Fara beint í efnið

Þjónustuskilmálar innskráningarþjónustu og umboðskerfis

Almennt

Fjármála- og efnahagsráðuneytið (“þjónustuveitandi”) er rekstraraðili innskráningarþjónustu og umboðskerfis Stafræns Íslands (“þjónustan”). Ríkisstofnanir, ráðuneyti og aðrir opinberir aðilar (“þjónustuþegi”) hafa aðgang að innskráningarþjónustu- og umboðskerfi Stafræns Íslands til auðkenningar á almennum notendum í samræmi við skilmála þjónustunnar.

Innskráningarþjónusta- og umboðskerfi þjónustuveitanda er tvíþætt:

  • Annars vegar innskráningarþjónusta sem felur í sér miðlægt innskráningarviðmót þar sem hægt er að nota rafræn skilríki í síma, rafræn skilríki á korti eða auðkennisapp Auðkenni ehf. til auðkenningar.

  • Á hinn bóginn umboðskerfi sem felur í sér að þjónustuþega eru veittar upplýsingar um umboð notanda í gegnum kerfið, annars vegar á grundvelli opinberrar skráningar viðkomandi, s.s. prókúruhafi hjá tilteknu félagi sem tilkynntur hefur verið til fyrirtækjaskrár Skattsins eða lögráðamaður hjá Þjóðskrá og þjónustuveitandi sækir upplýsingar um til viðkomandi stofnana, og hins vegar umboð sem notendum hafa verið veitt og eru vistuð hjá þjónustuveitanda.

Á grundvelli framangreinds getur þjónustuþegi veitt notendum rétt til tiltekinna aðgerða í upplýsingatæknikerfum sínum. Þjónustuþegi ber alfarið ábyrgð á því hvaða réttindi hann veitir innskráðum notanda á grundvelli upplýsinga sem sóttar eru eða staðfestar í gegnum þjónustuna, þ.m.t. hvaða heimildir viðkomandi hefur á grundvelli umboðs. Umboðskerfi þjónustuveitanda staðfestir einungis tilvist umboðs en ekki að slíkt umboð sé rétt, fullnægjandi eða viðeigandi til að framkvæma mismunandi athafnir í upplýsingakerfum þjónustuþega.

Skilmálar þessir og eftir atvikum samningar og viðaukar sem gerðir eru mynda samkomulag þjónustuveitanda og þjónustuþega um þjónustuna. Með því að nota þjónustuna samþykkir þjónustuþegi skilmála þessa.

1.  Skilgreiningar

Í skilmálum þessum, þar sem samhengi texta leyfir, skulu eftirfarandi hugtök skilgreind með þeim hætti sem hér segir:

Auðkenni: Auðkenni ehf., fyrirtæki sem sérhæfir sig í útgáfu og þróun rafrænna skilríkja. Þjónustuveitandi greiðir Auðkenni gjald fyrir uppflettingu á rafrænum skilríkjum.

Auðkennisappið: Leið til innskráningar með því að auðkenna viðkomandi með rafrænum skilríkjum í snjallsíma í gegnum snjallforrit (app), sem útgefið er af Auðkenni ehf.

Innskráningarþjónusta þjónustuveitanda: Miðlægt innskráningarviðmót Ísland.is sem er starfrækt af fjármála- og efnahagsráðuneytinu.

Notandi: Einstaklingur eða lögaðili sem notar þjónustuvef.

Rafræn skilríki í síma: Rafræn persónuskilríki í síma sem mæta kröfum laga nr. 55/2019, um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti, sbr. ákvæði reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.

Rafræn skilríki á korti: Rafræn persónuskilríki sem sótt eru í gegnum snjallkort.

Sérstök umboð: Umboð sem notendur hafa stofnað sjálfstætt inni á mínum síðum á Ísland.is. Umboðin eru vistuð hjá þjónustuveitanda.

Umboð persónulegs talsmanns fatlaðs einstaklings: Umboð persónulegs talsmanns fatlaðs einstaklings samkvæmt IV. kafla laga nr. 88/2011 og reglugerð nr. 972/2012. Réttindagæslumaður fatlaðs fólks kemur á samningi milli hins fatlaða einstaklings og talsmanns. Upplýsingar um persónulega talsmenn fatlaðra einstaklinga eru vistuð hjá þjónustuveitanda.

Umboðskerfi þjónustuveitanda: Þjónusta sem miðlar til þjónustuþega þeim umboðum notanda sem eru skráð opinberri skráningu s.s. hjá fyrirtækjaskrá eða þjóðskrá, hverju sinni, auk umboða sem vistuð eru miðlægt hjá þjónustuveitanda.

Umsjónarmaður þjónustuþega: Starfsmaður þjónustuþega sem hefur yfirumsjón með notkun hans á þjónustunni.

Þjónustan: Yfirheiti yfir innskráningarþjónustu þjónustuveitanda og umboðskerfi þjónustuveitanda

Þjónustuþegi: Lögaðili sem notar þjónustuna til að auðkenna notendur og umboð notenda á eigin þjónustuvef.

Þjónustuveitandi: Stafrænt Ísland í umboði fjármála- og efnahagsráðuneytis.

Þjónustuvefur: Vefsvæði þjónustuþega sem notar þjónustuna til að auðkenna notendur.

2.   Skyldur aðila

Á grundvelli samkomulags aðila er þjónustuþega veittur aðgangur að þjónustunni. Með notkun á þjónustunni skuldbindur þjónustuþegi sig til að fylgja í einu og öllu þeim reglum og skilmálum sem um þjónustuna gilda.

2.1. Almennt

Þjónustuþega er óheimilt að vista upplýsingar frá þjónustunni til síðari nota eða í öðrum tilgangi en þeim sem þjónustan er sniðin að. Þjónustuþegi ábyrgist að öll meðferð og úrvinnsla í eigin vefkerfum, þ.m.t. dulkóðaðri vistun í atvikaskrám, taki mið af vernd réttleika, leyndar og tryggi rekjanleika þeirra upplýsinga sem þjónustan veitir.

Þjónustuþegi ber ábyrgð á að upplýsingarnar komist ekki í hendur óviðkomandi aðila og að starfsfólk þjónustuþega sem aðgang hefur að atvikaskrám tryggi öryggi þeirra upplýsinga sem í þeim felast.

Ef þjónustuþegi úthýsir kerfum sínum eða umsjón þeirra til þriðja aðila er slík vinna ávallt unnin á ábyrgð þjónustuþega.

2.2 Notkun á innskráningarþjónustu þjónustuveitanda

Þjónustuþegi notast við innskráningarþjónustu þjónustuveitanda til að auðkenna notanda inn á þjónustuvef.

Auðkenning notanda skal fara fram á vefsvæði þjónustuveitanda. Þjónustuþega er óheimilt að óska eftir að upplýsingar sem tengjast auðkenningu notanda í gegnum þjónustuna séu slegnar inn á vefsvæði hans. Þjónustuþega er óheimilt að hjúpa eða dylja innskráningarglugga þjónustunnar með nokkrum hætti. Að auðkenningu lokinni er notanda skilað inn á slóð sem þjónustuþegi tilgreinir, þ.e. þjónustuvef.

2.3. Notkun á umboðskerfi þjónustuveitanda

Þjónustuþegi notast við upplýsingar úr umboðskerfi þjónustuveitanda til að veita notendum tiltekin réttindi inni á þjónustuvef. Þjónustuveitandi miðlar upplýsingum um umboð notanda til þjónustuþega að beiðni notanda.

Auðkenning samkvæmt umboði skal fara fram á vefsvæði þjónustuveitanda. Nafn þess notanda sem umboð er sótt fyrir skal birt á vefsvæðinu, auk viðeigandi umboða. Þjónustuþega er óheimilt að hjúpa eða dylja vefsvæði þjónustunnar með nokkrum hætti. Að lokinni auðkenningu umboðs er notanda skilað inn á slóð sem þjónustuþegi tilgreinir, þ.e. þjónustuvef. Þjónustuþega er óheimilt að óska eftir upplýsingum um önnur umboð notanda vegna þjónustunnar heldur en umboð notanda sem auðkennt er fyrir. Þjónustuþega er óheimilt að vista upplýsingar um umboð notanda þegar hann hefur skráð sig út af þjónustuvef, og ber að kalla eftir upplýsingum um umboð í gegnum umboðskerfi þjónustuveitanda í hvert skipti sem notandi auðkennir sig inn á þjónustuvef á grundvelli umboðs.

Sérstök umboð eru stofnuð og skráð hjá þjónustuveitanda að beiðni notanda (þá umbjóðandi) inni á Ísland.is og við stofnun er m.a. skráð til hvaða þjónustuþega þess er óskað að umboðið taki og hversu lengi það varir. Sérstökum umboðum er miðlað til þjónustuþega að beiðni notanda (umboðsmanns).

Þjónustuþegi ber alfarið ábyrgð á því hvaða réttindi hann veitir notanda á grundvelli upplýsinga um umboð sem sótt eru í umboðskerfi þjónustuveitanda, þ.m.t. hvaða heimildir viðkomandi hefur á grundvelli umboðs.

Þjónustuveitandi ber ekki ábyrgð á réttmæti upplýsinga sem hann sækir á grundvelli opinberrar skráningar til annars stjórnvalds, s.s. upplýsinga sem sóttar eru til þjóðskrár eða fyrirtækjaskrár, og eru ekki vistuð hjá þjónustuveitanda. Þjónustuveitandi staðfestir skráningu umboða sem vistuð eru í kerfum þjónustuveitanda. Annars vegar upplýsinga um umboð persónulegra talsmanna fatlaðra einstaklinga á grundvelli skráningar réttindagæslumanna og hins vegar sérstakra umboða. Þjónustuveitandi miðlar eingöngu gildum umboðum til þjónustuþega á hverjum tíma.

3.  Öryggismál

Þjónustuveitandi ber ábyrgð á að viðhafa viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi þjónustunnar. Öryggisráðstafanir skulu taka mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi, tilgangi vinnslu og áhættu á öryggisbresti. 

Við gagnaflutning er notað almennt gagnaflutningsnet. Við auðkenningu á notanda í innskráningarþjónustu þjónustuveitanda er krafist rafrænna skilríkja í síma, rafrænna skilríkja á korti eða auðkenningar í gegnum auðkennisappið af viðkomandi notanda. Upplýsingar um notendur eru fluttar um dulkóðaða rás beint til þjónustuþega. Öryggisráðstafanir miðast við að upplýsingar séu ólæsilegar í flutningi, jafnvel þótt óviðkomandi aðili komist inn í netsamskipti eða ef bilun verður í tækjabúnaði.

Öryggisráðstafanir þjónustuþega skulu taka mið af nýjustu tækni og fullnægja þeim kröfum sem þjónustuveitandi setur fram á hverjum tíma og kynntar eru á vefsvæðinu www.island.is. Þjónustuveitanda er heimilt að óska þess að þriðji aðili framkvæmi reglulegar sjálfvirkar öryggisúttektir á uppsetningu þjónustuþega. Ef niðurstaða öryggisúttektar sýnir fram á að ráðstafanir þjónustuþega uppfylla ekki öryggiskröfur þjónustuveitanda eins og þær eru á hverjum tíma, eða aðra alvarlega veikleika sem hafa áhrif á öryggi, skal þjónustuþega tilkynnt, með sannarlegum hætti, og veittur 10 daga frestur, sem hefst þegar tilkynningin er send, til að gera fullnægjandi úrbætur. Ef niðurstaða öryggisúttektar er að fyrrgreindur veikleiki er minniháttar skal þjónustuþega veittur 30 daga frestur. Er þjónustuþega tilkynnt skriflega um slíkt. Hafi viðkomandi veikleiki ekki verið lagfærður að liðnum tilkynntum fresti er loka á nýtingu þjónustuþega á innskráningarþjónustunni án frekari tilkynninga.

Þjónustuþega og þjónustuveitanda ber að tilkynna gagnaðila sem fyrst ef grunur leikur á óviljandi, óheimilli eða ólöglegri vinnslu upplýsinga eða ef grunur er uppi um hvers konar öryggisbrest við meðferð á upplýsingum sem fengnar eru úr þjónustunni. Tilkynninguna skal senda á almennt netfang viðkomandi aðila (í tilviki þjónustuþega, island@island.is). Í slíkri tilkynningu skal viðkomandi aðili lýsa eðli brestsins, þ. á m. áætluðum fjölda skráðra einstaklinga sem það varðar og notkun upplýsinganna. Þá skal viðkomandi aðili lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugað að gera vegna öryggisbrestsins.

4.  Ábyrgð

Þjónustuþegi skal halda þjónustuveitanda skaðlausum af hvers konar tjóni, kröfum, aðgerðum, skaða, ábyrgðum, sektum, refsingum og kostnaði (þ.m.t. lögfræðikostnaði) sem þjónustuveitandi kann að verða fyrir vegna eða í tengslum við aðgerðir eða aðgerðarleysi þjónustuþega, hvort sem það stafar af vanrækslu, ásetningi eða gáleysi þjónustuþega eða notenda í tengslum við notkun á innskráningarþjónustu þjónustuveitanda eða sem leiðir af broti gegn samkomulagi aðila. Skaðleysisábyrgð þessi takmarkar ekki með neinum hætti önnur samningsbundin eða lögbundin réttindi sem þjónustuveitandi kann að njóta gagnvart þjónustuþega og hugsanlegar bætur eða skaðleysisgreiðslur réttlæta ekki brot á skyldum og skuldbindingum þjónustuþega.

Þjónustuþegi ber ábyrgð á öllu tjóni sem hlýst af notkun hans eða notenda á þeim upplýsingum sem fara milli þjónustuveitanda og þjónustuþega. 

Þjónustuveitandi ber ekki ábyrgð á tjóni vegna notkunar þjónustunnar sem hlýst af vanþekkingu, misskilningi eða misnotkun þjónustuþega eða notenda. Þjónustuveitandi ber ekki ábyrgð á tjóni sem stafar af því að búnaður þjónustuþega virkar ekki sem skyldi.

Þjónustuveitandi ber hvorki beint né óbeint ábyrgð á tjóni sem orsakast af fyrirvaralausri lokun þjónustunnar t.d. vegna bilana í hug- eða vélbúnaði þjónustuveitanda eða tengdum hug- eða vélbúnaði í eigu þriðja aðila eða af öðrum orsökum. Verði einhver mistök, truflanir eða tafir á þjónustu þjónustuveitanda skal ábyrgð hans takmarkast við að lagfæra slík mistök, truflanir eða tafir, svo fljótt sem auðið er.

Þjónustuveitandi ber eingöngu ábyrgð á tjóni þjónustuþega ef það má rekja til stórkostlegs gáleysis eða ásetnings starfsmanna þjónustuveitanda. Ábyrgð þjónustuveitanda nær í slíku tilviki eingöngu til beins tjóns en aldrei til afleidds tjóns sem verða kann af þessum sökum, s.s. rekstrarstöðvunar, tapaðra viðskipta eða álitshnekkis.

Um tjón vegna brota gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga fer samkvæmt 51. gr. laganna og 82. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679.

5.  Greiðslur

Þjónustan er aðgengileg þjónustuþegum án endurgjalds.

Komi til breytinga á gjaldtöku verða þær kynntar fyrir þjónustuþegum 90 dögum áður en þær taka gildi.

6.  Rekstraröryggi

Aðilar skuldbinda sig til að stuðla að öruggum rekstri þjónustunnar og vinna jafnframt sameiginlega að viðgerðum ef rekstrartruflanir verða. 

Verði þjónustuþegi þess áskynja að þjónustan sé að einhverju leyti í ólagi ber honum að tilkynna þjónustuveitanda um það án tafar. Þjónustuþega er í slíkum tilvikum að jafnaði óheimilt að nota þjónustuna þar til þjónustuveitandi hefur lokið athugun á þjónustu sinni.

Ef nauðsynlegt reynist að loka þjónustunni tímabundið vegna viðhalds á kerfum, uppfærslu skráa, og/eða annarra tæknilegra aðgerða, vegna reksturs þjónustunnar, skal þjónustuveitandi tilkynna þjónustuþega um slíkt eins fljótt og kostur er en þó með a.m.k. sólahrings fyrirvara.

Þjónustuveitanda er heimilt að rjúfa aðgang þjónustuþega að þjónustunni án viðvörunar ef slíkt reynist nauðsynlegt vegna gruns um öryggisbrest hjá þjónustuþega eða ef þjónustuveitandi telur ljóst að búnaður þjónustuþega standist ekki kröfur þjónustuveitanda fyrir notkun þjónustunnar.

Ef þjónustuþegi eða þjónustuveitandi verður fyrir einhverjum hindrunum við að uppfylla samkomulagið gagnvart gagnaðila af ástæðum sem honum eru óviðráðanlegar, þá frestast viðkomandi skyldur til þess tíma er slíkar hindranir eru afstaðnar og aðilar samkomulagsins geta uppfyllt umsamdar skyldur sínar.

7.  Uppsögn

Þjónustuveitanda og þjónustuþega er heimilt að segja upp þjónustunni. Skal uppsögnin vera skrifleg og skal þjónustu þá hætt tveimur (2) mánuðum eftir móttöku tilkynningar um uppsögn. Allar samningsskyldur aðila haldast á uppsagnarfresti.

Þjónustuveitanda er þó heimilt að hætta þjónustu við þjónustuþega án fyrirvara ef:

Þjónustuveitanda er skylt samkvæmt lögum eða stjórnvaldsfyrirmælum að hætta viðskiptum við þjónustuþega og/eða það væri ólöglegt fyrir þjónustuveitanda að halda áfram að veita þjónustu til þjónustuþega.

Þjónustuþegi vanefnir skyldur sínar að verulegu leyti gegn samkomulagi aðila þ.m.t. skilmálum þessum.

Hvers kyns upplýsingar eða yfirlýsingar sem þjónustuþegi hefur gefið fyrir eða á gildistíma samkomulags eru rangar, misvísandi eða á annan hátt ófullnægjandi að mati þjónustuveitanda, eða viðvarandi upplýsingaskyldu hefur ekki verið fullnægt í samræmi við skilmála þessa.

Einhverjir þeir atburðir verða í rekstri eða hegðun þjónustuþega sem samkvæmt einhliða mati þjónustuveitanda eru þess eðlis að viðskiptasamband þjónustuveitanda við þjónustuþega kunni að stefna orðspori Ísland.is í hættu eða slíkir atburðir leiða til gruns um svik eða lögbrot í starfsemi þjónustuþega.

Aðgangur þjónustuþega að þjónustunni hefur ekki verið virkur í 6 mánuði. 

Þjónustuveitandi þarf ekki að tilgreina ástæðu fyrir ákvörðun sinni um að hætta þjónustunni og skal ekki bera neinn kostnað vegna beitingar slíks réttar. 

Tilkynning um riftun er send á skráð netfang þjónustuþega hjá þjónustuveitanda og telst móttekin samdægurs. 

8.  Trúnaðarskylda

Þjónustuveitandi skal gæta trúnaðar gagnvart þjónustuþega um upplýsingar sem leynt eiga að fara. Þjónustuveitandi skal gæta þess að starfsfólk og verktakar á sínum vegum riti undir trúnaðaryfirlýsingar eða séu bundnir þagnarskyldu samkvæmt lögum.

Þjónustuþegi skal í hvívetna gæta trúnaðar gagnvart notendum. Þjónustuþega er óheimilt að óska eftir eða nota upplýsingar sem honum hefur áskotnast í gegnum þjónustuna í öðrum tilgangi en til að auðkenna notanda á vefsvæði sínu, beinni auðkenningu eða samkvæmt umboði.

9.  Persónuvernd

Þjónustuveitandi og þjónustuþegi skulu fara með alla vinnslu persónuupplýsinga í samræmi við grundvallarsjónarmið um vernd einkalífs og vinnslu persónuupplýsinga. Hér vísast sérstaklega til reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónupplýsinga og um frjálsa miðlun slíkra upplýsinga, sbr. lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Tilgangur vinnslu persónuupplýsinga er auðkenning notanda í gegnum þjónustuna og miðlun umboðs. Vinnsla persónuupplýsinga samkvæmt skilmálum þessum tekur til og er afmörkuð við persónuupplýsingar sem nauðsynlegar eru til auðkenningar og veitingu umboðs.

Þjónustuþegi og þjónustuveitandi skulu gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja öryggi þeirra persónuupplýsinga sem þeir vinna með og annast fræðslu til notenda sem skrá sig inn með þjónustunni s.s. með birtingu persónuverndarstefnu.

Persónuverndarskilmálar þjónustuveitanda gilda um vinnslu persónuupplýsinga af hálfu þjónustuveitanda fyrir hönd þjónustuþega í tengslum við þjónustuna og teljast ígildi vinnslusamnings samkvæmt 3. mgr. 25. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

10. Framsal réttinda og skyldna

Þjónustuþega er með öllu óheimilt að framselja eða flytja að hluta eða fullu réttindi sín eða skyldur samkvæmt skilmálum þessum, nema að fengnu skriflegu samþykki þjónustuveitanda.

Þjónustuveitandi kann að nýta sér þjónustu umboðsaðila eða undirverktaka til að sinna skyldum sem á honum hvíla skv. skilmálum þessum en slík vinna skal þó ávallt unnin á ábyrgð þjónustuveitanda gagnvart þjónustuþega. Um notkun undirvinnsluaðila fer samkvæmt persónuverndarskilmálum þjónustuveitanda.

11. Breytingar á skilmálum

Þjónustuveitandi áskilur sér rétt til að gera breytingar á skilmálum þessum og skulu þær tilkynntar þjónustuþega í rafrænni tilkynningu sem send er á uppgefið netfang þjónustuþega eða með öðrum sannanlegum hætti a.m.k. hálfum mánuði áður en ný eða breytt ákvæði taka gildi. Á www.island.is er jafnframt tilkynnt um nýja og/eða uppfærða skilmála áður en þeir taka gildi.

Þjónustuveitanda er heimilt að gera breytingar á skilmálum með skemmri fyrirvara ef slíkar breytingar á skilmálum eru nauðsynlegar samkvæmt lögum. Í slíkum tilvikum þar sem fyrirvarinn kann að vera skemmri skal þjónustuveitandi leitast við að tilkynna slíkar breytingar eins fljótt og mögulegt er.

Skilmálar þessir voru síðast uppfærðir: 30.9.2022

Þjónustuaðili

Staf­rænt Ísland