Vinnslusamningur

Eftirfarandi vinnslusamningur gildir frá og var síðast uppfærður 1. febrúar 2020.

Vinnslusamningur Taktikal

Viðskiptavinur Taktikal, hér eftir nefndur „ábyrgðaraðili“ og Taktikal ehf., kt. 540317-2080, með lögheimili að Borgartún 25, 105 Reykjavík, hér eftir nefndur „vinnsluaðili“ gera með sér svofelldan vinnslusamning, í samræmi 3. mgr. 25. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (lög um persónuvernd) sbr. 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016.

1. Skilgreiningar

Vinnsluaðili, Taktikal ehf., Borgartúni 25, 105 Reykjavík, kt. 540317-2080. Vinnsluaðili vinnur með persónuupplýsingar á vegum ábyrgðaraðila.
Ábyrgðaraðili, viðskiptavinur, einka- eða lögaðili sem er í beinu samningssambandi við vinnsluaðila sem kaupandi þjónustunnar. Ábyrgðaraðili ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga.
Persónuupplýsingar, upplýsingar um persónugreindan eða -greinanlegan einstakling („skráðan einstakling“).
Vinnsla, er aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, s.s. söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.

‍

2. Tilgangur samnings

Tilgangur þessa vinnslusamnings er að tilgreina þær skyldur sem vinnsluaðili sinnir f.h. ábyrgðaraðila, í tengslum við þá vinnslustarfsemi sem samningurinn tekur til, sjá nánar í kafla 3.

Samningsaðilar skulu bundnir af öllum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga hjá þeim og þá sérstaklega reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almennu persónuverndarreglugerðinni) sem kom til framkvæmda 25. maí 2018.

3. Lýsing á þeirri vinnslu sem samið er um að vinnsluaðili sinni

Vinnsluaðila er heimilt að vinna, f.h. ábyrgðaraðila, þær persónuupplýsingar sem eru honum nauðsynlegar til að veita eftirfarandi þjónustu: Auðkenningar, sendingar rafrænna beiðna í SMS eða tölvupósti, skjalagerð og rafrænar undirritanir á skjölum.

Tilgangur vinnslunnar er að halda utan um auðkenningar, skjalavinnslu og undirritanir skjala svo tryggt sé að undirritað skjal eða auðkenning skili sér til ábyrgðaraðila. Skjöl eru geymd í hámark 30 daga hjá vinnsluaðila eftir að undirritunum er lokið. Vinnsluaðili heldur aðgerðarskráningu í kerfum sínum yfir tímasetningar, netfang og síma undirritanda svo ábyrgðaraðili fylgst með og haft yfirsýn yfir notkun kerfisins. Ábyrgðaraðili getur farið fram á að bæði skjölum og aðgerðarskráningu sé eytt samstundis eftir að vinnslu er lokið hverju sinni og eru þá engar persónugreinanlegar upplýsingar í kerfum vinnsluaðila, þó er ekki hægt að eyða gögnunum úr afritum, en þau eyðast sjálfkrafa 35 dögum eftir eyðingu úr kerfum vinnsluaðila.

Vinnsluaðila er heimilt að vinna með eftirfarandi flokka af skráðum einstaklingum:

Umsækjendur um úrræði hjá ábyrgðaraðila
Starfsmenn ábyrgðaraðila
Starfsmenn viðskiptavina ábyrgðaraðila
Starfsmenn einkaaðila og opinberra aðila sem embættið er í samskiptum við

Vinnsluaðila er heimilt að vinna með eftirfarandi tegundir persónuupplýsinga:

Í tilfelli viðskiptavina ábyrgðaraðila (notenda): nafn, kennitala, heimilisfang, netfang og símanúmer auk annarra upplýsinga sem notandi lætur af hendi og nauðsynlegar eru í rafrænt undirritunarferli, hér undir geta fallið viðkvæmar persónuupplýsingar eftir ákvörðun ábyrgðaraðila hverju sinni.
Í tilfelli starfsmanna ábyrgðaraðila: nafn, kennitala, netfang og notkun á kerfum vinnsluaðila.

Til að vinnsluaðili geti veitt umbeðna þjónustu, skal ábyrgðaraðili veita vinnsluaðila eftirfarandi upplýsingar:

3.1. Vistun gagna

Gögn sem vistuð eru við vinnslu á undirritunarbeiðnum og í aðgerðaryfirliti.

Vinnsluaðili vinnur með upplýsingar um undirritunarbeiðnir, skjöl, símanúmer undirritanda, og grunnupplýsingar einka- eða lögaðila úr þjóðskrá frá því að undirritunarbeiðni skjals er send í kerfi Taktikal og þar til undirritunarferli er lokið eða að hámarki 30 daga eftir að undirritun eða vinnslu auðkenningar er lokið. 30 dögum eftir að viðskiptavinur hefur undirritað skjalið er skjalinu og persónuupplýsingunum því tengdu eytt.

Í aðgerðaryfirliti eru geymdar ópersónugreinanlegar upplýsingar um skráningar s.s. hakkagildi viðskiptavinar og tímastimpill auðkenningar, undirritunar og upplýsingar um vafra. Í aðgerðaryfirliti vinnsluaðila geta einnig verið geymd símanúmer, nafn og/eða kennitala undirritenda. Gögn í aðgerðaryfirliti ásamt skjölum eru einungis aðgengilegar ábyrgðaraðila.

Ábyrgðaraðili getur farið fram á við vinnsluaðila að öllum persónugreinanlegum upplýsingum í kerfinu sé eytt samstundis eða 12 mánuðum eftir að undirritunarferli er lokið. Skal slíkt þá sérstaklega tekið fram í sérskilmálum

4. Skyldur vinnsluaðila gagnvart ábyrgðaraðila

Vinnsluaðili skal:

Eingöngu vinna persónuupplýsingar í samræmi við tilgang vinnslunnar, skv. samningi þessum.
Eingöngu vinna persónuupplýsingar samkvæmt skriflegum fyrirmælum ábyrgðaraðila sem fylgja samningi þessum. Í þeim tilvikum þegar vinnsluaðili telur að fyrirmæli ábyrgðaraðila samrýmist ekki almennu persónuverndarreglugerðinni eða öðrum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga ber honum að tilkynna ábyrgðaraðilanum slíkt án tafar. Þá skal vinnsluaðili gera ábyrgðaraðila viðvart ef vinnsluaðila er skylt samkvæmt lögum að flytja persónuupplýsingar til þriðju landa eða alþjóðastofnana, nema lög banni að upplýst sé um slíkt.
Þrátt fyrir 1. tl. er vinnsluaðila þó heimilt að vinna persónuupplýsingar án fyrirmæla frá ábyrgðaraðila ef vinnsluaðila er það skylt á grundvelli ófrávíkjanlegra laga. Í slíkum tilvikum skal vinnsluaðili upplýsa ábyrgðaraðila um þessa lagaskyldu áður en vinnslan fer fram.
Tryggja trúnað um vinnslu þeirra persónuupplýsinga sem þessi samningur tekur til og tryggja að þeir starfsmenn sem hafi aðgang að persónuupplýsingum í tengslum við framkvæmd samningsins hafi undirritað trúnaðaryfirlýsingu eða séu bundnir þagnarskyldu samkvæmt lögum. Þagnarskylda starfsmanna vinnsluaðila skal haldast eftir lok ráðningarsambands þeirra við vinnsluaðila.
Tryggja að þeir starfsmenn sem hafi aðgang að persónuupplýsingum hafi fengið viðeigandi þjálfun og fræðslu í tengslum við vinnslu persónuupplýsinga og að starfsmenn séu meðvitaðir um skyldur bæði ábyrgðaraðila og vinnsluaðila skv. gildandi persónuverndarlögum.
Gæta þess að vörur, forrit og þjónusta séu hönnuð með innbyggða og persónuvernd að leiðarljósi

‍

5. Notkun á undirvinnsluaðila

Vinnsluaðila er heimilt að semja við annan aðila („undirvinnsluaðila“) um að framkvæma tilteknar vinnsluaðgerðir. Áður en ætlaðar breytingar taka gildi, bæði þegar bætt er við undirvinnsluaðila og þegar gerðar eru breytingar á þeim undirvinnsluaðilum sem þegar eru notaðir, eða þegar um að ræða viðbætur eða breytingu á gildandi fyrirkomulagi vinnsluaðgerða, skal vinnsluaðili upplýsa ábyrgðaraðila skriflega um breytingarnar. Þar skal sérstaklega taka fram hvaða vinnsluaðgerðir undirvinnsluaðilinn hyggst taka að sér, nafn og samskiptaupplýsingar undirvinnsluaðilans ásamt dagsetningu samnings. Ábyrgðaraðili hefur aðgang að lista yfir undirvinnsluaðila hverju sinni sem viðauka við þennan gagnavinnslusamning.

Vinnsluaðili skal gera samninga við undirvinnsluaðila í samræmi við ákvæði laga nr. 90/2018 og persónuverndarreglugerðina.

Ábyrgðaraðili hefur einn mánuð frá þeim degi sem hann móttekur upplýsingar um breytingu á notkun á undirvinnsluaðila til að andmæla því. Notkun á nýjum undirvinnsluaðila er eingöngu heimil þegar ábyrgðaraðili hefur ekki andmælt því innan tímamarkanna.

6. Skyldur aðila vegna réttinda skráðra einstaklinga

Ábyrgðaraðili ber ábyrgð á því að veita hinum skráðu upplýsingar (fræðslu) um vinnslustarfsemina fyrir eða um leið og vinnsla hefst, í samræmi við ákvæði almennu persónuverndarreglugerðarinnar um upplýsingar sem ber að veita hinum skráða, sbr. m.a. 13. og 14. gr. hennar.

Að því marki sem hægt er ber vinnsluaðila að aðstoða ábyrgðaraðila við að sinna þeirri skyldu sinni að bregðast við erindum skráðra einstaklinga vegna réttinda þeirra, svo sem vegna aðgangsréttar, réttar til leiðréttingar og eyðingar upplýsinga og til að andmæla vinnslu eða takmarka hana, flutningsréttar og réttar til að þurfa ekki að sæta sjálfvirkri ákvarðanatöku, þ.m.t. notkun persónusniða.

Þegar hinn skráði leggur fram beiðni um að neyta réttinda sinna hjá vinnsluaðila skal vinnsluaðilinn áframsenda slíka beiðni án tafar til ábyrgðaraðila. Beiðnir til vinnsluaðila ber að senda skriflega á þjónustuver vinnsluaðila á netfangið privacy@taktikal.com með beiðni um staðfestingu á móttöku beiðninnar.

7. Öryggisráðstafanir

Vinnsluaðili skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja öryggi þeirra persónuupplýsinga sem hann vinnur með fyrir hönd ábyrgðaraðila. Við mat á viðeigandi öryggisráðstöfunum skal tekið mið af kostnaði við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu.

Vinnsluaðili skal innleiða eftirfarandi öryggisráðstafanir:

Innleiðingu tæknilegra og skipulagslegra ráðstafana sem ætlað er að tryggja viðvarandi trúnað, uppitíma, rekstraröryggi og álagsþol vinnslukerfa og þjónustu
Stýringu aðgengis einstaklinga að starfstöð okkar og öryggisvörslu.
Stýringu aðgengis starfsmanna og annarra að kerfum sem hafa að geyma persónuupplýsingar.
Tryggja að undirvinnsluaðilar okkar sem hafa aðgang að persónuupplýsingum skráðra einstaklinga, hafi gert viðeigandi verndarráðstafanir til að tryggja öryggi persónuupplýsinga.
Dulkóðun persónuupplýsinga skráðra einstaklinga.
Hafa verkferli fyrir reglubundnar prófanir og mat á virkni hinna tæknilegu og skipulagslegu ráðstafana sem gerðar hafa verið til að tryggja öryggi vinnslunnar

‍

Þegar öryggi er metið skal hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Vinnsluaðili skal ávallt upplýsa ábyrgðaraðila hvar persónuupplýsingar eru hýstar. Alfarið er óheimilt að flytja persónuupplýsingar utan Evrópska efnahagssvæðisins nema á grundvelli fyrirmæla þar um. Vinnsluaðili hefur innleitt öryggisráðstafanir í samræmi við ISO 27001 við hýsingu gagna hjá vinnsluaðila og eru öll gögn vinnsluaðila hýst í ISO/IEC 27001 vottuðu umhverfi í Microsoft Azure skýi á Írlandi.

8. Tilkynning vegna öryggisbrots

Vinnsluaðili skal tilkynna ábyrgðaraðila um hvers konar öryggisbrot eigi síðar en 24 klukkustundum eftir að hann verður var við brotið. Með tilkynningunni skulu fylgja hver þau skjöl eða gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tilkynnt um brotið til viðeigandi eftirlitsstofnunar (Persónuverndar) eða til skráðra einstaklinga, ef við á að mati ábyrgðaraðila. Upplýsingar sem sendar eru ábyrgðaraðila skulu innihalda:

Eðli öryggisbrotsins, þ.m.t., þegar það á við, flokkum og gróflega áætluðum fjölda þeirra einstaklinga sem verða fyrir áhrifum af brotinu og flokkum og magni þeirra gagna (e. Records) sem um ræðir.
Afleiðingar, hverjar séu líklegar afleiðingar öryggisbrotsins.
Aðgerðir, til hvaða aðgerða hafi verið gripið eða lagt til að gripið verði til til að bregðast við brotinu, þ.m.t., þar sem það á við, aðgerða til að draga úr áhrifum brotsins á einstaklinga.
Aðgerðir einstaklinga, til hvaða aðgerða einstaklingarnir geti gripið til að lágmarka tjón sitt.

‍

9. Aðgangur að upplýsingum og aðstoð við reglufylgni

Vinnsluaðili skal útvega ábyrgðaraðila öll nauðsynleg skjöl til að hann geti sýnt fram á reglufylgni og til að úttektaraðili, sbr. 3. Mgr., geti framkvæmt úttektir, þ.m.t. skoðanir, og veita aðstoð við slíkar úttektir.

Vinnsluaðili skal veita ábyrgðaraðila aðgang að öllum upplýsingum sem eru nauðsynlegar til þess að sýna fram á að skyldum samkvæmt persónuverndarlögum eða almennu persónuverndarreglugerðinni hafi verið fylgt eftir.

Vinnsluaðili skal gefa ábyrgðaraðila kost á að framkvæma, eða fela þriðja aðila að framkvæmda fyrir sína hönd, úttektir á vinnslu vinnsluaðila á persónuupplýsingum og veita ábyrgðaraðila aðstoð við slíkar úttektir. Úttektaraðili skal undirgangast trúnaðar- og þagnarskyldu gagnvart vinnsluaðila áður en til slíkrar úttektar kemur. Ábyrgðaraðili skal standa straum af öllum kostnaði vegna úttektar og tryggja að vinnsluaðili verði ekki fyrir kostnaði vegna hennar.

Vinnsluaðili skal aðstoða ábyrgðaraðila við að framkvæma mat á áhrifum á persónuvernd ef ábyrgðaraðili telur þörf á slíku mati. Vinnsluaðili skal einnig aðstoða ábyrgðaraðila við að uppfylla ákvæði reglugerðarinnar um fyrirframsamráð við eftirlitsyfirvaldið (Persónuvernd).

Vinnsluaðili skal halda skrá yfir vinnslustarfsemi sem fram fer fyrir ábyrgðaraðila. Í henni skal koma fram eftirfarandi:

heiti og samskiptaupplýsingar vinnsluaðila, eins eða fleiri, og sérhvers ábyrgðaraðila sem vinnsluaðilinn starfar í umboði fyrir,
flokkar vinnslu sem fram fer fyrir hönd hvers ábyrgðaraðila,
ef við á, miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar, þ.m.t. um hvaða þriðja land eða alþjóðastofnun er að ræða, og, ef um er að ræða miðlun sem um getur í annarri undirgrein 1. mgr. 49. gr., gögn um viðeigandi verndarráðstafanir,
ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 1. mgr. 32. gr.

10. Skyldur ábyrgðaraðila gagnvart vinnsluaðila

Ábyrgðaraðili skal:

Afhenda vinnsluaðila þau gögn sem nefnd eru í 3. gr. samningsins.
Skrá skriflega öll fyrirmæli varðandi vinnsluna sem beint er að vinnsluaðila.
Tryggja, fyrir og á meðan á vinnslu stendur, að hann starfi í samræmi við þær kröfur sem gerðar eru til hans samkvæmt almennu persónuverndarreglugerðinni.
Hafa yfirumsjón með vinnslunni, þ.m.t. með því að framkvæma úttektir og skoðanir hjá vinnsluaðilanum.

‍

11. Gildistími samnings

Samningur þessi tekur gildi þegar ábyrgðaraðili samþykkir þjónustuskilmála vinnsluaðila við skráningu að þjónustunni og undirritun sérskilmála og gildir á meðan ábyrgðaraðili nýtir sér þjónustu vinnsluaðila með einhverjum hætti.

12. Hvað verður um persónuupplýsingar við lok samnings

Þegar gildistíma þessa samnings er lokið skal vinnsluaðili, í samráði við ábyrgðaraðila, eyða eða skila til ábyrgðaraðila, öllum persónuupplýsingum sem hann hefur undir höndum eða aðgang að, að undanskildum afritum, sem eyðast sjálfkrafa 35 dögum síðar. Þetta gildir nema þess sé krafist í lögum að vinnsluaðili varðveiti upplýsingarnar.

13. Persónuverndarfulltrúi

Vinnsluaðili skal senda ábyrgðaraðila upplýsingar um nafn og samskiptaupplýsingar persónuverndarfulltrúa síns, ef hann hefur verið tilnefndur, sbr. 37. gr. reglugerðarinnar.

‍

11.000+

Stuðningur við skilríki gefin út af stjórnvöldum

3 mínútur

Stytting afgreiðslutíma allt frá 2 dögum í þrjár mínútur

98%

Hraðari auðkenning og móttaka nýrra viðskiptavina

Tölum saman um verkferlana þína

Smelltu inn upplýsingunum þínum og við svörum þér innan skamms.
Tölum um hvernig lausnirnar okkar geta mætt þínum þörfum.

Successfully submitted!

Thank you for your interest in our solutions. We will get right back to you regarding your inquiry.

With best regards,

Valur Thor Gunnarsson

CEO & Co-founder

Oops! Something went wrong while submitting the form.

Einnig má senda okkur tölvupóst á hallo@taktikal.is

Fyrirspurnir vegna reikninga skal senda á billing@taktikal.is