Vinnslusamnings-skilmálar
Þessir vinnslusamningsskilmálar („skilmálar“) gilda um vinnslu persónuupplýsinga af hálfu Sensa ehf., kt. 480202-2520, Lynghálsi 4, 110 Reykjavík, https://sensa.is („Sensa“), sem nauðsynleg er í tengslum við hvers konar þjónustu sem Sensa kann að inna af hendi fyrir hönd viðskiptavinar.
Skilmálarnir eru ígildi vinnslusamnings milli Sensa, sem vinnsluaðila, og viðskiptavinar, sem ábyrgðaraðila, í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“), sem innleiddu reglugerð Evrópuþingsins og ráðsins 2016/679 frá 27. apríl 2016 („GDPR“).
Í skilmálum þessum er jafnframt vísað til Sensa sem „vinnsluaðila“ og viðskiptavinar sem „ábyrgðaraðila“ og til aðilanna sameiginlega sem „samningsaðila“.
1 Skuldbindingargildi skilmálanna
Í tengslum við þjónustu Sensa kann Sensa að þurfa að vinna með persónuupplýsingar fyrir hönd viðskiptavinar.
Tilvísun í skilmála þessa í þjónustusamningi, sem samningsaðilar hafa gert sín á milli, skal fela í sér samþykki á skilmálunum. Það sama á við ef viðskiptavinur óskar eftir tilgreindri þjónustu, s.s. á grundvelli tilboðs, án þess að sérstakur þjónustusamningur sé gerður og/eða ef viðskiptavinur byrjar að nota eina eða fleiri af þjónustum Sensa þar sem nauðsynlegt er fyrir Sensa að vinna með persónuupplýsingar fyrir hönd viðskiptavinar.
Hafi samningsaðilar gert með sér sérstakan vinnslusamning fyrir gildistöku þessa skilmála skal sá samningur halda gildi sínu nema samið sé um annað.
2 Lýsing á vinnslu
Í lýsingu á sértækri vinnslu persónuupplýsinga Sensa, sem telst hluti af skilmálum þessum, má finna tilgreiningu á því hvaða persónuupplýsingar Sensa vinnur fyrir hönd viðskiptavinar („persónuupplýsingarnar“), flokka skráðra aðila („hinir skráðu“), upplýsingar um notkun undirvinnsluaðila og tilgang vinnslu. Sá hluti lýsingarinnar á sértækri vinnslu sem tilgreinir þá þjónustu sem viðskiptavinur kaupir af Sensa hverju sinni á við um samningssamband Sensa og viðskiptavinar.
Í þeim tilvikum er Sensa er falið að sinna sérfræðiaðstoð sem ekki fellur undir sértæka vinnslu skal Sensa aðeins heimilt að vinna með þær persónuupplýsingar sem nauðsynlegt er í tengslum við hið afmarkaða verkefni. Í flestum tilvikum er um tímabundinn aðgang að ræða þar sem Sensa notast ekki við neina undirvinnsluaðila.
Tekið skal fram að þeir þriðju aðilar sem Sensa er eftir atvikum að endurselja þjónustu eða leyfi frá kunna jafnframt að koma fram sem vinnsluaðilar í skilningi persónuverndarlaga gagnvart viðskiptavini sem ábyrgðaraðila, án þess að Sensa hafi þar nokkra milligöngu. Kann það t.a.m. að eiga við í þeim tilvikum þar sem viðskiptavinur fær leyfi til notkunar á hugbúnaði þriðju aðila sem jafnframt hýsir persónuupplýsingar viðskiptavinar. Í slíkum tilvikum er það á ábyrgð viðskiptavinar að ganga frá skriflegum vinnslusamningi við slíka aðila.
3 Skyldur vinnsluaðila
a. Vinnsla á grundvelli fyrirmæla frá ábyrgðaraðila
Vinnsluaðili skal einungis vinna persónuupplýsingar að því marki sem nauðsynlegt er til að veita ábyrgðaraðila hina skilgreindu þjónustu og til þess að uppfylla skrifleg fyrirmæli frá ábyrgðaraðila.
Vinnsluaðili skal upplýsa ábyrgðaraðila telji hann að fyrirmæli ábyrgðaraðila stangist á við persónuverndarlög.
b. Trúnaðarskylda og þjálfun starfsfólks
Vinnsluaðili ábyrgist að hann muni gæta fyllsta trúnaðar varðandi þær persónuupplýsingar sem hann veitir viðtöku, meðhöndlar og/eða hefur aðgang að eða fær vitneskju um hjá ábyrgðaraðila, sem og aðrar upplýsingar sem vinnsluaðili gæti orðið áskynja vegna starfa sinna sem þjónustuaðili fyrir ábyrgðaraðila. Á þagnarskyldan við hvort sem upplýsingarnar varða starfsmenn, viðskiptavini, skjólstæðinga eða aðra einstaklinga á vegum ábyrgðaraðila.
Skal vinnsluaðili tryggja að allt starfsfólk, sem kemur að þjónustu gagnvart ábyrgðaraðila og er heimilað að hafa aðgang að og/eða meðhöndla upplýsingar frá ábyrgðaraðila, hafi undirritað þagnarskylduyfirlýsingu hjá vinnsluaðila áður en þeim er heimilaður aðgangur. Framangreind þagnarskylda helst þótt starfsmaður láti af störfum hjá vinnsluaðila.
Vinnsluaðili skal tryggja að starfsfólk hans hafi fengið fullnægjandi þjálfun og fræðslu um þær skyldur sem hvíla á vinnsluaðila í tengslum við vinnslu persónuupplýsinga.
c. Aðgangur að upplýsingum
Vinnsluaðila er með öllu óheimilt að afhenda eða veita þriðja aðila aðgang að persónuupplýsingum ábyrgðaraðila, hvort sem er skriflega eða munnlega, nema með ótvíræðu samþykki ábyrgðaraðila, nema ófrávíkjanleg lög kveði á um annað.
d. Öryggi persónuupplýsinga
Vinnsluaðili skuldbindur sig til að viðhafa viðeigandi og fullnægjandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja nægilegt öryggi persónuupplýsinganna og vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegum aðgangi og gegn allri annarri ólögmætri vinnslu. Skulu ráðstafanirnar taka mið af nýjustu tækni, kostnað við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu.
Í því skyni að tryggja viðeigandi tæknilegar ráðstafanir skal vinnsluaðili, eftir því sem við á
- geta tryggt viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa- og þjónustu,
- geta endurheimt tímanlega tiltækileika og aðgang að persónuupplýsingum ef til efnislegs eða tæknilegs atviks kemur,
- taka upp ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar, og
- nota gerviauðkenni og dulkóðun upplýsinga, þar sem það á við.
Þegar viðunandi öryggi er metið skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.
Vinnsluaðili skal viðhafa virkt innra eftirlit til að tryggja að farið sé að öryggisráðstöfunum fyrirtækisins, m.a. með framkvæmd úttekta. Til að mynda skal vinnsluaðili tryggja að einungis það starfsfólk vinnsluaðila sem nauðsynlega þarf á aðgangi að persónuupplýsingum að halda, þ.m.t. upplýsingakerfum sem hafa að geyma persónuupplýsingar ábyrgðaraðila, vegna starfa sinna hjá vinnsluaðila hafi slíkan aðgang.
Vinnsluaðili skal tryggja að fyrirtækið fylgi reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga og að starfsemi hans sé vottuð á grundvelli staðalsins ISO 27001 um upplýsingaöryggi.
Í þeim tilvikum sem ábyrgðaraðili telur nauðsynlegt að veita vinnsluaðila frekari fyrirmæli um sérstakar öryggisráðstafanir skulu aðilar semja um það sérstaklega.
e. Flutningur utan Evrópska efnahagssvæðisins
Vinnsluaðila skal vera óheimilt að flytja persónuupplýsingar utan Evrópska efnahagssvæðisins („EES“) nema á grundvelli fyrirmæla ábyrgðaraðila þar um eða í þeim tilvikum er ábyrgðaraðili hefur samþykkt notkun undirvinnsluaðila með staðfestu utan EES.
f. Aðstoð við að uppfylla skyldur
Vinnsluaðili skal aðstoða ábyrgðaraðila við að framkvæma mat á áhrifum á persónuvernd óski ábyrgðaraðili eftir slíkri aðstoð, í samráði við ábyrgðaraðila, sem og aðstoða ábyrgðaraðila við að tryggja að öðru leyti að skyldur skv. 32.-36. gr. GPDR séu uppfylltar.
Vinnsluaðila ber að aðstoða ábyrgðaraðila, að teknu tilliti til eðlis vinnslunnar og að því marki sem hægt er, við að uppfylla þá skyldu sína að svara beiðnum frá skráðum einstaklingum á grundvelli réttinda sem þeim eru tryggð í persónuverndarlögum.
Skyldi vinnsluaðila berast beiðni frá einstaklingi sem tengist réttindum hins skráða samkvæmt persónuverndarlögum, skal vinnsluaðili leiðbeina viðkomandi um að snúa sér til ábyrgðaraðila. Vinnsluaðili skal þannig ekki svara beiðnum frá hinum skráðu án samþykkis ábyrgðaraðila.
Vinnsluaðila skal heimilt að taka gjald fyrir veitta aðstoð á grundvelli þessa ákvæðis samkvæmt gjaldskrá vinnsluaðila hverju sinni.
g. Öryggisbrestir og tilkynningarskylda
Verði vinnsluaðili var við öryggisbrest við meðferð persónuupplýsinga fyrir hönd ábyrgðaraðila skal hann án ótilhlýðilegrar tafar tilkynna ábyrgðaraðila þar að lútandi.
Í slíkri tilkynningu skal vinnsluaðili eftir fremsta megni, miðað við þær upplýsingar sem liggja fyrir við tilkynningu, lýsa eðli öryggisbrestsins, þar á meðal þeim flokkum og áætluðum fjölda skráðra einstaklinga sem bresturinn varðar og flokkum og áætluðum fjölda skráninga persónuupplýsinga sem um ræðir. Þá skal vinnsluaðili lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugar að gera vegna öryggisbrestsins. Með tilkynningunni til ábyrgðaraðila skulu fylgja hver þau skjöl og gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tilkynnt um öryggisbrestinn til Persónuverndar, ef hann metur þörf á því, að því marki sem þau liggja fyrir hjá vinnsluaðila.
4 Skyldur ábyrgðaraðila
Ábyrgðaraðili skal tryggja að hann uppfylli þær lagaskyldur sem á honum hvíla samkvæmt persónuverndarlögum, þ.m.t. að veita skráðum aðilum fullnægjandi fræðslu og að heimild liggi til grundvallar vinnslu. Þá skal ábyrgðaraðili tryggja að hann hafi heimild til að útvista vinnslu til vinnsluaðila og skal ábyrgðaraðili bea ábyrgð á þeim fyrirmælum sem hann gefur vinnsluaðila.
5 Aðgangur að persónuupplýsingum
a. Ábyrgðaraðili
Vinnsluaðili skal ganga úr skugga um að ábyrgðaraðili geti haft eftirlit með því að vinnsluaðili fari að ákvæðum þessa skilmála og fylgi þeim skyldum sem á honum hvíla samkvæmt persónuverndarlögum, t.d. með því að veita ábyrgðaraðila fullnægjandi upplýsingar og/eða gögn þegar þess er óskað.
Þá skal vinnsluaðili gefa ábyrgðaraðila, eða þeim þriðja aðila sem ábyrgðaraðili tilnefnir fyrir sína hönd, kost á að framkvæma úttektir á vinnslu vinnsluaðila á persónuupplýsingunum og veita tilhlýðilega aðstoð við slíkar úttektir. Tilgangur slíkra úttekta er að ganga úr skugga um að vinnsluaðili framfylgi skyldum sínum samkvæmt þessum skilmálum og skyldum á grundvelli persónuverndarlaga. Úttektaraðilar skulu bundnir trúnaði á grundvelli samnings kveði lög ekki á um trúnaðarskyldur úttektaraðila.
Jafnframt skal regluverði ábyrgðaraðila, ytri og innri endurskoðanda ábyrgðaraðila, persónuverndarfulltrúa og/eða öryggisstjóra ábyrgðaraðila tryggður aðgangur að öllum persónuupplýsingum ábyrgðaraðila sem vinnsluaðili vinnur með á grundvelli samnings þessa, í þeim tilvikum sem við á og í þeim tilgangi að kanna framkvæmd verkefna sem unnin eru fyrir ábyrgðaraðila.
Vinnsluaðila skal heimilt að taka gjald fyrir fyrir veitta aðstoð á grundvelli þessa ákvæðis samkvæmt gjaldskrá vinnsluaðila hverju sinni.
b. Opinberir eftirlitsaðilar
Vinnsluaðila ber að ganga úr skugga um að persónuupplýsingar sem hann vinnur fyrir hönd ábyrgðaraðila séu aðgengilegar opinberum eftirlitsaðilum vegna mögulegra úttekta og/eða eftirlitsstarfsemi slíkra aðila. Óski opinber eftirlitsaðili eftir aðgangi að persónuupplýsingum ábyrgðaraðila á grundvelli ótvíræðrar lagaheimildar eða dómsúrskurðar, ber vinnsluaðila að tilkynna ábyrgðaraðila þar að lútandi svo fljótt sem verða má, helst áður en aðgangur er veittur, nema vinnsluaðila sé það óheimilt.
c. Aðrir þjónustuveitendur
Í þeim tilvikum er vinnsluaðili er að endurselja ábyrgðaraðila þjónustu og/eða leyfi frá þriðja aðila kann að vera að sá þriðji aðili áskilji sér rétt til að skoða kerfi vinnsluaðila í þeim tilgangi að tryggja að vinnsluaðili fullnægi skyldum sínum gagnvart viðkomandi þriðja aðila. Í tengslum við slíka skoðun kann viðkomandi aðili að fá aðgang að persónuupplýsingum ábyrgðaraðila (s.s. nafni viðskiptavinar og notenda sem og IP tölum). Ekki er unnið með upplýsingarnar í öðrum tilgangi en að framan greinir og skal vinnsluaðili tryggja að viðkomandi aðili gangist undir sömu trúnaðarskyldur og vinnsluaðili samkvæmt skilmálum þessum.
6 Skil eða eyðing persónuupplýsinga
Að svo miklu leyti sem lög kveða ekki á um annað, úrskurður dómara eða annars lögbærs yfirvalds á grundvelli laga, ber vinnsluaðila aðafhenda eða eyða persónuupplýsingunum, þ.m.t. hugsanlegum afritum af þeim, ef skrifleg fyrirmæli berast þar að lútandi frá ábyrgðaraðila, en eigi síðar en við uppsögn þessa vinnslusamnings, sbr. Gr. 8. Tekur framangreint til upplýsinga á hvaða formi sem er, hvort sem þær eru á blaði, á rafrænu formi eða einhverjum þeim miðli sem tengist þjónustu vinnsluaðila við ábyrgðaraðila. Ber vinnsluaðila að staðfesta skil á gögnum eða örugga förgun með skriflegum hætti til tengiliðar ábyrgðaraðila sé þess óskað. Örugg förgun telst t.d. þjónusta AAA –vottaðs förgunaraðila.
7 Notkun undirvinnsluaðila
Vinnsluaðila er óheimilt að fela undirvinnsluaðilum að framkvæma, í heild eða hluta, þá vinnslu sem vinnsluaðili hefur með höndum fyrir ábyrgðaraðila á grundvelli þessara skilmála nema með heimild ábyrgðaraðila.
Sé undirvinnsluaðili tilgreindur í lýsingu á sértækri vinnslu Sensa telst ábyrgðaraðili hafa samþykkt notkun á slíkum aðila. Reynist þörf á að bæta við nýjum undirvinnsluaðila í tengslum við einstaka þjónustur, eða skipta undirvinnsluaðila út, skal vinnsluaðili tilkynna ábyrgðaraðila um slíkt og veita ábyrgðaraðila a.m.k. 14 daga til þess að andmæla. Berist ekki andmæli innan þess tíma skal litið svo á að ábyrgðaraðili hafi samþykkt notkun á viðkomandi undirvinnsluaðila. Andmæli ábyrgðaraðili notkun vinnsluaðila á undirvinnsluaðila og geti vinnsluaðili ekki gert aðrar ráðstafanir skal ábyrgðaraðila heimilt að segja upp þeirri þjónustu sem um ræðir.
Samþykki ábyrgðaraðili notkun undirvinnsluaðila ber vinnsluaðila að tryggja að sömu skyldur hvíli á undirvinnsluaðila og hvíla á vinnsluaðila skv. skilmálum þessum og skal vinnsluaðili bera ábyrgð á allri vinnslu undirvinnsluaðila gagnvart ábyrgðaraðila.
8 Gildistími, uppsögn og riftun
Skilmálarnir skulu gilda í samningssambandi aðila svo lengi sem ábyrgðaraðili vinnur persónuupplýsingar fyrir hönd vinnsluaðila.
Ábyrgðaraðila skal heimilt að segja upp samningssambandi aðila á grundvelli þessara skilmála fyrirvaralaust, með tilkynningu til vinnsluaðila þar um, komi upp sérstakar aðstæður sem leiða til þess að opinber eftirlitsaðili eða ábyrgðaraðili fer fram á að vinnslu vinnsluaðila á vegum ábyrgðaraðila verði hætt samstundis, svo sem í þeim tilvikum er verulegur öryggisbrestur á sér stað sem vinnsluaðili ber ábyrgð á eða vinnsluaðili brýtur gegn skilmálum þessum með ítrekuðum eða verulegum hætti.
9 Tilkynningar
Tilkynningar til ábyrgðaraðila á grundvelli skilmála þessara skulu sendar til skráðs tengiliðs ábyrgðaraðila samkvæmt þjónustusamningi aðila, eða þess aðila sem ábyrgðaraðili hefur sérstaklega tilkynnt vinnsluaðila um.
Ábyrgðaraðili skal bera ábyrgð á því að láta vinnsluaðila vita af breytingum á tengiliðum sínum.
10 Ábyrgð
Um ábyrgð samningsaðila skal fara eftir almennum skaðabótareglum og ákvæðum persónuverndarlaga.
Hafi samningsaðilar samið um sérstakt bótaþak í þjónustusamningi sínum skal slíkt ákvæði jafnframt eiga við um ábyrgð samningsaðila á grundvelli þessara skilmála, nema annað sé sérstaklega tekið fram í þjónustusamningi.
11 Önnur ákvæði
Skilmálar þessir skulu ganga framar þjónustusamningi samningsaðila hvað varðar vinnslu á persónuupplýsingum, nema annað sé sérstaklega tekið fram í skilmálum þessum. Að öðru leyti skulu ákvæði þjónustusamningsins hins vegar standa óbreytt sem og almennir skilmálar Sensa.
Rísi ágreiningur vegna skilmála þessara, sem ekki er unnt að leysa með farsælum hætti milli samningsaðila, skal mál vegna hans rekið fyrir Héraðsdómi Reykjavíkur.
Vinnsluaðili áskilur sér rétt til að breyta skilmálum þessum í samræmi við breytingar á persónuverndarlögum eða vegna breytinga á því hvernig unnið er með persónuupplýsingar. Vinnsluaðili skal upplýsa ábyrgðaraðila um allar breytingar á skilmálunum. Verði gerðar breytingar á skilmálunum sem hafa áhrif á réttindi og skyldur ábyrgðaraðila skulu slíkar breytingar ekki taka gildi fyrr en að ákveðnum tíma liðnum þar sem ábyrgðaraðili skal fá tækifæri til að andmæla breytingunum. Andmæli ábyrgðaraðili breytingunum og geti vinnsluaðili ekki gripið til ráðstafana til að verða við slíkum andmælum skal ábyrgðaraðili hafa rétt til að segja upp viðeigandi þjónustu.
Skilmálar þessir voru settir þann 4. júlí 2024