Vinnslusamningur Akademias

Aðili sem gerir þjónustusamning við Akademias ehf., kt. 530220-1410, með staðfestu á Íslandi (hér eftir nefndur „ábyrgðaraðili“), og Akademias ehf. (hér eftir nefndur „vinnsluaðili“) gera með sér vinnslusamning í samræmi við 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016.

 

1) Tilgangur samnings

Tilgangur þessara samningsákvæða er að tilgreina þær skyldur sem vinnsluaðili sinnir f.h. ábyrgðaraðila, í tengslum við þá vinnslustarfsemi sem samningurinn tekur til, sjá nánar í kafla 4.

Samningsaðilar skulu bundnir af öllum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga hjá þeim og þá sérstaklega reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almennu persónuverndarreglugerðinni) sem kemur/kom til framkvæmda 25. maí 2018.

2) Lýsing á þeirri vinnslu sem samið er um að vinnsluaðili sinni (undirvinnsluaðili, ef það á við)

Vinnsluaðila er heimilt að vinna, f.h. ábyrgðaraðila, þær persónuupplýsingar sem eru honum nauðsynlegar til að veita eftirfarandi þjónustu:

  • Uppsetningu og rekstur rafræns starfsvettvangs fyrir starfsmenn ábyrgðaraðila.
  • Hönnun og uppsetningu námskeiða fyrir starfsmenn ábyrgðaraðila.
  • Aðra tilfallandi þjónustu sem ábyrgðaraðili biður vinnsluaðila um.

Eðli þeirrar vinnslustarfsemi sem hér um ræðir er uppsetning og rekstur rafrænna kerfa og framleiðsla námskeiða.

Tilgangur vinnslunnar er framkvæmd fræðslu og þjálfunar starfsfólks ábyrgðaraðila.

Vinnsluaðila er heimilt að vinna með eftirfarandi tegundir persónuupplýsinga: nafn, kennitölu, netfang, starfsstöð viðkomandi, starfstitil og árangur í fræðslu.

Vinnsluaðila er heimilt að vinna með eftirfarandi flokka af skráðum einstaklingum:

  • Alla starfsmenn ábyrgðaraðila.

Til að vinnsluaðili geti veitt umbeðna þjónustu, skal ábyrgðaraðili veita vinnsluaðila eftirfarandi upplýsingar um starfsmenn: 

  • Nafn,
  • kennitölu,
  • netfang,
  • fyrirtæki sem starfsmaðurinn vinnur hjá,
  • árangur fræðslu (niðurstöður mats/prófa),
  • mynd af skírteinum og passamyndir,
  • og/eða annað sem nauðsynlegt telst vera til að geta veitt þjónustu við uppsetningu og rekstur kerfa fyrir ábyrgðaraðila.

Vinnsluaðili ábyrgist að öll gögn í hans umsýslu séu vistuð á öruggan hátt á vefþjónum innan EES hjá hýsingaraðilum sem uppfylla kröfur 32. greinar reglugerðar Evrópuþingsins og ráðsins (ESB) 216/679 frá 27. apríl 2016 um örugga hýsingu. 

3) Gildistími samnings

Samningur þessi gildir svo lengi sem þjónustusamningur milli aðila er í gildi.

4) Skyldur vinnsluaðila gagnvart ábyrgðaraðila

Vinnsluaðili skal: 

  • Eingöngu vinna persónuupplýsingar í samræmi við tilgang vinnslunnar, skv. samningi þessum.
  • Eingöngu vinna persónuupplýsingar samkvæmt skriflegum fyrirmælum ábyrgðaraðila, sem fylgja samningi þessum. Í þeim tilvikum þegar vinnsluaðili telur að fyrirmæli ábyrgðaraðila samrýmist ekki almennu persónuverndarreglugerðinni eða öðrum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga ber honum að tilkynna ábyrgðaraðilanum slíkt án tafar. Þá skal vinnsluaðili gera ábyrgðaraðila viðvart ef vinnsluaðila er skylt samkvæmt lögum að flytja persónuupplýsingar til þriðju landa eða alþjóðastofnana, nema lög banni að upplýst sé um slíkt.
  • Tryggja trúnað um vinnslu þeirra persónuupplýsinga sem þessi samningur tekur til.
  • Tryggja að þeir starfsmenn sem hafi aðgang að persónuupplýsingum í tengslum við framkvæmd samningsins hafi undirritað trúnaðaryfirlýsingu eða séu bundnir þagnarskyldu samkvæmt lögum og að þeir fái viðeigandi þjálfun í vernd persónuupplýsinga.
  • Gæta þess að tæki og tól, vörur, forrit og þjónusta séu hönnuð með innbyggða og sjálfgefna persónuvernd að leiðarljósi.

Notkun á undirvinnsluaðila

Vinnsluaðila er heimilt að semja við annan aðila („undirvinnsluaðila“) um að framkvæma tilteknar vinnsluaðgerðir. Áður en ætlaðar breytingar taka gildi, bæði þegar bætt er við undirvinnsluaðila og þegar gerðar eru breytingar á þeim undirvinnsluaðilum sem þegar eru notaðir, eða þegar um er að ræða viðbætur eða breytingu á gildandi fyrirkomulagi vinnsluaðgerða, skal vinnsluaðili upplýsa ábyrgðaraðila skriflega um breytingarnar. Þar skal sérstaklega taka fram hvaða vinnsluaðgerðir undirvinnsluaðilinn hyggst taka að sér, nafn og samskiptaupplýsingar undirvinnsluaðilans, ásamt dagsetningu samnings. Ábyrgðaraðili hefur 7 daga frá þeim degi sem hann móttekur upplýsingar um breytingu á notkun á undirvinnsluaðila til að andmæla því. Notkun á undirvinnsluaðila er eingöngu heimil þegar ábyrgðaraðili hefur ekki andmælt því innan tímamarkanna.   

Réttur hinna skráðu til upplýsinga

Ábyrgðaraðili ber ábyrgð á því að veita hinum skráðu upplýsingar (fræðslu) um vinnslustarfsemina fyrir eða um leið og vinnsla hefst, í samræmi við ákvæði almennu persónuverndarreglugerðarinnar um upplýsingar sem ber að veita hinum skráða, sbr. m.a. 13. og 14. gr. hennar.

Veiting réttinda til handa hinum skráðu

Að því marki sem hægt er ber vinnsluaðila að aðstoða ábyrgðaraðila við að sinna þeirri skyldu sinni að bregðast við erindum skráðra einstaklinga vegna réttinda þeirra, svo sem vegna aðgangsréttar, réttar til leiðréttingar og eyðingar upplýsinga og til að andmæla vinnslu eða takmarka hana, flutningsréttar og réttar til að þurfa ekki að sæta sjálfvirkri ákvarðanatöku, þ.m.t. notkun persónusniða. 

Þegar hinn skráði leggur fram beiðni um að neyta réttinda sinna hjá vinnsluaðila skal vinnsluaðilinn áframsenda slíka beiðni án tafar til Guðmunds Arnars Guðmundssonar, persónuverndarfulltrúa Akademias. 

Tilkynning vegna öryggisbrots

Vinnsluaðili skal tilkynna ábyrgðaraðila með símtali, tölvupósti eða öðrum leiðum um hvers konar öryggisbrot um er að ræða eigi síðar en 48 klukkustundum eftir að hann verður var við brotið. Með tilkynningunni skulu fylgja hver þau skjöl eða gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tilkynnt um brotið til Persónuverndar. 

Upplýsingar sem sendar eru hinum skráðu í samráði við ábyrgðaraðila skulu vera á skýru og einföldu máli og lýsa í það minnsta: 

  • Eðli öryggisbrotsins, þ.m.t., þegar það á við, flokkum og gróflega áætluðum fjölda þeirra einstaklinga sem verða fyrir áhrifum af brotinu og flokkum og magni þeirra gagna (e. records) sem um ræðir,
  • nafni og samskiptaupplýsingum persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að nálgast frekari upplýsingar,
  • hverjar séu líklegar afleiðingar öryggisbrotsins,
  • til hvaða aðgerða hafi verið gripið eða hvernig lagt hafi verið til að bregðast við brotinu, þ.m.t., þar sem það á við, aðgerða til að draga úr áhrifum brotsins á einstaklinga,
  • til hvaða aðgerða einstaklingarnir geti gripið til að lágmarka tjón sitt, t.a.m. að skipta um lykilorð.

Aðstoð gagnvart ábyrgðaraðila við að uppfylla skilyrði almennu persónuverndarreglugerðarinnar

Vinnsluaðili skal aðstoða ábyrgðaraðila við að framkvæma mat á áhrifum á persónuvernd.

Vinnsluaðili skal aðstoða ábyrgðaraðila við að uppfylla ákvæði reglugerðarinnar um fyrirframsamráð við Persónuvernd. 

Öryggisráðstafanir

Vinnsluaðili skal innleiða eftirfarandi öryggisráðstafanir:

  • Notkun gerviauðkenna og dulkóðun á upplýsingum eftir því sem við á.
  • Möguleika á að tryggja áframhaldandi trúnað, áreiðanleika, og tiltækileika þeirra kerfa sem notuð eru og þeirrar þjónustu sem boðið er upp á.
  • Möguleika á að endurvekja tiltækileika og aðgang að persónuupplýsingum innan 24 tíma í kjölfar fráviks, hvort sem það er raunlægs eða tæknilegs eðlis.
  • Verkferla fyrir reglubundnar prófanir og mat á virkni hinna tæknilegu og skipulagslegu ráðstafana sem gerðar hafa verið til að tryggja öryggi vinnslunnar.

Vinnsluaðili undirgengst að innleiða öryggisráðstafanir til að tryggja öryggi gagna í samræmi við samning þennan. 

Hvað verður um persónuupplýsingar við lok vinnslu

Þegar þjónustu lýkur samkvæmt samningi þessum samþykkir vinnusluaðili að:

  • Eyða öllum persónugreinanlegum upplýsingum, eða
  • skila öllum persónugreinanlegum upplýsingum til ábyrgðaraðila, eða
  • skila öllum persónugreinanlegum upplýsingum til annars vinnsluaðila, tilnefnds af ábyrgðaraðila.

Þegar upplýsingum er skilað þarf einnig að eyða öllum afritum af persónugreinanlegum upplýsingum sem finna má í kerfum vinnsluaðila. Þegar upplýsingum hefur verið eytt skal vinnsluaðili sýna fram á það skriflega. 

Persónuverndarfulltrúi 

Persónuverndarfulltrúi Akademias ehf er Guðmundur Arnar Guðmundsson, gudmundur@akademias.is.

Skrá yfir vinnslustarfsemi

Vinnsluaðili skal halda skrá yfir alla vinnslustarfsemi sem fram fer fyrir ábyrgðaraðila. Í henni skal koma fram eftirfarandi:

  • Heiti og samskiptaupplýsingar vinnsluaðila, eins eða fleiri, og sérhvers ábyrgðaraðila sem vinnsluaðilinn starfar í umboði fyrir og, eftir atvikum, fulltrúa ábyrgðaraðila eða vinnsluaðila og persónuverndarfulltrúa,
  • flokkar vinnslu sem fram fer fyrir hönd hvers ábyrgðaraðila,
  • ef við á, miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar, þ.m.t. um hvaða þriðja land eða alþjóðastofnun er að ræða, og, ef um er að ræða miðlun sem um getur í annarri undirgrein 1. mgr. 49. gr., gögn um viðeigandi verndarráðstafanir,
  • ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 1. mgr. 32. gr.

Skjölun vegna sönnunar á reglufylgni

Vinnsluaðili skal útvega ábyrgðaraðila öll nauðsynleg skjöl til að hann geti sýnt fram á reglufylgni og til að ábyrgðaraðili eða úttektaraðili geti framkvæmt úttektir, þ.m.t. skoðanir, og veita aðstoð við slíkar úttektir. 

5) Skyldur ábyrgðaraðila gagnvart vinnsluaðila

Ábyrgðaraðili skal: 

  1. Afhenda vinnsluaðila þau gögn sem nefnd eru í kafla 2.
  2. Skrá skriflega öll fyrirmæli varðandi vinnsluna sem beint er að vinnsluaðila.
  3. Tryggja, fyrir og á meðan á vinnslu stendur, að hann starfi í samræmi við þær kröfur sem gerðar eru til hans samkvæmt almennu persónuverndarreglugerðinni.
  4. Hafa yfirumsjón með vinnslunni, þ.m.t. með því að framkvæma úttektir og skoðanir hjá vinnsluaðilanum.