Persónuvernd

1. Hverjir við erum

Hugvinna ehf., kt. 480424-1660, rekur Ordo, vettvang fyrir viðburðastjórnun, miðasölu og pantanir á Íslandi.

Þegar þú notar ordo.is beint, t.d. til að kaupa miða er Hugvinna ehf. ábyrgðaraðili (e. data controller). Þegar viðskiptavinir okkar nota Ordo til að halda utan um eigin viðburði og gesti, störfum við sem vinnsluaðili (e. data processor) fyrir þeirra hönd.

2. Hvaða gögn við vinnum

Við vinnum einungis þær persónuupplýsingar sem nauðsynlegar eru til að veita þjónustuna. Við seljum aldrei eða deilum persónuupplýsingum til þriðja aðila.

Gögn sem við mögulega söfnum

• Nafn og netfang vegna skráningar og pantana
• Símanúmer þegar þess er óskað eða þörf krefur
• Kennitala þar sem þess er þörf
• Upplýsingar um ofnæmi og mataræði sem gestir gefa upp vegna viðburðar
• Pantana- og skráningarferill
• Greiðsluupplýsingar, Ordo geymir aldrei kortanúmer, þau fara beint til viðurkenndrar greiðslugáttar.
• Tæknilegar skráningar (t.d. IP-tala, vafrakökur) til að tryggja öryggi og bæta þjónustuna

Lagalegur grundvöllur

• Samningur (6. gr. 1. mgr. b): til að uppfylla kaup, t.d. afhenda miða og staðfesta skráningu.
• Lögbundnar skyldur (6. gr. 1. mgr. c): bókhalds- og skattaleg skyldur.
• Lögmætir hagsmunir (6. gr. 1. mgr. f): öryggi þjónustunnar og varnir gegn svikum.
• Samþykki (6. gr. 1. mgr. a): þar sem þess er sérstaklega óskað, t.d. fyrir markaðspóst.
• Sérstakt samþykki (9. gr. 2. mgr. a): þegar við vinnum heilsutengd gögn, s.s. ofnæmis- eða mataræðisupplýsingar, þetta samþykki er gefið sérstaklega og er óháð öðrum samþykki.

Varðveislutími

Persónuupplýsingar eru ekki geymdar lengur en nauðsynlegt er. Bókhaldsgögn og kvittanir eru varðveitt í 7 ár í samræmi við íslensk bókhaldslög. Persónuupplýsingum vegna óvirkra reikninga er eytt 3 árum eftir síðustu notkun. Gögnum um viðburðargesti eru eytt eigi síðar en 12 mánuðum eftir viðburð nema gildandi lög eða samningur við ábyrgðaraðila krefjist annars. Öðrum gögnum er eytt eða þeim er skilað við lok samnings.

3. Vinnsla fyrir hönd viðskiptavina

Þegar viðskiptavinur notar Ordo til að halda utan um eigin viðburði, starfsmenn eða gesti, störfum við sem vinnsluaðili í samræmi við 28. gr. GDPR. Það felur m.a. í sér að:

• við vinnum gögn einungis samkvæmt fyrirmælum ábyrgðaraðila
• við höldum trúnaði og takmörkum aðgang við þá sem þurfa hann
• við beitum viðeigandi tæknilegum og skipulagslegum öryggisráðstöfunum
• við aðstoðum við beiðnir skráðra einstaklinga um réttindi sín
• við tilkynnum öryggisbrot án ástæðulauss tafar
• við skilum eða eyðum gögnum við lok samnings

Skriflegur vinnslusamningur (DPA) er aðgengilegur þeim viðskiptavinum sem þess óska, hafðu samband og við sendum samninginn.

4. Undirvinnsluaðilar og staðsetning gagna

Til að reka þjónustuna nýtum við lítinn hóp viðurkenndra undirvinnsluaðila á sviði hýsingar, tölvupósts- og SMS-þjónustu, greiðslumiðlunar og notkunargreiningar. Allir eru bundnir samningum sem tryggja fullnægjandi vernd persónuupplýsinga í samræmi við GDPR.

Vinnsla og geymsla gagna fer fram innan Evrópska efnahagssvæðisins (EES). Persónuupplýsingar eru ekki fluttar út fyrir EES nema viðeigandi verndarráðstafanir séu til staðar, t.d. staðlaðir samningsskilmálar Evrópusambandsins.

Uppfærður listi yfir undirvinnsluaðila er aðgengilegur viðskiptavinum að beiðni.

5. Öryggi

Við beitum viðeigandi tæknilegum og skipulagslegum ráðstöfunum til að vernda persónuupplýsingar gegn óheimilum aðgangi, breytingum eða eyðingu, þar á meðal:

• dulkóðun við sendingu (TLS/HTTPS) og dulkóðun gagna í hvíld
• takmörkuð aðgangsstýring og auðkenning starfsmanna
• greiðsluupplýsingar fara einungis í gegnum PCI DSS-samræmdar greiðslugáttir
• aðskilið prófunarumhverfi sem notar ekki framleiðslugögn
• tilkynningu um öryggisbrot til Persónuverndar (eftirlitsstofnunar) innan 72 klukkustunda í samræmi við 33. gr. GDPR, og til þeirra sem verða fyrir áhrifum þegar brotið felur í sér mikla hættu á réttindum þeirra í samræmi við 34. gr. GDPR

6. Réttindi þín

Þú átt eftirfarandi réttindi samkvæmt GDPR varðandi persónuupplýsingar þínar:

• Réttur til aðgangsað fá afrit af þeim gögnum sem við geymum um þig.
• Réttur til leiðréttingarað fá rangar eða ófullnægjandi upplýsingar leiðréttar.
• Réttur til eyðingarað fá gögn þín eytt þegar þau eru ekki lengur nauðsynleg, með fyrirvara um lögbundna varðveisluskyldu.
• Réttur til takmörkunarað óska eftir takmörkun á vinnslu á meðan beiðni er til skoðunar.
• Réttur til flutningsað fá gögn þín á tölvulesanlegu formi.
• Andmælarétturað andmæla vinnslu sem byggir á lögmætum hagsmunum.
• Réttur til að afturkalla samþykkiþar sem vinnsla byggir á samþykki geturðu afturkallað það hvenær sem er. Afturköllun hefur ekki áhrif á lögmæti vinnslu sem fór fram áður en samþykkið var afturkallað.

Til að nýta réttindi þín hafðu samband við ordo@ordo.is. Við bregðumst við innan 30 daga. Þú átt einnig rétt á að leggja fram kvörtun hjá Persónuvernd (íslenskri persónuverndarstofnun).

7. Kökur

Ordo notar nauðsynlegar vafrakökur til að tryggja virkni vefsins, svo sem innskráningu og körfu, þær eru alltaf virkar. Við notum einnig greiningarkökur til að skilja hvernig þjónustan er notuð og bæta hana. Greiningarkökur eru einungis settar eftir að þú hefur samþykkt það sérstaklega í kökuborða sem birtist þegar þú heimsækir vefsíðuna í fyrsta skipti.

Þú getur breytt samþykki þínu hvenær sem er með því að hreinsa vafrakökur í vafrastillingum. Höfnun á greiningarkökum hefur ekki áhrif á grunnvirkni þjónustunnar.

8. Samband

Spurningar um persónuvernd, beiðnir um réttindi eða erindi varðandi vinnslusamning skal senda til: