Rektor — contractor operating systemRektor

Vinnslusamningsskilmálar

1. Efni og gildissvið

Þessir vinnslusamningsskilmálar („skilmálar") gilda um vinnslu persónuupplýsinga af hálfu félagsins Rektor AI ehf., kt. 591125-0440 („Rektor" eða „félagið"), fyrir hönd viðskiptavinar sem nauðsynleg er í tengslum við notkun viðskiptavinar á hugbúnaðinum „Rektor" (einnig vísað til „kerfisins").

Notkun viðskiptavinar á kerfinu byggir á leyfis- og notendaskilmálum félagsins og skulu þessir skilmálar teljast hluti þeirra.

Skilmálarnir eru ígildi vinnslusamnings milli Rektor, sem vinnsluaðila, og viðskiptavinar, sem ábyrgðaraðila, í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög").

Í skilmálum þessum er jafnframt vísað til félagsins sem „vinnsluaðila", viðskiptavinar sem „ábyrgðaraðila" og til þeirra sameiginlega sem „aðila".

2. Umfang vinnslu

Á grundvelli þessara skilmála felur ábyrgðaraðili vinnsluaðila að vinna þær persónuupplýsingar sem ábyrgðaraðili og notendur kerfisins, á hans vegum, setja inn í kerfið. Vinnsluaðila er nauðsynlegt að vinna með upplýsingarnar í tengslum við hýsingu og tæknilega aðstoð.

Þær persónuupplýsingar sem unnið er með í kerfinu tilheyra í flestum tilvikum annars vegar viðskiptavinum ábyrgðaraðila, eða mögulegum viðskiptavinum, og hins vegar starfsfólki ábyrgðaraðila og/eða verktökum (sameiginlega vísað til „hinna skráðu").

Það hvaða flokka persónuupplýsinga vinnsluaðila er nauðsynlegt að vinna á grundvelli skilmála þessara fyrir hönd ábyrgðaraðila ræðst af því hvaða eiginleika kerfisins ábyrgðaraðili nýtir og hvaða upplýsingar hann setur inn í kerfið.

Á meðal þeirra upplýsinga sem almennt má gera ráð fyrir að ábyrgðaraðili setji inn í kerfið, og ábyrgðaraðili felur vinnsluaðila að vinna fyrir sína hönd (sameiginlega „persónuupplýsingar"), eru:

Viðskiptavinir/mögulegir viðskiptavinir ábyrgðaraðila

  • Nafn og kennitala
  • Tengiliðaupplýsingar, s.s. netfang, símanúmer og heimilisfang
  • Afrit af tilboði í verk
  • Upplýsingar um verk og aukaverk (s.s. tímalína, skýrslur, framvindur, ljósmyndir af verki o.s.frv.)
  • Afrit af reikningum
  • Samskipti

Notendur kerfisins

  • Nafn, netfang, símanúmer
  • Kennitala í tengslum við rafræna auðkenningu
  • Notendanafn og lykilorð
  • Rödd (nýti notendur raddstýringu)

Starfsfólk/verktakar

  • Nafn og kennitala
  • Tengiliðaupplýsingar, s.s. netfang, símanúmer og heimilisfang
  • Launatengdar upplýsingar (s.s. fjárhæð launa, tímaskráningar á verk og viðvera á verkstað, uppl. um aðild að stéttarfélagi og/eða lífeyrissjóði, veikindi, frí o.s.frv.)
  • Upplýsingar um þátttöku og vinnuframlag í tengslum við einstök verkefni
  • Staðsetning (GPS) við inn- og útskráningu (ef sérstaklega valið)
  • Samskipti

Feli ábyrgðaraðili vinnsluaðila að smíða viðbætur við kerfið eða þróa sérstaka eiginleika, vinnur vinnsluaðili auk þess með þær persónuupplýsingar sem ábyrgðaraðili setur inn í slíkar viðbætur.

3. Skyldur ábyrgðaraðila

Ábyrgðaraðili skal tryggja að hann uppfylli þær lagaskyldur sem á honum hvíla samkvæmt persónuverndarlögum, þ.m.t. að veita skráðum aðilum fullnægjandi fræðslu og að heimild liggi til grundvallar vinnslu.

Ábyrgðaraðili skal tryggja að hann hafi heimild til að útvista vinnslu til vinnsluaðila, hvað varðar allar þær upplýsingar sem hann og notendur setja inn í kerfið.

Ábyrgðaraðili skal bera ábyrgð á þeim fyrirmælum sem hann gefur vinnsluaðila.

4. Skyldur vinnsluaðila

4.1 Fyrirmæli ábyrgðaraðila

Vinnsluaðili skal einungis vinna persónuupplýsingar að því marki sem nauðsynlegt er til að veita ábyrgðaraðila þjónustuna og aðgang að kerfinu, sem og til þess að uppfylla skrifleg fyrirmæli frá ábyrgðaraðila.

Ábyrgðaraðili ber ábyrgð á að stjórna aðgangi notenda sinna að kerfinu.

Óski ábyrgðaraðili eftir því að utanaðkomandi aðilar, s.s. bókari, fái sendar upplýsingar úr kerfinu lítur vinnsluaðili á slíkar beiðnir sem fyrirmæli á grundvelli þessa samnings.

Á grundvelli leyfis- og notendaskilmála heimilar ábyrgðaraðili vinnsluaðila þó að nota ópersónugreinanlegar upplýsingar úr kerfinu og vísast til þess sem þar kemur fram.

Vinnsluaðili skal upplýsa ábyrgðaraðila telji hann að fyrirmæli ábyrgðaraðila stangist á við persónuverndarlög.

4.2 Trúnaður og þjálfun

Vinnsluaðili ábyrgist að hann muni gæta fyllsta trúnaðar varðandi þær persónuupplýsingar sem hann vinnur fyrir hönd ábyrgðaraðila.

Vinnsluaðili skal tryggja að starfsfólk, sem kemur að þjónustu gagnvart ábyrgðaraðila.

Vinnsluaðili skal einnig tryggja að starfsfólk hans hafi fengið fræðslu um þær skyldur sem hvíla á vinnsluaðila í tengslum við vinnslu persónuupplýsinga.

4.3 Aðgangur að upplýsingum

Vinnsluaðila er óheimilt að veita þriðja aðila aðgang að persónuupplýsingum ábyrgðaraðila, hvort sem er skriflega eða munnlega, án samþykkis ábyrgðaraðila, nema ófrávíkjanleg lög kveði á um annað.

4.4 Öryggi persónuupplýsinga

Vinnsluaðili skuldbindur sig til að viðhafa viðeigandi og fullnægjandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja nægilegt öryggi þeirra persónuupplýsinga sem vinnsluaðili vinnur fyrir hönd ábyrgðaraðila.

Skulu ráðstafanirnar taka mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu.

4.5 Flutningur utan EES

Vinnsluaðila skal vera óheimilt að flytja persónuupplýsingar utan Evrópska efnahagssvæðisins („EES") nema á grundvelli fyrirmæla ábyrgðaraðila þar um eða í þeim tilvikum er ábyrgðaraðili hefur samþykkt notkun undirvinnsluaðila með staðfestu utan EES.

4.6 Aðstoð við að uppfylla skyldur

Vinnsluaðili skal aðstoða ábyrgðaraðila við að framkvæma mat á áhrifum á persónuvernd óski ábyrgðaraðili eftir slíkri aðstoð, sem og aðstoða ábyrgðaraðila við að tryggja að öðru leyti skyldur skv. 32.-36. gr. persónuverndarreglugerðarinnar sem innleidd var með persónuverndarlögum.

Vinnsluaðila ber að aðstoða ábyrgðaraðila, að teknu tilliti til eðlis vinnslunnar og að því marki sem hægt er, við að uppfylla þá skyldu sína að svara beiðnum frá skráðum einstaklingum á grundvelli réttinda sem þeim eru tryggð í persónuverndarlögum.

Vinnsluaðila skal heimilt að taka gjald fyrir veitta aðstoð á grundvelli þessa ákvæðis samkvæmt gjaldskrá vinnsluaðila hverju sinni.

4.7 Öryggisbrestir

Verði vinnsluaðili var við öryggisbrest við vinnslu persónuupplýsinga fyrir hönd ábyrgðaraðila skal hann án ótilhlýðilegrar tafar tilkynna ábyrgðaraðila um slíkan brest.

Í slíkri tilkynningu skal vinnsluaðili eftir fremsta megni, miðað við þær upplýsingar sem liggja fyrir við tilkynningu, lýsa eðli öryggisbrestsins, þar á meðal þeim flokkum og áætluðum fjölda skráðra einstaklinga sem bresturinn varðar og flokkum þeirra persónuupplýsinga sem um ræðir. Þá skal vinnsluaðili lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugar að gera vegna öryggisbrestsins.

5. Úttektir og eftirlit

Vinnsluaðili skal veita ábyrgðaraðila fullnægjandi upplýsingar um vinnsluna þannig að ábyrgðaraðili geti haft eftirlit með því að vinnsluaðili fari að ákvæðum þessa skilmála og fylgi þeim skyldum sem á honum hvíla samkvæmt persónuverndarlögum.

Þá skal vinnsluaðili gefa ábyrgðaraðila, eða þeim þriðja aðila sem ábyrgðaraðili tilnefnir fyrir sína hönd, kost á að framkvæma úttektir á vinnslu vinnsluaðila á persónuupplýsingunum og veita tilhlýðilega aðstoð við slíkar úttektir.

Vinnsluaðila skal heimilt að taka gjald fyrir veitta aðstoð á grundvelli þessa ákvæðis samkvæmt gjaldskrá vinnsluaðila hverju sinni.

6. Afhending eða eyðing

Að svo miklu leyti sem lög kveða ekki á um annað, úrskurður dómara eða annars lögbærs yfirvalds á grundvelli laga, ber vinnsluaðila að afhenda eða eyða persónuupplýsingunum, ef skrifleg fyrirmæli berast þar að lútandi frá ábyrgðaraðila, en eigi síðar en við lok samnings aðila.

Hafi vinnsluaðili ekki fengið fyrirmæli um að eyða upplýsingum við lok samnings skal vinnsluaðili eyða öllum upplýsingum úr kerfinu eigi síðar en 6 mánuðum eftir að viðskiptavinur hættir að greiða af kerfinu. Ábyrgðaraðili ber ábyrgð á því að varðveita upplýsingar sínar við og eftir uppsögn.

Vinnsluaðila skal heimilt að taka gjald fyrir veitta aðstoð á grundvelli þessa ákvæðis samkvæmt gjaldskrá vinnsluaðila hverju sinni.

7. Undirvinnsluaðilar

Með samþykki skilmála þessara samþykkir ábyrgðaraðili að vinnsluaðila sé heimilt að nýta undirvinnsluaðila til hýsingar á þeim upplýsingum sem varðveittar eru í kerfinu.

Sá undirvinnsluaðili sem vinnsluaðili nýtir til hýsingar er Amazon Web Services („AWS") og hefur vinnsluaðili valið hýsingu í gagnaveri innan EES. Þar sem móðurfélag AWS er í Bandaríkjunum er þó ekki hægt að útiloka með öllu flutning utan EES, en slíkur flutningur myndi grundvallast á jafngildisákvörðun Framkvæmdastjórnar Evrópusambandsins og Bandaríkjanna.

Reynist þörf á að bæta við nýjum undirvinnsluaðila eða skipta undirvinnsluaðila út, skal vinnsluaðili tilkynna ábyrgðaraðila um slíkt og veita ábyrgðaraðila a.m.k. 14 daga til þess að andmæla. Berist ekki andmæli innan þess tíma skal litið svo á að ábyrgðaraðili hafa heimilað notkun á viðkomandi undirvinnsluaðila.

Heimili ábyrgðaraðili notkun undirvinnsluaðila ber vinnsluaðila að tryggja að sömu skyldur hvíli á undirvinnsluaðila og hvíla á vinnsluaðila skv. skilmálum þessum og skal vinnsluaðili bera ábyrgð á allri vinnslu undirvinnsluaðila gagnvart ábyrgðaraðila.

8. Gildistími o.fl.

Skilmálarnir skulu gilda svo lengi sem samningur aðila á grundvelli leyfis- og notendaskilmála félagsins er í gildi og vinnsluaðili vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila.

Um uppsögn og riftun fer samkvæmt leyfis- og notendaskilmálum.

Óheimilt er að afrita skilmála þessa í heild eða hluta og nýta í öðrum tilgangi en í tengslum við samningssamband aðila.

Skilmálar þessir tóku gildi 11. mars 2026