Meðferð persónuupplýsinga

a) Búnaðarsala og netverslun

Til að geta afgreitt vörupantanir þínar vinnur Origo almennt eftirfarandi persónuupplýsingar:

- kennitala

- netfang

- GSM-númer

Við óskum eftir kennitölu í þeim tilgangi að geta skráð ábyrgðartíma vöru, en þér er frjálst að afþakka skráningu á kennitölu. Netfangið notum við til að senda þér rafræna kvittun og í þeim tilfellum þar sem sækja þarf vöru í snjallbox er óskað eftir GSM-númeri.

Til þess að versla í netverslun okkar þarft þú að skrá þig sem notanda með því að veita eftirfarandi upplýsingar, en þær eru nauðsynlegar svo við getum selt þér vörur og eftir atvikum haldið utan um ábyrgðartíma vörunnar:

- nafn

-netfang

- farsímanúmer

- kennitala greiðanda

- fyrirtæki, ef við á

Þá eru eftirfarandi upplýsingar nauðsynlegar svo hægt sé að ganga frá kaupum í netverslun:

- greiðsluupplýsingar

- heimilisfang, ef óskað er eftir heimsendingu vöru

Í netverslun vistast upplýsingar um kaupsögu þína og þar getur þú einnig safnað vörum á óskalista. Ef þú skilur eftir vörur í innkaupakörfunni í netverslun sendum við þér póst til að minna þig á að klára kaupin. Þessi vinnsla upplýsinga byggir á lögmætum viðskiptahagsmunum Origo.

Við notum einnig vefkökur til að bæta upplifun þína í netverslun Origo. Nánari upplýsingar má finna í vefkökustefnu Origo.

Þá kann Origo að nota tengiliðaupplýsingar þínar til að senda þér skoðunar- og þjónustukannanir, upplýsingar um fræðslu og viðburði á vegum félagsins, sem og um nýjar vörur og tilboð. Vinnsla þessi byggir á lögmætum viðskiptahagsmunum Origo, en þú getur ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.

b) Tengiliðir viðskiptavina

Meginstarfsemi Origo felst í að veita upplýsingatækniþjónustu til lögaðila. Komir þú fram fyrir hönd slíks viðskiptavinar okkar vinnum við eftirfarandi upplýsingar um þig, á grundvelli lögmætra viðskiptahagsmuna félagsins:

- nafn

- vinnustaður

- símanúmer og netfang

- samskiptasaga

- kennitala, í þeim tilgangi að staðreyna heimild þínar til að eiga reikningsviðskipti fyrir hönd viðskiptavinar, eftir því sem við á

Þá kann Origo að nota tengiliðaupplýsingar til að senda þér skoðunar- og þjónustukannanir, upplýsingar um fræðslu og viðburði á vegum félagsins, sem og um nýjar vörur og tilboð. Sú vinnsla byggir á lögmætum viðskiptahagsmunum Origo, en þú getur ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.

Símtöl viðskiptavina sem koma í gegnum þjónustuborð Origo eru hljóðrituð og er viðskiptavinum gert grein fyrir hljóðritun í upphafi símtals.

c) Vefsíða Origo

Á vefsíðu Origo má finna upplýsingar um okkar helstu vörur og þjónustu. Þar getur þú skráð þig á póstlista til þess að fá upplýsingar um fréttir, fræðslu og viðburði á vegum Origo, sem og tilboð, fréttir og upplýsingar um nýjustu vörur í verslun okkar. Þegar þú skráir þig á póstlista okkar óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli lögmætra viðskiptahagsmuna okkar:

- nafn og netfang

- upplýsingar um fyrirtæki og starfstitil

Á vefsíðu okkar getur þú jafnframt sent okkur erindi, hvort sem það er almenn fyrirspurn, beiðni um ráðgjöf, eða erindi til sérstakrar deildar innan Origo. Þegar þú sendir okkur fyrirspurn óskum við eftir eftirfarandi persónuupplýsingum, á grundvelli beiðni þinnar um að gera samning:

- nafn og vinnunetfang

- símanúmer

- fyrirtæki

- starfsheiti

- tegund og efni fyrirspurnar

Við kunnum að nota netfang þitt til að senda þér upplýsingar um fræðslu og viðburði á vegum félagsins, sem og upplýsingar um nýjar vörur og tilboð. Vinnsla þessi byggir á lögmætum viðskiptahagsmunum Origo, en þú getur ávallt afþakkað slíka tölvupósta með því að smella á tengil sem birtist neðst í viðkomandi pósti.

Við notum vefkökur til að bæta upplifun þína á vefsíðu Origo. Nánari upplýsingar má finna í vefkökustefnu Origo.

d) Verkstæði

Þegar þú kemur með búnað í viðgerð til okkar óskum við eftir eftirfarandi upplýsingum frá þér, sem eru að meginstefnu til unnar á grundvelli samnings okkar við þig:

- nafn

- kennitala

- netfang

- símanúmer

Notast er við kennitölu til að kanna hvort búnaðurinn sé í ábyrgð, en einnig til að tryggja greiðslu fyrir viðgerðinni, eftir því sem við á. Notast er við netfang og símanúmer til að senda þér upplýsingar um stöðu viðgerðarinnar.

e) Námskeið og viðburðir

Þegar þú skráir þig á viðburð eða námskeið (sameiginlega vísað til „viðburðar“) á vegum Origo kunnum við að óska eftir persónuupplýsingum þínum til að halda utan um skráningu þína og greiðslu, þegar það á við. Við söfnum mismunandi upplýsingum eftir því hvers konar viðburð er um að ræða, en almennt er óskað eftir eftirfarandi upplýsingum, sem eru nauðsynlegar fyrir okkur til að verða við beiðni þinni um þátttöku:

- nafn

- kennitala

- netfang

Á sumum viðburðum eru teknar ljósmyndir sem birtar eru á vefsíðu Origo, eftir atvikum á grundvelli lögmætra viðskiptahagsmuna Origo eða samþykkis þíns. Meðalhófs er þó ávallt gætt við slíka myndbirtingu. Eftir að viðburði er lokið kunnum við að senda þér eftirfylgnitölvupóst, sem og tölvupósta með efni sem við teljum þig hafa áhuga á, s.s. boð á aðra sambærilega viðburði.

f) Húsnæði Origo

Eftirfarandi persónuupplýsingum er safnað um fundargesti sem koma í húsnæði Origo, en sú vinnsla er byggð á lögmætum hagsmunum okkar, þar sem hún er nauðsynleg í öryggisskyni og til að uppfylla skilyrði ISO 27001 öryggisvottunar sem félagið starfar eftir:

- Nafn og tími fundar

- Símanúmer

- Hvaða starfsmann er verið að hitta

Origo viðhefur rafræna vöktun með eftirlitsmyndavélum á starfsstöðvum félagsins, bæði innandyra og í kringum viðkomandi húsnæði. Öll vöktuð svæði innandyra eru merkt sérstaklega. Myndavélaeftirlit er viðhaft í öryggis- og eignarvörsluskyni á grundvelli lögmætra hagsmuna Origo. Myndefni sem safnast með eftirlitsmyndavélum er ekki varðveitt lengur en í 90 daga. Þetta á þó ekki við um myndefni sem nauðsynlegt er að varðveita til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.

g) Starfsumsóknir

Ef þú sækir um starf hjá Origo vinnum við eftirfarandi persónuupplýsingar um þig:

- upplýsingar sem fram koma í ferilskrá og kynningarbréfi

- upplýsingar á umsóknarformi, þ. m. t. um starfsferil og menntun

- upplýsingar sem koma fram í starfsviðtali, eftir því sem við á

Komist þú áfram í ráðningarferlinu óskum við eftir eftirfarandi upplýsingum:

- sakavottorð

- upplýsingar frá meðmælendum

- Persónuleikapróf eða annars konar viðurkennd hæfnipróf kunna að vera lögð fyrir með samþykki umsækjanda

Við óskum þó einungis eftir sakavottorði ef til stendur að bjóða þér starf og er þá óskað eftir því áður en ákvörðun er tekin um ráðningu. Eftir að sakavottorð hefur verið skoðað er því eytt. Þessa vinnsla byggir Origo á lögmætum hagsmunum félagsins af því að tryggja öryggi og heilleika vinnustaðarins.

Upplýsingum um þig er fyrst og fremst aflað frá þér, en kann einnig að vera aflað frá meðmælendum og eftir atvikum ráðningarskrifstofum og eru þær notaðar til að meta hæfni þína til að sinna viðkomandi starfi. Byggir sú vinnsla okkar á beiðni þinni um gerð ráðningarsamnings.

Origo geymir persónuupplýsingar þínar í allt að 9 mánuði eftir að umsókn berst félaginu, en að þeim tíma loknum er umsóknum eytt með öruggum hætti. Ef þú kýst að viðhalda umsókn þinni á umsóknarvef Origo eru persónuupplýsingar þínar geymdar í 9 mánuði til viðbótar. Origo kann að óska eftir því að geyma umsóknir lengur vegna frekari starfstækifæra hjá félaginu. Í þeim tilvikum mun Origo hafa samband við þig og óska eftir samþykki fyrir lengri varðveislu.

Að meginstefnu til aflar Origo persónuupplýsinga beint frá þér. Upplýsingar kunna þó jafnframt að koma frá þriðju aðilum, t.d. úr Þjóðskrá.

Origo varðveitir persónuupplýsingar eins lengi og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum. Persónuupplýsingar eru þó að jafnaði ekki varðveittar lengur en í sjö ár.

Origo kann að miðla persónuupplýsingum til þriðju aðila sem veita félaginu þjónustu sem tengist vinnslu persónuupplýsinga og er hluti af rekstri félagsins. Dæmi um slíka aðila eru utanaðkomandi ráðgjafar, s.s. endurskoðendur, lögmenn og úttektaraðilar, en einnig aðilar sem veita Origo upplýsingatækni- og fjarskiptaþjónustu, sem og dótturfélög Origo. Miðlun persónuupplýsinga til slíkra aðila er byggð á lögmætum hagsmunum Origo af því að úthýsa tilteknum verkefnum til utanaðkomandi aðila.

Þar að auki kann Origo að miðla persónuupplýsingum til eftirlitsyfirvalda þegar félaginu er það skylt samkvæmt lögum, stjórnvaldsfyrirmælum eða dómsúrskurði. Dæmi um slíka miðlun er afhending persónuupplýsinga til eftirlitsyfirvalds, s.s. Fjármálaeftirlitsins, Ríkisskattstjóra eða lögreglu á grundvelli dómsúrskurðar eða lögmætrar beiðni.

Þessir aðilar kunna að vera staðsettir utan Íslands. Origo mun þó ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar, s.s. á grundvelli staðlaðra samningsskilmála, samþykki þíns eða auglýsingar Persónuverndar um ríki sem veita persónuupplýsingum fullnægjandi vernd.

Origo er vottað af BSI UK samkvæmt staðlinum ISO 27001:2013 og hefur innleitt öryggisráðstafanir í samræmi við staðalinn. Nánari upplýsingar um öryggisvottun og stefnu Origo í öryggismálum má finna hér.

Persónuverndarlög tryggja einstaklingum ákveðin réttindi yfir persónuupplýsingum sínum. Þannig geta einstaklingar t.d. óskað eftir aðgangi að persónuupplýsingum sínum eða að þeim sé eytt.

Tekið skal fram að réttindi þín á grundvelli persónuverndarlaga eru ekki fortakslaus. Þannig kunna lög t.a.m. að skylda Origo til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni þinni vegna réttinda félagsins, s.s. á grundvelli hugverkaréttar, eða réttinda annarra aðila, s.s. til friðhelgi einkalífs, telji félagið þau réttindi vega þyngra.

Ef upp koma aðstæður þar sem að við getum ekki orðið við beiðni þinni munum við leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

Réttur til leiðréttingar

Það er mikilvægt að þær persónuupplýsingar sem Origo vinnur með séu bæði réttar og viðeigandi. Því er mikilvægt að okkur sé tilkynnt um allar breytingar sem kunna að verða á persónuupplýsingum þínum.

Þú átt rétt á því að fá óáreiðanlegar persónuupplýsingar um þig leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga átt þú jafnframt rétt á að láta fullgera ófullkomnar persónuupplýsingar um þig, þ.m.t. með því að leggja fram frekari upplýsingar.

Réttur til aðgangs

Þú átt rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki, og ef svo er getur þú óskað eftir aðgangi að upplýsingunum og hvernig vinnslunni er hagað. Þá kann einnig að vera að þú hafir rétt á að fá afrit af upplýsingunum.

Réttur til gagnaflutnings

Við ákveðnar aðstæður getur þú farið fram á það við Origo að við sendum upplýsingar, sem þú hefur sjálf/ur látið okkur í té eða stafa frá þér, beint til þín eða þriðja aðila. Þessi réttur á þó eingöngu við þegar vinnslan á viðkomandi persónuupplýsingum byggir annað hvort á samþykki þínu eða samnings þíns við Origo.

Réttur til eyðingar

Við ákveðnar aðstæður getur þú óskað eftir því að persónuupplýsingum um þig verði eytt án tafar, til að mynda þegar að varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að þú hefur afturkallað samþykki þitt fyrir vinnslu persónuupplýsinganna og engin önnur heimild liggur til grundvallar henni.

Réttur til að afturkalla samþykki fyrir vinnslu

Sé vinnsla á persónuupplýsingum þínum byggð á samþykki er þér hvenær sem er heimilt að afturkalla samþykki þitt.

Réttur til takmörkunar á vinnslu

Viljir þú ekki láta eyða upplýsingum þínum, t.d. vegna þess að þú þarft á þeim að halda til að verjast kröfu, en vilt samt sem áður að þær séu ekki unnar frekar af hálfu Origo getur þú óskað eftir því að vinnsla þeirra verði takmörkuð.

Réttur til að andmæla vinnslu

Sé vinnsla á persónuupplýsingum þínum byggð á lögmætum hagsmunum Origo átt þú rétt á að mótmæla þeirri vinnslu.

Viljir þú nýta réttindi þín á grundvelli persónuverndarlaga getur þú sent beiðni til Origo í gegnum þjónustugátt félagsins hér.

Origo hefur einungis heimild til að afgreiða beiðnir á grundvelli persónuverndarlaga þegar félagið er í stöðu ábyrgðaraðila, s.s. þegar þú sem einstaklingur ert í viðskiptum við Origo eða kemur fram fyrir hönd lögaðila í viðskiptum við félagið. Aðrar beiðnir vegna vinnslu persónuupplýsinga af hálfu lögaðila sem kaupir upplýsingatækniþjónustu af Origo skal beina til viðkomandi lögaðila sem hefur stöðu ábyrgðaraðila.

Við tökum almennt ekki taka gjald fyrir afgreiðslu beiðna sem berast frá einstaklingum. Við áskiljum okkur hins vegar rétt til að gjaldfæra fyrir beiðnir sem teljast augljóslega tilefnislausar, endurteknar og/eða óhóflegar. Auk þess kann Origo að vera heimilt að neita að verða við beiðni í framangreindum tilfellum.

Origo mun auðkenna þá einstaklinga, sem senda beiðni til félagsins, með rafrænum skilríkjum. Sú auðkenning er nauðsynleg svo Origo geti uppfyllt lagaskyldu sína samkvæmt persónuverndarlögum og felur í sér öryggisráðstafanir svo persónuupplýsingar einstaklinga séu ekki birtar óviðkomandi aðilum.

Origo kann einnig að hafa samband við einstaklinga og óska eftir frekari upplýsingum ef það er talið nauðsynlegt.

Origo mun varðveita beiðni þína, allar upplýsingar tengdar beiðninni sem og samskipti í tengslum við beiðnina í 4 ár frá afgreiðslu hennar.

Persónuverndarfulltrúi tekur á móti fyrirspurnum og beiðnum í tengslum við persónuvernd, auk þess að ráðleggja Origo um vinnslu persónuupplýsinga og gegna því hlutverki að vera tengiliður við Persónuvernd.

Allar fyrirspurnir vegna persónuverndar skulu berast persónuverndarfulltrúa á netfangið personuvernd@origo.is eða með pósti á:

Persónuverndarfulltrúi Origo

Borgartúni 37

105. Reykjavík

Ef þú ert ekki sátt/sáttur við meðferð Origo á persónuupplýsingum þínum getur þú ávallt sent kvörtun á Persónuvernd.

Upplýsingar um Persónuvernd má finna á www.personuvernd.is.

Origo getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á persónuverndarlögum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á heimasíðu félagsins.

Persónuverndarstefna þessi var síðast uppfærð júní 2022.