Vinnslusamningur Atlas
Ábyrgðaraðili og vinnsluaðili hafa gert með sér svofelldan vinnslusamning, í samræmi við 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016:
1. Tilgangur samnings
Vinnsluaðili veitir ábyrgðaraðila hýsingar, geymslu og rekstrarþjónustu í Atlas tölvuskýinu skv almennum notkunarskilmálum þess. Þessi vinnslusamingur er hluti þeirra notkunarskilmála. Við nýtingu á þjónustuframboði Atlas geta persónuupplýsingar verið vistaðar og unnar á þjónum Atlas og í þeirra kerfum. Þessum samningi um vinnslu persónuupplýsinga (samningur) er ætlað að setja fram þá skilmála sem gilda um vinnslu á persónuupplýsingum í tengslum við veitingu þjónustu samkvæmt leyfissamningi í samræmi við 3. mgr. 28. gr. pvl. Tilgangur þessa vinnslusamnings er að tilgreina þær skyldur sem vinnsluaðila og ábyrgðaraðila, kveða á með skýrum hætti á um vinnslu vinnsluaðila á persónuupplýsingum fyrir hönd ábyrgðaraðila, með það að markmiði að tryggja örugga meðferð persónuupplýsinga og lagalega hlítingu. Þessi vinnslusamningur gildir um þjónustu sem Atlas veitir samkvæmt samningi við viðskiptavininn þar sem viðskiptavinur er ýmist ábyrgðaraðili eða vinnsluaðili og Atlas vinnur sem vinnsluaðili eða undirvinnsluaðili. Sú vinnsla persónuupplýsinga Atlas þar sem Atlas er ábyrgðaraðili fellur ekki undir þennan samning heldur er skilgreint í persónuverndaryfirlýsingu Atlas. Samningsaðilar skulu bundnir af öllum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga hjá þeim og þá sérstaklega reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almennu persónuverndarreglugerðinni) sem kemur/kom til framkvæmda 25. maí 2018. Hugtökin „vinnsla“, „persónuupplýsingar“, „skráður einstaklingur“, „ábyrgðaraðili“ og „vinnsluaðili“ skulu hafa sömu merkingu og þeim er gefin í persónuverndarlögum. Ábyrgðaraðili ber fulla ábyrgð á að uppfylla þá lagaskyldu sem á honum hvílir samkvæmt persónuverndarlögum, þ.m.t. að birta tilkynningar til skráðra einstaklinga og að afla lögmæts samþykkis þegar við á. Ábyrgðaraðili ber jafnframt ábyrgð á þeim fyrirmælum sem hann gefur vinnsluaðila um vinnslu persónuupplýsinganna.
2. Lýsing á vinnslu persónuupplýsinga
Vinnsluaðila er heimilt að vinna, f.h. ábyrgðaraðila, þær persónuupplýsingar sem eru honum nauðsynlegar til að veita eftirfarandi skýja- og hýsingarþjónustu. Gögn til skoðunar: Gögn viðskiptavinar Tímasetning vinnslunnar: vinnsla og geymsla þessara gagna skal vera takmörkuð við það tímabil þar sem ábyrgðaraðili er í viðskiptum við vinnsluaðila, með þeirri undantekningu ef dómsvald gerir kröfu um þau gögn sem vistuð eru. Eðli þeirrar vinnslustarfsemi sem hér um ræðir kann að vera geymsla, útreikningar og/eða önnur vinnsla sem tilgreind er í skilmálum eftir því hvaða þjónustur Atlas viðskiptavinurinn nýtir sér. Takmarkaði og nákvæmi tilgangur vinnslunnar undir þessum vinnslusamningi er að veita ábyrgðaraðila fyrsta flokks skýja- og hýsingarþjónustu eins og beðið er um og stillt er af viðskiptavini. Atlas mun einungis vinna gögn sem vinnsluaðili fyrir hönd viðskiptavinarins og til þess að útvega þá þjónustu sem tilgreind er í þessum samningi, eða eftir því sem vinnsluaðilar annars mega undir viðeigandi persónuverndarlöggjöf. Atlas mun ekki veita þriðja aðila aðgang að neinum gögnum, nema í samræmi við þennan vinnslusamning eða eftir því sem lög kveða á um. Vinnsluaðila er heimilt að vinna með eftirfarandi tegundir persónuupplýsinga: Tegundir persónuupplýsinga eru ákveðnar af og stýrt af Ábyrgðaraðila einum. Þær innihalda grunnupplýsingar, kennigögn, samskiptagögn (t.d. símanúmer og póstföng), grunnsamningsgögn, forritaskrár (e. Log data), innheimtu og rukkunargögn. Sé um önnur gögn að ræða skulu þau tilgreind af ábyrgðaraðila og skal hann veita vinnsluaðila þær upplýsingar. Vinnsluaðila er heimilt að vinna með eftirfarandi flokka af skráðum einstaklingum: Flokkar skráðra einstaklinga eru ákveðnir af og stýrt af Ábyrgðaraðila einum. Þeir innihalda viðskiptavini, starfsmenn og hagsmunaaðilar ábyrgðaraðila. Sé um aðra gagnaflokka að ræða skulu þau tilgreind af ábyrgðaraðila og skal hann veita vinnsluaðila upplýsingar um þá gagnaflokka.
3. Gildistími samnings
Þessi samningur gildir jafnhliða og jafn lengi og viðskiptasamband ábyrgðaraðila og vinnsluaðila.
4. Skyldur vinnsluaðila
Vinnsluaðili skal:
eingöngu vinna persónuupplýsingar í samræmi við tilgang vinnslunnar, skv. samningi þessum
eingöngu vinna persónuupplýsingar samkvæmt skriflegum fyrirmælum ábyrgðaraðila, sem fylgja samningi þessum. Í þeim tilvikum þegar vinnsluaðili telur að fyrirmæli ábyrgðaraðila samrýmist ekki almennu persónuverndarreglugerðinni eða öðrum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga ber honum að tilkynna ábyrgðaraðilanum slíkt án tafar. Þá skal vinnsluaðili gera ábyrgðaraðila viðvart ef vinnsluaðila er skylt samkvæmt lögum að flytja persónuupplýsingar til þriðju landa eða alþjóðastofnana, nema lög banni að upplýst sé um slíkt.
afgreiða beiðnir frá ábyrgðaraðila um breytingu, flutning, eyðingu eða aðra vinnslu á persónuupplýsingum í samræmi við leyfissamning. Fyrirmæli ábyrgðaraðila um að stöðva vinnslu eða koma með öðrum hætti í veg fyrir tjón sem hlýst af óheimilli vinnslu skal afgreiða eins fljótt og auðið er.
tryggja trúnað um vinnslu þeirra persónuupplýsinga sem þessi samningur tekur til, og tryggja að þeir starfsmenn sem hafi aðgang að persónuupplýsingum í tengslum við framkvæmd samningsins hafi undirritað trúnaðaryfirlýsingu eða séu bundnir þagnarskyldu samkvæmt lögum og að þeir fái viðeigandi þjálfun í vernd persónuupplýsinga. Trúnaðarskylda helst eftir gildistíma þessa samnings.
gæta þess að tæki og tól, vörur, forrit og þjónusta séu hönnuð með innbyggða og sjálfgefna persónuvernd að leiðarljósi.
skal upp að því marki sem eðlilegt þykir aðstoða ábyrgðaraðila við að framfylgja þeirri lagaskyldu sem á honum hvílir samkvæmt persónuverndarlögum, m.t.t. eðli þeirrar vinnslu sem vinnsluaðili annast fyrir hönd ábyrgðaraðila og þeirra upplýsinga sem aðgengilegar eru vinnsluaðila hverju sinni.
Notkun á Undirvinnsluaðila:
Ef vinnsluaðili ræður undirverktaka til að sinna tiltekinni þjónustu og sú þjónusta krefst vinnslu persónuupplýsinga telst sá þriðji aðili vera undirvinnsluaðili í skilningi persónuverndarlaga.
Vinnsluaðila er heimilt að semja við annan aðila („undirvinnsluaðila“) um að framkvæma tilteknar vinnsluaðgerðir. Áður en ætlaðar breytingar taka gildi, bæði þegar bætt er við undirvinnsluaðila og þegar gerðar eru breytingar á þeim undirvinnsluaðilum sem þegar eru notaðir, eða þegar um að ræða viðbætur eða breytingu á gildandi fyrirkomulagi vinnsluaðgerða, skal vinnsluaðili upplýsa ábyrgðaraðila skriflega um breytingarnar. Þar skal sérstaklega taka fram hvaða vinnsluaðgerðir undirvinnsluaðilinn hyggst taka að sér, nafn og samskiptaupplýsingar undirvinnsluaðilans ásamt dagsetningu samnings. Til að taka af öll tvímæli þá teljast samhýsingargagnaver (e. colocation providers) og fjarskiptainnviðafyrirtæki ekki sem undirvinnsluaðilar í þessum vinnslusamningi.
Til að geta boðið framúrskarandi skýja- hýsingarþjónustu nýtir Atlas undirvinnsluaðila. Allir hlíta þeir ströngum öryggis og gagnaverndarskilyrðum til að tryggja áreiðanleika og hlítingu. Með því að nota þjónustur Atlas veitir viðskiptavinurinn Atlas almenna heimild til þess að bæta, breyta eða fjarlægja undirvinnsluaðila af þessum lista. Ábyrgðaraðili hefur 15 daga frá þeim degi sem hann móttekur upplýsingar um breytingu á notkun á undirvinnsluaðila til að andmæla því. Notkun á undirvinnsluaðila er eingöngu heimil þegar ábyrgðaraðili hefur ekki andmælt því innan tímamarkanna.
Vinnsluaðila er óheimilt að fela undirvinnsluaðila að vinna persónuupplýsingar fyrir sína hönd nema til staðar sé skriflegur samningur milli undirvinnsluaðila og vinnsluaðila sem inniheldur sambærileg og ekki veikari ákvæði en í samningi þessum, þá sérstaklega ákvæði sem snúa að öryggi persónuupplýsinganna.
Uppfylli undirvinnsluaðili ekki skyldur sínar samkvæmt slíkum samningi skal vinnsluaðili áfram bera fulla ábyrgð gagnvart ábyrgðaraðila á því að undirvinnsluaðili efni skuldbindingar sínar.
Að því marki sem hægt er ber vinnsluaðila að aðstoða ábyrgðaraðila við að sinna þeirri skyldu sinni að bregðast við erindum skráðra einstaklinga vegna réttinda þeirra, svo sem vegna aðgangsréttar, réttar til leiðréttingar og eyðingar upplýsinga og til að andmæla vinnslu eða takmarka hana, flutningsréttar og réttar til að þurfa ekki að sæta sjálfvirkri ákvarðanatöku, þ.m.t. notkun persónusniða. Þegar hinn skráði leggur fram beiðni um að neyta réttinda sinna hjá vinnsluaðila skal vinnsluaðilinn áframsenda slíka beiðni án tafar til ábyrgðaraðilans, sem skal verða ábyrgur fyrir því að svara slíkri beiðni. Atlas mun ekki afgreiða slíkar beiðnir upp á eigin spýtur en mun aðstoða ábyrgðaraðila eins og greint er að ofan. Ábyrgðaraðili skal greiða þann kostnað sem fellur til vegna vinnu vegna fyrirspurna frá þriðja aðila eða þeirra skráðu.
Gefa þarf vinnsluaðila svigrúm til að bregðast við beiðnum sem berast ábyrgðaraðila, a.m.k. 20 daga, frá því tímamarki sem ábyrgðaraðili óskar eftir aðstoð vinnsluaðila.
Vinnsluaðila er óheimilt að láta skráðum einstaklingum eða öðrum þriðju aðilum í té upplýsingar um vinnslu persónuupplýsinga. Ábyrgðaraðili skal ávallt sjá um afgreiðslu beiðna sem berast frá skráðum einstaklingum.
Tilkynningar um öryggisbrot
Vinnsluaðili skal tilkynna ábyrgðaraðila um hvers konar öryggisbrest svo fljótt sem auðið er
Með tilkynningunni skulu fylgja hver þau skjöl eða gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tilkynnt um brotið til viðeigandi eftirlitsstofnunar. Í slíkri tilkynningu skal eðli öryggisbrestsins lýst, þ. á m. þeim flokkum og áætluðum fjölda skráðra einstaklinga sem það varðar og flokkum og áætluðum fjölda skráninga persónuupplýsinga sem um ræðir. Þá skal lýsa líklegum afleiðingum brotsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugað að gera vegna öryggisbrotsins. Eins skal lýsa nafni og samskiptaupplýsingum persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að nálgast frekari upplýsingar.
Hið ofangreinda skal samt ekki gilda um neyðartilvik og öryggisbresti sem falla til vegna aðgerða viðskiptavinarins eða endanotenda hans.
Aðilar eru sammála um að ábyrgðaraðili beri einn ábyrgð á og skuli ákveða hvort skráðum einstaklingum, eftirlitsyfirvaldi eða öðrum verði tilkynnt um öryggisbrot við meðferð persónuupplýsinga og með hvaða hætti slíkar tilkynningar séu sendar. Vinnsluaðili skal aðstoða ábyrgðaraðila við að framkvæma mat á áhrifum á persónuvernd. Vinnsluaðili skal aðstoða ábyrgðaraðila við að uppfylla ákvæði reglugerðarinnar um fyrirframsamráð við eftirlitsyfirvaldið (Persónuvernd). Öryggisráðstafanir Vinnsluaðili skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja öryggi þeirra persónuupplýsinga sem hann vinnur með fyrir hönd ábyrgðaraðila. Öryggisráðstafanir skulu taka mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu. Þar með talið er fjölþátta speglun kerfis til að tryggja áreiðanleika og tiltækileika og álagsþol kerfa og verkferli um reglubundnar prófanir og mat á virkni hinan tæknilegu og skipulagslegu ráðstafana sem gerðar hafa verið til að tryggja öryggi.
Vinnsluaðili undirgengst að innleiða öryggisráðstafanir í samræmi við SOC2, og ISO27001 við fyrsta tækifæri.
Þegar öryggi er metið skal hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.
Vinnsluaðili skal ávallt upplýsa ábyrgðaraðila hvar persónuupplýsingar eru hýstar. Alfarið er óheimilt að flytja persónuupplýsingar utan Evrópska efnahagssvæðisins nema á grundvelli fyrirmæla þar um.
Vinnsluaðili undirgengst að innleiða öryggisráðstafanir í samræmi við bestu mögulegu framkvæmd.
Þetta er nánar tiltekið í samantekt Atlas á öryggi undir www.runatlas.is/security
Þegar þjónustu lýkur samkvæmt samningi þessum samþykkir vinnsluaðili að eyða öllum persónugreinanlegum upplýsingum.
Vinnsluaðili skal í samráði við ábyrgðaraðila afhenda eða eyða öllum persónuupplýsingum, þ.m.t. afritum, þegar þær eru ekki lengur nauðsynlegar í þeim tilgangi sem þeirra var aflað, nema kveðið sé á um annað í lögum.
Atlas hefur tilnefnt persónuverndarfulltrúa skv 37. gr. reglugerðarinnar. Þórður Atlason, gdpr@runatlas.is
Vinnsluaðili skal veita ábyrgðaraðila aðgang að öllum upplýsingum sem eru nauðsynlegar til þess að sýna fram á að skyldum samkvæmt persónuverndarlögum eða almennu persónuverndarreglugerðinni hafi verið fylgt eftir.
Vinnsluaðili skal gefa ábyrgðaraðila kost á að framkvæma, eða fela þriðja aðila að framkvæmd fyrir sína hönd, úttektir á vinnslu vinnsluaðila á persónuupplýsingum og veita ábyrgðaraðila aðstoð við slíkar úttektir. Aðstoð Vinnsluaðila við slíkar úttektir skal greitt samkvæmt samningi aðila eða verðskrá vinnsluaðila sem við á.
Vinnsluaðili skal aðstoða ábyrgðaraðila við að uppfylla ákvæði 30. gr. pvl. um fyrirfram samráð við Persónuvernd.
5. Skyldur ábyrgðaraðila
Ábyrgðaraðili ber ábyrgð á því að veita hinum skráðu upplýsingar (fræðslu) um vinnslustarfsemina fyrir eða um leið og vinnsla hefst, í samræmi við ákvæði almennu persónuverndarreglugerðarinnar um upplýsingar sem ber að veita hinum skráða, sbr. m.a. 13. og 14. gr. hennar.
Viðskiptavinur ber einn ábyrgð á nákvæmni, gæðum og lögmæti innihaldsgagna (e. Content Data), sem og þeim leiðum sem viðskiptavinur notaði til að afla gagnanna. Þetta felur í sér að afla allra nauðsynlegra samþykkja og réttinda sem þarf til þess að Atlas geti unnið með innihaldsgögnin í samræmi við gildandi persónuverndarlöggjöf og vinnslusamning þennan. Viðskiptavinur staðfestir sérstaklega að notkun hans á þjónustunni muni ekki brjóta gegn réttindum nokkurs skráðs einstaklings og/eða endanotanda sem hefur hafnað sölu eða annarri miðlun persónuupplýsinga, að því marki sem slíkt á við samkvæmt gildandi persónuverndarlöggjöf.
Viðskiptavinur ber einn ábyrgð á þeim persónuupplýsingum sem unnar eru í gegnum þjónustu Atlas. Viðskiptavinur staðfestir sérstaklega að Atlas framkvæmir ekkert eftirlit með innihaldi slíkra gagna og getur ekki verið ábyrgt fyrir því ef gögnin eru ólögmæt eða óleyfileg. Hvort sem viðskiptavinur kemur fram sem ábyrgðaraðili eða vinnsluaðili, skal hann bera eina og óskoraða ábyrgð á hvers kyns söfnun, vinnslu, miðlun, dreifingu eða birtingu upplýsinga eða gagna sem hann framkvæmir í gegnum þjónustuna. Slík starfsemi skal ávallt vera í ströngu samræmi við gildandi persónuverndarlöggjöf.
Viðskiptavinur skuldbindur sig sérstaklega til: Að veita hinum skráðu einstaklingum, sem vinnslan nær til, nauðsynlegar upplýsingar við söfnun gagna og gera þeim kleift að neyta réttinda sinna. Að láta Atlas í té leiðbeiningar um vinnslu persónuupplýsinga og halda aðgangsupplýsingum (e. account data) uppfærðum. Að halda vinnsluskrá yfir persónuverndaraðgerðir þar sem Atlas er tilgreint sem vinnsluaðili eða undirvinnsluaðili fyrir viðkomandi vinnsluaðgerðir. Að framkvæma, eða láta framkvæma á sína ábyrgð, mat á áhrifum á persónuvernd sé á því þörf,(e. Impact Analysis) og, eftir því sem við á, ráðfæra sig við viðkomandi eftirlitsstofnun (Persónuvernd) þegar fyrirhuguð vinnsla er líkleg til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi skráðra einstaklinga. Að skilgreina geymslutíma og skilmála fyrir vistun og eyðingu þeirra persónuupplýsinga sem unnar eru. Að innleiða tæknilegar og skipulagslegar ráðstafanir er varða vernd, öryggi og trúnað þeirra persónuupplýsinga sem unnar eru, sem falla utan umfangs þeirrar þjónustu sem Atlas veitir eða byggja á vali viðskiptavinarins. Að koma á fót innri ferlum til að auðkenna og bregðast við öryggisbrestum við vinnslu persónuupplýsinga sem tilkynna þarf til viðkomandi eftirlitsstofnunar og/eða hinna skráðu einstaklinga.
6. Staðsetning
Vélbúnaður Atlas er hýstur í gagnaverum innan Íslands. Persónugreinanleg gögn verða ekki flutt utan EES. Öryggisafrit kunna að vera geymd í löndum utan Íslands en innan EES. Vinnsluaðila (og, ef við á, öðrum undirvinnsluaðilum) er óheimilt að miðla eða á annan hátt vinna persónuupplýsingar utan Evrópska Efnahagssvæðisins (EES) nema hann hafi fengið skriflegt samþykki ábyrgðaraðila. Þegar ábyrgðaraðili hefur veitt slíkt samþykki skal vinnsluaðili aðeins vinna eða heimila vinnslu á persónuupplýsingum utan EES í neðangreindum tilfellum: vinnsluaðili vinnur persónuupplýsingar þar sem framkvæmdastjórn Evrópusambandsins hefur ákveðið að þriðja landið, yfirráðasvæði eða einn eða fleiri tilgreindir geirar innan viðkomandi þriðja lands eða umrædd alþjóðastofnun tryggi fullnægjandi vernd. vinnsluaðili hefur gert viðeigandi verndarráðstafanir og með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga í samræmi við skilyrði 46. gr. pvl. Miðlun persónuupplýsinganna samrýmist með öðrum hætti persónuverndarlögum.
7. Skaðabætur
Skaðabótaábyrgð vinnsluaðila gagnvart skráðum einstaklingum skal fara eftir persónuverndarlögum. Skaðabótaábyrgð vinnsluaðila gagnvart ábyrgðaraðila takmarkast við allt beint tjón sem ábyrgðaraðili hefur orðið fyrir og má rekja til þess að vinnsluaðili hafi ekki uppfyllt skyldur sínar samkvæmt vinnslusamningi þessum, þar með talið ef hann hefur ekki fylgt lögmætum fyrirmælum ábyrgðaraðila um vinnslu persónuupplýsinga Óbeint tjón verður ekki bætt af vinnsluaðila né tjón sem ekki verður rakið til stórfellds gáleysis eða ásetnings vinnsluaðila. Óbeint tjón telst vera tjón sem rekja má til samdráttar í eða stöðvunar í framleiðslu, þjónustu eða viðskiptum, almennt og tjón sem rekja má til missis hagnaðar þegar samningur við þriðja mann fellur brott eða verður ekki réttilega efndur. Þá takmarkast bótaábyrgð vinnsluaðila gagnvart ábyrgðaraðila við fjárhæð sem nemur því endurgjaldi sem ábyrgðaraðili hefur greitt vinnsluaðila fyrir þjónustu samkvæmt samningi undanfarna sex mánuði áður en tjón átti sér stað. Vinnsluaðili skal bæta ábyrgðaraðila þann skaða sem ábyrgðaraðili verður sannanlega fyrir og leiðir af meðferð vinnsluaðila á upplýsingum sem stangast á við gildandi lög og reglur, fyrirmæli ábyrgðaraðila eða vinnslusamninginn.
8. Lögþing
Aðili skal senda gagnaðila upplýsingar um nafn og samskiptaupplýsingar persónuverndarfulltrúa síns, ef hann hefur verið tilnefndur. Komi upp ágreiningur um efni samnings þessa og túlkun hans skulu aðilar leitast við að leysa úr þeim ágreiningi með sáttarumleitan. Takist ekki sættir er aðila heimilt að reka mál þar um fyrir Héraðsdómi Reykjavíkur. Með undirritun vinnslusamnings þessa staðfestir vinnslu- og samábyrgðaraðili að hann hafi getu og hæfni til að fullnægja þeim skyldum sem efni þessa samnings kveður á um.
Síðast uppfært: 15. janúar 2026