1. Hverjir eru ábyrgðaraðilar?
Ormsson ehf. (kt. 530509‑0360) að Lágmúlanum 8, 108 Reykjavík, er ábyrgðaraðili persónu­upplýsinga sem unnið er með á ormsson.is. Þú getur haft samband í gegnum ormsson@ormsson.is.

2. Gagna­vernd­ar­fulltrúi (DPO)
Ef þörf nennir Ormsson full­trúa fyrir gagna­verndarmál eða tengilið vegna Persónuverndar – upplýsingar verða birtar hér.

3. Hvaða persónu­upplýsingar söfnum við og hvers vegna?

  • Bein innsláttargögn: Netfang, nafn, símanúmer, heimilisfang – til svars við pantanir, skráningar, þjónustu og endurgjöf.
  • Kökugögn: Umferðargögn, notkunarsnið til að bæta vefinn; markaðs- og viðmiðunargögn, endast eingöngu með samþykki þínu.
  • Viðskiptasögu: Geymd til þjónustu­sögu, ábyrgða, umbuna og markaðstengsla.
  • Þriðju aðilar: Google Analytics, Facebook Analytics – án persónuupplýsinga.

4. Lagalegur grundvöllur

  • Samþykki: Fyrir markaðssetningu, vafrakökum sem krefjast samþykkis.
  • Samþykki/afrýjun -> um nýskráningu í póstlista.
  • Samstarf og lögmætir hagsmunir: Til að uppfylla samninga og bæta þjónustu.

5. Við hvaða aðila deilum við gögnum?

  • Gagnavinnsluaðilar (t.d. greiðsluvinnsla, sendingar, nettæki).
  • Lögaðilar þegar lög krefjast (t.d. skattayfirvöld).
  • Ef þriðju aðilar setja eigin kökur á síðuna – upplýsingar um notkun þeirra eru á síðum þeirra.

6. Geymslu­tími

  • Pöntunargögn: Minna en 7 ár, skv. íslenskum reglum um vörur og ábyrgðir.
  • Vefkökur: Áður en kallað er yfirlýst, allt að 24 mánuðir, skv. cookie-stefnu.
  • Markaðs­gögn og samþykki: Þar til uppsögn eða afturköllun.

7. Réttindi þín
Þú átt rétt á:

  • Aðgangi að þínum gögnum
  • Að leiðrétta rangar upplýsingar
  • Að láta eyða gögnunum („rétt til að gleymast“)
  • Að takmarka vinnslu
  • Að flytja gögn (data portability)
  • Að andmæla vinnslu og markaðssamskiptum
  • Að afturkalla samþykki hvenær sem er
  • Að skjóta málum til Persónuverndar á netfangið postur@personuvernd.is

8. Öryggi gagna
Við höfum teknar viðeigandi tæknilegar og skipulagslegar ráðstafanir til að verja gögn frá óviðkomandi aðgangi, eyðingu, breytingu eða leki.

9. Alvarlegar gagnaleka­tilkynningar
Ef innbrot eða stórfelld leki hefst skal það tilkynnt Persónuvernd innan 72 stunda, og viðskiptavinunum ef áhætta stafar af því.

10. Alþjóðleg gagnaflutningur
Ef við sendum gögn utan EES (t.d. til þjónustuaðila) tryggjum við öryggis­gæslu samkvæmt staðfestum fyrirkomulagi (t.d. viðmiðunarstaðlar, samningsákvæði).

11. Beinar markaðsaðgerðir
Hvort sem þú fékkst boð, notum við þínar upplýsingar til að senda uppfærslur, tilboð eða markaðsefni. Þú getur fengið tölvupóst og greitt þér að afskrá þig í hvert sinn.

12. Börn
Við vinnum ekki með upplýsingar um börn undir 13 ára án samþykkis foreldris / forráðamanns.

13. Samþykki, breytingar og gildistími
Með notkun að þjónustu/vef samþykkir þú þessa pólitík. Við áskiljum rétt til breytinga; ný útgáfa birtist á þessari síðu og tekur gildi við birtingu.