ALFREÐ EHF.

SKILMÁLAR UM GAGNAVINNSLU

Þessir skilmálar um gagnavinnslu (hér eftir „skilmálarnir“) gilda um réttindi og skyldur notanda á kerfi Alfreðs (hér eftir „notandinn“) og Alfreðs ehf., kt. 6302170830, sem er með lögheimili að Skólavörðustíg 11, 101 Reykjavík (hér eftir „Alfreð“). Notandinn og Alfreð eru einnig nefndir sameiginlega „aðilar“ eða hvor í sínu lagi „aðili“.

1. SKILGREININGAR

1.1. Skilgreiningar. Nema annað komi fram í skilmálum þessum er merking tiltekinna orða sem segir í viðauka A við skilmálana.

2. SKILMÁLAR

2.1. Tilgangur skilmálanna. Skilmálar þessir gilda um vinnslu og öryggi persónuupplýsinga notenda.

3. HLUTVERK OG FYRIRMÆLI UM GAGNAVINNSLU

3.1. Hlutverk og fylgni við lög og reglur; heimildir.

3.1.1 Ábyrgð Alfreðs og notandans. Aðilarnir viðurkenna og samþykkja að:
a) Alfreð er vinnsluaðili persónuupplýsinga notenda;
b) Notandinn er ábyrgðaraðili eða vinnsluaðili, eftir atvikum, persónuupplýsinga notenda;
c) hvor aðili um sig mun hlíta þeim skyldum sem hann ber samkvæmt gildandi lögum að því er varðar vinnslu persónuupplýsinga notenda.
3.1.2 Heimild frá ábyrgðaraðila sem er þriðji aðili. Sé notandinn vinnsluaðili ábyrgist hann gagnvart Alfreð að fyrirmæli og ráðstafanir sínar að því er varðar persónuupplýsingar notenda, þ.m.t. skipun hans á Alfreð sem öðrum vinnsluaðila, hafi verið heimiluð af viðkomandi ábyrgðaraðila.

3.2. Fyrirmæli um gagnavinnslu: Með því að samþykkja þessa skilmála felur notandinn Alfreð að vinna með persónuupplýsingar notenda í samræmi við gildandi lög: (a) til að veita vinnsluþjónustuna; (b) eins og nánar er tilgreint gegnum notkun notandans á vinnsluþjónustunni; (c) eins og greinir í samningnum, þ.m.t. skilmálunum; og (d) eins og nánar greinir í hvers kyns öðrum skriflegum fyrirmælum sem notandinn gefur og eru viðurkennd af Alfreð sem fyrirmæli í skilningi skilmálanna.

4. TÍMALENGD VINNSLU PERSÓNUUPPLÝSINGA

4.1. Tímalengd vinnslu persónuupplýsinga. Vinnsla á persónuupplýsingum notenda mun fara fram á meðan samningurinn er í gildi auk tímans fram að eyðingu allra persónuupplýsinga notenda í samræmi við skilmálana.

5. EÐLI OG TILGANGUR VINNSLU Á PERSÓNUUPPLÝSINGUM

5.1. Eðli og tilgangur vinnslu á persónuupplýsingum. Alfreð mun vinna úr persónuupplýsingum notenda með sjálfvirkri gagnavinnslu til að veita notandanum vinnsluþjónustuna.

6. TEGUNDIR PERSÓNUUPPLÝSINGA

6.1. Tegundir persónuupplýsinga. Á meðal persónuupplýsinga notenda kunna að vera upplýsingar sem kerfi Alfreðs safnar meðan á notkun þess stendur, innskráningarupplýsingar, auðkenningarupplýsingar, upplýsingar um tegund notanda, upplýsingar um aðgerðir notanda, upplýsingar um hvernig má hafa samband við viðkomandi, samskiptaupplýsingar, hljóðritanir og myndir.

7. FLOKKAR SKRÁÐRA AÐILA

7.1. Flokkar skráðra aðila. Persónuupplýsingar notenda varða eftirfarandi flokka skráðra aðila:

7.1.1 skráða aðila sem Alfreð safnar persónuupplýsingum um þegar Alfreð veitir vinnsluþjónustuna; og/eða
7.1.2 skráða aðila hverra persónuupplýsingar eru fluttar til Alfreðs í tengslum við vinnsluþjónustuna af, samkvæmt fyrirmælum eða fyrir hönd notandans.

Eftir eðli vinnsluþjónustunnar geta á meðal þessara skráðu aðila verið (a) starfsmenn notandans eða aðrir samstarfsmenn hans, (b) þeir sem eiga sæti í nefndum, ráðum eða stjórn notandans; (c) viðskiptavinir notandans.

8. RÉTTINDI OG SKYLDUR AÐILA

8.1. Gagnkvæm tilkynningarskylda. Ef þriðji aðili, einkum skráður aðili („hinn skráði“) eða eftirlitsyfirvald, biður annan hvorn aðila að þessum skilmálum að veita upplýsingar sem varða vinnslu á persónuupplýsingum samkvæmt samningnum eða skilmálunum, eða gerir í þessu sambandi einhverja kröfu eða nýtir einhvern rétt gagnvart öðrum hvorum aðila þessara skilmála, skuldbindur sá aðili að skilmálunum sig til að tilkynna mótaðilanum um slíkt athæfi án ástæðulausrar tafar.

8.2. Skyldur notanda. Notandinn ber ábyrgð á því að efna allar skuldbindingar í tengslum við vinnslu á persónuupplýsingum notenda, einkum því að upplýsa alla skráða aðila um vinnslu á persónuupplýsingum notenda, afla samþykkis fyrir vinnslunni ef nauðsynlegt er, afgreiða beiðnir skráðra aðila um að nýta sér réttindi sín (s.s. réttinn til að vera upplýstur, réttinn til aðgangs, leiðréttingar, eyðingar, takmörkunar á vinnslu upplýsinga, andmælarétt o.s.frv.). Notandinn ber einnig ábyrgð á því að efna allar tilkynningarskyldur gagnvart hvers kyns eftirlitsyfirvaldi í tengslum við vinnslu á persónuupplýsingum notenda, einkum að tilkynna eftirlitsyfirvaldinu um öryggisbrest við meðferð persónuupplýsinga.

8.3. Öryggismat notanda. Notandinn ber einn ábyrgð á því að yfirfara skilmálana og meta fyrir sig hvort öryggisráðstafanir og skuldbindingar Alfreðs samkvæmt þeim uppfylli þarfir notandans, þ.m.t. með tilliti til öryggisskuldbindinga notandans samkvæmt gildandi lögum.

8.4. Viðurkenning notanda. Notandinn viðurkennir og samþykkir (að teknu tilliti til nýjustu tæknikrafna, framkvæmdarkostnaðar og eðlis, umfangs, samhengis, tilgangs og mislíklegra og misalvarlegra áhættuþátta fyrir einstaklinga) að þær öryggisráðstafanir sem Alfreð gerir og heldur við, eins og greinir í skilmálunum, veiti stig öryggis sem er viðeigandi fyrir þá áhættu sem er til staðar í tengslum við persónuupplýsingar notenda.

8.5. Beiðnir skráðs aðila. Fái Alfreð beiðni frá skráðum aðila („hinum skráða“) í tengslum við persónuupplýsingar notenda á meðan unnið er með þær skal Alfreð ráðleggja hinum skráða að leggja fram beiðni sína við notandann og notandinn bera ábyrgð á því að bregðast við beiðninni.

8.6. Skyldur Alfreðs. Í þeim tilgangi að vernda persónuupplýsingar notenda skuldbindur Alfreð sig, á meðan unnið er með persónuupplýsingar notenda samkvæmt skilmálunum, til að:

8.6.1 Gera viðeigandi ráðstafanir til að tryggja að starfsmenn, verktakar og þjónustuveitendur sínir hlíti öryggisreglum/-ráðstöfunum að því marki sem á við um starfssvið þeirra, þ.m.t. að tryggja að allir einstaklingar sem er heimilt að vinna með viðkomandi persónuupplýsingar notenda hafi skuldbundið sig til eða þeim beri samkvæmt gildandi lögum að gæta trúnaðar;
8.6.2 Gera og viðhalda tæknilegum og skipulagslegum ráðstöfunum til verndar viðkomandi persónuupplýsingum notenda fyrir hvers kyns öryggisbresti við meðferð persónuupplýsinga sem lýst er í viðauka B við skilmálana;
8.6.3 Fela ekki öðrum vinnsluaðila að vinna með viðkomandi persónuupplýsingar notenda án fyrirfram heimildar notandans, að undanskildum skýþjónustuveitendum sem tryggja gagnaflutning milli aðilanna, þjónustustarfsfólki og þjónustuveitendum Alfreðs sem hafa með höndum að veita notandanum stuðnings- og viðhaldsþjónustu og þróunaraðilum hugbúnaðar Alfreðs, en ef slíkur vinnsluaðili eins og greinir að ofan er skipaður skal Alfreð tryggja að hann hlíti skilmálum þessum;
8.6.4 Innan þeirra marka sem eru viðeigandi fyrir eðli vinnslunnar og fyrirliggjandi upplýsingar skal Alfreð veita notandanum aðstoð með að tryggja að viðeigandi tækni- og skipulagslegar ráðstafanir séu gerðar til að tryggja öryggi persónuupplýsinganna, tilkynna viðkomandi eftirlitsyfirvöldum eða skráðum aðila um öryggisbresti við meðferð persónuupplýsinga og meta áhrif á gagnavernd, og með fyrirfram samráði við eftirlitsyfirvaldið;
8.6.5 Veita notandanum nauðsynlegar upplýsingar, sem hann kann að óska eftir frá Alfreð með sanngjörnum hætti, til að notandinn geti brugðist við beiðni skráðs aðila til að nýta réttindi sín samkvæmt lögum um persónuvernd;
8.6.6 Eyða persónuupplýsingum notenda þegar vinnsluþjónustunni lýkur, þ.m.t. öllum afritum, nema lög Evrópusambandsins eða viðkomandi aðildarríkis ESB eða EES krefjist geymslu þeirra;
8.6.7 Veita notandanum allar upplýsingar sem eru nauðsynlegar til að sýna fram á að Alfreð ræki þær skyldur sem skilmálarnir kveða á um, og heimila og leggja sitt af mörkum til úttekta, þ.m.t. eftirlitsúttekta, sem notandinn eða annar úttektaraðili í umboði notanda gerir í samræmi við þá skilmála um úttektir sem mælt er fyrir um í viðauka C við skilmálana.

9. LOKAÁKVÆÐI

9.1. Tungumál. Skilmálarnir eru samdir á íslensku og ensku. Allar skuldbindingar Alfreðs gagnvart notandanum í tengslum við skilmálana skulu efndar á íslensku eða ensku, alfarið að ákvörðun Alfreðs.

9.2. Sjálfstæði einstakra ákvæða. Ef einhver ákvæði skilmála þessara eru eða verða ógild, óvirk eða eða óframfylgjanleg skal það ekki hafa áhrif á önnur ákvæði þeirra. Aðilarnir samþykkja að skipta út slíkum ógildum, óvirkum eða óframfylgjanlegum ákvæðum skilmálanna með ákvæðum sem eru gild, virk og framfylgjanleg og hafa sams konar viðskiptalegt og lögfræðilegt inntak innan 14 (fjórtán) daga frá móttöku á beiðni þess efnis frá mótaðilanum.

9.3. Áskilnaður um breytingar á skilmálunum. Breytist gildandi lög eða túlkunarreglur eða venjur um túlkun á gildandi lögum er Alfreð heimilt að breyta skilmálum þessum innan eðlilegra marka. Alfreð skal tilkynna um breytingar á skilmálunum á vefsíðu sinni og með tölvupósti sem sendur er á síðasta þekkta netfang notandans sem notað er í samskiptum við Alfreð. Nema notandinn neiti, innan 1 (eins) mánaðar frá því að slík tilkynning er send honum, að samþykkja breytta útgáfu skilmálanna telst hann hafa samþykkt hana. Nú neitar notandinn að samþykkja breytta skilmála innan ofangreinds frests og skulu þá þessir skilmálar falla úr gildi með 2 (tveggja) mánaða uppsagnarfresti, en á því tímabili gildir þá síðasta útgáfa skilmálanna sem báðir aðilar hafa samþykkt. Uppsögn skilmálanna samkvæmt þessu ákvæði felur ekki í sér uppsögn samningsins. Hafi aðilar hins vegar ekki samið um nýja skilmála um gagnavinnslu eins og krafist er í gildandi lögum innan 2 (tveggja) mánaða frá uppsögn skilmálanna skal hvorum aðila um sig heimilt að segja upp samningnum þegar í stað með því að senda mótaðilanum skriflega uppsagnartilkynningu og skal hún þá taka gildi á móttökudegi hennar.



VIÐAUKI A

SKILGREININGAR

GDPR Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin).
Persónuupplýsingar notenda Persónuupplýsingar sem Alfreð vinnur með fyrir hönd notandans á meðan Alfreð veitir honum vinnsluþjónustu.
Samningurinn Samningur sem er gerður milli aðilanna og skilmálarnir eru felldir inn í með tilvísun, einkum notandasamningur.
Notandi Félag í atvinnurekstri sem gerir samninginn við Alfreð.
Hugtökin „ábyrgðaraðili“, „skráður aðili/hinn skráði“, „persónuupplýsingar“, „öryggisbrestur við meðferð persónuupplýsinga“, „vinnsla“, „vinnsluaðili“ og „eftirlitsyfirvald Þessi hugtök hafa þá merkingu sem greinir í persónuverndarreglugerðinni (GDPR).
Vinnsluþjónusta Þjónustan sem Alfreð veitir notandanum samkvæmt samningnum og öll tengd tæknileg aðstoð sem felur í sér vinnslu persónuupplýsinga.


VIÐAUKI B

ÖRYGGISRÁÐSTAFANIR

Frá og með gildistökudegi skilmálanna mun Alfreð innleiða og viðhalda þeim öryggisráðstöfunum sem lýst er í viðauka B. Alfreð kann að uppfæra eða breyta slíkum öryggisráðstöfunum öðru hverju að því tilskildu að slíkar uppfærslur og breytingar leiði ekki til skerðingar á heildaröryggi vinnslunnar.

1. Reglulegt áhættumat. Alfreð mun reglulega meta áhættuþætti upplýsingaöryggis í tengslum við persónuupplýsingar og mikilvæga starfsemi notandans. Öryggisstjóri Alfreðs, sem einn stjórnenda fyrirtækisins, hefur með höndum að efna þá skyldu Alfreðs að tryggja gagnaöryggi.

2. Öryggisferlar innan fyrirtækisins. Alfreð skal gera ráðstafanir til að tryggja öryggi persónuupplýsinga með tilliti til hugsanlegra mannlegra mistaka, einkum og sér í lagi með því að:

3. Tæknilegar ráðstafanir. Alfreð skal gera viðeigandi tæknilegar ráðstafanir til að tryggja öryggi persónuupplýsinga, einkum og sér í lagi með:

4. Öryggi starfsstöðva. Til að tryggja öryggi persónuupplýsinga sem eru geymdar á skriflegu formi og í upplýsingatæknibúnaði skal Alfreð einkum tryggja eftirfarandi:

VIÐAUKI C

REGLUR UM ÚTTEKTIR

a. Notandinn skal senda hvers kyns beiðnir um úttektir á netfang Alfreðs, alfred@alfred.is.

b. Þegar Alfreð hefur móttekið úttektarbeiðni skulu Alfreð og notandinn komast að samkomulagi fyrirfram um: (i) eðlilega/r dagsetningu/-ar og ráðstafanir í tengslum við öryggi og trúnað sem eiga við um hverja úttekt; og (ii) eðlilegan fyrsta dag, umfang og tímalengd hverrar úttektar.

c. Alfreð kann að krefjast gjalds (á grundvelli eðlilegs kostnaðar) fyrir hvers kyns úttekt að beiðni notandans. Alfreð skal veita notandanum nánari upplýsingar um öll gjöld eða grundvöll útreiknings þeirra fyrirfram fyrir hverja slíka úttekt. Notandinn ber ábyrgð á greiðslu hvers kyns gjalda til úttektaraðila sem notandinn felur að framkvæma slíka úttekt.

d. Alfreð getur andmælt skriflega útnefningu notandans á tilteknum úttektaraðila til að framkvæma úttekt telji Alfreð á grundvelli eðlilegra sjónarmiða að úttektaraðilinn sé ekki hæfur til starfans, ekki óháður, hann sé keppinautur Alfreðs eða greinilega vanhæfur að öðru leyti. Hreyfi Alfreð slíkum andmælum þarf notandinn að tilnefna annan úttektaraðila eða framkvæma úttektina sjálfur.