Vinnsluskilmálar

Moodup og ábyrgðaraðili hafa undirritað þjónustusamning sem kveður á um að Moodup muni bæði geyma og vinna með persónuupplýsingar sem vinnsluaðili fyrir hönd ábyrgðaraðila. Samningsaðilar hafa því samhliða undirgengist vinnslusamning samkvæmt eftirfarandi skilmálum:

Upplýsingagjöf

Moodup skal hafa persónuverndarstefnu sína opinbera og aðgengilega á gildistíma samningsins. Persónuverndarstefnan er hýst á slóðinni moodup.is/personuvernd. Stefnan skal vera aðgengileg á forsíðu vefsíðu Moodup svo starfsfólk og stjórnendur ábyrgðaraðila geti nálgast þar upplýsingar um vinnsluna og réttindi sín hvað hana varðar.

Gagnavinnsla

  1. Moodup má einungis vinna með persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, þ.m.t. ákvæðum í viðauka sem fylgir með skilmálum þessum (Viðauki I).
  2. Sé Moodup það heimilt að lögum skal félagið tilkynna ábyrgðaraðila samstundis ef Moodup getur ekki uppfyllt skyldur sínar samkvæmt vinnslusamningi þessum, eða ef Moodup telur að fyrirmæli frá ábyrgðaraðila fari gegn lögum eða reglugerðum um persónuvernd.
  3. Moodup ber ábyrgð á gagnavinnslu sem vinnsluaðili og skal tryggja að slík vinnsla uppfylli lög og reglugerðir um persónuvernd.
  4. Flutningur persónuupplýsinga út fyrir EES-svæðið skal vera háður fyrirfram skriflegu samþykki ábyrgðaraðila. Moodup skal tryggja að slíkur flutningur uppfylli ákvæði persónuverndarlaga með því að fullnægja fyrir alla slíka gagnavinnslu a.m.k. öðru hvoru af eftirfarandi skilyrðum: (i) Flutningur sé til ríkis sem framkvæmdastjórn Evrópusambandsins hefur viðurkennt að verji persónuupplýsingar með fullnægjandi hætti (e. Adequacy Decision) (ii) Ef gögn eru flutt til ríkis sem Evrópusambandið hefur ekki viðurkennt um skal Moodup gera tilhlýðandi varúðarráðstafanir (e. Appropriate Safeguards)

Trúnaður

Moodup skal tryggja að starfsfólk þess og allir aðrir aðilar sem Moodup vinnur með hafi tilskilin leyfi til að vinna með persónuupplýsingar og hafi skuldbundið sig til að virða trúnað samkvæmt ákvæðum laga og reglugerða um persónuvernd.

Öryggi

Moodup skal gera allar nauðsynlegar öryggisráðstafanir samhliða gagnavinnslu eins og tilskilið er samkvæmt lögum og reglugerðum um persónuvernd. Gögn skulu meðal annars geymd dulkóðuð og öll samskipti inn og út af vefþjónum Moodup skulu jafnframt vera dulkóðuð. Nánari upplýsingar um þær ráðstafanir sem Moodup hefur gert til að tryggja öryggi gagna eru aðgengilegar á moodup.is/gagnaoryggi.

Aðstoð

Moodup skal aðstoða ábyrgðaraðila við að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættu af vinnslunni, eins og mögulegt er, að tilkynna um öryggisbrest við meðferð persónuupplýsinga, að framkvæma mat á áhrifum á persónuvernd, að leita fyrirframsamráðs Persónuverndar og við að uppfylla þá skyldu sína að svara beiðnum um að eigendur persónuupplýsinga fái neytt réttar síns samkvæmt tilsvarandi ákvæðum í lögum og reglugerðum um persónuvernd. Moodup hefur rétt á hæfilegum fresti til undirbúnings og ábyrgðaraðili skal greiða Moodup fyrir þann kostnað sem af slíkri aðstoð hlýst.

Gagnsæi

Moodup skal veita ábyrgðaraðila aðgang að öllum upplýsingum sem eru nauðsynlegar ábyrgðaraðila til að staðfesta að skyldur hans samkvæmt vinnslusamningi þessum og lögum og reglugerðum um persónuupplýsingar séu uppfylltar. Moodup skal einnig aðstoða við skoðanir og greiningar sem ábyrgðaraðili stendur fyrir, eða þriðji aðili sem hefur leyfi ábyrgðaraðila og hefur undirgengist trúnaðarskyldu. Moodup hefur rétt á hæfilegum fresti til undirbúnings ef til skoðunar eða greiningar kemur og ábyrgðaraðili skal greiða Moodup fyrir þann kostnað sem af slíkri skoðun eða greiningu hlýst.

Undirvinnsluaðilar

  1. Moodup er heimilt að nota undirvinnsluaðila (e. subprocessors) til að sinna skyldum sínum samkvæmt þjónustusamningi og vinnslusamningi þessum. Moodup skal tilkynna ábyrgðaraðila skriflega ef það hyggst skipta um undirvinnsluaðila með a.m.k. tíu daga fyrirvara. Ábyrgðaraðili hefur rétt til að hafna slíkri skiptingu ef hann telur að nýr undirvinnsluaðili uppfylli ekki þær skyldur sem kveðið er á um í lögum og reglugerðum um persónuvernd.
  2. Moodup ber ábyrgð á allri vinnslu undirvinnsluaðila á persónuupplýsingum og skulu sömu skyldur leggjast á hann varðandi persónuvernd og lagðar eru á Moodup samkvæmt samningi þessum, lögum og öðrum réttarreglum.

Gagnaleki

Moodup skal tilkynna ábyrgðaraðila án tafar ef öryggi eða trúnaði um persónuupplýsingar er ógnað. Moodup skal greina ábyrgðaraðila frá þeim upplýsingum sem liggja fyrir um slíka ógn, til dæmis hvers eðlis ógnin er, hverjar líklegar afleiðingar hennar eru, og lýsingu á aðgerðum sem hafa verið teknar til að vinna gegn tjóni sem hlýst af henni og koma í veg fyrir að hún endurtaki sig.

Ábyrgð

Sektir frá opinberum aðilum samkvæmt lögum og reglugerðum um persónuvernd skulu greiddar af þeim aðila sem sektin var lögð á.

Meðferð gagna við uppsögn

  1. Þegar þjónustusamningur fellur úr gildi skal Moodup skila öllum persónuupplýsingum til ábyrgðaraðila óski hann þess, eða ellegar eyða öllum persónuupplýsingum sem tilheyra ábyrgðaraðila.
  2. Svörum starfsfólks við spurningum er þó alltaf eytt þegar þjónustusamningur fellur úr gildi og aldrei deilt með ábyrgðaraðila til að tryggja starfsfólki nafnleynd. Moodup geymir svör starfsfólks á meðan þjónustusamningur þessi er í gildi til að geta birt ábyrgðaraðila þróun starfsánægju og áhrifaþátta hennar yfir tíma. Það er ávallt gert með ópersónugreinanlegum hætti þannig að ábyrgðaraðili geti ekki rakið svör til einstakra starfsmanna.

Breytingar á skilmálum

  1. Moodup áskilur sér rétt til að breyta skilmálum þessum en skal þó tilkynna um það með a.m.k. 15 daga fyrirvara. Moodup skal tilkynna verkkaupa um breytingar á skilmálunum með tölvupósti og með því að gera nýju skilmálana aðgengilega á moodup.is/vinnsluskilmalar.
  2. Hafni verkkaupi ekki breytingu á skilmálunum innan 15 daga frá því að hann fékk um það tilkynningu með tölvupósti samþykkir verkkaupi hina breyttu skilmála. Hafni verkkaupi hinum breyttu skilmálum innan framangreinds tímabils telst sú höfnum jafngilda uppsögn á samningnum samkvæmt fyrrnefndum ákvæðum og gilda á uppsagnartímabili þeir skilmálar sem síðast voru í gildi milli aðila með samþykki beggja.
  3. Í skilmálum þessum skal koma fram hvenær þeim var síðast breytt. Skilmálum þessum var síðast breytt þann 19. mars 2022.

Viðauki I

Nánari lýsing á vinnslu persónuupplýsinga

I.A   Almenn lýsing

Moodup og ábyrgðaraðili hafa undirgengist þjónustusamning þar sem persónuupplýsingar um starfsfólk ábyrgðaraðila eru geymdar og unnið verður með þær. Moodup mun við uppfyllingu þjónustusamningsins vinna með persónuupplýsingar fyrir hönd ábyrgðaraðila.

I.B   Tilgangur

Tilgangur vinnslunnar er að geyma og leyfa ábyrgðaraðila að vinna með persónuupplýsingar starfsfólks til að kanna starfsánægju þeirra og áhrifaþætti hennar. Moodup gerir ábyrgðaraðila kleift að vinna með upplýsingarnar á öruggan hátt og í samræmi við skilmála laga og reglugerða um persónuvernd.

I.C   Tegundir persónuupplýsinga

Þær tegundir persónuupplýsinga sem unnið er með eru ákveðnar af ábyrgðaraðila og eru breytilegar eftir því hvaða þjónustuþætti Moodup ábyrgðaraðili notar. Sem dæmi um upplýsingar sem unnið er með má nefna kennitölur, nöfn, netföng, símanúmer, kyn og starfsaldur starfsfólks ábyrgðaraðila. Þá geymir Moodup og vinnur með svör starfsfólks við spurningum um starfsánægju og tengda þætti.

I.D   Eigendur persónuupplýsinga

Eigendur persónuupplýsinganna er starfsfólk og stjórnendur ábyrgðaraðila.

I.E   Tímabil

Vinnslan mun eiga sér stað á meðan þjónustusamningurinn er í gildi.

I.F   Eyðing/skil persónuupplýsinga

Þegar þjónustusamningur fellur úr gildi skal Moodup samstundis hætta vinnslu allra persónuupplýsinga sem tilheyra ábyrgðaraðila. Þá skal Moodup, samkvæmt óskum ábyrgðaraðila: (i) skila öllum persónuupplýsingum til ábyrgðaraðila; eða (ii) eyða varanlega öllum persónuupplýsingum. Svörum starfsmanna við spurningum er þó alltaf eytt og aldrei skilað til ábyrgðaraðila til að tryggja starfsfólki nafnleynd. Skil eða eyðing skal eiga sér stað í síðasta lagi 30 dögum eftir að þjónustusamningur fellur úr gildi.

I.G   Undirvinnsluaðilar

DigitalOcean (gögn eru vistuð í Hollandi)