Persónuvernd

Skilmálar gagnavinnslu Splitti

Síðast uppfært: 7. júní 2019

Notandi, hér eftir nefndur „ábyrgðaraðili“

OG

Splitti ehf., kt. 680319-1540, með lögheimili að Ármúla 6, 108 Reykjavík, hér eftir nefndur „vinnsluaðili“

gera með sér svofelldan vinnslusamning, í samræmi við 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016:

1. Tilgangur vinnslu og tegundir upplýsinga

  • Tilgangur þessara samningsákvæða er að tilgreina þær skyldur sem vinnsluaðili sinnir f.h. ábyrgðaraðila, í tengslum við þá vinnslustarfsemi sem samningurinn tekur til, sjá nánar í kafla 3.
  • Samningsaðilar skulu bundnir af öllum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga hjá þeim og þá sérstaklega reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almennu persónuverndarreglugerðinni) sem kom til framkvæmda 25. maí 2018.
  • Þær persónuupplýsingar sem vinnsla þessi nær yfir teljast í flestum tilvikum almennar.

2. Lýsing á þeirri vinnslu sem samið er um að vinnsluaðili sinni

  • Vinnsluaðila er heimilt að vinna, f.h. ábyrgðaraðila, þær persónuupplýsingar sem eru honum nauðsynlegar til að veita þá þjónustu sem Splitti býður upp á.
  • Eðli þeirrar vinnslustarfsemi sem hér um ræðir er stoðþjónusta
  • Vinnsluaðila er heimilt að vinna með eftirfarandi tegundir persónuupplýsinga sem ábyrgðaraðili veitir:
    • Nafn, kennitala, heimilisfang, netfang og bankareikningur ábyrgðaraðila;
    • Kjósi ábyrgðaraðili að nýta sér launaþjónustu veitir hann að auki m.a. upplýsingar um laun, lífeyrissjóðsaðild, stéttarfélagsaðild, persónuafslátt og vinnuhlutfall stafsmanna ábyrgðaraðila;
    • Nafn, kennitala, heimilisfang, netfang viðskiptavinar ábyrgðaraðila ef sá viðskiptavinur er einstaklingur.
  • Vinnsluaðila er heimilt að vinna með eftirfarandi flokka af skráðum einstaklingum:
    • Ábyrgðaraðili;
    • Viðskiptavinur ábyrgðaraðila;
    • Starfsmaður ábyrgðaraðila.

3. Skyldur vinnsluaðila gagnvart ábyrgðaraðila

Vinnsluaðili hefur undirritað vinnslusamninga við undirvinnsluaðila sem kunna að meðhöndla persónuupplýsingar fyrir okkar hönd

Vinnsluaðili skal:

  • eingöngu vinna persónuupplýsingar í samræmi við tilgang vinnslunnar, skv. samningi þessum;
  • eingöngu vinna persónuupplýsingar samkvæmt fyrirmælum ábyrgðaraðila, sem fylgja samningi þessum. Í þeim tilvikum þegar vinnsluaðili telur að fyrirmæli ábyrgðaraðila samrýmist ekki almennu persónuverndarreglugerðinni eða öðrum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga ber honum að tilkynna ábyrgðaraðilanum slíkt án tafar. Þá skal vinnsluaðili gera ábyrgðaraðila viðvart ef vinnsluaðila er skylt samkvæmt lögum að flytja persónupplýsingar til þriðju landa eða alþjóðastofnana, nema lög banni að upplýst sé um slíkt;
  • tryggja trúnað um vinnslu þeirra persónuupplýsinga sem þessi samningur tekur til, og;
  • tryggja að þeir starfsmenn sem hafi aðgang að persónuupplýsingum í tengslum við framkvæmd samningsins hafi undirritað trúnaðaryfirlýsingu eða séu bundnir þagnarskyldu samkvæmt lögum og að þeir fái viðeigandi þjálfun í vernd persónuupplýsinga.;
  • gæta þess að tæki og tól, vörur, forrit og þjónusta séu hönnuð með innbyggða og sjálfgefna persónuvernd að leiðarljósi;
  • Notkun á undirvinnsluaðila;
    • Vinnsluaðila er heimilt að semja við annan aðila („undirvinnsluaðila“) um að framkvæma tilteknar vinnsluaðgerðir. Áður en ætlaðar breytingar taka gildi, bæði þegar bætt er við undirvinnsluaðila og þegar gerðar eru breytingar á þeim undirvinnsluaðilum sem þegar eru notaðir, eða þegar um að ræða viðbætur eða breytingu á gildandi fyrirkomulagi vinnsluaðgerða, skal vinnsluaðili upplýsa ábyrgðaraðila skriflega um breytingarnar. Þar skal sérstaklega taka fram hvaða vinnsluaðgerðir undirvinnsluaðilinn hyggst taka að sér, nafn og samskiptaupplýsingar undirvinnsluaðilans ásamt dagsetningu samnings. Í viðauka 1 er að finna lista yfir núverandi undirvinnsluaðila.
  • Réttur hinna skráðu til upplýsinga.
    • Ábyrgðaraðili ber ábyrgð á því að veita hinum skráðu upplýsingar (fræðslu) um vinnslustarfsemina fyrir eða um leið og vinnsla hefst, í samræmi við ákvæði almennu persónuverndarreglugerðarinnar um upplýsingar sem ber að veita hinum skráða, sbr. m.a. 13. og 14. gr. hennar.
  • Veiting réttinda til handa hinum skráðu
    • Að því marki sem hægt er ber vinnsluaðila að aðstoða ábyrgðaraðila við að sinna þeirri skyldu sinni að bregðast við erindum skráðra einstaklinga vegna réttinda þeirra, svo sem vegna aðgangsréttar, réttar til leiðréttingar og eyðingar upplýsinga og til að andmæla vinnslu eða takmarka hana, flutningsréttar og réttar til að þurfa ekki að sæta sjálfvirkri ákvarðanatöku, þ.m.t. notkun persónusniða. Þegar hinn skráði leggur fram beiðni um að neyta réttinda sinna hjá vinnsluaðila skal vinnsluaðilinn áframsenda slíka beiðni án tafar til ábyrgðaraðila.
  • Tilkynning vegna öryggisbrots

    • Vinnsluaðili skal tilkynna ábyrgðaraðila um hvers konar öryggisbrot eigi síðar en 24 klukkustundum eftir að hann verður var við brotið. Með tilkynningunni skulu fylgja hver þau skjöl eða gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tilkynnt um brotið til viðeigandi eftirlitsstofnunar (Persónuverndar).

    • Upplýsingar sem sendar eru hinum skráðu skulu vera á skýru og einföldu máli og lýsa í það minnsta:

      • eðli öryggisbrotsins, þ.m.t., þegar það á við, flokkum og gróflega áætluðum fjölda þeirra einstaklinga sem verða fyrir áhrifum af brotinu og flokkum og magni þeirra gagna (e. records) sem um ræðir
      • nafni og samskiptaupplýsingum persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að nálgast frekari upplýsingar
      • hverjar séu líklegar afleiðingar öryggisbrotsins
      • til hvaða aðgerða hafi verið gripið eða lagt til að gripið verði til til að bregðast við brotinu, þ.m.t., þar sem það á við, aðgerða til að draga úr áhrifum brotsins á einstaklinga
      • til hvaða aðgerða einstaklingarnir geti gripið til að lágmarka tjón sitt, t.a.m. að skipta um lykilorð
  • Aðstoð gagnvart ábyrgðaraðila við að uppfylla skilyrði almennu persónuverndarreglugerðarinnar. Vinnsluaðili skal aðstoða ábyrgðaraðila við að framkvæma mat á áhrifum á persónuvernd. Vinnsluaðili skal aðstoða ábyrgðaraðila við að uppfylla ákvæði reglugerðarinnar um fyrirframsamráð við eftirlitsyfirvaldið (Persónuvernd).

  • Öryggisráðstafanir

    • Vinnsluaðili skal innleiða eftirfarandi öryggisráðstafanir:
      • innleiðingu tæknilegra og skipulagslegra ráðstafana sem ætlað er að tryggja viðvarandi trúnað, uppitíma, rekstraröryggi og álagsþol vinnslukerfa og þjónustu
      • stýringu aðgengis einstaklinga að starfstöð okkar og öryggisvörslu
      • stýringu aðgengis starfsmanna og annarra að kerfum sem hafa að geyma persónu­upplýsingar
      • að tryggja að þjónustuaðilar okkar sem hafa aðgang að persónuupplýsingum notenda, hafi gert viðeigandi verndarráðstafanir til að tryggja öryggi persónuupplýsinga
      • dulkóðun persónuupplýsinga notenda
  • Hvað verður um persónuupplýsingar við lok vinnslu

    • Þegar þjónustu lýkur samkvæmt samningi þessum samþykkir vinnsluaðili að:
      • Samkvæmt reglugerð um rafræna reikninga og bókhaldslög skal geyma gögn þess efnis í sjö ár frá útgáfu þeirra að þeim tíma liðnum er gögnum eytt.
      • Vinnsluaðili geymir persónuupplýsingar í 30 daga eftir lokun aðgangs sbr. 3. gr. í persónuverndarstefnu Splitti og eyðir þeim að þeim tíma liðnum ef það stangast ekki á við reglugerð um rafræna reikninga og bókhaldslög.
    • Þegar upplýsingum er skilað þarf einnig að eyða öllum afritum af persónugreinanlegum upplýsingum sem finna má í kerfum vinnsluaðila.
  • Persónuverndarfulltrúi

    • Hannes Ármann Baldursson er persónuverndarfulltrúi Splitti og hefur eftirlit með því að farið sé að gildandi lögum og reglum um persónuvernd í starfsemi Splitti. Fyrirspurnum, athugasemdum og ábendingum sem varða persónuupplýsingar og persónuvernd er unnt að beina á netfangið privacy@splitti.is eða með því að senda bréfpóst til:

    • Persónuverndarfulltrúi Splitti
      Ármúli 6
      108 Reykjavík
      Ísland

  • Skrá yfir vinnslustarfsemi

    • Vinnsluaðili skal halda skrá yfir alla vinnslustarfsemi sem fram fer fyrir ábyrgðaraðila.

    • Í henni skal koma fram eftirfarandi:

      • heiti og samskiptaupplýsingar vinnsluaðila, eins eða fleiri, og sérhvers ábyrgðaraðila sem vinnsluaðilinn starfar í umboði fyrir;
      • flokkar vinnslu sem fram fer fyrir hönd hvers ábyrgðaraðila.
  • Skjölun vegna sönnunar á reglufylgni

    • Vinnsluaðili skal útvega ábyrgðaraðila öll nauðsynleg skjöl til að hann geti sýnt fram á reglufylgni og til að ábyrgðaraðili eða úttektaraðili geti framkvæmt úttektir, þ.m.t. skoðanir, og veita aðstoð við slíkar úttektir.

4. Skyldur ábyrgðaraðila gagnvart vinnsluaðila

Ábyrgðaraðili skal:

  • afhenda vinnsluaðila þau gögn sem nefnd eru í kafla 2;
  • skrá skriflega öll fyrirmæli varðandi vinnsluna sem beint er að vinnsluaðila;
  • tryggja, fyrir og á meðan á vinnslu stendur, að hann starfi í samræmi við þær kröfur sem gerðar eru til hans samkvæmt almennu persónuverndarreglugerðinni, og;
  • hafa yfirumsjón með vinnslunni, þ.m.t. með því að framkvæma úttektir og skoðanir hjá vinnsluaðilanum.

5. Gildistími samnings

Samningur þessi tekur gildi þegar ábyrgðaraðili samþykkir skilmála Splitti við skráningu að þjónustunni og gildir á meðan ábyrgðaraðili nýtir sér þjónustu Splitti með einhverjum hætti.

Viðauki 1

Persónuverndarstefnur og rafrænt samþykktir vinnslusamningar við undirvinnsluaðila:

Nafn

Lýsing

Samningur dags.

Microsoft Azure Hýsir þjónustur og gagnagrunna Splitti. Microsoft uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.

Skilmálar (OST)

13.7.2018 HubSpot Samskiptaþjónusta sem gerir okkur kleift að eiga samskipti við þig með þægilegum hætti ef þú hefur áhuga á að fá meiri upplýsingar um Splitti, eða vanti þig aðstoð varðandi þjónustuna. HubSpot uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.

Persónuverndarstefna HubSpot Vinnslusamningur (DPA)

9.11.2018 Gist Samskiptaþjónusta sem gerir okkur kleift að eiga samskipti við þig með þægilegum hætti ef þú hefur áhuga á að fá meiri upplýsingar um Splitti, eða vanti þig aðstoð varðandi þjónustuna. Gist uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau.

Persónuverndarstefna Gist Vinnslusamningur (DPA)

9.11.2018 SendGrid Gerir okkur kleift að senda þér mikilvægan tölvupóst í tengslum við að veita þjónustu okkar. Þessi þjónusta er notuð til að ljúka skráningu í kerfi Splitti með því að staðfesta netfang, senda beiðni um nýtt lykilorð, reikninga, greiðslur o.fl. SendGrid uppfyllir persónuverndarlögin og við höfum undirritað vinnslusamning við þau

Persónuverndarstefna SendGrid Vinnslusamningur (DPA)