Gagnavinnsluskilmálar

Notandi, hér eftir ,,ábyrgðaraðili” og Tímatal, kt. 450310-0690, með lögheimili að Skipholti 11-13, 105 Reykjavík, hér eftir ,,vinnsluaðili“, gera með sér eftirfarandi vinnslusamning í samræmi við gildandi lög á hverjum tíma. Samningurinn tekur gildi þegar ábyrgðaraðili samþykkir viðskiptaskilmála Tímatals, með því að nota þjónustu Tímatals, og gildir þannig á meðan samningssambandi stendur.

Tilgangur vinnslu

Samningur þessi og ákvæði hans eru gerð í þeim tilgangi að tilgreina sérstaklega þær skyldur sem vinnsluaðili sinnir fyrir hönd ábyrgðaraðila vegna vinnslu á þeim persónulegu gögnum sem samningur þessi rekur til.

Aðilar þessa samnings skulu vera talnir bundnir af öllum þeim lagaákvæðum er snúa að vinnslu persónuupplýsinga hjá þeim, og þá sérstaklega reglugerð ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga.

Umsamin vinnsla

Samkvæmt samningi þessum er vinnsluaðila heimilt að vinna fyrir hönd ábyrgðaraðila allar þær persónuupplýsingar sem nauðsynlegar eru til þess að uppfylla þá viðskiptaskilmála sem ábyrgðaraðili og vinnsluaðili hafa gert með sér. Tímatal er bókunarkerfi svo að sú vinnsla sem hér um ræðir er utanumhald um tímapantanir.

Upplýsingar sem vinnsluaðili vinnur f.h. ábyrgðaraðila

Ábyrgðaraðili veitir hér með vinnsluaðila heimild til þess að vinna með eftirfarandi tegundir af flokkum einstaklinga:

1. Ábyrgðaraðili
2. Starfsmenn ábyrgðaraðila (notendur)
3. Viðskiptavinur ábyrgðaraðila

Þær upplýsingar sem vinnsluaðili má vinna um ábyrgðaraðila eru:

• Nafn
• Símanúmer
• Netfang
• Kennitala

Þær upplýsingar sem vinnsluaðili má vinna um starfsmenn ábyrgðaraðila eru:

• Nafn
• Netfang
• Símanúmer

Þær upplýsingar sem vinnsluaðili má vinna um viðskiptavini ábyrgðaraðila og starfsmanna eru:

• Nafn
• Símanúmer
• Netfang
• Viðskiptasaga, s.s listi yfir viðskipti viðskiptavinar við ábyrgðaraðila í fortíð.
• Heimsóknasaga, s.s listi yfir allar heimsóknir viðskiptavinar til ábyrgðaraðila í fortíð og framtíð.
• Athugasemdir sem notandi skrifar um hvern og einn tíma
• Minnispunkta um viðskiptavininn sjálfan sem notandi skrifar

Skyldur vinnsluaðila (Tímatals)

Vinnsluaðili skal eingöngu vinna persónuupplýsingar í samræmi við tilgang vinnslunnar samkvæmt samningi þessum. Fari vinnsla fram sem ekki samrýmist samningi þessum eða gildandi persónuverndarlögum að tilmælum ábyrgðaraðila ber vinnsluaðila skylda til þess að tilkynna ábyrgðaraðila slíkt án tafar.

Flutningur upplýsinga

Þá skal vinnsluaðili gera ábyrgðaraðila viðvart ef að til stendur, vegna þess að vinnsluaðila er það skylt lögum samkvæmt, að flytja persónuupplýsingar til þriðja aðila eða úr landi.

Aðgengi að upplýsingum

Vinnsluaðili skal þá einnig tryggja að starfsmenn sem hafi aðgang að þeim persónuupplýsingum sem hér um ræðir hafi skrifað undir trúnaðaryfirlýsingu, eða þá hitt, séu bundnir lögum samkvæmt þagnarskyldu.

Réttindi hins skráða

Vinnsluaðili mun eftir fremsta megni aðstoða ábyrgðaraðila vegna fyrirspurna sem kunna að berast í sambandi við gagnaöflun, aðgangsréttar, réttar til leiðréttingar eða eyðingar, til andmæla eða takmörkunar að einhverju leyti, flutningsréttar eða annars réttar sem eigandi hinna skráðu upplýsinga á lögum samkvæmt.

Tilkynning öryggisbrota

Vinnsluaðili skal, eins fljótt og mögulegt er, í hverju tilviki fyrir sig, tilkynna ábyrgðaraðila um hvers kyns öryggisbrot sem kann að verða. Með tilkynningunni skulu þau gögn fylgja sem nauðsynleg eru svo ábyrgðaraðili geti tilkynnt brotið til Persónuverndar.

Öryggi upplýsinga

Vinnsluaðili skal ávalt gæta ítrasta öryggis við flutning, vinnslu eða aðgangsstýringu persónuupplýsinga, sbr. ákvæði um trúnaðaryfirlýsingu hér að ofan. Í því felst m.a. stýring aðgengis að persónuupplýsingum og trygging á að þjónustuaðilar okkar hafi gert viðeigandi öryggisráðstafanir.

Lok þjónustusambands

Líði þjónustusamband vinnsluaðila og ábyrgðaraðila undir lok skuldbindur vinnsluaðili sig til þess að eyða öllum þeim persónuupplýsingum sem finna má í kerfum vinnsluaðila. Þó gerir vinnsluaðili þann fyrirvara að geymdar eru upplýsingar ábyrgðaraðila í 3 mánuði eftir að þjónustu er sagt upp, í þeim tilgangi að gera ábyrgðaraðila auðveldara fyrir að taka upp þjónustu Tímatals á ný. Eftir framangreinda þrjá mánuði verður öllum persónugreinanlegum upplýsingum eytt.

Persónuverndarfulltrúi Tímatals

Persónuverndarfulltrúi Tímatals hefur eftirlit með þjónustu tímatals að því marki sem hún varðar Persónuvernd. Hann hefur umsjón og eftirlit með öllum þeim fyrirspurnum, athugasemdum og ábendingum sem varða persónuvernd.

Persónuverndarfulltrúi Tímatals er Kjartan Þórisson og hægt er að hafa samband við hann með því að senda póst á kjartan@timatal.is eða hringa í símanúmer 696-7602. Einnig er hægt að senda bréfapóst á:

Kjartan Þórisson
Tímatal ehf.
Skipholt 11-13
105 Reykjavík

Skrá yfir vinnslustarfsemi

Vinnsluaðili ber ábyrgð á því að halda utan um skrá er inniheldur alla þá vinnslustarfsemi sem fram ver fyrir hönd ábyrgðaraðila.

Skyldur ábyrgðaraðila (viðskiptavinur)

Ábyrgðaraðili skal afhenda allar þær persónuupplýsingar sem þörf er á svo Tímatal geti uppfyllt viðskiptasamning sinn við ábyrgðaraðila. Þær upplýsingar hafa verið nefndar hér að ofan í kafla 2.

Ábyrgðaraðili skal einnig tryggja að starfsemi hans sé í samræmi við þær kröfur sem til hans eru gerðar samkvæmt gildandi lögum á hverjum tíma, ásamt því að hafa yfirumsjón með vinnslunni sjálfri.

Ábyrgðaraðili ber einnig ábyrgð á því að framkvæma úttektir og skoðanir hjá vinnsluaðila, eftir eigin höfði.

Notkun undirvinnsluaðila

Vinnsluaðila er heimilt að semja við þriðja aðila varðandi framkvæmt á tilteknum vinnsluaðgerðum. Vinnsluaðila eru þó settar þær kröfur að upplýsa ábyrgðaraðila um breytingar, þegar bætt er við undirvinnsluaðila eða þegar gerðar eru breytingar á þeim undirvinnsluaðilum sem hafa þegar verið notaðir. Hér að neðan er að finna lista yfir núverandi undirvinnsluaðila Tímatals.

Undirvinnsluaðilar

Í rekstri sínum notar Tímatal eftirfarandi þjónustur, eða vinnsluaðila:

Compose

Við notum Compose til þess að hýsa gagnagrunna okkar. Við ákváðum að nota þjónustu Compse vegna þess að þeir uppfylla alla helstu alþjóðlegu öryggisstaðla og hýsa gagnagrunna hjá mörgum alþjóðlegum hugbúnaðarfyrirtækjum. Compose er í eigu IBM. Gagnagrunnurinn er hýstur í Írlandi, en Írland er innan EES.
https://www.compose.com/terms-of-service

Google Analytics

Við notum Google Analytics til að fylgjast með tölfræði vefsíðunnar og öðrum lýðfræðilegum upplýsingum og hegðun á vefsetrum. Við notum einnig Google Search Console-stjórnborðið til að hjálpa okkur að skilja hvernig gestir finna vefsetur okkar og í því skyni að bæta leitarvélabestun (SEO) okkar.
https://privacy.google.com/businesses/compliance/#?modal_active=none

Mixpanel

Við notum Mixpanel til þess að fylgjast með notkun notenda Tímatals á tölfræðilegan hátt. Þetta gerum við til þess að gera okkur grein fyrir hvernig notendur okkar nota kerfið svo að við getum brugðist rétt við, lagt áherslu á að laga réttu hlutina og bætt við þeirri virkni sem að notkun notenda okkar kallar mest á.
https://mixpanel.com/legal/privacy-overview/

AWS

Við notum Amazon Web Services (AWS) til þess að geyma myndir og viðhengi sem notendur ákveða að geyma inni í kerfinu okkar. AWS er einnig sá aðili sem hýsir vefkerfið sjálft.
https://aws.amazon.com/privacy/

Intercom

Við notum Intercom til þess að fá beina samskiptaleið við þá notendur sem nota kerfið okkar. Intercom geymir samtöl og nöfn fyrirtækja.
https://www.intercom.com/terms-and-policies#privacy

Twilio

Við reynum að senda öll SMS skilaboð í gegnum vefþjónustu Twilio, en sem undirvinnsluaðili okkar þegar kemur að smáskilaboðum geyma þeir afrit af öllum sendum skilaboðum. Tímatal getur beðið Twilio um að eyða skilaboðum, og munum við gera það á 90 daga fresti, en í kjölfarið af því getur tekið 30 daga fyrir Twilio að eyða skilaboðunum algjörlega úr sínum kerfum.
https://www.twilio.com/legal/privacy

Síminn hf.

Þau SMS skilaboð sem Twilio nær ekki að koma áleiðis sendum við til vefþjónustu Símans, en þeir halda ekki utan um skilaboðin sjálf.
https://www.sa.is/media/2739/siminn-og-personuvernd.pdf

‍

‍