VINNSLUSAMNINGUR – SKILMÁLAR TÍMATALS EHF.

Skilmálar þessir varða vinnslu Tímatals ehf., kt. 450310-0690, Skipholti 11-13, 105 Reykjavík (hér eftir einnig vísað til „félagsins“ eða „vinnsluaðila“), á persónuupplýsingum fyrir hönd viðskiptavinar (hér eftir einnig vísað til „ábyrgðaraðila“) í tengslum við þá þjónustu sem félagið veitir viðskiptavin.

Sú þjónusta sem um ræðir felst í notkun á tímabókunar- og afgreiðslukerfinu Tímatal og/eða netbókunarkerfinu Noona og gilda skilmálarnir um þá þjónustu sem viðskiptavinur kaupir af félaginu hverju sinni. 

Í tengslum við þá vinnslu sem á sér stað með notkun á Tímatali og Noona, eftir því sem við á, kemur viðskiptavinur fram sem svokallaður ábyrgðaraðili í skilning persónuverndarlaga og félagið sem svokallaður vinnsluaðili. 

Tilgangur skilmála þessara er að tilgreina sérstaklega þær skyldur sem hvíla á vinnsluaðila í tengslum við þá þjónustu sem hann sinnir fyrir hönd ábyrgðaraðila og tryggja að unnið sé með persónuupplýsingar í samræmi við gildandi löggjöf.

Með persónuverndarlögum er átt við reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga („GDPR“), íslensk persónuverndarlög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og eftir atvikum aðra löggjöf þess Evrópusambandsríkis þar sem ábyrgðaraðili hefur staðfestu.

  1. Umsamin vinnsla

Þjónusta vinnsluaðila felst í því að veita ábyrgðaraðila leyfi til að nota Tímatal og/eða Noona (hér eftir einnig vísað til "kerfanna"), tæknilega aðstoð í tengslum við notkun á kerfunum, hýsingu á þeim upplýsingum sem settar eru inn í kerfin og þá þjónustu að senda viðskiptavinum áminningu um bókaða þjónustu (hér eftir sameiginlega vísað í „þjónustuna“). 

Til þess að geta veitt viðskiptavininum þjónustuna er félaginu nauðsynlegt að vinna með tilgreindar persónuupplýsingar.

Í tengslum við Tímatal vinnur vinnsluaðili með eftirfarandi persónuupplýsingar fyrir hönd ábyrgðaraðila, eftir því sem við á:

  • Notendur kerfisins (s.s. starfsmenn ábyrgðaraðila);
  • tengiliðaupplýsingar, þ.e. upplýsingar um nafn, símanúmer og netfang
  • upplýsingar um tímabókanir hjá notendum og eftir atvikum frídaga
  • aðgerðarskráningar notanda í kerfinu
  • upplýsingar er tengjast beiðnum um tæknilega aðstoð


  • Viðskiptavini ábyrgðaraðila (þ.m.t. viðskiptavini notenda kerfisins);
  • þær upplýsingar sem ábyrgðaraðili skráir inn í kerfið, s.s.:
  • tengiliðaupplýsingar, þ.e. upplýsingar um nafn, kennitölu, símanúmer og netfang
  • viðskiptasaga, þ.e. listi yfir tímapantanir viðskiptavinar hjá ábyrgðaraðila
  • athugasemdir og minnispunktar sem ábyrgðaraðili skrifar í kerfið, þ.m.t. hvað varðar þjónustu við viðskiptavini
  • upplýsingar er tengjast mætingu og skrópum viðskiptavinar 
  • myndir og viðhengi


Í tengslum við Noona vinnur vinnsluaðili með eftirfarandi persónuupplýsingar fyrir hönd ábyrgðaraðila, eftir því sem við á:


  • Viðskiptavini ábyrgðaraðila (þ.m.t. viðskiptavini notenda kerfisins);
  • tengiliðaupplýsingar, þ.e. upplýsingar um nafn, kennitölu, heimilisfang, símanúmer og netfang
  • viðskiptasaga, þ.e. listi yfir allar tímabókanir viðskiptavinar hjá ábyrgðaraðila og eftir atvikum tegund þjónustu


Í tengslum við bæði kerfi tekur vinnsluaðili að sér að senda skilaboð til viðskiptavina fyrir hönd ábyrgðaraðila, s.s. í gegnum tölvupóst, smáskilaboð og tilkynningar í smáforriti. Í tengslum við slíka þjónustu er unnið með upplýsingar um nafn, netfang, símanúmer og efni skilaboða. 


Þá tekur vinnsluaðili jafnframt að sér að birta viðskiptavinum ábyrgðaraðila upplýsingar um bókunarsögu hjá ábyrgðaraðila í gegnum smáforritið Noona, í þeim tilvikum er notendur sækja sér forritið. Í gegnum smáforritið geta viðskiptavinir ábyrgðaraðila vistað upplýsingar um ábyrgðaraðila og þjónustu hans í „uppáhalds“ og pantað tíma hjá ábyrgðaraðila í gegnum smáforritið. 


  1. Skyldur vinnsluaðila 


  1. Fyrirmæli ábyrgðaraðila

Vinnsluaðili skal eingöngu vinna persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila og tilgang vinnslunnar eins og honum er lýst í skilmálum þessum. Telji vinnsluaðili að fyrirmæli ábyrgðaraðila brjóti í bága við persónuverndarlög skal vinnsluaðili tilkynna ábyrgðaraðila um slíkt. 

Þrátt fyrir ofangreint skal vinnsluaðila þó heimilt að óska eftir samþykki hinna skráðu, þ.m.t. frá viðskiptavinum ábyrgðaraðila, til að vinna með upplýsingar þær sem vinnsluaðili vinnur fyrir hönd ábyrgðaraðila á grundvelli skilmála þessara. Á það t.a.m. við um upplýsingar um viðskiptasögu viðskiptavina. Í tengslum við slíka vinnslu kemur vinnsluaðili fram sem sjálfstæður ábyrgðaraðili og er sú vinnsla óháð þeirri vinnslu sem kveðið er á um í skilmálum þessum. 

Á grundvelli skilmála þessara skal vinnsluaðila jafnframt heimilt að vinna með upplýsingar þær sem safnast með notkun á kerfunum með ópersónugreinanlegum hætti, þ.á m. í þeim tilgangi að þróa og bæta gæði þjónustunnar. 

Vinnsluaðila skal óheimilt að flytja persónuupplýsingar þær sem vinnsluaðili vinnur fyrir hönd ábyrgðaraðila utan Evrópska efnahagssvæðisins nema á grundvelli sérstaks samþykkis ábyrgðaraðila.

  1. Trúnaðarskylda starfsmanna   

Vinnsluaðili skal tryggja að þeir starfsmenn sem hafa aðgang að persónuupplýsingum ábyrgðaraðila hafi skrifað undir trúnaðaryfirlýsingu. 

  1. Öryggisráðstafanir

Vinnsluaðili ábyrgist að viðhafa viðeigandi og fullnægjandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja nægilegt öryggi persónuupplýsinganna og vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegum aðgangi og gegn allri annarri ólögmætri vinnslu. Skulu ráðstafanirnar taka mið af nýjustu tækni, kostnað við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu.

  1. Öryggisbrestir

Verði vinnsluaðili var við öryggisbrest við meðferð persónuupplýsinga fyrir hönd ábyrgðaraðila skal vinnsluaðili án ótilhlýðilegrar tafar tilkynna ábyrgðaraðila um slíkan brest. Í slíkri tilkynningu skal vinnsluaðili eftir fremsta megni lýsa brestinum, þ.m.t. eðli brestsins og afleiðingum hans.  

  1. Réttindi hinna skráðu

Vinnsluaðili skal eftir fremsta megni aðstoða ábyrgðaraðila við að verða við beiðnum frá hinum skráðu er tengjast réttindum þeirra á grundvelli persónuverndarlaga, s.s. aðgangs- og eyðingarbeiðnir. 

  1. Aðgangur að persónuupplýsingum og úttekt

Vinnsluaðili skal veita ábyrgðaraðila aðgang að upplýsingum sem eru nauðsynlegar til þess að sýna fram á að skyldum samkvæmt persónuverndarlögum hafi verið fylgt. Þá skal vinnsluaðili veita ábyrgðaraðila, eða þeim þriðja aðila sem ábyrgðaraðili tilnefnir, kost á að framkvæma úttekt á vinnslu vinnsluaðila á persónuupplýsingum fyrir hönd ábyrgðaraðila.

  1. Skil eða eyðing persónuupplýsinga

Á meðan vinnsluaðili vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila er þeim síðarnefnda hvenær sem er heimilt að óska eftir því að vinnsluaðili eyði þeim persónuupplýsingum sem hann vinnur fyrir hönd ábyrgðaraðila. Við lok þjónustusambands skal vinnsluaðili jafnframt skila og/eða eyða þeim persónuupplýsingum sem vinnsluaðili vinnur fyrir hönd ábyrgðaraðila, á grundvelli fyrirmæli ábyrgðaraðila þar um. Fái vinnsluaðili engin fyrirmæli um eyðingu frá ábyrgðaraðila skal vinnsluaðila heimilt að eyða upplýsingunum innan árs frá því að viðskiptasambandi aðila lauk.  

Hafi vinnsluaðili aflað sérstaks samþykkis frá hinum skráðu hvað varðar vinnslu á þeim upplýsingum sem jafnframt eru unnar fyrir hönd ábyrgðaraðila á grundvelli þessara skilmála, skal vinnsluaðila þó ekki skylt að eyða þeim upplýsingum. 

  1. Skyldur ábyrgðaraðila

Ábyrgðaraðili ábyrgist að hann hafi heimild til að fela vinnsluaðila vinnslu þeirra persónuupplýsinga sem færðar eru í kerfin, að heimild sé til grundvallar vinnslunnar, að hinir skráðu hafi fengið fullnægjandi fræðslu um vinnsluna og að hann uppfylli að öðru leyti þær skyldur sem á honum hvíla á grundvelli persónuverndarlaga. 

  1. Notkun undirvinnsluaðila

Vinnsluaðila skal heimilt að fela undirvinnsluaðila vinnslu þá sem kveðið er á um í skilmálum þessum, í heild eða að hluta, enda tryggi vinnsluaðili að undirvinnsluaðili undirgangist sömu skyldur og hvíla á vinnsluaðila á grundvelli þeirra. 

Í viðauka við skilmála þessa er kveðið á um þá undirvinnsluaðila sem vinnsluaðili nýtir. Verði gerðar breytingar á því og bæti vinnsluaðili við nýjum vinnsluaðila skal vinnsluaðila skylt að tilkynna ábyrgðaraðila um slíka breytingu og gefa honum kost á að andmæla innan 30 daga. 

Jafnvel þó svo að vinnsluaðili nýti undirvinnsluaðila skal vinnsluaðili þó bera ábyrgð á allri vinnslu sem fer fram á grundvelli skilmála þessara gagnvart ábyrgðaraðila. 

  1. Gildistími

Skilmálar þessir skulu gilda svo lengi sem aðilar eiga í viðskiptasambandi og vinnsluaðili vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila. 

  1. Lögsaga o.fl.

Um skilmála þessa gilda íslensk lög. Rísi ágreiningur vegna skilmála þessa skal mál vegna hans rekið fyrir Héraðsdómi Reykjavíkur. 

Viðauki við skilmála – listi yfir undirvinnsluaðila


Í tengslum við þjónustu þá er tengist notkun viðskiptavinar á kerfunum nýtir vinnsluaðili eftirfarandi undirvinnsluaðila:

Compose

Félagið notar Compose til þess að hýsa gagnagrunna félagsins. Compose uppfyllir alla helstu alþjóðlegu öryggisstaðla og það hýsir gagnagrunna hjá mörgum alþjóðlegum hugbúnaðarfyrirtækjum. Compose er í eigu IBM. 

Gagnagrunnurinn er hýstur í Írlandi, en Írland er innan Evrópska efnahagssvæðisins.

Sjá nánar, https://www.compose.com/terms-of-service.

AWS

Félagið notar Amazon Web Services (AWS) til þess að geyma myndir og viðhengi sem notendur ákveða að geyma inni í kerfinu. AWS er einnig sá aðili sem hýsir vefkerfið sjálft.

Gagnagrunnurinn er hýstur í Írlandi, en Írland er innan Evrópska efnahagssvæðisins.

Sjá nánar, https://aws.amazon.com/privacy/

Intercom

Félagið notar Intercom til þess að fá beina samskiptaleið við þá notendur sem nota kerfið okkar, s.s. í tengslum við notendaaðstoð og til að senda skilaboð. Intercom geymir samtöl og nöfn fyrirtækja.

Sjá nánar, https://www.intercom.com/terms-and-policies#privacy

Síminn hf.

Félagið sendir smáskilaboð fyrir hönd ábyrgðaraðila í gegnum vefþjónustu Símans. Síminn heldur ekki utan um skilaboðin sjálf.

Sjá nánar, https://www.sa.is/media/2739/siminn-og-personuvernd.pdf