Vinnslusamningur

Payday ehf (félag í Visma samstæðunni) er vinnsluaðili og viðskiptavinur er ábyrgðaraðili, héðan í frá hver um sig nefndur „Vinnsluaðili“, „Ábyrgðaraðili“ eða „Aðili“ og sameiginlega sem „Aðilar“.

1.1. Báðir aðilar staðfesta að undirritaður hefur umboð til að gera þennan vinnslusamning („Samningur“). Samningur þessi mun vera hluti af og stjórna vinnslu persónuupplýsinga sem tengjast eftirfarandi þjónustusamningi („Þjónustusamningur“) milli aðila:

• Skilmálar Payday

2.1. Skilgreiningin á persónuupplýsingum, sérstökum flokkum persónuupplýsinga (viðkvæmar persónuupplýsingar), vinnsla persónuupplýsinga, hinir skráðu, ábyrgðaraðila og vinnsluaðila jafngildir því hvernig hugtökin eru notuð og túlkuð í viðeigandi persónuverndarlöggjöf, þar á meðal ESB 2016/679 persónuverndarreglugerð („GDPR“).

3.1. Samningurinn kveður á um vinnslu vinnsluaðila á persónuupplýsingum fyrir hönd ábyrgðaraðila og útlistar hvernig vinnsluaðili skal stuðla að því að tryggja friðhelgi einkalífs fyrir hönd ábyrgðaraðila og hins skráða, með tæknilegum og skipulagslegum ráðstöfunum í samræmi við viðeigandi persónuverndarlöggjöf, þar á meðal GDPR.

3.2. Tilgangurinn á bak við vinnslu vinnsluaðila á persónuupplýsingum fyrir hönd ábyrgðaraðila er að uppfylla þjónustusamning.

3.3. Samningur þessi hefur forgang fram yfir öll andstæð ákvæði varðandi vinnslu persónuupplýsinga í þjónustusamningum eða öðrum fyrri samningum eða skriflegum samskiptum milli aðila. Samningur þessi gildir eins lengi og samið er um í viðauka A.

4.1. Vinnsluaðili skal eingöngu vinna persónuupplýsingar fyrir hönd og í samræmi við skrifleg fyrirmæli ábyrgðaraðila. Með því að ganga til þessa samnings felur ábyrgðaraðili vinnsluaðila að vinna persónuupplýsingar á eftirfarandi hátt; i) aðeins í samræmi við gildandi lög, ii) að uppfylla allar skyldur samkvæmt þjónustusamningnum, iii) eins og nánar er tilgreint með venjulegri notkun ábyrgðaraðila á þjónustu vinnsluaðila og iv) eins og tilgreint er í þessum samningi.

4.2. Vinnsluaðili hefur enga ástæðu til að ætla að löggjöf sem um hann gildir komi í veg fyrir að vinnsluaðili uppfylli ofangreind fyrirmæli. Vinnsluaðili skal, þegar honum verður kunnugt, tilkynna ábyrgðaraðila um fyrirmæli eða aðra vinnslustarfsemi ábyrgðaraðila sem brýtur að mati vinnsluaðila í bága við gildandi persónuverndarlöggjöf.

4.3. Flokkar hinna skráðu og persónuupplýsinga sem falla undir vinnslu samkvæmt samningi þessum eru útlistaðir í viðauka A.

4.4. Vinnsluaðili skal tryggja að trúnaður, heiðarleiki og aðgengi persónuupplýsinga sé í samræmi við persónuverndarlöggjöf sem gildir um vinnsluaðila. Vinnsluaðili skal innleiða kerfisbundnar, skipulagslegar og tæknilegar ráðstafanir til að tryggja viðeigandi öryggisstig, að teknu tilliti til nýjustu tækni og kostnaðar við framkvæmd í tengslum við áhættuna sem vinnslan felur í sér og eðli persónuupplýsinganna sem á að vernda.

4.5. Vinnsluaðili skal aðstoða ábyrgðaraðila með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, að því marki sem unnt er og með hliðsjón af eðli vinnslunnar og þeirra upplýsinga sem vinnsluaðila eru tiltækar, við að uppfylla skyldur ábyrgðaraðila samkvæmt gildandi persónuverndarlögum að því er varðar beiðni frá hinum skráðu, og almenna persónuvernd samkvæmt GDPR grein 32 til 36.

4.6. Ef ábyrgðaraðili þarfnast upplýsinga eða aðstoðar varðandi öryggisráðstafanir, skjöl eða annars konar upplýsingar um hvernig vinnsluaðili vinnur persónuupplýsingar og slíkar beiðnir fara fram úr þeim stöðluðu upplýsingum sem vinnsluaðili veitir til að uppfylla gildandi persónuverndarlöggjöf sem vinnsluaðili getur vinnsluaðilinn krafið ábyrgðaraðila greiðslu fyrir slíkri beiðni um viðbótarþjónustu.

4.7. Vinnsluaðili og starfsmenn hans skulu gæta trúnaðar um þær persónuupplýsingar sem vinnsluskyldar eru í samræmi við samninginn. Ákvæði þetta gildir einnig eftir uppsögn samningsins.

4.8. Vinnsluaðili mun, með því að tilkynna ábyrgðaraðila án tafar, gera ábyrgðaraðila kleift að uppfylla lagaskilyrði varðandi tilkynningar til viðeigandi eftirlitsstofnunar (Persónuvernd) eða hinna skráðu um öryggisbrest.

Ennfremur mun vinnsluaðilinn, að því marki sem það er viðeigandi og löglegt, tilkynna ábyrgðaraðila um; i) beiðnir um birtingu persónuupplýsinga sem berast frá hinum skráðu, ii) beiðnir um birtingu persónuupplýsinga frá stjórnvöldum, svo sem lögreglu

4.9. Vinnsluaðili skal tryggja að einstaklingar sem hafa rétt til að vinna með persónuupplýsingar hafi skuldbundið sig til þagnarskyldu eða séu undir viðeigandi lögbundinni þagnarskyldu.

4.10. Vinnsluaðili mun ekki bregðast beint við beiðnum frá hinum skráðu nema með leyfi ábyrgðaraðila til þess. Vinnsluaðilinn mun ekki birta upplýsingar tengdar þessum samningi til stjórnvalda eins og lögreglu, samkvæmt skilgreiningu á persónuupplýsingum hér að neðan, nema samkvæmt lögum, svo sem með dómsúrskurði eða sambærilegri heimild.

4.11. Vinnsluaðili ræður ekki hvort og hvernig ábyrgðaraðili notar samþættingu þriðja aðila í gegnum API vinnsluaðila eða álíka og því hefur vinnsluaðilinn ekkert eignarhald á áhættu í þessu sambandi. Ábyrgðaraðili ber einn ábyrgð á samþættingu þriðja aðila.

4.12. Vinnsluaðilinn gæti unnið úr persónuupplýsingum um notendur og notkun ábyrgðaraðila á þjónustunni þegar það er nauðsynlegt til að fá endurgjöf og bæta þjónustuna. Ábyrgðaraðili veitir vinnsluaðila rétt til að nota og greina samansöfnuð kerfisgögn sem tengjast notkun þinni á þjónustunni í þeim tilgangi að hagræða, bæta eða bæta hvernig vinnsluaðilinn veitir þjónustuna og gera vinnsluaðila kleift að búa til nýja eiginleika og virkni í tengingu við þjónustuna. Payday ehf telst ábyrgðaraðili slíkrar vinnslu og fellur vinnslan því ekki undir þennan samning.

4.13. Þegar þú notar þjónustuna mun ábyrgðaraðili bæta gögnum við hugbúnaðinn ("gögn viðskiptavina"). Ábyrgðaraðili viðurkennir og mótmælir ekki því að vinnsluaðili noti gögn viðskiptavina á samansöfnuðu og nafnlausu sniði til að bæta þjónustu sem veitt er viðskiptavinum, í rannsóknir, í þjálfun, í fræðslu og/eða tölfræðilega tilgangi.

5.1. Ábyrgðaraðili staðfestir með samþykki þessa samnings að:

• Ábyrgðaraðili hefur lagalega heimild til að vinna úr og birta vinnsluaðilanum (þar á meðal hvers kyns undirvinnsluaðilum sem vinnsluaðilinn notar) umræddar persónuupplýsingar.

• Ábyrgðaraðili ber ábyrgð á nákvæmni, heilindum, innihaldi, áreiðanleika og lögmæti þeirra persónuupplýsinga sem afhentar eru vinnsluaðila.

• Ábyrgðaraðili hefur uppfyllt skyldur sínar til að veita hinum skráðu og yfirvöldum viðeigandi upplýsingar um vinnslu persónuupplýsinga samkvæmt lögboðnum persónuverndarlögum.

• Ábyrgðaraðili skal, þegar hann notar þá þjónustu sem vinnsluaðilinn veitir samkvæmt þjónustusamningnum, ekki miðla neinum viðkvæmum persónuupplýsingum til vinnsluaðilans, nema það sé sérstaklega samþykkt í viðauka A við samning þennan.

6.1. Sem hluti af afhendingu þjónustu til ábyrgðaraðila samkvæmt þjónustusamningum og samningi þessum mun vinnsluaðili nýta sér undirvinnsluaðila og veitir ábyrgðaraðili almennt samþykki sitt fyrir notkun undirvinnsluaðila. Slíkir undirvinnsluaðilar geta verið önnur fyrirtæki innan Visma Group eða utanaðkomandi undirvinnsluaðilar þriðju aðila. Allir undirvinnsluaðilar eru innifaldir í viðauka B. Vinnsluaðili skal tryggja að undirvinnsluaðilar samþykki að axla ábyrgð sem samsvarar þeim skyldum sem settar eru fram í samningi þessum.

6.2. Ef undirvinnsluaðilar eru staðsettir utan ESB eða EES veitir ábyrgðaraðili vinnsluaðila heimild til að tryggja viðeigandi lagalegar forsendur fyrir flutningi persónuupplýsinga úr ESB/EES fyrir hönd ábyrgðaraðila, með því að ganga inn í staðlaða samningsákvæði ESB ( SCC).

6.3. Ábyrgðaraðila skal tilkynnt fyrirfram um allar breytingar á undirvinnsluaðilum sem vinna persónuupplýsingar. Ef ábyrgðaraðili mótmælir nýjum undirvinnsluaðila innan 30 daga eftir að tilkynning er gefin skulu vinnsluaðili og ábyrgðaraðili yfirfara skjöl um eftirfylgni undirvinnsluaðila til að tryggja að viðeigandi persónuverndarlöggjöf sé uppfyllt. Ef ábyrgðaraðili mótmælir enn og hefur fyrir því gildar ástæður, getur ábyrgðaraðili ekki undanskilið sig frá notkun slíks undirvinnsluaðila (sérstaklega vegna eðlis staðlaðs hugbúnaðar á netinu), en viðskiptavinur getur sagt upp þjónustusamningi sem undirvinnsluaðili er hluti af.

7.1. Vinnsluaðili er skuldbundinn til að veita öryggi á háu stigi í vörum sínum og þjónustu. Vinnsluaðilinn veitir öryggisstig sitt með skipulögðum, tæknilegum og líkamlegum öryggisráðstöfunum, í samræmi við kröfur um upplýsinga öryggisráðstafanir sem lýst er í GDPR grein 32.

7.2. Ábyrgðaraðili skal bera ábyrgð á viðeigandi og fullnægjandi öryggi búnaðar og upplýsingatækniumhverfis á hans ábyrgð.

8.1. Ábyrgðaraðili getur gert úttekt á hvort vinnsluaðili fylgi samningi þessum allt að einu sinni á ári. Ef þess er krafist í lögum sem gilda um ábyrgðaraðila getur hann óskað eftir úttekt oftar. Til að óska ​​eftir úttekt þarf ábyrgðaraðili að skila ítarlegri úttektaráætlun að minnsta kosti fjórum vikum fyrir fyrirhugaðan úttektardag til vinnsluaðila, þar sem fram kemur fyrirhugað umfang, lengd og upphafsdagur úttektar. Ef einhver þriðji aðili á að annast úttektina þarf hún að meginreglu að vera samþykkt af báðum aðilum. Hins vegar, ef vinnsluumhverfið er fjölleigjanda umhverfi eða álíka, veitir ábyrgðaraðili vinnsluaðila heimild til að ákveða, af öryggisástæðum, að úttektir skuli framkvæmdar af hlutlausum þriðja aðila að eigin vali vinnsluaðila.

8.2. Ef fjallað er um umbeðið úttektar umfang í ISAE, ISO eða sambærilegri skýrslu sem unnin er af viðurkenndum endurskoðanda þriðja aðila á undangengnum tólf mánuðum og vinnsluaðili staðfestir að engar þekktar efnislegar breytingar séu á þeim ráðstöfunum sem teknar voru út, samþykkir ábyrgðaraðili að samþykkja þær niðurstöður í stað þess að fara fram á nýja úttekt á þeim aðgerðum sem skýrslan tekur til.

8.3. Í öllum tilvikum verða úttektir að fara fram á venjulegum vinnutíma á viðeigandi stað, með fyrirvara um stefnu vinnsluaðila, og mega ekki trufla starfsemi vinnsluaðila á óeðlilegan hátt.

8.4. Ábyrgðaraðili ber ábyrgð á kostnaði sem hlýst af umbeðnum úttektum ábyrgðaraðila. Beiðnir um aðstoð frá vinnsluaðila kunna að vera gjaldskyldar.

9.1. Samningur þessi gildir svo lengi sem vinnsluaðili vinnur með persónuupplýsingar fyrir hönd ábyrgðaraðila eftir þjónustusamninga eða eins og samið er um á annan hátt í viðauka A.

9.2. Samningi þessum er sjálfkrafa sagt upp við uppsögn þjónustusamnings. Við uppsögn samnings þessa mun vinnsluaðili skila og gera persónuupplýsingar sem unnið er fyrir hönd ábyrgðaraðila nafnlausar, í samræmi við viðeigandi ákvæði í þjónustusamningnum. Þetta mun eiga sér stað eins fljótt og raun ber vitni, nema ESB eða yfirvöld krefjist frekari geymslu. Nema annað sé samið skriflega skal kostnaður við slíkar aðgerðir miðast við; i) tímagjald fyrir þann tíma sem vinnsluaðili ver í verkið og ii) flækjustigi þess ferlis sem óskað er eftir.

10.1. Breytingar á þessum samningi skulu fylgja breytingum og breytingaákvæðum í þjónustusamningnum.

10.2. Ef einhver ákvæði í þessum samningi falla úr gildi hefur það ekki áhrif á þau ákvæði sem eftir eru. Aðilar skulu skipta um ógilda ákvæðið fyrir löglegt ákvæði sem endurspeglar tilgang ógilda ákvæðisins.

11.1. Til að taka af allan vafa eru samningsaðilar sammála og viðurkenna að hver samningsaðili skuli vera ábyrgur fyrir og dreginn til ábyrgðar á að greiða stjórnvaldssektir og skaðabætur beint til hinna skráðu sem samningsaðili hefur verið gert að greiða af persónuverndaryfirvöldum eða viðurkenndum dómstólum skv. persónuverndarlöggjöf. Um ábyrgðarmál aðila fer eftir ábyrgðarákvæðum í þjónustusamningi aðila.

12.1. Samningur þessi fellur undir gildandi lög og varnarþing eins og fram kemur í þjónustusamningi aðila.

A.1 Flokkar hinna skráðu

• Viðskiptavinir ábyrgðaraðila
• Starfsmenn ábyrgðaraðila

A.2 Flokkar persónuupplýsinga

• Nafn, kennitala, heimilisfang og netfang
• Laun, lífeyrissjóðsaðild, stéttarfélagsaðild, persónuafsláttur og starfshlutfall (á við ef ábyrgðaraðili notar launaþjónustu Payday)

A.3 Sérstakir flokkar persónuupplýsinga (viðkvæmar persónuupplýsingar)

Til þess að vinnsluaðili geti unnið slík gögn fyrir hönd ábyrgðaraðila þarf ábyrgðaraðili að tilgreina þær tegundir viðkvæmra persónuupplýsinga sem um ræðir hér að neðan.

Ábyrgðaraðili ber einnig ábyrgð á að upplýsa vinnsluaðila um, og tilgreina hér að neðan, allar viðbótartegundir viðkvæmra persónuupplýsinga í samræmi við gildandi persónuverndarlöggjöf.

A.4 Tilgangur vinnslunnar

Tilgangur vinnslu persónuupplýsinga vinnsluaðila fyrir hönd ábyrgðaraðila er að veita þjónustu í samræmi við þjónustusamning.

A.5 Eðli vinnslunnar

Vinnsla vinnsluaðila á persónuupplýsingum fyrir hönd ábyrgðaraðila skal aðallega lúta að (eðli vinnslunnar) geyma/hýsa, skrá, prófa, breyta, tilkynna, greina, senda, deila.

A.6 Lengd vinnslunnar:

Lengd vinnslu persónuupplýsinga er svo framarlega sem þjónustusamningurinn gildir.