ElvoElvo
InnskráPrófa frítt

Vinnslusamningur

Elvo og ábyrgðaraðili hafa undirgengist þjónustusamning sem kveður á um að Elvo muni bæði geyma og vinna með persónuupplýsingar sem vinnsluaðili fyrir hönd ábyrgðaraðila. Samningsaðilar hafa því samhliða undirgengist vinnslusamning samkvæmt eftirfarandi skilmálum:

Upplýsingagjöf

Elvo skal hafa persónuverndarstefnu sína opinbera og aðgengilega á gildistíma samningsins. Persónuverndarstefnan er hýst á slóðinni elvo.is/personuvernd. Stefnan skal vera aðgengileg á forsíðu vefsíðu Elvo svo viðskiptavini og stjórnendur ábyrgðaraðila geti nálgast þar upplýsingar um vinnsluna og réttindi sín hvað hana varðar.

Gagnavinnsla

  1. Elvo má einungis vinna með persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, þ.m.t. ákvæðum í viðauka sem fylgir með skilmálum þessum (Viðauki I).
  2. Sé Elvo það heimilt að lögum skal félagið tilkynna ábyrgðaraðila samstundis ef Elvo getur ekki uppfyllt skyldur sínar samkvæmt vinnslusamningi þessum, eða ef Elvo telur að fyrirmæli frá ábyrgðaraðila fari gegn lögum eða reglugerðum um persónuvernd.
  3. Elvo ber ábyrgð á gagnavinnslu sem vinnsluaðili og skal tryggja að slík vinnsla uppfylli lög og reglugerðir um persónuvernd.
  4. Flutningur persónuupplýsinga út fyrir EES-svæðið skal vera háður fyrirfram skriflegu samþykki ábyrgðaraðila. Elvo skal tryggja að slíkur flutningur uppfylli ákvæði persónuverndarlaga með því að fullnægja fyrir alla slíka gagnavinnslu a.m.k. öðru hvoru af eftirfarandi skilyrðum: (i) Flutningur sé til ríkis sem framkvæmdastjórn Evrópusambandsins hefur viðurkennt að verji persónuupplýsingar með fullnægjandi hætti (e. Adequacy Decision) (ii) Ef gögn eru flutt til ríkis sem Evrópusambandið hefur ekki viðurkennt um skal Elvo gera tilhlýðandi varúðarráðstafanir (e. Appropriate Safeguards)

Trúnaður

Elvo skal tryggja að viðskiptavini þess og allir aðrir aðilar sem Elvo vinnur með hafi tilskilin leyfi til að vinna með persónuupplýsingar og hafi skuldbundið sig til að virða trúnað samkvæmt ákvæðum laga og reglugerða um persónuvernd.

Öryggi

Elvo skal gera allar nauðsynlegar öryggisráðstafanir samhliða gagnavinnslu eins og tilskilið er samkvæmt lögum og reglugerðum um persónuvernd. Gögn skulu meðal annars geymd dulkóðuð og öll samskipti inn og út af vefþjónum Elvo skulu jafnframt vera dulkóðuð. Nánari upplýsingar um þær ráðstafanir sem Elvo hefur gert til að tryggja öryggi gagna eru aðgengilegar á elvo.is/gagnaoryggi.

Aðstoð

Elvo skal aðstoða ábyrgðaraðila við að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættu af vinnslunni, eins og mögulegt er, að tilkynna um öryggisbrest við meðferð persónuupplýsinga, að framkvæma mat á áhrifum á persónuvernd, að leita fyrirframsamráðs Persónuverndar og við að uppfylla þá skyldu sína að svara beiðnum um að eigendur persónuupplýsinga fái neytt réttar síns samkvæmt tilsvarandi ákvæðum í lögum og reglugerðum um persónuvernd. Elvo hefur rétt á hæfilegum fresti til undirbúnings og ábyrgðaraðili skal greiða Elvo fyrir þann kostnað sem af slíkri aðstoð hlýst.

Gagnsæi

Elvo skal veita ábyrgðaraðila aðgang að öllum upplýsingum sem eru nauðsynlegar ábyrgðaraðila til að staðfesta að skyldur hans samkvæmt vinnslusamningi þessum og lögum og reglugerðum um persónuupplýsingar séu uppfylltar. Elvo skal einnig aðstoða við skoðanir og greiningar sem ábyrgðaraðili stendur fyrir, eða þriðji aðili sem hefur leyfi ábyrgðaraðila og hefur undirgengist trúnaðarskyldu. Elvo hefur rétt á hæfilegum fresti til undirbúnings ef til skoðunar eða greiningar kemur og ábyrgðaraðili skal greiða Elvo fyrir þann kostnað sem af slíkri skoðun eða greiningu hlýst.

Undirvinnsluaðilar

  1. Elvo er heimilt að nota undirvinnsluaðila (e. subprocessors) til að sinna skyldum sínum samkvæmt þjónustusamningi og vinnslusamningi þessum. Elvo skal tilkynna ábyrgðaraðila skriflega ef það hyggst skipta um undirvinnsluaðila með a.m.k. tíu daga fyrirvara. Ábyrgðaraðili hefur rétt til að hafna slíkri skiptingu ef hann telur að nýr undirvinnsluaðili uppfylli ekki þær skyldur sem kveðið er á um í lögum og reglugerðum um persónuvernd.
  2. Elvo ber ábyrgð á allri vinnslu undirvinnsluaðila á persónuupplýsingum og skulu sömu skyldur leggjast á hann varðandi persónuvernd og lagðar eru á Elvo samkvæmt samningi þessum, lögum og öðrum réttarreglum.

Gagnaleki

Elvo skal tilkynna ábyrgðaraðila án tafar ef öryggi eða trúnaði um persónuupplýsingar er ógnað. Elvo skal greina ábyrgðaraðila frá þeim upplýsingum sem liggja fyrir um slíka ógn, til dæmis hvers eðlis ógnin er, hverjar líklegar afleiðingar hennar eru, og lýsingu á aðgerðum sem hafa verið teknar til að vinna gegn tjóni sem hlýst af henni og koma í veg fyrir að hún endurtaki sig.

Ábyrgð

Sektir frá opinberum aðilum samkvæmt lögum og reglugerðum um persónuvernd skulu greiddar af þeim aðila sem sektin var lögð á.

Meðferð gagna við uppsögn

  1. Þegar þjónustusamningur fellur úr gildi skal Elvo skila öllum persónuupplýsingum til ábyrgðaraðila óski hann þess, eða ellegar eyða öllum persónuupplýsingum sem tilheyra ábyrgðaraðila.
  2. Gögnum viðskiptavina er eytt þegar þjónustusamningur fellur úr gildi til að tryggja öryggi og persónuvernd. Elvo geymir gögn á meðan þjónustusamningur þessi er í gildi til að veita þjónustu samkvæmt samningi. Það er ávallt gert með viðeigandi öryggisráðstöfunum þannig að trúnaður sé tryggður.

Breytingar á skilmálum

  1. Elvo áskilur sér rétt til að breyta skilmálum þessum en skal þó tilkynna um það með a.m.k. 15 daga fyrirvara. Elvo skal tilkynna verkkaupa um breytingar á skilmálunum með tölvupósti og með því að gera nýju skilmálana aðgengilega á elvo.is/vinnslusamningur.
  2. Hafni verkkaupi ekki breytingu á skilmálunum innan 15 daga frá því að hann fékk um það tilkynningu með tölvupósti samþykkir verkkaupi hina breyttu skilmála. Hafni verkkaupi hinum breyttu skilmálum innan framangreinds tímabils telst sú höfnum jafngilda uppsögn á samningnum samkvæmt fyrrnefndum ákvæðum og gilda á uppsagnartímabili þeir skilmálar sem síðast voru í gildi milli aðila með samþykki beggja.

Viðauki I

Nánari lýsing á vinnslu persónuupplýsinga

I.A   Almenn lýsing

Elvo og ábyrgðaraðili hafa undirgengist þjónustusamning þar sem persónuupplýsingar um viðskiptavini ábyrgðaraðila eru geymdar og unnið verður með þær. Elvo mun við uppfyllingu þjónustusamningsins vinna með persónuupplýsingar fyrir hönd ábyrgðaraðila.

I.B   Tilgangur

Tilgangur vinnslunnar er að geyma og leyfa ábyrgðaraðila að vinna með persónuupplýsingar viðskiptavinis til að kanna þjónustu þeirra og áhrifaþætti hennar. Elvo gerir ábyrgðaraðila kleift að vinna með upplýsingarnar á öruggan hátt og í samræmi við skilmála laga og reglugerða um persónuvernd.

I.C   Tegundir persónuupplýsinga

Þær tegundir persónuupplýsinga sem unnið er með eru ákveðnar af ábyrgðaraðila og eru breytilegar eftir því hvaða þjónustuþætti Elvo ábyrgðaraðili notar. Sem dæmi um upplýsingar sem unnið er með má nefna kennitölur, nöfn, netföng, símanúmer, kyn og starfsaldur viðskiptavinis ábyrgðaraðila. Þá geymir Elvo og vinnur með svör viðskiptavinis við spurningum um þjónustu og tengda þætti.

I.D   Eigendur persónuupplýsinga

Eigendur persónuupplýsinganna er viðskiptavini og stjórnendur ábyrgðaraðila.

I.E   Tímabil

Vinnslan mun eiga sér stað á meðan þjónustusamningurinn er í gildi.

I.F   Eyðing/skil persónuupplýsinga

Þegar þjónustusamningur fellur úr gildi skal Elvo samstundis hætta vinnslu allra persónuupplýsinga sem tilheyra ábyrgðaraðila. Þá skal Elvo, samkvæmt óskum ábyrgðaraðila: (i) skila öllum persónuupplýsingum til ábyrgðaraðila; eða (ii) eyða varanlega öllum persónuupplýsingum. Svörum starfsmanna við spurningum er þó alltaf eytt og aldrei skilað til ábyrgðaraðila til að tryggja viðskiptavinii nafnleynd. Skil eða eyðing skal eiga sér stað í síðasta lagi 30 dögum eftir að þjónustusamningur fellur úr gildi.

I.G Undirvinnsluaðilar

Öll gögn eru vistuð í gagnaver í Frankfurt, Þýskalandi.

Undirvinnsluaðilar:

  • Vercel (hýsing)
  • AWS (gagnageymsla)
  • Postmark (tölvupóstsending)