VINNSLUSAMNINGUR

Skilmálar þessir varða vinnslu Noona Iceland ehf., kt. 460624-0610, Ármúla 25, 108 Reykjavík (hér eftir einnig vísað til „félagsins“ eða „vinnsluaðila“), á persónuupplýsingum fyrir hönd viðskiptavinar, eins og hann er skilgreindur í almennum skilmálum félagsins, (hér eftir einnig vísað til „ábyrgðaraðila“) í tengslum við þá þjónustu sem félagið veitir viðskiptavini.

Sú þjónusta sem um ræðir felst í notkun á bókunarkerfinu Noona HQ, Noona sölukerfi og/eða netbókunarkerfinu Noona og gilda skilmálarnir um þá þjónustu sem viðskiptavinur kaupir af félaginu hverju sinni.

Í tengslum við þá vinnslu sem á sér stað með notkun á Noona HQ, Noona sölukerfi og Noona, eftir því sem við á, kemur viðskiptavinur fram sem svokallaður ábyrgðaraðili í skilning persónuverndarlaga og félagið sem svokallaður vinnsluaðili.

Tilgangur skilmála þessara er að tilgreina sérstaklega þær skyldur sem hvíla á vinnsluaðila í tengslum við þá þjónustu sem hann sinnir fyrir hönd ábyrgðaraðila og tryggja að unnið sé með persónuupplýsingar í samræmi við gildandi löggjöf.

Með persónuverndarlögum er átt við reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, íslensk persónuverndarlög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og eftir atvikum aðra löggjöf þess Evrópusambandsríkis þar sem ábyrgðaraðili hefur staðfestu (sameiginlega „persónuverndarlög“).

1. Umsamin vinnsla

Þjónusta vinnsluaðila felst í því að veita ábyrgðaraðila leyfi til að nota Noona HQ, Noona sölukerfi og/eða Noona, eftir því sem við á hverju sinni (hér eftir einnig vísað til "kerfanna"), tæknilega aðstoð í tengslum við notkun á kerfunum, hýsingu á þeim upplýsingum sem settar eru inn í kerfin og þá þjónustu að senda viðskiptavinum ábyrgðaraðila áminningu um bókaða þjónustu (hér eftir sameiginlega vísað í „þjónustuna“).

Til þess að geta veitt viðskiptavininum þjónustuna er félaginu nauðsynlegt að vinna með tilgreindar persónuupplýsingar.

Í tengslum við Noona HQ vinnur vinnsluaðili með eftirfarandi persónuupplýsingar fyrir hönd ábyrgðaraðila, eftir því sem við á:

- Notendur kerfisins (s.s. starfsmenn og verktaka ábyrgðaraðila);

o tengiliðaupplýsingar, þ.e. upplýsingar um nafn, símanúmer og netfang

o upplýsingar um tímabókanir hjá notendum og eftir atvikum frídaga

o hlutverk og heimildir innan kerfis

o aðgerðarskráningar notanda í kerfinu

o upplýsingar er tengjast beiðnum um tæknilega aðstoð

- Viðskiptavini ábyrgðaraðila (þ.m.t. viðskiptavini notenda kerfisins);

o þær upplýsingar sem ábyrgðaraðili skráir inn í kerfið, s.s.:

o tengiliðaupplýsingar, þ.e. upplýsingar um nafn, kennitölu, símanúmer og netfang

o viðskiptasaga, þ.e. listi yfir tíma- og borðapantanir viðskiptavinar hjá ábyrgðaraðila

o athugasemdir og minnispunktar sem ábyrgðaraðili skrifar í kerfið, þ.m.t. hvað varðar þjónustu við viðskiptavini

o upplýsingar er tengjast mætingu og skrópum viðskiptavinar

o myndir og viðhengi

Í tengslum við Noona sölukerfi er, líkt og varðandi Noona HQ, unnið með nafn, netfang og símanúmer viðskiptavina ábyrgðaraðila og eftir atvikum pöntunarsögu.

Í tengslum við Noona vinnur vinnsluaðili með eftirfarandi persónuupplýsingar fyrir hönd ábyrgðaraðila, eftir því sem við á:

- Viðskiptavini ábyrgðaraðila (þ.m.t. viðskiptavini notenda kerfisins);

o tengiliðaupplýsingar, þ.e. upplýsingar um nafn, kennitölu, heimilisfang, símanúmer og netfang

o viðskiptasaga, þ.e. listi yfir allar tímabókanir viðskiptavinar hjá ábyrgðaraðila og eftir atvikum tegund þjónustu

Í tengslum við kerfin getur vinnsluaðili jafnframt tekið að sér að senda áminningar og skilaboð til viðskiptavina ábyrgðaraðila fyrir hönd ábyrgðaraðila, s.s. í gegnum tölvupóst, smáskilaboð og tilkynningar í smáforriti. Í tengslum við slíka þjónustu er unnið með upplýsingar um nafn, netfang, símanúmer og efni skilaboða.

Á grundvelli almennra skilmála tekur félagið að sér að birta viðskiptavinum ábyrgðaraðila upplýsingar um bókunarsögu hjá mismunandi viðskiptavinum félagsins, þ.m.t. ábyrgðaraðila, í gegnum smáforritið Noona, í þeim tilvikum er notendur sækja sér forritið. Í gegnum smáforritið geta viðskiptavinir ábyrgðaraðila vistað upplýsingar um ábyrgðaraðila og þjónustu hans í „uppáhalds“ og pantað tíma hjá ábyrgðaraðila í gegnum smáforritið. Félagið kemur fram sem ábyrgðaraðili hvað varðar þessa vinnslu.

2. Skyldur vinnsluaðila

2.1 Fyrirmæli ábyrgðaraðila

Vinnsluaðili skal eingöngu vinna persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila og tilgang vinnslunnar eins og honum er lýst í skilmálum þessum. Telji vinnsluaðili að fyrirmæli ábyrgðaraðila brjóti í bága við persónuverndarlög skal vinnsluaðili tilkynna ábyrgðaraðila um slíkt.

Þrátt fyrir ofangreint skal vinnsluaðila þó heimilt að óska eftir samþykki hinna skráðu, þ.m.t. frá viðskiptavinum ábyrgðaraðila, til að vinna með upplýsingar þær sem vinnsluaðili vinnur fyrir hönd ábyrgðaraðila á grundvelli skilmála þessara. Á það t.a.m. við um upplýsingar um viðskiptasögu viðskiptavina. Í tengslum við slíka vinnslu kemur vinnsluaðili fram sem sjálfstæður ábyrgðaraðili og er sú vinnsla óháð þeirri vinnslu sem kveðið er á um í skilmálum þessum.

Á grundvelli skilmála þessara skal vinnsluaðila jafnframt heimilt að vinna með upplýsingar þær sem safnast með notkun á kerfunum með ópersónugreinanlegum hætti, þ.á m. í þeim tilgangi að þróa og bæta gæði þjónustunnar.

2.2 Trúnaðarskylda starfsmanna

Vinnsluaðili skal tryggja að þeir starfsmenn sem hafa aðgang að persónuupplýsingum ábyrgðaraðila séu bundnir trúnaðarskyldu hvað varðar þær upplýsingar sem þeir vinna fyrir hönd ábyrgðaraðila í starfi sínu hjá vinnsluaðila.

2.3 Öryggisráðstafanir

Vinnsluaðili ábyrgist að viðhafa viðeigandi og fullnægjandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja nægilegt öryggi persónuupplýsinganna og vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegum aðgangi og gegn allri annarri ólögmætri vinnslu, í samræmi við persónuverndarlög. Skulu ráðstafanirnar taka mið af nýjustu tækni, kostnað við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu.

2.4 Öryggisbrestir

Verði vinnsluaðili var við öryggisbrest við meðferð persónuupplýsinga fyrir hönd ábyrgðaraðila skal vinnsluaðili án ótilhlýðilegrar tafar tilkynna ábyrgðaraðila um slíkan brest. Í slíkri tilkynningu skal vinnsluaðili eftir fremsta megni lýsa brestinum, þ.m.t. eðli brestsins og afleiðingum hans.

2.5 Réttindi hinna skráðu og aðstoð

Vinnsluaðili skal eftir fremsta megni aðstoða ábyrgðaraðila við að verða við beiðnum frá hinum skráðu er tengjast réttindum þeirra á grundvelli persónuverndarlaga, s.s. aðgangs- og eyðingarbeiðnir. Þá skal vinnsluaðili aðstoða ábyrgðaraðila við framkvæmd mats á áhrifum og persónuvernd og í tengslum við fyrirframsamráð við Persónuvernd, að því marki sem eðlilegt er miðað við umfang og eðli vinnslu, og óski ábyrgðaraðili eftir slíkri aðstoð.

Vinnsluaðili áskilur sér rétt til að taka gjald fyrir veitta þjónustu í samræmi við gjaldskrá hverju sinni.

2.6 Aðgangur að persónuupplýsingum og úttekt

Vinnsluaðili skal veita ábyrgðaraðila aðgang að upplýsingum sem eru nauðsynlegar til þess að sýna fram á að skyldum samkvæmt persónuverndarlögum hafi verið fylgt. Þá skal vinnsluaðili veita ábyrgðaraðila, eða þeim þriðja aðila sem ábyrgðaraðili tilnefnir, kost á að framkvæma úttekt á vinnslu vinnsluaðila á persónuupplýsingum fyrir hönd ábyrgðaraðila.

2.7 Skil eða eyðing persónuupplýsinga

Á meðan vinnsluaðili vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila er þeim síðarnefnda hvenær sem er heimilt að óska eftir því að vinnsluaðili eyði þeim persónuupplýsingum sem hann vinnur fyrir hönd ábyrgðaraðila. Við lok þjónustusambands skal vinnsluaðili jafnframt skila og/eða eyða þeim persónuupplýsingum sem vinnsluaðili vinnur fyrir hönd ábyrgðaraðila, á grundvelli fyrirmæli ábyrgðaraðila þar um. Fái vinnsluaðili engin fyrirmæli um eyðingu frá ábyrgðaraðila skal vinnsluaðila heimilt að eyða upplýsingunum innan árs frá því að viðskiptasambandi aðila lauk.

Hafi vinnsluaðili aflað sérstaks samþykkis frá hinum skráðu hvað varðar vinnslu á þeim upplýsingum sem jafnframt eru unnar fyrir hönd ábyrgðaraðila á grundvelli þessara skilmála, skal vinnsluaðila þó ekki skylt að eyða þeim upplýsingum.

3. Skyldur ábyrgðaraðila

Ábyrgðaraðili ábyrgist að hann hafi heimild til að fela vinnsluaðila vinnslu þeirra persónuupplýsinga sem færðar eru í kerfin, að heimild sé til grundvallar vinnslunnar, að hinir skráðu hafi fengið fullnægjandi fræðslu um vinnsluna og að hann uppfylli að öðru leyti þær skyldur sem á honum hvíla á grundvelli persónuverndarlaga.

Ábyrgðaraðili skal sérstaklega ábyrgjast að hann hafi ráðstöfunarrétt yfir þeim upplýsingum sem verktakar á hans vegum setja inn í kerfið.

4. Notkun undirvinnsluaðila

Vinnsluaðila skal heimilt að fela undirvinnsluaðila vinnslu þá sem kveðið er á um í skilmálum þessum, í heild eða að hluta, enda tryggi vinnsluaðili að undirvinnsluaðili undirgangist sömu skyldur og hvíla á vinnsluaðila á grundvelli þeirra.

Í viðauka við skilmála þessa er kveðið á um þá undirvinnsluaðila sem vinnsluaðili nýtir. Verði gerðar breytingar á því og bæti vinnsluaðili við nýjum vinnsluaðila skal vinnsluaðila skylt að tilkynna ábyrgðaraðila um slíka breytingu og gefa honum kost á að andmæla innan 30 daga.

Jafnvel þó svo að vinnsluaðili nýti undirvinnsluaðila skal vinnsluaðili þó bera ábyrgð á allri vinnslu sem fer fram á grundvelli skilmála þessara gagnvart ábyrgðaraðila.

Vinnsluaðili skal leitast við að hýsa og vinna með persónuupplýsingar innan Evrópska efnahagssvæðisins („EES“). Í þeim tilfellum þar sem ekki er hægt að koma í veg fyrir miðlun upplýsinga utan EES, s.s. þegar undirvinnsluaðili hefur staðfestu utan EES eða hann nýtir sjálfur undirvinnsluaðila utan EES skal vinnsluaðili tryggja að fullnægjandi ráðstafanir séu fyrir hendi til að tryggja öryggi þeirra persónuupplýsinga sem ábyrgðaraðili vinnur fyrir hönd vinnsluaðila, s.s. að flutningur byggi á jafngildisákvörðuninni (e. adequacy decision) eða stöðluðum samningsskilmálum framkvæmdastjórnar Evrópusambandsins. Í viðauka við vinnsluskilmála þessa má sjá í hvaða tilvikum flutningur utan EES kann að eiga sér stað, en mögulegur flutningur er tilvikabundinn og takmarkaður þar sem öll hýsing á sér stað innan EES.

5. Gildistími

Skilmálar þessir skulu gilda svo lengi sem aðilar eiga í viðskiptasambandi og vinnsluaðili vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila.

Skilmálarnir skulu taka gildi gagnvart ábyrgðaraðila um leið og hann hefur samþykkt skilmálana eða um leið og hann byrjar að nota kerfin og/eða þjónustu vinnsluaðila.

Í þeim tilvikum er vinnsluaðili hefur notkun á undirvinnsluaðila sem ábyrgðaraðili hefur sannanlega andmælt, sbr. grein 4 í skilmálum þessum eða ef vinnsluaðili breytir skilmálum þessum með þeim hætti að ábyrgðaraðili geti ekki sætt sig við, sbr. grein 7, skal ábyrgðaraðila heimilt að segja upp viðeigandi þjónustu með 30 daga fyrirvara.

Skal réttur þessi til uppsagnar ganga framar ákvæðum þjónustusamningsins aðila, eftir því sem við á.

6. Lögsaga o.fl.

Um skilmála þessa gilda íslensk lög. Rísi ágreiningur vegna skilmála þessa skal mál vegna hans rekið fyrir Héraðsdómi Reykjavíkur.

7. Endurskoðun

Noona áskilur sér rétt til að breyta skilmálum þessum í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur persónuupplýsingar. Verði gerðar breytingar á skilmálum þessum verða viðskiptavinir upplýstir þar um 30 daga fyrirvara áður en slíkar breytingar taka gildi.

Viðauki : Listi yfir undirvinnsluaðila

Vinnsluaðili nýtir eftirfarandi undirvinnsluaðila í tengslum við vinnslu persónuupplýsinga fyrir hönd ábyrgðaraðila:

· Noona Labs ehf.

Vinnsluaðili notar Noona Labs ehf. til að hýsa persónuupplýsingar og fyrir tæknilega aðstoð.

Hýsingin á sér stað innan Evrópska efnahagssvæðisins.

· Intercom

Vinnsluaðili notar Intercom í tengslum við notendaaðstoð og til að senda skilaboð. Í tengslum við þjónustuna hefur Intercom aðgang að samtölum milli viðskiptavina og félagsins, nöfnum viðskiptavina og tengiliða þeirra sem og netföngum.

· Síminn hf.

Vinnsluaðili nýtir Símann hf. til að senda smáskilaboð fyrir hönd ábyrgðaraðila í gegnum vefþjónustu Símans. Unnið er með upplýsingar um símanúmer og efni skilaboða. Þá nýtir vinnsluaðili jafnframt Símann hf. í reikningagerð.

· Twilio

Vinnsluaðili nýtir Twilio til að senda smáskilaboð fyrir hönd ábyrgðaraðila í gegnum vefþjónustu Twilio. Unnið er með upplýsingar um símanúmer og efni skilaboða.

· Chargebee

Vinnsluaðili notar Chargebee í tengslum við að innheimta greiðslur frá notanda. Í tengslum við þjónustuna hefur Chargebee aðgang að notendaupplýsingum og áskriftarleiðum.