EFNI OG GILDISSVIÐ

1.1                 Þessir skilmálar („skilmálar“) gilda um vinnslu persónuupplýsinga af hálfu Origo hf., kt. 530292-2079, Borgartúni 37, 105 Reykjavík („vinnsluaðili“ eða „Origo“) í tengslum við hverja þá þjónustu sem veitt er viðskiptavin („ábyrgðaraðili“), þar sem Origo kemur fram sem vinnsluaðili. Nánari lýsingu á vinnslu þeirri sem Origo kann að hafa með höndum má finna í vinnslulýsingu Origo sem vísað kann að vera til í þjónustusamningi aðila og/eða sem fylgir skilmálum þessum („vinnslulýsing Origo“).

1.2                 Tilvísun til persónuverndarlaga skal í skilmálum þessum taka til persónuverndarlaga nr. 90/2018 og reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB sem kom til framkvæmda 25. maí 2018 („persónuverndarreglugerðin“).

1.3                 Hugtökin „ábyrgðaraðili“, „persónuupplýsingar“, „skráður einstaklingur“, „vinnsla“, „vinnsluaðili“ og „öryggisbrestur“ skulu hafa sömu merkingu og þeim eru gefin í persónuverndarlögum.                        

1.4                 Í vinnslulýsingu Origo er að finna tilgreiningu á þeirri þjónustu þar sem vinnsluaðili kann að vinna persónuupplýsingar fyrir hönd ábyrgðaraðila. Í tengslum við hverja þjónustu er jafnframt að finna frekari lýsingu á eðli og tilgangi vinnslu ásamt lýsingu á flokkum persónuupplýsinga og flokkum skráðra einstaklinga sem vinnsluaðili kann að vinna upplýsingar um. Einungis lýsingar á þeim þjónustum sem ábyrgðaraðili kaupir af vinnsluaðila hverju sinni eiga við í samningssambandi ábyrgðaraðila og vinnsluaðila.

1.5                 Skilmálar þessir ná til allrar vinnslu á persónuupplýsingum af hálfu vinnsluaðila við veitingu á þeirri þjónustu sem vinnsluaðili veitir ábyrgðaraðila hverju sinni. Hafi aðilar gert með sér sérstakan vinnslusamning fyrir gildistöku skilmálanna skal sá samningur þó halda gildi sínu, nema samið sé um annað.

1.6                 Tilvísun í skilmála þessa í þjónustusamningi sem aðilar gera sín á milli skal fela í sér samþykki á skilmálunum og það sama á við ef ábyrgðaraðili byrjar að nota eina eða fleiri af þeim þjónustum sem tilgreindar eru í vinnslulýsingu Origo og fela í sér vinnslu vinnsluaðila á persónuupplýsingum fyrir hönd ábyrgðaraðila.

2.                    SKYLDUR AÐILA

2.1                 Ábyrgðaraðili ber fulla ábyrgð á að uppfylla þær lagaskyldur sem á honum hvílir samkvæmt persónuverndarlögum, þ.m.t. að veita skráðum einstaklingum fullnægjandi fræðslu og tryggja að heimild standi til grundvallar vinnslunni. Ábyrgðaraðili skal jafnframt tryggja að honum sé heimilt að fela vinnsluaðila að vinna með persónuupplýsingar hinna skráðu einstaklinga og ábyrgðaraðili ber jafnframt ábyrgð á þeim fyrirmælum sem hann gefur vinnsluaðila um vinnslu persónuupplýsinganna.

2.2                 Vinnsluaðili skal einungis vinna persónuupplýsingar upp að því marki sem nauðsynlegt er til að veita ábyrgðaraðila hina skilgreindu þjónustu og til að framkvæma skrifleg fyrirmæli ábyrgðaraðila. Vinnsluaðili skal ekki vinna persónuupplýsingar í öðrum tilgangi sem samrýmist ekki þessum skilmálum eða persónuverndarlögum. Vinnsluaðili skal þegar í stað láta ábyrgðaraðila vita ef hann telur að fyrirmæli ábyrgðaraðila brjóti í bága við persónuverndarlög og skal vinnsluaðila ekki skylt að fylgja slíkum fyrirmælum.

2.3                 Vinnsluaðili skal gæta trúnaðar vegna allrar vinnslu á persónuupplýsingum og er óheimilt að láta þriðja aðila í té persónuupplýsingar nema samningur þessi heimili það, ábyrgðaraðili gefi sérstakt leyfi fyrir miðlun upplýsinga eða vinnsluaðila sé slíkt skylt á grundvelli lagaskyldu.

2.4                 Vinnsluaðili mun gera ráðstafanir svo starfsmenn hans:

(a)             séu meðvitaðir um þann trúnað sem fylgir meðferð persónuupplýsinga og séu bundnir trúnaðarskyldu samkvæmt samningi,

(b)            séu meðvitaðir um þá þagnarskyldu sem kann að hvíla á þeim samkvæmt lögum, þ.á m. lögum um fjármálafyrirtæki, eftir því sem við á, 

(c)             hafi fengið fræðslu um skilyrði persónuverndarlaga í tengslum við vinnslu persónuupplýsinga og

(d)            séu meðvitaðir um skyldur vinnsluaðila samkvæmt persónuverndarlögum og þessum skilmálum.

3.                    ÖRYGGI PERSÓNUUPPLÝSINGA

3.1                 Vinnsluaðili skal innleiða viðeigandi tæknilegar og skipulagslegar ráðstafanir gegn óheimilli og ólöglegri vinnslu persónuupplýsinga sem taka mið af þeirri áhættu sem vinnslan hefur í för með sér. Ráðstafanir skulu leitast við, eftir því sem við á, að:

(a)             tryggja viðvarandi trúnað, samfellu og tiltækileika persónuupplýsinga,

(b)            tryggja ferli til að prófa og meta reglulega skilvirkni ráðstafana til að tryggja öryggi vinnslunnar, og

(c)             tryggja að gripið sé til fullnægjandi öryggisráðstafana með hliðsjón af eðli þeirra persónuupplýsinga sem unnið er með, s.s. hvað varðar aðgangsstýringar, notkun gerviauðkenna og dulkóðun

3.2                 Vinnsluaðili er með vottað stjórnkerfi upplýsingaöryggis samkvæmt staðlinum ISO 27001:2013 og hefur innleitt öryggisráðstafanir í samræmi við staðalinn.

3.3                 Í þeim tilvikum er ábyrgðaraðili telur nauðsynlegt að gripið sé til frekari öryggisráðstafana en vinnsluaðili viðhefur í tengslum við tilgreindar þjónustur skulu aðilar semja um slíka viðbótarþjónustu sérstaklega.

4.                    ÖRYGGISBRESTUR VIÐ MEÐFERРPERSÓNUUPPLÝSINGA

4.1                 Vinnsluaðili skal tilkynna ábyrgðaraðila svo fljótt sem auðið er ef hann verður var við brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi (öryggisbrestur við meðferð persónuupplýsinga).

4.2                 Í tilkynningu vinnsluaðila skulu koma fram þau atriði sem mælt er fyrir um í 3. mgr. 33. gr. persónuverndarreglugerðarinnar.

4.3                 Aðilar eru sammála um að ábyrgðaraðili beri einn ábyrgð á og skuli ákveða:

(a)             hvort skráðum einstaklingum, eftirlitsyfirvaldi eða öðrum verði tilkynnt um öryggisbrest við meðferð persónuupplýsinga og

(b)            með hvaða hætti slíkar tilkynningar séu sendar.

5.                    UNDIRVINNSLUAÐILAR

5.1                 Ef vinnsluaðili ræður undirverktaka til að sinna tiltekinni þjónustu og sú þjónusta krefst vinnslu á persónuupplýsingum telst sá þriðji aðili vera undirvinnsluaðili í skilningi persónuverndarlaga.

5.2                 Vinnsluaðila er óheimilt að fela undirvinnsluaðila að vinna persónuupplýsingar fyrir sína hönd nema til staðar sé samningur milli undirvinnsluaðila og vinnsluaðila sem inniheldur sambærileg ákvæði og í þessum skilmálum, þá sérstaklega ákvæði sem snúa að öryggi persónuupplýsinganna.

5.3                 Uppfylli undirvinnsluaðili ekki skyldur sínar samkvæmt slíkum samningi skal vinnsluaðili áfram bera fulla ábyrgð gagnvart ábyrgðaraðila á því að undirvinnsluaðili efni skuldbindingar sínar.

5.4                 Þeir undirvinnsluaðilar sem koma að vinnslu persónuupplýsinga fyrir hverja og eina þjónustu eru listaðir upp í vinnslulýsingu Origo. Með samþykki ábyrgðaraðila á skilmálum þessum samþykkir ábyrgðaraðili notkun vinnsluaðila á þeim undirvinnsluaðilum sem tilgreindir eru í vinnslulýsingu Origo. Þá samþykkir ábyrgðaraðili jafnframt að vinnsluaðila sé heimilt að nýta dótturfélög sín sem undirvinnsluaðila. Dótturfélög vinnsluaðila eru listuð upp í vinnslulýsingu Origo. Bætist við ný dótturfélög skal vinnsluaðili tilkynna ábyrgðaraðila um þau í samræmi við ákvæði 5.5. í skilmálum þessum.

5.5                 Ráði vinnsluaðili nýja undirvinnsluaðila skal hann upplýsa ábyrgðaraðila um slíkt. Ábyrgðaraðili hefur 14 daga frá því að upplýsingar eru gerðar aðgengilegar honum til að andmæla ráðningu nýrra undirvinnsluaðila.

6.                    MIÐLUN PERSÓNUUPPLÝSINGA UTAN EES

6.1                 Vinnsluaðila er óheimilt að miðla persónuupplýsingum utan Evrópska Efnahagssvæðisins („EES“) nema að því tilskyldu að uppfyllt séu ákvæði V. kafla persónuverndarreglugerðarinnar.

6.2                 Í þeim tilvikum sem vinnsluaðili miðlar persónuupplýsingum utan EES vegna veitingu tiltekinnar þjónustu skal upplýst um slíkt  í vinnslulýsingu Origo og samþykkir ábyrgðaraðili miðlun þá sem kann að eiga sér stað samkvæmt umræddri vinnslulýsingu með samþykki á skilmálum þessum. Frekari miðlun utan EES skal ekki eiga sér stað nema ábyrgðaraðili sé upplýstir um slíkt og fái tækifæri til að andmæla, sbr. grein 5.5.

7.                    BEIÐNIR FRÁ SKRÁÐUM EINSTAKLINGUM

7.1                 Vinnsluaðili skal aðstoða ábyrgðaraðila, upp að því marki sem hann getur og með hliðsjón af eðli vinnslu, að bregðast við beiðnum frá skráðum einstaklingum. Framkvæmd og kostnaður vegna aðstoðar vinnsluaðila í tengslum við slíkar beiðnir skal taka mið af þjónustusamningi og/eða gildandi verðskrá vinnsluaðila hverju sinni.

7.2                 Ábyrgðaraðili skal ávallt sjá um afgreiðslu beiðna sem berast frá skráðum einstaklingum.

8.                    MAT Á ÁHRIFUM Á PERSÓNUVERND OG FYRIRFRAMSAMRÁÐ

8.1                 Ef ábyrgðaraðili óskar eftir því skriflega skal vinnsluaðili aðstoða ábyrgðaraðila við gerð á mati á áhrifum á persónuvernd (MÁP) og við að hafa fyrirframsamráð við Persónuvernd. Slík aðstoð skal þó alltaf vera háð aðstæðum hverju sinni, eðli vinnslu og þeim upplýsingum sem eru aðgengilegar vinnsluaðila.

8.2                 Kjósi ábyrgðaraðili að óska eftir aðstoð vinnsluaðila við MÁP og/eða vegna fyrirframsamráðs skal greiða fyrir þá þjónustu samkvæmt gildandi verðskrá vinnsluaðila hverju sinni.

9.                    ÚTTEKTIR

9.1                 Vinnsluaðili mun framkvæma úttektir a.m.k. árlega á stjórnkerfi upplýsingaöryggis og persónuverndar til að sjá til þess að hann efni skuldbindingar sínar samkvæmt skilmálum þessum. Í því felst m.a. að láta framkvæma ytri úttektir á ISO 27001 vottun af viðurkenndum vottunaraðila.

9.2                 Vinnsluaðili skuldbindur sig til að bregðast við athugasemdum sem fram koma í niðurstöðum úttektar eins fljótt og hægt er með innleiðingu viðeigandi úrbóta.  

9.3                 Vinnsluaðili skal einnig gera ábyrgðaraðila aðgengilegar allar upplýsingar sem eru nauðsynlegar til að sýna fram á að skuldbindingar hans samkvæmt þessum skilmálum séu uppfylltar og, að því marki sem hægt er með hliðsjón af eðli þjónustu, heimila úttektir af hálfu ábyrgðaraðila í þeim tilgangi að ábyrgðaraðili geti sannreynt framfylgni vinnsluaðila við skilmála þessa. Úttektir skulu einungis taka til þeirra þjónustuþátta er vinnsluaðili sinnir fyrir hönd ábyrgðaraðila og skal framkvæmd úttekta taka mið af þeim skyldum er hvíla á vinnsluaðila, þ.á m. hvað varðar öryggi. Úttektaraðilar og úttektaraðferðir skulu því háðar samþykki vinnsluaðila. 

9.4                 Vinnsluaðili skal jafnframt tryggja aðgang eftirlitsaðila að þeim persónuupplýsingum sem vinnsluaðili vinnur fyrir hönd eftirlitsskyldra aðila, í samræmi við lagaskyldur þar um.

9.5                 Ábyrgðaraðili skal greiða vinnsluaðila fyrir þjónustu sem innt er af hendi fyrir ábyrgðaraðila í tengslum við úttektir samkvæmt gildandi verðskrá vinnsluaðila hverju sinni.

10.                 GILDISTÍMI, AFHENDING OG EYÐING GAGNA

10.1              Skilmálar þessir skulu halda gildi sínu svo lengi sem:

(a)             þjónustusamningur aðila er í gildi eða

(b)            vinnsluaðili veitir ábyrgðaraðila eina eða fleiri af þeim þjónustum sem taldar eru upp í vinnslulýsingu Origo

10.2              Þegar að þjónustu lýkur skal vinnsluaðili eyða gögnum ábyrgðaraðila með öruggum hætti, nema ábyrgðaraðili óski eftir því að fá gögnin afhent, þá skal vinnsluaðili skila gögnunum til ábyrgðaraðila og eyða þeim að afhendingu lokinni. Í þeim tilvikum er afhending á gögnum til ábyrgðaraðila útheimtir umfangsmikla vinnu af hálfu vinnsluaðila skal ábyrgðaraðili greiða fyrir slíka þjónustu á grundvelli gildandi verðskrár vinnsluaðila hverju sinni.

11.                 TILKYNNINGAR TIL ÁBYRGÐARAÐILA

11.1              Tilkynningar til ábyrgðaraðila á grundvelli skilmála þessara skulu sendar til skráðs tengiliðs ábyrgðaraðila. Ábyrgðaraðili ber ábyrgð á því að afhenda vinnsluaðila upplýsingar um tengiliði sína. Sé tengiliður ábyrgðaraðila tilgreindur í þjónustusamningi skal tilkynning send á þann aðila nema aðilar hafi samið um annað.

11.2              Ábyrgðaraðili ber ábyrgð á því að láta vinnsluaðila vita af breytingum á tengiliðum.

11.3              Vinnsluaðila skal einnig heimilt að birta tilkynningar á grundvelli þessa skilmála á vefsíðum sínum en tengiliðir ábyrgðaraðila skulu ávallt vera upplýstir um slíkar tilkynningar eða hafa tök á að skrá sig sérstaklega fyrir slíkum tilkynningum.

12.                 ÖNNUR ATRIÐI

12.1              Þjónustusamningur aðila og almennir skilmálar Origo skulu gilda um vinnslu Origo á grundvelli þessara skilmála, eftir því sem við á, þ.á m. ákvæði um bótaábyrgð félagsins. Komi til ósamræmis milli ákvæða þessa skilmála annars vegar og almennra skilmála Origo eða ákvæða þjónustusamnings aðila hins vegar, skulu ákvæði þessa skilmála ganga framar.

12.2              Skilmálar þessir taka mið af íslenskum lögum og mál sem rísa vegna framkvæmdar á þeim skulu rekin fyrir Héraðsdómi Reykjavíkur.

12.3              Vinnsluaðili áskilur sér rétt til að breyta skilmálum þessum í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig unnið er með persónuupplýsingar. Vinnsluaðili skal upplýsa ábyrgðaraðila um allar breytingar á skilmálunum. Verði gerðar breytingar á skilmálunum sem hafa áhrif á réttindi og skyldur ábyrgðaraðila skulu slíkar breytingar ekki taka gildi fyrr en að ákveðnum tíma liðnum og samþykki ábyrgðaraðili ekki slíkar breytingar skal hann hafa rétt til að segja upp viðeigandi þjónustu.