Stofna reikning
Stofna reikning

Gagnavinnslusamningur

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Þetta skjal hefur verið þýtt til þæginda. Ef ósamræmi kemur upp gildir enska útgáfan.

Þessi gagnavinnslusamningur ("DPA") er hluti af samningi milli viðskiptavinar ("Ábyrgðaraðila") og Skiwo AS, sem rekur Report Securely vettvanginn ("Vinnsluaðila"), um veitingu uppljóstrunar- og öruggrar tilkynningaþjónustu ("Þjónustan"). This DPA should be read together with our Notkunarskilmálar.

Þessi DPA er gerður í samræmi við kröfur 28. gr. almennu persónuverndarreglugerðarinnar (ESB) 2016/679 ("GDPR") og gildir um vinnslu Vinnsluaðila á persónuupplýsingum fyrir hönd Ábyrgðaraðila.

1. Skilgreiningar

Hugtök sem notuð eru í þessum DPA hafa sömu merkingu og í GDPR nema annað sé skilgreint. "Persónuupplýsingar" þýðir allar persónuupplýsingar sem Vinnsluaðili vinnur fyrir hönd Ábyrgðaraðila í tengslum við Þjónustuna. "Undirvinnsluaðili" þýðir þriðji aðili sem Vinnsluaðili hefur falið að vinna persónuupplýsingar fyrir hönd Ábyrgðaraðila.

2. Umfang og tilgangur vinnslu

Vinnsluaðili vinnur persónuupplýsingar eingöngu í þeim tilgangi að veita Ábyrgðaðila Þjónustuna, eins og lýst er í aðalþjónustusamningnum og þessum DPA.

Flokkar skráðra einstaklinga eru meðal annars: tilkynnendar (uppljóstrarar), einstaklingar sem nefndir eru í tilkynningum, málameðferðaraðilar og viðurkenndir notendur innan stofnunar Ábyrgðaraðila. Tegundir persónuupplýsinga sem unnar eru geta verið meðal annars: nöfn, tengiliðaupplýsingar, innihald tilkynninga, samskipti milli tilkynnenda og málameðferðaraðila, lýsigögn mála og endurskoðunarskrár.

Tímalengd vinnslu samsvarar gildistíma aðalþjónustusamningsins, auk þess varðveislutímabils sem krafist er samkvæmt gildandi lögum eða sem samið er um milli aðila.

3. Skyldur vinnsluaðila

Vinnsluaðili skal:

  • Vinna einungis persónuupplýsingar samkvæmt skráðum fyrirmælum ábyrgðaraðila, nema lög krefjist annars
  • Tryggja að einstaklingar sem hafa heimild til að vinna persónuupplýsingar séu bundnir trúnaðarskyldu
  • Innleiða viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi í samræmi við áhættu
  • Ekki ráða annan vinnsluaðila (undirvinnsluaðila) án fyrirfram skriflegs samþykkis ábyrgðaðila
  • Aðstoða ábyrgðaraðila við að bregðast við beiðnum skráðra aðila samkvæmt 15.–22. gr. GDPR
  • Aðstoða ábyrgðaraðila við að tryggja að farið sé að 32.–36. gr. GDPR (öryggi, tilkynning um brot, áhrifamat)
  • Að vali ábyrgðaraðila, eyða eða skila öllum persónuupplýsingum við lok þjónustunnar, nema lög krefjist varðveislu
  • Veita ábyrgðaraðila allar nauðsynlegar upplýsingar til að sýna fram á að farið sé að skyldum samkvæmt þessum DPA og 28. gr. GDPR

4. Öryggisráðstafanir

Vinnsluaðilinn innleiðir og viðheldur eftirfarandi tæknilegum og skipulagslegum öryggisráðstöfunum:

  • Dulkóðun gagna í flutningi (TLS 1.2 eða hærra) og í hvíld (AES-256)
  • Hlutverkabundin aðgangsstýring með meginreglu um minnstu réttindi
  • Endurskoðunarskráning allra verulegra aðgerða innan kerfisins
  • Reglulegar öryggiskannanir og varnarleysimat
  • Örugg hugbúnaðarþróunarvinnubrögð í samræmi við OWASP leiðbeiningar
  • Sjálfvirk öryggisafrit með dulkóðuðu geymslusvæði
  • Strangar öryggishausa (HSTS, CSP, X-Frame-Options)

Vinnsluaðilinn endurskoðar og uppfærir þessar ráðstafanir reglulega til að endurspegla núverandi tækniþróun og eðli, umfang og tilgang vinnslu.

5. Undirvinnsluaðilar

Ábyrgðaraðilinn veitir almenna heimild fyrir vinnsluaðilann til að ráða undirvinnsluaðila, með fyrirvara um skilyrði í þessum kafla.

Vinnsluaðilinn skal tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar varðandi viðbót eða skipti á undirvinnsluaðilum og gefa ábyrgðaraðilanum tækifæri til að andmæla slíkum breytingum.

Þegar vinnsluaðilinn ræður undirvinnsluaðila skal hann leggja sömu gagnaverndarskyldur á hann og settar eru fram í þessum gagnavinnslusamningi með samningi, og tryggja að undirvinnsluaðilinn veiti fullnægjandi tryggingar um innleiðingu viðeigandi tæknilegra og skipulagslegra ráðstöfuna.

Vinnsluaðilinn ber fulla ábyrgð gagnvart ábyrgðaraðilanum á framkvæmd skyldna undirvinnsluaðilans.

6. Gagnaflutningar

Öll persónuupplýsingar eru geymdar og unnar innan Evrópska efnahagssvæðisins (EES).

Vinnsluaðili skal ekki flytja persónuupplýsingar til lands utan EES eða til alþjóðlegrar stofnunar nema: (a) ábyrgðaraðili hafi veitt fyrirfram skriflegt leyfi, og (b) viðeigandi verndarráðstafanir séu til staðar í samræmi við V. kafla GDPR, svo sem staðlaðir samningsskilmálar ESB eða fullnægjandi ákvörðun framkvæmdastjórnar Evrópusambandsins.

7. Tilkynning um öryggisbrest

Vinnsluaðili skal tilkynna ábyrgðaraðila án ótilhlýðilegrar tafar eftir að hafa orðið var við öryggisbrest varðandi persónuupplýsingar sem unnar eru samkvæmt þessum DPA.

Tilkynningin skal innihalda: lýsingu á eðli brestsins, flokkum og áætluðum fjölda skráðra einstaklinga sem málið varðar, líklegum afleiðingum brestsins og þeim ráðstöfunum sem gripið hefur verið til eða lagt til að bregðast við brestinum.

8. Endurskoðunarréttur

Vinnsluaðili skal veita ábyrgðaraðila allar upplýsingar sem nauðsynlegar eru til að sýna fram á að farið sé að þeim skyldum sem mælt er fyrir um í 28. gr. GDPR og þessum DPA, og skal leyfa og stuðla að endurskoðun, þar með talið skoðunum, sem ábyrgðaraðili eða annar endurskoðandi sem ábyrgðaraðili hefur falið framkvæmir.

Endurskoðun skal fara fram með hæfilegum fyrirvara og á venjulegum vinnutíma, og skal ekki trufla starfsemi vinnsluaðila með óeðlilegum hætti.

9. Eyðing og skil á gögnum

Við lok þjónustunnar skal vinnsluaðili, að vali ábyrgðaraðila, eyða eða skila öllum persónuupplýsingum til ábyrgðaraðila og eyða fyrirliggjandi afritum, nema gildandi lög krefjist áframhaldandi geymslu.

Ábyrgðaraðili getur óskað eftir útflutningi gagna á almennu, véllesanlegu sniði fyrir lok samnings.

10. Ábyrgð

Ábyrgð hvors aðila samkvæmt þessum DPA er háð þeim takmörkunum og undanþágum sem settar eru fram í aðalþjónustusamningi aðilanna.

Ekkert í þessum DPA takmarkar ábyrgð hvors aðila fyrir brotum á persónuverndarlögum að því marki sem slík ábyrgð verður ekki takmörkuð samkvæmt gildandi lögum.

11. Gildandi lög

Þessi DPA lýtur norskum lögum. Öll ágreiningur sem stafar af eða tengist þessum DPA skal háður einkaréttarvaldi Héraðsdóms Ósló, nema þvingandi lög kveði á um annað.

12. Tengiliður

Fyrir spurningar varðandi þennan DPA eða persónuverndarmál, hafðu samband:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com