustu sé notuð

Upplýsingar um markaðssetningu: upplýsingar sem tengjast vali einstaklings á því hvort Origo sé heimilt að senda honum markaðsefni  

Origo kann einnig að safna, nota eða miðla hagskýrslugögnum eða lýðfræðilegum gögnum sem eru ekki persónugreinanleg. Dæmi um notkun á slíkum gögnum væri að nota upplýsingar um notendahegðun til þess að fá tölfræði yfir þá notendur sem nýta sér ákveðna þætti vefsíðu Origo.

Origo safnar ekki viðkvæmum persónuupplýsingum um kynþátt eða þjóðernislegan uppruna, trúarbrögð eða heimspekilega sannfæringu, kynlíf, kynhneigð, stjórnmálaskoðanir, stéttarfélagsaðild, heilsufar, erfðafræðilegum upplýsingum eða lífkennaupplýsingum. Það sama á við um upplýsingar um sakfellingar í refsimálum eða refsiverð brot.

Origo kann að safna auðkennis- , samskipta- og fjármálaupplýsingum beint frá einstaklingum þegar þeir fylla út samning, eiga viðskipti í verslun Origo eða láta Origo þær í té með öðrum hætti. Dæmi um hvenær Origo kann að safna upplýsingum beint frá einstaklingi:

Sjálfvirk tækni eða samskipti

Origo kann einnig að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar nota vefsíðu Origo, origo.is eða netverslun Origo, netverslun.is. Þeim persónuupplýsingum er safnað með notkun á vafrakökum, loggum og svipaðri tækni. Sjá nánar um vafrakökur hér.

Söfnun upplýsingar frá þriðja aðila

Origo kaupir aðgang að grunnskrá Þjóðskrá vegna starfsemi sinnar þar sem safnað er auðkennis- og samskiptaupplýsingum, s.s. nafn, kennitölu og heimilisfangi.

Hér að neðan má finna lýsingu á því hvernig Origo kann að vinna persónuupplýsingar einstaklinga og á hvaða lagaheimild vinnsla byggir á. Origo kann að vinna mismunandi persónuupplýsingar einstaklinga samkvæmt fleiri en einni lagaheimild. Einstaklingum er velkomið að hafa samband við Origo ef þeir óska eftir að fá upplýsingar um tilgang vinnslu og hvaða lagaheimild er að baki vinnslunni.

Origo mun aðeins vinna persónuupplýsingar einstaklinga ef heimild er fyrir því í persónuverndarlögum. Í flestum tilvikum mun Origo styðjast við neðangreindar lagaheimildir:

Origo byggir almennt ekki á samþykki sem lagaheimild fyrir vinnslu persónuupplýsinga, nema í tilviki vafrakökunotkunar á heimasíðu eða netverslun Origo (sjá neðar).

Nýskráning viðskiptavina í netverslun

Origo safnar auðkennis- og samskiptaupplýsingum vegna nýskráningu einstaklinga í netverslun Origo. Sú vinnsla er byggð á framkvæmd á samningi við viðskiptavini.

Afgreiðsla pantana vöru eða þjónustu

Til að Origo geti afgreitt pantanir um vöru eða þjónustu, s.s. að taka við greiðslu frá viðskiptavinum og innheimta ógreidda reikninga, vinnur félagið auðkennis-, samskipta- og fjármálaupplýsingar auk upplýsinga um viðskiptasögu og markaðssetningu.

Móttaka greiðslu er nauðsynleg vegna framkvæmdar á samningi sem einstaklingur gerir við Origo. Origo hefur hins vegar lögmæta hagsmuni af því að innheimtir séu ógreiddir reikningar til að lágmarka tap félagsins vegna útistandandi skulda.

Þjónustuborð og verkstæði

Origo safnar auðkennis- og samskiptaupplýsingum einstaklinga sem hafa samband við þjónustuborð og er sú vinnsla í flestum tilvikum byggð á framkvæmd á samningi við einstaklinginn.

Origo safnar einnig upplýsingum frá einstaklingum sem koma með vörur í viðgerð á verkstæði Origo. Sú vinnsla er byggð einnig á framkvæmd á samningi við einstaklinginn.

Framkvæmd á viðskiptasambandi við einstaklinga

Origo vinnur einnig persónuupplýsingar einstaklinga sem eru í viðskiptum við Origo vegna framkvæmdar á viðskiptasambandi sem myndast hefur á milli einstaklings og Origo. Þeir flokkar persónuupplýsinga sem unnir eru í þeim tilgangi eru auðkennis- og samskiptaupplýsingar og upplýsingar markaðssetningu.

Dæmi um vinnslu á sér stað vegna framkvæmdar á viðskiptasambandi er þegar sendar eru út skoðunarkannanir eða beðið er um álit einstaklinga á vöru eða þjónustu. Sú vinnsla er nauðsynleg vegna lögmætra hagsmuna Origo sem felast í að greina hvaða vörur eða þjónustur höfða til viðskiptavina. 

Net- og upplýsingaöryggi

Origo kann að vinna auðkennis- og samskiptaupplýsingar auk tæknilegra upplýsinga um einstaklinga svo hægt sé að vernda félagið og vefsíður þess. Dæmi um slíka vinnslu eru bilanagreiningar, prófanir og almennt viðhald kerfa. Vinnsla þessi telst nauðsynleg vegna net- og upplýsingaöryggis og er því byggð á lögmætum hagsmunum Origo.

Þróun vöru og þjónustu út frá notendahegðun

Origo vinnur tæknilegar upplýsingar og upplýsingar um notendahegðun einstaklinga til að greina hvernig megi bæta vefsíðu, vörur, þjónustu, markaðssetningu, viðskiptasamband eða upplifun viðskiptavinar. Sú vinnsla er nauðsynleg vegna lögmætra hagsmuna Origo sem felast í því að greina hvernig bæta megi vöru og þjónustuframboð, vefsíðu og markaðssetningu, ásamt því að stuðla að frekari vöruþróun hjá félaginu.

Upplýsingar um tengiliði fyrirtækja í viðskiptum við Origo

Meginstarfsemi Origo felur í sér veitingu upplýsingatækniþjónustu til fyrirtækja. Í viðskiptum við fyrirtæki vinnur Origo persónuupplýsingar um þá tengiliði sem koma fram fyrir hönd fyrirtækja vegna starfa sinna. Þeir flokkar persónuupplýsinga sem Origo kann að vinna um tengiliði eru aðallega auðkennis- og samskiptaupplýsingar. Vinnslan er byggð á lögmætum hagsmunum Origo sem felast í því að hægt sé að stunda viðskipti.

Kennitala tengiliða er fengin í afmörkuðum tilfellum þegar tengiliðir fá afhentar vörur í eigu fyrirtækja sem eiga í reikningsviðskiptum við Origo. Origo telur það vera lögmæta hagsmuni sína og viðskiptavina sinna að fengin sé kennitala sem hægt er að staðreyna með framvísun skilríkis áður en vara ef afhent þar sem um háar fjárhæðir getur verið um að ræða.

Rafræn vöktun

Origo viðhefur rafræna vöktun með eftirlitsmyndavélum í kringum húsnæði félagsins og í móttöku og verslun að Borgartúni 37, 105 Reykjavík og Hvannavöllum 14, 2. hæð, 600 Akureyri. Verkstæði og vöruafgreiðsla Origo, Köllunarklettsvegi 8, 104 Reykjavík, er einnig vöktuð með eftirlitsmyndavélum í kringum húsnæði og í afgreiðslu. Öll svæði innandyra sem eru vöktuð eru merkt sérstaklega. Myndavélaeftirlit er viðhaft í öryggis- og eignarvörsluskyni og teljast vera lögmætir hagsmunir fyrir Origo.

Símtöl viðskiptavina sem koma í gegnum þjónustuver Origo eru hljóðrituð og er viðskiptavinum gert grein fyrir hljóðritun í byrjun símtals. Hljóðritun Origo á símtölum sem berast inn á þjónustuborð er byggð á lögmætum hagsmunum félagsins sem felast í að tryggja öryggi í starfsemi sinni.

Móttaka fundargesta

Safnað er auðkennisupplýsingum um fundargesti sem koma í húsnæði Origo að Borgartúni 37, 105 Reykjavík. Sú vinnsla er byggð á lögmætum hagsmunum Origo, þar sem hún er nauðsynleg í öryggisskyni og til að uppfylla skilyrði ISO 27001 öryggisvottunar sem félagið starfar eftir.

Bein markaðssetning

Origo kann að vinna auðkennis- og samskiptaupplýsingar, tæknilegar upplýsingar og upplýsingar um notendahegðun til að greina þarfir viðskiptavina með þeirra hagsmuni að leiðarljósi. Með þeim hætti getur Origo ákveðið hvaða vörur eða þjónusta höfða til einstaklinga og sent þeim markaðsefni. Sú vinnsla er byggð á lögmætum hagsmunum Origo sem felast í því að félagið geti markaðssett sig með skilvirkum hætti og þróað áfram vörur og þjónustu.

Þeir einstaklingar sem hafa keypt af Origo vöru/þjónustu eða óskað eftir að haft sé samband við sig á vefsíðu Origo munu fá sent markaðsefni, að því gefnu að þeir hafi ekki afhakað (e. opt out) að þeir vilji fá sent markaðsefni.

Einstaklingar geta hvenær sem er óskað eftir að ekki verði sent markaðsefni til þeirra með því að afskrá sig af póstlista. Einstaklingar afskrá sig af póstlista með því að smella á tengil sem er neðst í tölvupósti sem inniheldur markaðsefni.

Tekið skal fram að ef einstaklingur afskráir sig af póstlista vegna markaðsefnis þá er Origo ennþá heimilt að vinna persónuupplýsingar sem tengjast kaupum á vöru eða veitingu þjónustu, ábyrgðarskráningu og viðskiptasögu.

Vinnsla sem er nauðsynleg til að uppfylla lagaskyldu, stjórnvaldsfyrirmæli eða dómsúrskurði

Origo kann að vinna upplýsingar sem telst nauðsynlegt svo félagið geti uppfyllt lagaskyldu, stjórnvaldsfyrirmæli eða dómsúrskurð.

Vafrakökur

Origo notar vafrakökur til að bæta upplifun viðskiptavina á vefsíðu Origo og í netverslun sinni. Notkun Origo á vafrakökum er í sumum tilvikum byggð á lögmætum hagsmunum og í öðrum tilvikum á samþykki. Nánari upplýsingar má finna um kökunotkun fyrir origo.is hér og fyrir netverslun.is hér.

Breyting á tilgangi

Origo mun aðeins vinna persónuupplýsingar í þeim tilgangi sem var upphaflega fyrir söfnun þeirra eða í öðrum tilgangi sem samrýmist upphaflegum tilgangi.

Komi til þess að Origo muni vinna persónuupplýsingar einstaklinga í nýjum tilgangi sem samrýmist ekki upphaflegum tilgangi mun Origo upplýsa um slíka vinnslu og á hvaða lagaheimild hún byggir.

Origo kann að miðla persónuupplýsingum til þriðju aðila sem veita félaginu þjónustu í samræmi við þá vinnslu sem tilgreind er hér að ofan.

Þeir þriðju aðilar sem vinna persónuupplýsingar fyrir hönd Origo vegna veitingu þjónustu teljast vera vinnsluaðilar samkvæmt persónuverndarlögum. Dæmi um slíka vinnsluaðila eru:

Þegar Origo miðlar persónuupplýsingum til þriðju aðila sem koma fram sem vinnsluaðilar fyrir hönd Origo gerir félagið þá kröfu að þeir þriðju aðilar skrifi undir vinnslusamning við Origo. Samkvæmt vinnslusamningi ber vinnsluaðilum skylda til að vinna persónuupplýsingar með sambærilegum hætti og Origo gerir, til að sjá til þess að meðferð persónuupplýsinga sé lögmæt og viðeigandi öryggisráðstafanir séu til staðar. Origo gerir einnig þá kröfu í vinnslusamningi að vinnsluaðilum sé óheimilt að vinna persónuupplýsingar í eigin tilgangi og vinnsla skuli aðeins eiga sér stað samkvæmt skýrum fyrirmælum Origo.

Þar að auki kann Origo að miðla persónuupplýsingum til eftirlitsyfirvalda þegar félaginu er það skylt samkvæmt lögum, stjórnvaldsfyrirmælum eða dómsúrskurði. Dæmi um slíka miðlun er afhending persónuupplýsinga til eftirlitsyfirvalds, s.s. Fjármálaeftirlitsins, Ríkisskattstjóra eða lögreglu á grundvelli dómsúrskurðar eða lögmætrar beiðni.

Origo kaupir þjónustu af einhverjum þjónustuveitendum sem staðsettir eru utan Evrópska efnahagssvæðisins (EES). Vinnsla þeirra á persónuupplýsingum fyrir hönd Origo felur í sér flutning á persónuupplýsingum utan EES. Í slíkum tilfellum mun Origo sjá til þess að flutningurinn sé heimill samkvæmt persónuverndarlögum. Origo mun aðeins flytja persónuupplýsingar með neðangreindum hætti sem samrýmist persónuverndarlögum:

Nánari upplýsingar má finna hér:

Origo er vottað af BSI UK samkvæmt staðlinum ISO 27001:2013 og hefur innleitt öryggisráðstafanir í samræmi við staðalinn.

Þeim öryggisráðstöfunum er m.a. ætlað að koma í veg fyrir óheimila notkun, aðgang, breytingu eða birtingu á persónuupplýsingum. Til staðar eru viðamiklar aðgangsstýringar sem tryggja að einungis þeir starfsmenn Origo sem þurfa upplýsingarnar vegna starfa sinna hafi aðgang að persónuupplýsingum. Allir starfsmenn Origo eru einnig bundnir trúnaðarskyldu samkvæmt ráðningarsamningi og lögð er rík áhersla á öryggisvitund starfsmanna með þjálfun og reglulegri fræðslu.

Origo hefur gert ráðstafanir vegna öryggisbrota við meðferð persónuupplýsinga. Komi til öryggisbrots munu starfsmenn Origo fylgja skjöluðu verkferli og verður öryggisbrotið tilkynnt til eftirlitsyfirvalds eða einstaklinga þegar Origo er það skylt samkvæmt persónuverndarlögum.

Nánari upplýsingar um öryggisvottun og stefnu Origo í öryggismálum má finna hér.

Origo mun aðeins varðveita persónuupplýsingar einstaklinga svo lengi sem tilgangur fyrir vinnslu er til staðar, þ.m.t. sá tilgangur að uppfylla lagaskyldu sem á Origo hvílir samkvæmt lögum.

Origo er heimilt að varðveita persónuupplýsingar lengur ef talið er að félagið þurfi að halda uppi eða verjast réttarkröfu vegna viðskiptasambands við einstakling.

Við ákvörðun á varðveislutíma gagna hefur Origo tekið mið af eðli og viðkvæmni upplýsinganna, hugsanlegri áhættu sem fylgir óheimilli notkun eða birtingu á upplýsingunum, tilgangi fyrir vinnslu upplýsinganna og hvort hægt sé að uppfylla tilgang með öðrum hætti auk þeirri lagaskyldu sem hvílir á Origo til að varðveita upplýsingar.

Origo ber skylda samkvæmt lögum um bókhald nr. 145/1994 að varðveita bókhaldsupplýsingar í 7 ár. Origo mun því varðveita auðkennis- og samskiptaupplýsingar, fjármálaupplýsingar og upplýsingar um viðskiptasögu einstaklinga í 7 ár eftir að síðustu viðskipti áttu sér stað.

Allar persónuupplýsingar sem safnað er vegna rafrænnar vöktunar eru aðeins geymdar í 90 daga í samræmi við reglur nr. 837/3006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Origo mun í einhverjum tilfellum fjarlægja auðkenni svo upplýsingar verði ópersónugreinanlegar og er þá heimilt að vinna þær áfram vegna greininga á rekstri og í tölfræðilegum tilgangi.

Í vissum tilvikum hafa einstaklingar neðangreind réttindi samkvæmt persónuverndarlögum:

Réttur til aðgangs að persónuupplýsingum

Einstaklingar hafa rétt til að fá staðfestingu á því hvort unnið sé með persónuupplýsingar þeirra og til aðgangs að eigin persónuupplýsingum.

Réttur til leiðréttingar á persónuupplýsingum

Einstaklingar hafa rétt til að láta leiðrétta persónuupplýsingar sem Origo geymir um þá. Það gerir einstaklingum kleift að leiðrétta ófullkomnar eða ónákvæmar upplýsingar um þá.

Réttur til eyðingar á persónuupplýsingum

Einstaklingar geta haft rétt til þess að óska eftir að persónuupplýsingum þeirra sé eytt í ákveðnum tilfellum. Sá réttur getur til dæmis átt við ef tilgangur fyrir vinnslu er ekki lengur til staðar, einstaklingur hefur með árangursríkum hætti andmælt vinnslu eða Origo hefur unnið persónuupplýsingar einstaklings með ólögmætum hætti.

Tekið skal fram að réttur til eyðingar er ekki fortakslaus og Origo getur t.d. hafnað beiðni um eyðingu persónuupplýsinga þegar lög kveða á um ákveðin varðveislutíma upplýsinga.

Réttur til að andmæla vinnslu

Einstaklingar hafa rétt til þess að andmæla vinnslu persónuupplýsinga sem byggð er á lögmætum hagsmunum Origo eða þriðja aðila. Einstaklingar hafa einnig ávallt rétt til þess að andmæla vinnslu persónuupplýsinga vegna beinnar markaðssetningar.

Réttur til að takmarka vinnslu

Einstaklingar hafa rétt til þess að takmarka vinnslu persónuupplýsinga í ákveðnum tilfellum. Dæmi um slík tilvik gæti verið að einstaklingur hafi óskað eftir að kannaður sé áreiðanleiki persónuupplýsinganna eða hann hefur andmælt vinnslu og staðfesta þarf hvort lögmætir hagsmunir Origo gangi framar hagsmunum einstaklingsins.

Réttur til flutnings persónuupplýsinga

Einstaklingar geta haft rétt til þess að flytja persónuupplýsingar til þriðja aðila á skipulegu, algengu og tölvulesanlegu sniði. Sá réttur á þó einungis við ef vinnsla hefur verið byggð á grundvelli samþykkis eða þegar vinnsla persónuupplýsinga hefur verið byggð á framkvæmd á samningi.

Réttur til að draga til baka samþykki

Einstaklingar sem gefið hafa samþykki sitt fyrir vinnslu persónuupplýsinga hafa rétt til að draga það samþykki til baka. Dragi einstaklingur til baka samþykki sitt mun það þó ekki hafa áhrif á þá vinnslu sem átti sér stað áður en samþykki var dregið til baka. Ef einstaklingur dregur samþykki sitt til baka getur myndast sú staða að Origo geti ekki veitt ákveðna þjónustu til hans.

Athuga skal að Origo byggir vinnslu persónuupplýsinga í afmörkuðum tilfellum á samþykki.

Réttur til að leggja fram kvörtun hjá Persónuvernd

Einstaklingar hafa rétt til að leggja fram kvörtun hjá Persónuvernd vegna meðferðar á persónuupplýsingum sínum. Komi upp ágreiningur um meðferð persónuupplýsinga óskar Origo þó eftir tækifæri til að leysa úr þeim ágreiningi áður en send er kvörtun til Persónuverndar.

Upplýsingar um Persónuvernd má finna á personuvernd.is.

Einstaklingar geta sent beiðni í gegnum þjónustugátt hér.

Taka skal fram að Origo hefur einungis heimild til að afgreiða beiðnir þegar félagið er í stöðu ábyrgðaraðila, s.s. gagnvart einstaklingum í viðskiptum við Origo eða starfsmönnum núverandi og fyrrverandi. Aðrar beiðnir vegna vinnslu persónuupplýsinga fyrirtækja sem kaupa upplýsingatækniþjónustu af Origo skal beina til viðkomandi fyrirtækis sem hefur stöðu ábyrgðaraðila.

Aðrar fyrirspurnir skulu berast á personuvernd@origo.is eins og fram kom að ofan.

Gjaldtaka

Origo mun almennt ekki gjaldfæra beiðnir sem berast frá einstaklingum. Hins vegar mun Origo gjaldfæra fyrir beiðnir sem teljast augljóslega tilefnislausar, endurteknar og óhóflegar. Auk þess er Origo heimilt að neita að verða við beiðni í framangreindum tilfellum.

Auðkenning

Origo mun auðkenna þá einstaklinga sem óska eftir að senda beiðni til félagsins með rafrænum skilríkjum. Sú auðkenning telst nauðsynleg svo Origo geti uppfyllt lagaskyldu sína samkvæmt persónuverndarlögum og felur í sér öryggisráðstafanir svo persónuupplýsingar séu ekki birtar óviðkomandi aðilum.

Origo kann einnig að hafa samband við einstaklinga og óska eftir frekari upplýsingum ef það er talið nauðsynlegt.

Tímafrestur

Origo mun leitast við að svara öllum lögmætum beiðnum frá einstaklingum innan 30 daga. Í einhverjum tilvikum gæti afgreiðsla beiðna taka lengri tíma, sérstaklega ef um umfangsmiklar beiðnir er að ræða. Í þeim tilvikum mun Origo láta einstakling vita af töfum á afgreiðslu.

Athuga skal að þær beiðnir sem berast fyrir gildistöku nýrra persónuverndarlaga þann 15. júlí munu ekki verða afgreiddar fyrr en lögin hafa tekið gildi. Origo mun því gefa sér 30 daga frest frá gildistökudegi.

Origo er í samstarfi við öfluga aðila innan Evrópu í upplýsingatækni til að geta veitt sem besta þjónustu til viðskiptavina.

Origo leggur mikið upp úr því að samstarfsaðilar séu framarlega þegar kemur að öryggi og vernd persónuupplýsinga.

Samstarfsaðilar Origo vinna persónuupplýsingar fyrir hönd Origo sem undirvinnsluaðilar og gerðar hafa verið allar viðeigandi ráðstafanir svo samstarfið sé í samræmi við persónuverndarlög.

Nánari upplýsingar um samstarfsaðila má nálgast á heimasíðu þeirra eða senda fyrirspurn á personuvernd@origo.is

Undirvinnsluaðilar

SII sp.z o.o

Notendaþjónusta

https://sii.pl/en/