Vinnsluskilmálar persónuupplýsinga
(Síðast uppfært 14. nóvember 2024)
1. Formáli
Þessir skilmálar gilda um vinnslu persónuupplýsinga Abler ehf., ID No. 660117-0670, Höfðabakka 9c, Reykjavík, Iceland, (hér eftir “vinnsluaðili” eða “Abler”) fyrir hönd félagsins (hér eftir “ábyrgðaraðili” eða “félagið”) sem gert hefur áskriftarsamning um notkun Abler kerfisins. Þessir vinnsluskilmálar, auk áskriftarsamningsins mynda saman “vinnslusamning” milli Abler og félagsins í samræmi við 28. grein reglugerðar (EU) 2016/679 (“GDPR”).
Orð í þessum vinnsluskilmálum skulu hafa sömu merkingu og þeim er gefin í notendaskilmálum Abler, nema að annað sé tekið fram í þessum vinnsluskilmálum.
2. Tilgangur
Tilgangur vinnslusamningsins er að skilgreina skilyrði vinnslu persónuupplýsinga sem vinnsluaðili tekur að sér fyrir hönd ábyrgðaraðila.
Samningsaðilar skulu fara eftir lögum og reglugerðum sem gilda um vernd persónuupplýsinga og vinnslu persónugagna, sérstaklega íslensk lög nr. 90/2018 og GDPR.
3. Lýsing vinnslu
Vinnsluaðila er heimilað að vinna fyrir hönd ábyrgðaraðila þau persónugögn sem nauðsynleg eru til að veita þjónustuna sem kveður á um í áskriftarsamningi um notkun Abler kerfisins.
Ábyrgðaraðili ber ábyrgð á að tryggja að notkun kerfisins sé í samræmi við öll lög og reglugerðir, og að vinnslan sé byggð á löglegum grundvelli.
Tilgangur vinnslunnar er að styðja við notkun ábyrgðaraðila á kerfinu.
Persónugögn sem unnið er með eru upplýsingar um notendur sem geymd eru eða notuð eru í kerfinu, og koma frá notendum, ábyrgðaraðila eða þriðju aðilum sem kerfið tengist. Gögnin innihalda meðal annars upplýsingar um þátttöku notenda í hópum og viðburðum sem ábyrgðaraðili stendur fyrir, tengiliðaupplýsingar, greiðslu og fjárhagsfærsluupplýsingar, fjölskyldutengsl og samskipti við ábyrgðaraðila eða aðra notendur kerfisins.
Flokkun þeirra skráðu: Notendur í kerfinu.
4. Skyldur vinnsluaðila
Vinnsluaðili skal:
a. eingöngu vinna persónugögnin í samræmi við vinnslusamninginn;
b. vinna persónugögn samkvæmt skráðum fyrirmælum ábyrgðaraðila nema að lög krefjist annars. Með því að samþykkja áskriftarsamninginn, gefur ábyrgðaraðili vinnsluaðila fyrirmæli um að vinna persónuupplýsingar í tengslum við notkun ábyrgðaraðila á kerfinu. Vinnsluaðili skal upplýsa ábyrgðaraðila ef hann telur að fyrirmæli ábyrgðaraðila brjóti í bága við lög eða reglugerðir.
c. tilkynna ábyrgðaraðila ef vinnsluaðila er skylt samkvæmt lögum að flytja persónugögn til þriðja lands eða alþjóðastofnunar, nema að slík tilkynning sé bönnuð samkvæmt lögum;
d. tryggja að trúnaður sé virtur um þau persónugögn sem falla undir vinnslusamninginn og tryggja að starfsfólk vinnsluaðila sem hefur í starfi sínu aðgang að persónugögnum séu bundin trúnaði og hljóti viðeigandi þjálfun í meðferð persónugagna
e. eftir því sem næst verður komist, aðstoði ábyrgðaraðila við mat á áhrifum á persónugögn;
f. taki tillit til sjálfgefinnar persónuverndar og taki tillit til persónuverndar í hönnun vöru, kerfa og þjónustu.
5. Skyldur ábyrgðaraðila
Ábyrgðaraðili skal, varðandi þau persónugögn falla undir vinnslusamninginn, hafa umsjón með vinnslunni og fara eftir öllum lögum og reglugerðum um persónuvernd.
Ábyrgðaraðili ber ábyrgð á að tryggja réttleika gagna sem skráð eru í kerfið, og að sjá til þess að notendur ábyrgðaraðila fari eftir lögum og reglugerðum.
6. Undirvinnsluaðilar
Vinnsluaðila er heimilt að ráða annan vinnsluaðila (“undirvinnsluaðila”) til að framkvæma tilteknar vinnsluaðgerðir, að því gefnu að undirvinnsluaðilinn veiti nægar tryggingar fyrir því að gerðar séu viðeigandi tæknilegar og skipulagslegar ráðstafanir þannig að vinnslan uppfylli kröfur vinnslusamningsins, auk gildandi laga um persónuvernd, og að réttindi hinna skráðu séu tryggð. Gert skal skriflegt samkomulag við undirvinnsluaðilann, og vinnsluaðilinn skal áfram bera fulla ábyrgð gagnvart ábyrgðaraðila um efndir undirvinnsluaðilans á skyldum sínum.
Undirvinnsluaðilar vinnsluaðilans fyrir þessa vinnsluskilmála eru:
· Google Cloud EMEA Limited, Ireland
· Amplitude Analytics, B.V., Netherlands
· Twilio Inc., USA
· Airship Group Inc., USA
· HubSpot, Inc., USA
· Peaberry Software Inc., USA
· Auðkenni ehf, Iceland
· Nova hf, Iceland
Vinnsluaðili hefur heimild til að velja fleiri undirvinnsluaðila, en áður en vinnsla þeirra hefst, skal vinnsluaðili upplýsa ábyrgðaraðilann um hinn nýja undirvinnsluaðila og vinnsluaðgerðir sem þeir munu sinna. Breytingar á vali undirvinnsluaðila meðhöndlast sem breyting á þessum vinnsluskilmálum eins og lýst er nánar í 15. grein þessara vinnsluskilmála.
7. Réttindi hinna skráðu til upplýsinga og nýting réttinda hinna skráðu
Ábyrgðaraðili skal upplýsa hina skráðu um vinnsluna áður en vinnsla hefst í samræmi við gildandi lög og reglugerðir.
Vinnsluaðili skal, eftir því sem næst verður komist, aðstoða ábyrgðaraðila við að uppfylla skyldu sína um að svara beiðnum hinna skráðu varðandi réttindi sín, þ.m.t. rétt til aðgengis, rétt til leiðréttingar, rétt til eyðingar persónugagna, og rétt til að mótmæla eða óska eftir stöðvun vinnslu, rétt til að flytja gögn og rétt til að vera ekki viðfang sjálfvirkrar ákvarðanatöku, þ.m.t. gerð persónusniðmáts..
8. Tilkynning um öryggisbrest persónugagna
Vinnsluaðili skal tilkynna ábyrgðaraðila í tölvupósti á tilgreindan tengilið ábyrgðaraðila, þar sem lýst er eðli öryggisbrestsins ekki síðar en 72 klst eftir að hann uppgötvast, ásamt skjölum eða upplýsingum sem nauðsynleg eru fyrir ábyrgðaraðila til að tilkynna persónuverndaryfirvöldum, og í vissum kringumstæðum þeim skráðu sem öryggisbresturinn hafði áhrif á.
Ábyrgðaraðili ber ábyrgð á að tilkynna öryggisbrest til persónuverndaryfirvalda og eftir atvikum þeim skráðu sem öryggisbresturinn hafði áhrif á.
9. Öryggisráðstafanir
Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi gagna sem falla undir vinnslusamninginn, og skal gera tæknilegar og skipulagslegar ráðstafanir sem tryggja viðunandi öryggi m.t.t. áhættu sem vinnslan ber í skauti sér, og taki mark af nýjustu tækni, kostnaði við innleiðingu, eðli og tilgang vinnslunnar, sem og áhrif á réttindi og frelsi þeirra skráðu.
10. Vinnsluskrá
Vinnsluaðili skal, þar sem við á, viðhalda skriflegri vinnsluskrá þar sem skráð er sú vinnsla sem hann framkvæmir fyrir hönd ábyrgðaraðila í samræmi við lög og reglugerðir.
11. Úttekt
Vinnsluaðili skal útvega ábyrgðaraðila öll þau skjöl sem þarf til að sýna fram á að vinnsluaðili hafi uppfyllt skyldur sínar. Vinnsluaðili skal leyfa ábyrgðaraðila, eða úttektaraðila sem starfar fyrir hans hönd að framkvæma úttekt á persónuvernd, þ.m.t. skoðun, og skal vinnsluaðili aðstoða við slíka úttekt.
12. Gildistími vinnslusamnings og eyðing persónugagna við lok hans
Vinnslusamningurinn tekur gildi á sama tíma og áskriftarsamningurinn, og skal halda gildi sínu á meðan áskriftarsamningurinn er í gildi. Ábyrgðaraðili getur ekki sagt upp vinnslusamningi á meðan áskriftarsamningur er í gildi..
Við uppsögn áskriftarsamningsins skal ábyrgðaraðili upplýsa vinnsluaðila um hvaða persónugögn skal flytja til ábyrgðaraðila og hvaða persónugögnum skal eyða.
Þegar vinnsluaðili hefur afhent umbeðin persónugögn skal vinnsluaðili, þegar ábyrgðaraðili óskar þess, eyða öllum persónugögnum sem falla undir vinnslusamninginn. Vinnsluaðili skal útvega skriflega staðfestingu á eyðingunni.
13. Persónuverndarfulltrúi
Að því leyti sem lög og reglugerðir krefjast þess að vinnsluaðilinn hafi persónuverndarfulltrúa eða samsvarandi fulltrúa, skal nefna hann í persónuverndarstefnu Abler..
14. Tengiliðir
Tengiliður vinnsluaðila vegna vinnslusamningsins er privacycompliance@abler.io. Tengiliðir ábyrgðaraðila venga vinnslusamningsins eru þeir notendur sem eru skráðir sem stjórnendur félagsins í kerfinu, nema að félagið hafi tilkynnt skriflega um annan tengilið.
15. Breytingar
Abler áskilur sér rétt til að breyta þessum vinnsluskilmálum. Félagið skal upplýst um slíkar breytingar eins og á kveður um í áskriftarsamningum.