Fara beint í efnið
Stafrænt Ísland Forsíða
Stafrænt Ísland Forsíða

Stafrænt Ísland

Vinnsluskilmálar Stafræns Íslands

1 Gildissvið

Þessir skilmálar teljast ígildi vinnslusamnings samkvæmt 3. mgr. 25. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. 3. mgr. 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB. Skilmálarnir gilda um þjónustur á mínum síðum og pósthólfi á vef Ísland.is sem fela í sér vinnslu persónuupplýsinga. Í slíkum tilvikum telst Stafrænt Ísland vinnsluaðili og sá opinberi aðili sem er þjónustueigandi telst vera ábyrgðaraðili. Þjónustunni sjálfri er nánar lýst í samningi milli aðila eða annarra skilmála Stafræns Íslands.

Í ákveðnum tilvikum er Stafrænt Ísland ábyrgðaraðili ásamt þjónustuveitanda, sem er oftast opinber stofnun, og gildir þá samkomulag þeirra á milli um skiptingu ábyrgðar þeirra á vinnslu persónuupplýsinga.

Ef Stafrænt Ísland hefur milligöngu um þjónustu þriðja aðila við opinberan aðila, án þess að hafa aðkomu að vinnslu persónuupplýsinga, telst nefndur þriðji aðili vinnsluaðili og opinberi aðilinn ábyrgðaraðili. Hinn opinberi aðili ber þá ábyrgð á að tryggja að gerður sé vinnslusamningur við hinn þriðja aðila.

Þessir skilmálar ganga framar almennum viðskiptaskilmálum, grunnsamningum og þjónustusamningnum hvað varðar vinnslu Stafræns Íslands á persónuupplýsingum fyrir hönd opinbers aðila og tengdar skyldur.

2 Tilgangur og gildistími skilmála

Tilgangur þessara skilmála er að tilgreina skyldur Stafræns Íslands gagnvart þeim opinberu aðilum sem nota þjónustur á mínum síðum og í pósthólfi á vef Ísland.is sem fela í sér vinnslu persónuupplýsinga.

Merking hugtaka í þessum skilmálum fer samkvæmt skilgreiningum í ákvæðum laga nr. 90/2018, sbr. 3. gr. laganna.

Skilmálar þessir gilda á meðan opinber aðili nýtir sér þjónustu á vegum Stafræns Íslands.

3 Lýsing á vinnslu

Nánari lýsingu á þjónustu og vinnslu persónuupplýsinga í tengslum við þær má nálgast í samningum milli aðila, skilmálum og persónuverndarstefnum þeirra. Persónuverndarstefnu Stafræns Íslands má nálgast á vef Ísland.is.


4 Skyldur Stafræns Íslands sem vinnsluaðila:

  • Stafrænt Ísland skuldbindur sig til að vinna persónuupplýsingar einungis í samræmi við tilgang vinnslunnar, skilmála þessa, samninga, viðauka við skilmálana og skjalfest fyrirmæli ábyrgðaraðila.

  • Stafrænt Ísland skal gera ábyrgðaraðila aðgengilegar allar upplýsingar, sem nauðsynlegar eru til að sýna fram á að skuldbindingarnar, sem mælt er fyrir um í þessum skilmálum, séu uppfylltar, gefa kost á úttektum, þ.m.t. eftirlitsskoðunum, sem ábyrgðaraðilinn eða annar úttektaraðili í umboði hans hafa með höndum, og leggi sitt af mörkum til þeirra.

  • Telji Stafrænt Ísland að fyrirmæli opinbers aðila samrýmist ekki ákvæðum laga nr. 90/2018, ákvæðum reglugerðar (ESB) 2016/679 eða öðrum viðeigandi lagaákvæðum sem varða vinnslu persónuupplýsinga ber Stafrænu Íslandi að tilkynna honum slíkt án tafar.

  • Sé Stafrænt Ísland skylt að miðla persónuupplýsingum til þriðja lands eða alþjóðastofnunar samkvæmt lögum skal það upplýsa opinbera stofnun um það lagaskilyrði áður en vinnslan hefst / miðlunin fer fram, nema lögin banni slíka upplýsingagjöf vegna mikilvægra almannahagsmuna .Óski opinber eftirlitsaðili eftir aðgangi að gögnum og upplýsingum ábyrgðaraðila skal Stafrænt Ísland gera opinberum aðila viðvart um það svo fljótt sem verða má og áður en aðgangur er veittur ef það er mögulegt, nema Stafrænu Íslandi sé það óheimilt samkvæmt lögum.

  • Stafrænt Ísland skal tryggja trúnað um vinnslu þeirra persónuupplýsinga sem skilmálar þessir taka til, þjónustusamninga og viðauka.

  • Stafrænt Ísland skal tryggja að starfsfólk og verktakar á vegum þess sem hafa aðgang að persónuupplýsingum í eigu opinbers aðila í tengslum við framkvæmd þjónustu hafi undirritað trúnaðaryfirlýsingar eða séu bundnir þagnarskyldu samkvæmt lögum. Slík trúnaðar- og þagnarskylda helst þótt starfsmaður eða verktaki láti af störfum.

  • Stafrænt Ísland skal tryggja að starfsfólk sem hefur aðgang að persónuupplýsingum í tengslum við framkvæmd þjónustu hafi fengið viðeigandi þjálfun og fræðslu um vernd persónuupplýsinga.

  • Stafrænt Ísland skal tryggja viðeigandi öryggi gagna og gæta þess að tæki og tól, vörur, forrit og þjónusta séu hönnuð með innbyggða og sjálfgefna persónuvernd að leiðarljósi. Þetta á þó ekki við þegar að Stafrænt Íslands aðstoðar eða á milligöngu um kaup ábyrgðaraðila á tækjum og tólum, vörum og þjónustu af þriðja aðila án þess að eiga aðkomu að vinnslu persónuupplýsinga.

5 Skyldur opinbers aðila sem ábyrgðaraðila

  • Opinber aðili skal skrá skriflega öll fyrirmæli varðandi vinnsluna sem beint er að Stafrænu Íslandi.

  • Opinber aðili skal tryggja, fyrir og á meðan á vinnslu stendur, að hann starfi í samræmi við þær kröfur sem gerðar eru til hans samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

  • Opinber aðili ber ábyrgð á og skal tryggja að vinnsla Stafræns Íslands fyrir hans hönd eigi sér lagastoð í 9. og eftir atvikum 11. gr. laga nr. 90/2018, sbr. 6. og 9. gr. reglugerðar (ESB) 2016/679 og samræmist að öðru leyti meginreglum laganna í 8. gr. þeirra, sbr. 5. gr. reglugerðar (ESB) 2016/679.

  • Opinber aðili skal hafa yfirumsjón með vinnslunni, þ.m.t. að framkvæma eða láta framkvæma úttektir og skoðanir hjá Stafrænu Íslandi. Úttektir og skoðanir gerðar af sjálfstæðum þriðja aðila að frumkvæði Stafræns Íslands eða annarra þjónustuþega uppfylla þessa skyldu.

6 Notkun undirvinnsluaðila

Stafrænu Íslandi er heimilt að semja við annan aðila („undirvinnsluaðila“) um að framkvæma tilteknar vinnsluaðgerðir, í heild eða hluta, sem það sinnir fyrir opinberan aðila. Áður en ætlaðar breytingar taka gildi, bæði þegar bætt er við undirvinnsluaðila og þegar gerðar eru breytingar á þeim undirvinnsluaðilum sem þegar eru notaðir, eða þegar um er að ræða viðbætur eða breytingu á gildandi fyrirkomulagi vinnsluaðgerða, skal Stafrænt Ísland upplýsa opinberan aðila skriflega um breytingarnar. Þar skal sérstaklega taka fram hvaða vinnsluaðgerðir undirvinnsluaðilinn hyggst taka að sér, nafn og samskiptaupplýsingar undirvinnsluaðilans ásamt dagsetningu samnings. Opinber aðili hefur tuttugu og tvo (22) virka daga frá og með þeim degi sem hann móttekur upplýsingar um breytingu á notkun á undirvinnsluaðila til að andmæla því. Ef lokadagur frests er almennur frídagur lengist fresturinn til næsta opnunardags þar á eftir. Að öðru leyti ber að telja frídaga með sem eru innan frestsins þegar fresturinn er reiknaður. Notkun á undirvinnsluaðila er heimil ef opinber aðili hefur ekki andmælt innan tímamarkanna.

Stafrænt Ísland tryggir að undirvinnsluaðilar hlíti sömu skyldum vegna vinnslu persónuupplýsinga og koma fram í þessum skilmálum og ber ábyrgð gagnvart ábyrgðaraðila að undirvinnsluaðilar efni skuldbindingar sínar. Stafrænt Ísland skal viðhalda lista yfir undirvinnsluaðila og birta fyrir opinberum aðilum sem njóta þjónustu þess.

Opinber aðili ber ábyrgð á að vinnsla vinnsluaðila á hans vegum sem hefur aðkomu að verkefni / þjónustu fyrir hans hönd samræmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679, svo sem að gera vinnslusamning við hann og ganga úr skugga um að hann veiti nægilegar tryggingar fyrir því að hann geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur laga nr. 90/2018 og reglugerðar (ESB) 2016/679 og réttindi skráðra einstaklinga séu tryggð.

7 Réttindi hinna skráðu

Opinber aðili ber ábyrgð á að veita hinum skráðu upplýsingar (fræðslu) um vinnslustarfsemina fyrir eða um leið og vinnsla hefst, í samræmi við ákvæði reglugerðar (ESB) 2016/679 um upplýsingar sem ber að veita hinum skráða, sbr. 13. og 14. gr. hennar. Stafrænt Ísland aðstoðar aðila við að veita þessar upplýsingar og skal veita opinberum aðila allar þær upplýsingar sem það býr yfir til að aðili geti uppfyllt skyldur sínar samkvæmt þessu ákvæði.

Opinber aðili ber jafnframt ábyrgð á að afgreiða beiðnir einstaklinga um að neyta réttinda sinna samkvæmt III. kafla laga nr. 90/2018 og III. kafla reglugerðar (ESB) 2016/679 vegna þjónustu Stafræns Íslands. Leggi einstaklingar fram beiðni um slíkt við Stafrænt Ísland skal það áframsenda slíkar beiðnir án tafar til tengiliðs eða persónuverndarfulltrúa hins opinbera aðila samkvæmt nánara samkomulagi í samningi aðila.

8 Aðstoð við að uppfylla skilyrði laga nr. 90/2018

Stafrænt Ísland aðstoðar opinberan aðila við að framkvæma mat á áhrifum á persónuvernd, sbr. nánari fyrirmæli 29. gr. laga nr. 90/2018 og 35. gr. reglugerðar (ESB) 2018/679, og við að uppfylla ákvæði um fyrirframsamráð við Persónuvernd, sbr. nánari fyrirmæli 30. gr. laganna og 36. gr. reglugerðarinnar, þegar það á við.

Stafrænt Ísland skal einnig útvega opinberum aðila öll nauðsynleg skjöl til að hann geti sýnt fram á reglufylgni og til að hann eða úttektaraðili geti framkvæmt úttektir, þ.m.t. skoðanir, og veita aðstoð við slíkar úttektir.

Stafrænt Ísland skal að öðru leyti aðstoða aðila við að uppfylla skyldur sínar samkvæmt lögum nr. 90/2018 og reglugerðar (ESB) 2016/679 eins og sanngjarnt og eðlilegt þykir.

9 Öryggisráðstafanir

Stafrænt Ísland gerir kröfur til starfsfólks, samstarfsaðila, verktaka og undirvinnsluaðila um að upplýsingaöryggi og persónuvernd sé samofinn hluti af verkefnum, þjónustu og starfsemi. Stafrænt Ísland ber ábyrgð á að upplýsingaöryggi í tengslum við þjónustu samkvæmt þessum skilmálum sé í samræmi við kröfur laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
Notkun persónugreinanlegra upplýsinga skal ávallt lágmarka í umfangi og varðveislutíma að teknu tilliti til annarra laga og reglugerða. Viðkvæmar persónuupplýsingar skal verja sérstaklega út frá niðurstöðu mats á áhrifum á persónuvernd (MÁP) þar sem við á.

• Stafrænt Ísland ber ábyrgð á upplýsingaöryggi í tengslum við veittar þjónustur og skal skilgreindur starfsmaður bera ábyrgð gagnvart upplýsingaöryggi.
• Starfsfólk Stafræns Íslands er bundið trúnaðarákvæðum í ráðningarsamningum auk þagnarskyldu samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins.
• Aðilar sem koma að umsjón og rekstri þjónusta Stafræns Íslands hafa undirritað trúnaðaryfirlýsingar.
• Ákvæði um trúnað eru í þjónustu- og hýsingarsamningum.
• Rekstrarumhverfi eru hýst hjá vottuðum fagaðila.
• Kröfur um hönnun upplýsingaöryggis- og persónuverndar er hluti af öllum þáttum verkefna til að stuðla að sjálfgefinni og innbyggðri persónuvernd og upplýsingaöryggi.
• Öryggisráðstafanir, svo sem aðgangsstýringar og dulritun gagna, eru innleidd á grundvelli niðurstöðum áhættumats, mats á áhrifum á persónuvernd auk lagalegra krafna.
• Öryggisúttektir eru framkvæmdar af óháðum þriðja aðila á mikilvægum þjónustum með reglulegum hætti.
• Stafrænt Ísland gerir að skilyrði í vinnslusamningum undirvinnsluaðila og þjónustuaðila að farið sé eftir lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Stafrænt Ísland skal veita opinberum aðila nánari upplýsingar um öryggisráðstafanir sé óskað eftir því. Geri opinber aðili kröfu um frekari öryggisráðstafanir, svo sem vegna eðli persónuupplýsinga eða umfangs vinnslu, er hægt að mæla fyrir um slíkt í sérstökum samningi milli aðila.

10 Öryggisbrestir og tilkynning þeirra

Verði Stafrænt Ísland vart við öryggisbrest í tengslum við þjónustu við opinberan aðila skal það tilkynna viðkomandi aðila með sannanlegum hætti án ástæðulausrar tafar eftir að Stafrænt Ísland verður vart við brotið. Með tilkynningunni skulu fylgja hvers kyns skjöl eða gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tilkynnt um brotið til viðeigandi eftirlitsstofnunar.

Opinber aðili ber ábyrgð á að tilkynna öryggisbrest við meðferð persónuupplýsinga til Persónuverndar og annarra viðeigandi eftirlitsstofnana nema ólíklegt þyki að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga í samræmi við 2. mgr. 27. gr. laga nr. 90/2018.

Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal opinber aðili tilkynna skráðum einstaklingi um brestinn án ótilhlýðilegrar tafar, sbr. 3. mgr. 27. gr. laga nr. 90/2018.

11 Persónuupplýsingar við lok vinnslu

Þegar þjónustu lýkur samkvæmt samningi skal Stafrænt Ísland aðstoða við flutning gagna og upplýsinga til nýs þjónustuveitanda eða skila þeim á algengu tölvulesanlegu formi, sé óskað eftir því.

Þar sem Stafrænt Ísland er afhendingarskyldur aðili samkvæmt 14. gr. laga nr. 77/2014 um opinber skjalasöfn er því óheimilt að eyða gögnum og upplýsingum nema með samþykki þjóðskjalavarðar, reglna eða á grundvelli sérstaks lagaákvæðis, sbr. 1. mgr. 24. gr. sömu laga.

12 Úttektir
Óski opinber aðili eftir því skal Stafrænt Ísland veita honum, eða þriðja aðila sem hann tilnefnir fyrir sína hönd, aðgang að gögnum og upplýsingakerfum til að framkvæma úttektir og öryggisprófanir til að ganga úr skugga um að Stafrænt Ísland uppylli skyldur sínar samkvæmt þessum skilmálum, samningum, viðaukum og samkvæmt lögum. Þetta á t.d. við um innri og ytri endurskoðendur sem og öryggisstjóra og/eða öryggisteymi. Stafrænt Ísland samþykkir einnig að veita eftirlitsaðilum s.s. ríkisendurskoðanda, lögreglu, fjármálaeftirliti Seðlabanka Íslands og öðrum eftirlitsaðilum aðgang að gögnum og upplýsingakerfum sínum ef þau óska eftir því í tengslum við rannsókn á/hjá opinberum aðila.

Úttektir og prófanir á grundvelli þessa ákvæðis skulu gerðar í samráði og með vitund Stafræns Íslands. Aðilar skulu koma sér saman um dagsetningu og ráðstafanir til að tryggja öryggi og trúnað við úttekt eða prófun. Stafrænt Ísland áskilur sér rétt til að hafna úttektar-/prófunaraðila en skal færa málefnaleg rök fyrir slíkri höfnun. Stafrænt Ísland áskilur sér rétt til að fá aðgang og afrit af öllum úttektum, öryggisprófunum, áhættumati og öðru slíku sem gert er á kerfum hennar og þjónustu, og birta fyrir þjónustuþegum sínum að eigin frumkvæði eða ósk þeirra.

13 Staðsetning gagna

Stafrænt Ísland skal upplýsa opinberan aðila hvar persónupplýsingar eru hýstar. Gögn og persónuupplýsingar í vörslu Stafræns Íslands eða undirvinnsluaðila í tengslum við þjónustu þess við opinberan aðila verða hvorki fluttar né varðveittar utan Evrópska efnahagssvæðisins nema á grundvelli fyrirmæla eða samþykkis viðkomandi aðila. Krefjist opinber aðili þess að gögn séu varðveitt innanlands skal kveðið á um það í skriflegum fyrirmælum.

14 Ábyrgð

Um ábyrgð, takmarkanir á ábyrgð og skaðleysi fer samkvæmt því sem segir í samningi aðila eða skilmálum. Ábyrgð aðila á brotum gegn lögum nr. 90/2018 og reglugerð (ESB) 2016/679 fer samkvæmt 51. gr. laga nr. 90/2018 og 82. gr. reglugerðar (ESB) 2016/679.


15 Samningsskil

Þessir skilmálar gilda framar öðrum samningum sem aðilar hafa gert með sér hvað varðar vinnslu Stafræns Íslands á persónuupplýsingum fyrir hönd opinbers aðila. Hafi aðilar gert með sér viðauka við þessa skilmála um vinnslu persónuupplýsinga ganga þeir þó framar ákvæðum þessara skilmála.


16 Endurskoðun

Skilmálar þessir geta tekið breytingum í samræmi við breytingar á lögum og stjórnvaldsfyrirmælum, vegna úrskurða og álita Persónuverndar og vegna breytinga á þjónustu Stafræns Íslands. Opinber aðili verður upplýstur um breytingar og hefur 30 daga til að andmæla þeim. Hafi andmæli ekki borist innan frestsins teljast breytingarnar samþykktar.

Breytingar taka gildi við birtingu nýrrar útgáfu skilmálanna.

Skilmálar þessir voru síðast uppfærðir: 1.12.2021