Gagnaúrvinnslu­samningur

Þessi Gagnaúrvinnslu­samningur („Samningur“) er hluti af Skilmálum og skilyrðum („Aðalsamningur“) milli:

  • Viðskiptavinar („Gagnaábyrgðaraðili“)
  • Textintel FZE („Gagnaúrvinnsluaðili“)

(Sameiginlega „Aðilar“).

1. Bakgrunnur

1.1 Viðskiptavinur starfar sem Gagnaábyrgðaraðili og óskar eftir að fela Gagnaúrvinnsluaðila undirverktöku ákveðinna þjónusta sem fela í sér úrvinnslu persónuupplýsinga.

1.2 Aðilar hyggjast gera gagnaúrvinnslu­samning sem uppfyllir gildandi persónuverndarlög, þar á meðal:

  • Stjórnvaldsþáttur (ESB) 2016/679 Evrópuþingsins og ráðsins frá 27. apríl 2016 um vernd einstaklinga varðandi vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga (Almenna persónuverndarreglugerðin, GDPR).
  • Önnur viðeigandi lög um vernd persónuupplýsinga eða friðhelgi einkalífs sem gilda um vinnslu persónuupplýsinga.

1.3 Þessi Samningur kveður á um réttindi og skyldur Aðila varðandi vernd og trúnað persónuupplýsinga.

2. Skilgreiningar og túlkun

2.1 Nema annað sé tekið fram eru hugtök sem eru höfð með höfuðstaf í þessum Samningi skilgreind sem hér segir:

  • „Samningur“ – Þessi Gagnaúrvinnslu­samningur, með öllum viðaukum og fylgiskjölum.
  • „Persónuupplýsingar viðskiptavinar“ – Allar persónuupplýsingar sem Gagnaúrvinnsluaðili vinnur úr fyrir hönd viðskiptavinar samkvæmt Aðalsamningi.
  • „Persónuverndarlög“ – Öll gildandi lög um friðhelgi einkalífs og persónuvernd, þar með talið GDPR og innlendir lögfestingarþættir.
  • „Vinnsla“ – Hvaða aðgerð sem er framkvæmd á persónuupplýsingum, svo sem söfnun, geymsla, flutningur eða eyðing.
  • „Undirverktaki“ – Þriðji aðili sem Gagnaúrvinnsluaðili hefur heimild til að nota við vinnslu persónuupplýsinga fyrir hönd viðskiptavinar.

2.2 Hugtök sem ekki eru skilgreind í þessum Samningi skuli túlkuð samkvæmt GDPR.

3. Umfang gagnavinnslu

3.1 Viðskiptavinur felur Gagnaúrvinnsluaðila að vinna úr Persónuupplýsingum viðskiptavinar nákvæmlega í samræmi við:

  • Skjalfestar leiðbeiningar viðskiptavinar;
  • Aðalsamninginn og þennan Samning;
  • Gildandi Persónuverndarlög.

3.2 Gagnaúrvinnsluaðili má ekki vinna úr Persónuupplýsingum viðskiptavinar í öðrum tilgangi en þeim sem tilgreindur er í þessum Samningi og Aðalsamningnum.

4. Skyldur Gagnaúrvinnsluaðila

4.1 Gagnaúrvinnsluaðili skal:

  • Sjá til þess að farið sé að öllum gildandi Persónuverndarlögum;
  • Vinna úr upplýsingum á öruggan hátt í samræmi við bestu iðnaðaraðferðir;
  • Takmarka aðgang eingöngu við heimilt starfsfólk;
  • Sjá til þess að allt starfsfólk sem vinnur með Persónuupplýsingar viðskiptavinar sé bundið trúnaðarskyldu.

5. Öryggisráðstafanir

5.1 Gagnaúrvinnsluaðili skal grípa til viðeigandi tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi Persónuupplýsinga viðskiptavinar, með hliðsjón af:

  • Stað þróunar öryggistækni;
  • Eðli, umfangi og samhengi gagnavinnslu;
  • Hættuþáttum, þar á meðal óheimilum aðgangi, gagnaleka og gögnu­tapi.

5.2 Þar sem við á fela ráðstafanir í sér:

  • Dulkóðun gagna bæði í flutningi og hvíld;
  • Aðgangsstýringar og auðkenningarkerfi;
  • Reglulegar öryggisendurskoðanir og áhættumat.

6. Undirverktakar

6.1 Gagnaúrvinnsluaðili skal ekki ráða undirverktaka án fyrirfram skriflegs samþykkis viðskiptavinar.

6.2 Viðskiptavinur viðurkennir og heimilar Gagnaúrvinnsluaðila að nota eftirfarandi samþykkt undirverktaka:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 Gagnaúrvinnsluaðili skal tryggja að hver undirverktaki fari að sömu skyldum samkvæmt þessum Samningi.

7. Réttindi gagnajafna

7.1 Gagnaúrvinnsluaðili mun aðstoða viðskiptavin við að uppfylla skyldur varðandi réttindi gagnajafna, þ.m.t.:

  • Aðgangur að persónuupplýsingum;
  • Lagfæra eða eyða rangar upplýsingar;
  • Færanleikabeiðnir gagna.

7.2 Ef Gagnaúrvinnsluaðili fær beiðni frá gagnajafna mun hann:

  • Upplýsa viðskiptavin án tafar;
  • Ekki svara án heimildar viðskiptavinar.

8. Tilkynning um gagnaleka

8.1 Ef persónuupplýsingar leka skal Gagnaúrvinnsluaðili:

  • Tilkynna viðskiptavin án óþarfa töf;
  • Veita öll nauðsynleg upplýsingar svo viðskiptavinur geti uppfyllt lagalegar tilkynningaskyldur;
  • Grípa til sanngjarnra ráðstafana til að draga úr tjóni og bregðast við leka.

9. Gagnaflutningur

9.1 Gagnaúrvinnsluaðili skal ekki flytja Persónuupplýsingar viðskiptavinar utan ESB/EES nema:

  • Viðskiptavinur hafi áður skriflega samþykkt;
  • Rétt öryggisúrræði, svo sem staðalsamningsákvæði (SCC), séu til staðar.

10. Gagna­geymsla og eyðing

10.1 Að lokinni gildistíma Aðalsamnings getur viðskiptavinur krafist:

  • Að allar Persónuupplýsingar viðskiptavinar verði eytt innan 10 virkra daga;
  • Að fyrir liggi eyðinganvottorð sem staðfestir samræmi.

11. Endurskoðunarréttur

11.1 Viðskiptavinur hefur rétt til að:

  • Fá upplýsingar til að sýna fram á samræmi;
  • Framkvæma endurskoðanir og skoðanir hjá Gagnaúrvinnsluaðila.

12. Trúnaður

12.1 Aðilar skulu varðveita trúnað um allar upplýsingar sem deilt er samkvæmt þessum Samningi og ekki birta þær án skriflegs samþykkis helminga, nema þegar:

  • Birting er krafist samkvæmt lögum;
  • Upplýsingar eru þegar opinberar.

13. Gildandi lög og lögsaga

13.1 Þessi Samningur er háður lögum Dubai, Sameinuðu arabísku furstadæmunna.

13.2 Öll mál sem upp koma í tengslum við þennan Samning skulu leyst fyrir dómstólum í Dubai.