Vefverslun
Search
OK Logo
Search
Close this search box.

Vinnslusamningur

Einstaklingur eða fyrirtæki sem undirritar samning með staðfestu á Íslandi, hér eftir nefndur ábyrgðaraðili og Opin Kerfi kt. 420103-2040, með staðfestu á Íslandi, hér eftir nefndur vinnsluaðili gera með sér svohljóðandi vinnslusamning í samræmi við 25. gr. laga 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndar-reglugerðin):  

I. Tilgangur samnings 

Tilgangur þessara samningsákvæða er að er að tilgreina skyldur sem vinnsluaðili sinnir, f.h. ábyrgðaraðila, í tengslum við þá vinnslustarfsemi sem samningurinn tekur til, sjá nánar í kafla II, einkum með það að markmiði að tryggja örugga meðferð persónuupplýsinga.  

Samningsaðilar skulu bundnir af öllum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga hjá þeim og þá sérstaklega lögum nr. 90/2018, sbr. reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679.  

II. Lýsing á umsaminni vinnslu 

Vinnsluaðili sinnir sérfræðiþjónustu vegna upplýsingatæknireksturs sem ábyrgðaraðili biður hann um að sinna hverju sinni.  

Vinnsluaðila er því heimilt að vinna, f.h. ábyrgðaraðila, þær persónuupplýsingar sem honum eru nauðsynlegar til að veita framangreinda þjónustu. Tilgangur starfseminnar er að koma á fót traustu upplýsingaöryggiskerfi þannig að gögn og upplýsingar séu aðgengilegar þeim sem á þurfa að halda ásamt því að leynd þeirra sé tryggð.  

Vinnsluaðila er heimilt að vinna með gögn og forrit sem innihalda persónuupplýsingar um eftirfarandi flokka skráðra aðila og tegundir persónuupplýsinga fyrir hönd ábyrgðaraðila:  

Starfsmenn  

  1. Almennar starfsmannaupplýsingar, tengiliðaupplýsingar  
  2. Lykilorð og notendanöfn  
  3. IP tölur  
  4. Aðgerðaskrár og aðrar upplýsingar sem nauðsynlegar eru til að veita ábyrgðaraðila upplýsingatækniþjónustu.  

Viðskiptavinir  

  1. Tengiliðaupplýsingar, þ.m.t. nafn, netfang og símanúmer  
  2. Kennitala  
  3. Viðkvæmar persónuupplýsingar eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018.  
  4. Upplýsingar um refsiverða háttsemi. 

Tengiliðir stofnana og fyrirtækja  

  1. Tengiliðaupplýsingar undirritað ráðningarsamning, trúnaðaryfirlýsingu eða séu bundnir þagnarskyldu samkvæmt lögum, og  
  2. fái viðeigandi þjálfun í meðferð og vernd persónuupplýsinga. 

Tilgangur og eðli vinnslu  

Tilgangur vinnslunnar er almenn upplýsingatækniþjónusta. Vinnsluaðila er óheimilt að nýta upplýsingar á annan hátt en að veita ábyrgðaraðila upplýsingatækniþjónustu. Eðli vinnslustarfseminnar sem hér um ræðir er almenn upplýsingatækniþjónusta og –rekstur.  

III. Skyldur vinnsluaðila gagnvart ábyrgðaraðila  

Vinnsluaðili hefur eftirfarandi skyldur gagnvart ábyrgðaraðila:  

  1. Vinnsluaðili skal gera ráðstafanir til að tryggja að starfsmenn hans, og aðrir sem hafa aðgang að persónuupplýsingum, vinni upplýsingarnar eingöngu í samræmi við fyrirmæli ábyrgðaraðila og tilgang vinnslunnar skv. samningi þessum. 
  2. Í þeim tilvikum þegar vinnsluaðili telur að fyrirmæli ábyrgðaraðila samrýmist ekki lögum nr. 90/2018, almennu persónuverndarreglugerðinni eða öðrum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga ber honum að tilkynna ábyrgðaraðilanum slíkt án tafar. 
  3. Vinnsluaðili skal tryggja að þeir starfsmenn sem hafa aðgang að persónuupplýsingum í tengslum við framkvæmd samningsins hafi: 
  4. Vinnsluaðili skal tryggja trúnað um vinnslu þeirra persónuupplýsinga sem þessi samningur tekur til. Aðgang að trúnaðarupplýsingum, m.a. persónuupplýsingum, skal ávallt veita tilgreindum starfsmönnum vinnsluaðila, ef mögulegt er. Óheimilt er að deila slíkum aðgangi með öðrum. Ef eðli þjónustunnar krefst þess að trúnaðarupplýsingum sé deilt með fleiri starfsmönnum skal vinnsluaðili á óyggjandi hátt tryggja að þeir starfsmenn hafi einnig viðeigandi heimild ábyrgðaraðila. 
  5. Vinnsluaðili skal gæta þess að vinnulag, varðandi tæki og tól, vörur, forrit, gögn og þjónustu sem hann ber ábyrgð á og eru notuð til að veita ábyrgðaraðila umsamda þjónustu, sé staðlað til að mæta kröfum um rétta meðhöndlun persónuupplýsinga. 
  6. Þegar vinnsluaðili ætlar að nýta sér þjónustu undirvinnsluaðila, þá er honum skylt að afla sérstaks, skriflegs samþykkis frá ábyrgðaraðila, áður en gengið er til samninga við undirvinnsluaðilann. Taka skal fram hvaða vinnsluaðgerðir undirvinnsluaðilinn hyggst taka að sér, nafn og samskiptaupplýsingar undirvinnsluaðilans ásamt dagsetningu samnings. Samningurinn skal vera aðgengilegur ábyrgðaraðila þegar hann óskar eftir honum. 
  7. Ábyrgðaraðili ber ábyrgð á því að veita hinum skráðu upplýsingar (fræðslu) um vinnslustarfsemina fyrir eða um leið og vinnsla hefst, í samræmi við ákvæði laga nr. 90/2018 og almennu persónuverndarreglugerðarinnar um upplýsingar sem ber að veita hinum skráða, sbr. m.a. 13. og 14. gr. hennar. 
  8. Að því marki sem hægt er ber vinnsluaðila að aðstoða ábyrgðaraðila við að sinna þeirri skyldu sinni að bregðast við erindum skráðra einstaklinga vegna réttinda þeirra, svo sem vegna: 
  • aðgangsréttar, 
    réttar til leiðréttingar og eyðingar upplýsing, 
  • til að andmæla vinnslu eða takmarka hana,  
  • flutningsréttar, og  réttar til að þurfa ekki að sæta sjálfvirkri ákvarðanatöku, þ.m.t. notkun persónusniða.  
  1. Vinnsluaðili skal gera ábyrgðaraðila viðvart ef vinnsluaðila er skylt samkvæmt lögum að flytja persónupplýsingar til þriðju landa (það er utan ESS-Svæðisins) eða alþjóðastofnana, nema lög banni að upplýst sé um slíkt. 

Ef hinn skráði leggur fram beiðni um að neyta réttinda sinna hjá vinnsluaðila skal vinnsluaðilinn áframsenda slíka beiðni án tafar á uppgefin póstföng ábyrgðaraðila.  

  1. Vinnsluaðili skal tilkynna ábyrgðaraðila með tölvupóst á uppgefin póstföng, og ef þörf þykir símtali eða öðrum sannanlegum leiðum, ef um hvers konar öryggisbrest á persónuupplýsingum er að ræða. Tilkynning þessi skal berast eigi síðar en 12 klukkustundum eftir að vart verður við brotið, sé það mögulegt. Ef tilkynning berst síðar skal einnig gerð grein fyrir ástæðum tafanna. Með tilkynningunni skulu fylgja hver þau skjöl eða gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tekið ákvörðun um ráðstafanir. 
  2. Vinnsluaðili skal aðstoða ábyrgðaraðila við að framkvæma mat á áhrifum á persónuvernd með því að útvega nauðsynlegar upplýsingar. Vinnsluaðili skal senda ábyrgðaraðila upplýsingar um nafn og samskiptaupplýsingar persónuverndarfulltrúa síns. 
  3. Vinnsluaðili skal tryggja að öll gögn í sinni umsjá séu varin gegn þjófnaði, óheimilli opinberun og óheimilli breytingu. Í þeim tilgangi skal vinnsluaðili grípa til þeirra öryggisráðstafana sem við eiga hverju sinni, skv. nánari fyrirmælum í viðauka um upplýsingaöryggi sem fylgir með samningi þessum, s.s.: 
  • Vinna eftir og viðhalda ISO 27001 upplýsingaöryggisvottun, þ.m.t. að viðhalda skjalfestri öryggisstefnu, uppfæra áhættumat reglulega og gera viðeigandi öryggisráðstafanir.  
  • Fræða starfsfólk um meðferð persónuupplýsinga.  
  • Hafa reglur um meðferð persónuupplýsinga.  
  • Framkvæma bakgrunnsathugun á starfsmönnum.  
  • Hafa verkferla um tilkynningu öryggisbrota.  
  • Stýra aðgangi að húsnæði sínu með úthlutun lykla, aðgangskorta o.þ.h.,  
  • Varðveita gögn, sem ekki eru rafræn og innihalda persónuupplýsingar frá ábyrgðaraðila, á öruggum stað, þar sem óviðkomandi aðilar haf ekki aðgang.  
  • Stýra aðgangi að búnaði með úthlutun aðgangs- og lykilorða og gera skýrar kröfur til setningu lykilorða,  
  • Eftir því sem við á dulkóða persónuupplýsingar og nota gerviauðkenni,  
  • Nota eldveggi og vírusvarnir.  
  • Vinnsluaðili skal vinna eftir formlegu ferli við vöktun og uppsetningu á öryggisuppfærslum fyrir lykilhugbúnað, öll stýrikerfi og netbúnað. Vinnsluaðili skal setja inn mikilvægar (e. critical) öryggisuppfærslur án ónauðsynlegra tafa eftir að þær hafa verið gefnar út. Aðrar öryggisuppfærslur skulu settar upp innan 90 daga frá því að þær eru gefnar út.  

 

  1. Þegar þjónustu lýkur samþykkir vinnsluaðili að fá tilmæli frá ábyrgðaraðila og; 
  • – skila öllum persónugreinanlegum upplýsingum til ábyrgðaraðila, og/eða  
  • – eyða öllum persónugreinanlegum upplýsingum, og /eða  
  • – skila öllum persónugreinanlegum upplýsingum til annars vinnsluaðila.  

 

Þegar upplýsingum er skilað þarf einnig að eyða afritum af persónugreinanlegum upplýsingum sem finna má í kerfum vinnsluaðila ef slíkt er tæknilega mögulegt. Þegar upplýsingum hefur verið eytt skal vinnsluaðili sýna fram á það skriflega.  

  1. Vinnsluaðili skal halda skrá yfir alla vinnslustarfsemi sem fram fer fyrir ábyrgðaraðila. Í henni skal koma fram eftirfarandi: 
  • – heiti og samskiptaupplýsingar vinnsluaðila, eins eða fleiri, og sérhvers ábyrgðaraðila sem vinnsluaðilinn starfar í umboði fyrir og, eftir atvikum, fulltrúa ábyrgðaraðila eða vinnsluaðila og persónuverndarfulltrúa,  
  • – flokkar vinnslu sem fram fer fyrir hönd hvers ábyrgðaraðila,  
  • – ef mögulegt er, almenn lýsing á tæknilegum og skipulagslegum öryggisráðstöfunum.  
  • – ef við á, miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar, þar með talið upplýsingar um hvaða þriðja land eða alþjóðastofnun er að ræða.  

 

  1. Vinnsluaðili skal útvega ábyrgðaraðila öll nauðsynleg skjöl til að hann geti sýnt fram á reglufylgni og til að ábyrgðaraðili eða úttektaraðili geti framkvæmt úttektir, þ.m.t. skoðanir, og veita aðstoð við slíkar úttektir.  

IV. Skyldur ábyrgðaraðila gagnvart vinnsluaðila

Ábyrgðaraðili skal:  

  1. Ábyrgjast að hann hafi rétt til að vinna persónuupplýsingarnar, þær séu unnar í samræmi við lög og að ábyrgðaraðili hafi rétt til að fela vinnsluaðila að vinna með þær.  
  1. Ábyrgðaraðili útvegar, eftir þörfum, nefndum starfsmönnum vinnsluaðila auðkenni inn í kerfin sín til að vinnsluaðili geti sinnt samningsbundnum skyldum sínum.  
  1. Hafa yfirumsjón með vinnslunni, m.a. með því að framkvæma úttektir og skoðanir hjá vinnsluaðilanum.  
  1. Skrá skriflega öll fyrirmæli varðandi vinnsluna sem beint er að vinnsluaðila.  
  1. Halda utan um aðgang vinnsluaðila inn í kerfi.  

V. Uppgefin póstföng samningsaðila

Ábyrgðaraðili: netfang ábyrgðaraðila 

Vinnsluaðili: personuvernd@ok.is; hjalp@ok.is  

VI. Gildistími o.fl. 

Samningur þessi öðlast gildi við undirritun. Samningurinn gildir meðan vinnsluaðili veitir ábyrgðaraðila þjónustu. Trúnaðarskylda helst þó samningur þessi falli úr gildi.  

Samningaðilar hafa kynnt sér persónuverndar stefnu OK: https://www.ok.is/medferd-personuupplysinga/  –

Vefverslun
vefpostur