Þjónustuskilmálar stafræns pósthólfs

Almennt

Fjármála og efnahagsráðuneytið er rekstraraðili stafræns pósthólfs. Með því að tengjast stafrænu pósthólfi gerast opinberir aðilar og aðrir aðilar sem til þess hafa leyfi samkvæmt reglugerð um stafrænt pósthólf, svokallaðir birtingaraðilar í því.

Þjónusta stafræns pósthólfs felst í að gera birtingaraðilum kleift að birta og miðla gögnum til viðtakanda. Það gerir stafræna pósthólfið með því að taka við svokölluðum skjalatilkynningum frá birtingaraðila og birta í stafrænum pósthólfum viðtakanda. Viðtakendur geta síðan óskað eftir því gegnum sitt stafræna pósthólf að skoða innihald gagna sem þeim hefur verið birt þar. Þá sendir stafræna pósthólfið beiðni til viðeigandi birtingaraðila um að senda innihald þess gagns sem viðtakandi óskar eftir að skoða í skoðunarviðmóti viðtakanda í stafræna pósthólfinu.
Rekstraraðili stafræns pósthólfs vistar skjalatilkynningar í sínum kerfum en hefur ekki aðgang að innihaldi þeirra upplýsinga sem tilkynningin vísar til.
Birtingaraðili ber ábyrgð á þeim tilkynningum sem sendar eru í stafrænt pósthólf og þeim upplýsingum sem miðlað er til viðtakanda við skoðun. Rekstraraðili tekur ekki á nokkurn hátt afstöðu til þeirra gagna sem birtingaraðili sendir og ber enga ábyrgð á innihaldi þeirra.
Skilmálar þessir og eftir atvikum samningar og viðaukar sem gerðir eru mynda samkomulag rekstraraðila og birtingaraðila um notkun birtingaraðila á Stafrænu Pósthólfi. Með því að nota þjónustuna samþykkir birtingaraðili skilmála þessa.

1. Skilgreiningar

Í skilmálum þessum, þar sem samhengi texta leyfir, skulu eftirfarandi hugtök skilgreind með þeim hætti sem hér segir:
Atriðaskrá: Listi yfir gögn og tilvísanir (e. reference) til að finna gögn í gagnakerfi birtingaraðila.
Birting: Tilkynning birtingaraðila um tilvist gagna í stafrænu pósthólfi.
Birtingaraðili: Opinberir aðilar, þ.e. ríki, sveitarfélög, stofnanir þeirra og aðrir opinberir aðilar, sem er skylt að birta gögn í stafrænu pósthólfi, eða aðrir aðilar sem heimilt er að birta gögn í stafrænu pósthólfi á grundvelli reglugerða.
Rekstraraðili: Stafrænt Ísland í umboði fjármála- og efnahagsráðuneytis.
Stafrænt Pósthólf: Miðlæg vefþjónusta rekstraraðila þar sem einstaklingar, lögaðilar og opinberar stofnanir eiga stafrænt pósthólf þar sem þeir geta skoðað gögn frá birtingaraðilum.
Skoðun: Miðlun gagna frá birtingaraðila til viðtakanda.
Viðtakandi: Einstaklingar, lögaðilar og stofnanir sem hafa aðgang að stafrænu pósthólfi.
Vefþjónusta: Þjónusta birtingaraðila sem sendir skjalatilkynningar í stafrænt pósthólf og umbeðin gögn til skoðunar skv. ósk viðtakanda.
Tæknilýsing vefþjónustu: Þær tæknilegu kröfur sem, á hverjum tíma, eru gerðar til vefþjónustu, sjá hér.
Öryggiskröfur vefþjónustu: Þær öryggiskröfur sem, á hverjum tíma, eru gerðar til vefþjónustu, sjá hér.

2. Skyldur aðila

Rekstraraðila er óheimilt að vista gögn þau er skjalatilkynning vísar til og viðtakandi kallar eftir til skoðunar.
Birtingaraðili ábyrgist að öll meðferð og vinnsla í eigin vefþjónustu og tengdum kerfum, þ.m.t. dulkóðaðri vistun í atvikaskrám, taki mið af vernd réttleika, leyndar og tryggi rekjanleika þeirra upplýsinga sem vefþjónustan veitir.
Birtingaraðili ber ábyrgð á að upplýsingarnar komist ekki í hendur óviðkomandi aðila og að starfsfólk birtingaraðila sem aðgang hefur að atvikaskrám tryggi öryggi þeirra upplýsinga sem í þeim felast.

2.1. Almennt

Birtingaraðila er heimilt að tengja vefþjónustu við stafrænt pósthólf rekstraraðila þegar öryggiskröfum vefþjónustu hefur verið mætt eins og þær eru tilgreindar hverju sinni.
Ef birtingaraðili úthýsir kerfum sínum eða umsjón þeirra til þriðja aðila er slík vinna ávallt unnin á ábyrgð birtingaraðila en birtingaraðila ber að upplýsa rekstraraðila um breytingar sem kunna að hafa áhrif á tengingu vefþjónustu við stafrænt pósthólf.
Rekstraraðili og birtingaraðili skulu hvor um sig halda atburðaskrár um samskipti stafræns pósthólfs og vefþjónustu birtingaraðila. Atburðaskrár skulu gefa glögga mynd af samskiptum kerfanna, tímastimpil birtingar tilkynninga og skoðunar viðtakanda.

2.2. Notkun á stafrænu pósthólfi

Birtingaraðili heldur atriðaskrá og skráir nauðsynlegar tilvísanir til gagna svo að gögnin séu birt með réttum hætti í stafrænu pósthólfi og uppfylli kröfur tæknilýsingar vefþjónustu. Birtingaraðili skráir þær upplýsingar sem hann telur nauðsynlegar til þess að viðtakandi geti áttað sig á viðfangsefni (e. subject) gagnanna. Öll skráning í atriðaskrá er á ábyrgð birtingaraðila.
Skjalatilkynningar sem sendar eru stafrænu pósthólfi skulu skráðar í atriðaskrá birtingaraðila.
Birtingaraðila er ekki heimilt að fjarlægja gögn úr pósthólfinu enda teljast gögn birt viðtakanda um leið og þau berast í pósthólfið, án tillits til þess hvort þau hafa verið skoðuð. Hafi gögn verið birt í pósthólfinu sem ætluð voru öðrum, sbr. 4. mgr. 88. gr. laga um fjarskipti nr. 70/2022, er þó unnt að afturkalla gögnin og ber þá birtingaraðila að upplýsa réttan viðtakanda um þá ráðstöfun.

3. Öryggismál

Rekstraraðili ber ábyrgð á að viðhafa viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi stafræns pósthólfs. Öryggisráðstafanir skulu taka mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi, tilgangi vinnslu og áhættu á öryggisbresti.
Við gagnaflutning er notað almennt gagnaflutningsnet. Við auðkenningu notanda í stafrænt pósthólf er notast við innskráningar- og umboðsþjónustu rekstraraðila.
Öll gagnasamskipti vefþjónustu birtingaraðila og rekstraraðila stafræns pósthólfs fara fram um dulkóðaða rás. Öryggisráðstafanir miðast við að upplýsingar séu ólæsilegar í flutningi, jafnvel þótt óviðkomandi aðili komist inn í netsamskipti eða ef bilun verður í tækjabúnaði.
Öryggisráðstafanir birtingaraðila skulu taka mið af nýjustu tækni og fullnægja þeim kröfum sem rekstraraðili setur fram á hverjum tíma. Rekstraraðila er heimilt að óska þess að þriðji aðili framkvæmi reglulegar sjálfvirkar öryggisúttektir á uppsetningu birtingaraðila. Ef niðurstaða öryggisúttektar sýnir fram á að ráðstafanir rekstraraðila uppfylla ekki öryggiskröfur rekstraraðila eins og þær eru á hverjum tíma, eða aðra alvarlega veikleika sem hafa áhrif á öryggi, skal birtingaraðila tilkynnt, með sannanlegum hætti, og veittur 10 daga frestur, sem hefst þegar tilkynningin er send, til að gera fullnægjandi úrbætur. Ef niðurstaða öryggisúttektar er að fyrrgreindur veikleiki er minniháttar skal birtingaraðila veittur 30 daga frestur. Er birtingaraðila tilkynnt skriflega um slíkt. Hafi viðkomandi veikleiki ekki verið lagfærður að liðnum tilkynntum fresti er rekstraraðila heimilt að rjúfa aðgang birtingaraðila að þjónustunni án frekari tilkynninga, þar til bætt hefur verið úr ágallanum.
Verði birtingaraðili uppvís að því að brjóta gegn skilmálum þessum eða misnota birtingu í stafrænt pósthólf á annan hátt, eða ljóst þykir að hann getur hvorki né ætlar að uppfylla ákvæði þessara skilmála er rekstraraðila hvenær sem er, og án fyrirvara, heimilt að loka á aðgang viðkomandi birtingaraðila þar til birtingaraðili hefur á sannanlegan hátt bætt úr ágallanum. Í slíku tilviki skal rekstraraðili senda viðkomandi birtingaraðila tilkynningu þess efnis með sannanlegum hætti.

4. Ábyrgð

Rekstraraðili ber ekki ábyrgð á tjóni vegna notkunar á vefþjónustu sem hlýst af vanþekkingu, misskilningi eða misnotkun birtingaraðila eða viðtakanda. Þá ber rekstraraðili vefþjónustunnar ekki ábyrgð á tjóni sem stafar af því að búnaður birtingaraðila eða viðtakanda virkar ekki sem skyldi.
Rekstraraðili ber ekki ábyrgð á tjóni vegna óleyfilegrar notkunar, t.d. ef óviðkomandi aðili hefur komist yfir aðgang birtingaraðila að vefþjónustu, eða ef birtingaraðila hefur ekki tekist að tilkynna rekstraraðila um misnotkun á vefþjónustunni, eða grun um slíkt.
Rekstraraðili ber hvorki beint né óbeint ábyrgð á tjóni sem orsakast af fyrirvaralausri lokun stafræns pósthólfs, t.d. vegna bilana sem rekja má til sambandsleysi, rofs á fjarskiptum eða annarra truflana sem kunna að verða á rekstri vefþjónustunnar og eru ófyrirsjáanlegar eða óhjákvæmilegar vegna óviðráðanlegra aðstæðna (force majure). Verði einhver mistök, truflanir eða tafir á stafrænu pósthólfi, sem rekja má til framangreindra aðstæðna, skal ábyrgð rekstraraðila takmarkast við að lagfæra slík mistök, truflanir eða tafir, svo fljótt sem auðið er.
Rekstraraðili ber eingöngu ábyrgð á tjóni birtingaraðila ef það má rekja til stórkostlegs gáleysis eða ásetnings starfsmanna rekstraraðila. Ábyrgð rekstraraðila nær í slíku tilviki eingöngu til beins tjóns en aldrei til afleidds tjóns sem verða kann af þessum sökum, s.s. rekstrarstöðvunar, tapaðra viðskipta eða álitshnekkis.
Birtingaraðili skal halda rekstraraðila skaðlausum af hvers konar tjóni, kröfum, frá viðtakanda, aðgerðum, skaða, ábyrgðum, sektum, refsingum og kostnaði (þ.m.t. lögfræðikostnaði) sem rekstraraðili kann að verða fyrir vegna eða í tengslum við aðgerðir eða aðgerðarleysi birtingaraðila, hvort sem það stafar af vanrækslu, ásetningi eða gáleysi birtingaraðila í tengslum við notkun á stafrænu pósthólfi eða sem leiðir af broti gegn samkomulagi aðila. Skaðleysisábyrgð þessi takmarkar ekki með neinum hætti önnur samningsbundin eða lögbundin réttindi sem rekstraraðili kann að njóta gagnvart birtingaraðila og hugsanlegar bætur eða skaðleysisgreiðslur réttlæta ekki brot á skyldum og skuldbindingum birtingaraðila.
Um tjón vegna brota gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga fer samkvæmt 51. gr. laganna og 82. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679

5. Greiðslur

Þjónustan er aðgengileg birtingaraðila án endurgjalds.

6. Rekstraröryggi

Aðilar skuldbinda sig til að stuðla að öruggum rekstri stafræns pósthólfs og vinna jafnframt sameiginlega að viðgerðum ef rekstrartruflanir verða.
Birtingaraðila og rekstraraðila ber að tilkynna gagnaðila án tafar ef grunur leikur á óviljandi, óheimilli eða ólöglegri vinnslu upplýsinga eða ef grunur er uppi um hvers konar öryggisbrest við meðferð á upplýsingum sem fengnar eru úr þjónustunni. Tilkynninguna skal senda á almennt netfang viðkomandi aðila (í tilviki birtingaraðila, island@island.is). Í slíkri tilkynningu skal viðkomandi aðili lýsa eðli brestsins, þ. á m. áætluðum fjölda skráðra einstaklinga sem það varðar og notkun upplýsinganna. Þá skal viðkomandi aðili lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugað að gera vegna öryggisbrestsins.
Rekstraraðili mun tilkynna birtingaraðila ef bilanir eða nauðsynlegar uppfærslur sem varða stafrænt pósthólf koma upp. Komi til þess að stafrænt pósthólf liggi niðri af óviðráðanlegum ástæðum mun rekstraraðili jafnframt tilkynna birtingaraðila um slíkt. Þjónusta rekstraraðila fer almennt fram á skrifstofutíma en verði rof á tengingu við stafrænt pósthólf skal rekstraraðili bregðast við tilkynningu þess efnis eins fljótt og auðið er.
Rekstraraðili getur rofið aðgang birtingaraðila að þjónustunni tímabundið án viðvörunar ef rökstuddur grunur vaknar um óheimila vinnslu upplýsinga, öryggisbrest eða ef rekstraraðili telur ljóst að búnaður birtingaraðila standist ekki kröfur rekstraraðila um notkun stafræns pósthólfs.
Verði rekstrarrof þess valdandi að ekki sé unnt að birta skjöl til skoðunar, skal rekstraraðili benda viðtakanda á að leita til birtingaraðilar um innihald skjalatilkynningar.
Ef rekstraraðili eða birtingaraðili verður fyrir einhverjum hindrunum við að uppfylla samkomulagið gagnvart gagnaðila af ástæðum sem honum eru óviðráðanlegar, þá frestast viðkomandi skyldur til þess tíma er slíkar hindranir eru afstaðnar og aðilar samkomulagsins geta uppfyllt umsamdar skyldur sínar.

7. Uppsögn

Hvorki rekstraraðila né birtingaraðilum sem skylt er samkvæmt lögum að birta gögn í stafrænu pósthólfi er heimilt að segja upp þjónustu þessari.
Rekstraraðila og þeim birtingaraðilum sem heimilt er að nota stafrænt pósthólf á grundvelli reglugerðar er heimilt að segja upp þjónustunni. Skal uppsögnin vera skrifleg og skal þjónustu þá hætt tveimur (2) mánuðum eftir móttöku tilkynningar um uppsögn. Allar samningsskyldur haldast á uppsagnarfresti.
Rekstraraðili þarf ekki að tilgreina ástæðu fyrir ákvörðun um uppsögn og skal ekki bera neinn kostnað vegna beitingar uppsagnar.

8. Trúnaðarskylda

Rekstraraðili skal gæta trúnaðar gagnvart birtingaraðila um upplýsingar sem leynt eiga að fara. Rekstraraðili skal gæta þess að starfsfólk og verktakar á sínum vegum riti undir trúnaðaryfirlýsingar eða séu bundnir þagnarskyldu samkvæmt lögum.

9. Persónuvernd

Birtingaraðili hefur kynnt sér viðeigandi reglur um notkun upplýsinga, meðal annars ákvæði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þ.m.t. um meðferð, vinnslu og miðlun upplýsinga og gagna.
Birtingaraðili ber ábyrgð á vinnslu persónuupplýsinga í tengslum við notkun hans á hinu stafræna pósthólfi, þar á meðal sendingu, vistun og birtingu persónuupplýsinga í pósthólfinu. Rekstraraðili ber ábyrgð á vinnslu persónuupplýsinga vegna rekstur pósthólfsins sjálfs, svo sem á upplýsingum um notendur pósthólfsins og atburðarskrár. Vinnsla persónuupplýsinga vegna stafræns pósthólfs er nánar tilgreind í sem er aðgengileg á vef stofnunarinnar.
Vinnsla persónuupplýsinga skal vera í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga. Ábyrgðaraðili ber ábyrgð á að vinnsla á persónuupplýsingum sé lögmæt og eigi sér stoð í 9. gr. og eftir atvikum 11. gr. laganna og að vinnsla persónuupplýsinga sé í samræmi við meginreglur laganna, sbr. 8. gr. laganna.
Aðilar skulu í sameiningu tryggja að meginreglan um innbyggða og sjálfgefna persónuvernd sé viðhöfð, sé þess þörf gera þeir í sameiningu mat á áhrifum á persónuvernd vegna vinnslunnar og hafa fyrir fram samráð við Persónuvernd í samræmi við 30 gr. laga nr. 90/2018. Aðilar skulu gera áhættumat á vinnslunni, eins og þurfa þykir, og grípa til viðeigandi ráðstafana til að draga úr áhættu sem greinist.
Aðilar bera hvor um sig ábyrgð á að þeir geti sýnt frá á hlíti við lög nr. 90/2018. Aðilar skulu aðstoða hvorn annað við að sýna fram á hlíti við lög, svo sem með því að útvega öll nauðsynleg skjöl til að þeir geti sýnt fram á reglufylgni og til að ábyrgðaraðili eða úttektaraðili geti framkvæmt úttektir, þ.m.t. skoðanir, og veita aðstoð við slíkar úttektir.
Aðilar bera sameiginlega ábyrgð á að veita einstaklingum fræðslu um vinnslu persónuupplýsinga þeirra vegna notkunar aðila á stafræna pósthólfinu í samræmi við 17. gr. laga nr. 90/2018, sbr. 12.–15. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679. Fræðslan skal birt í persónuverndarstefnu Ísland.is og gerð viðtakendum aðgengileg.
Að öðru leyti fer um vinnslu persónuupplýsinga, svo sem um tilkynningu öryggisbresta og réttindi einstaklinga, samkvæmt vinnsluskilmálum Stafræns Íslands. Ákvæði þessa þjónustuskilmála ganga framar ákvæðum annarra skilmála eða samninga.
Ákvæði þessa skilmála er varða vinnslu persónuupplýsingar og skiptingu ábyrgðar milli aðila skulu gerð einstaklingum sem vinnslan varðar aðgengileg samkvæmt beiðni.

10. Framsal réttinda og skyldna

Birtingaraðila er heimilt að fela þriðja aðila rekstur vefþjónustu og samskipti við stafrænt pósthólf í sínu umboði, samkvæmt lagaboði eða samningi þar um. Birtingaraðili skal upplýsa rekstraraðila um breytingar á högun vefþjónustu með að minnsta kosti 30 daga fyrirvara.
Ábyrgð birtingaraðila samkvæmt skilmálum þessum helst óbreytt þótt breytingar verða á högun vefþjónustu.
Rekstraraðili kann að nýta sér þjónustu umboðsaðila eða undirverktaka til að sinna skyldum sem á honum hvíla skv. skilmálum þessum en slík vinna skal þó ávallt unnin á ábyrgð rekstraraðila gagnvart birtingaraðila. Um notkun undirvinnsluaðila fer samkvæmt persónuverndarskilmálum rekstraraðila.

11. Breytingar á skilmálum

Rekstraraðili áskilur sér einhliða rétt til að gera breytingar á skilmálum þessum og skulu þær tilkynntar birtingaraðila í rafrænni tilkynningu með að minnsta kosti 30 daga fyrirvara sem send skal til birtingaraðila með sannanlegum hætti áður en ný eða breytt ákvæði taka gildi. Auk þess eru nýir eða uppfærðir skilmálar birtir á heimasíðu rekstraraðila.
Rekstraraðili vefþjónustu er þó heimilt að gera breytingar á skilmálum með skemmri fyrirvara ef slíkar breytingar á skilmálum eru nauðsynlegar samkvæmt lögum eða vegna hættu á öryggisbrest. Í slíkum tilvikum þar sem fyrirvarinn kann að vera skemmri skal rekstraraðili vefþjónustu leitast við að tilkynna slíkar breytingar eins fljótt og mögulegt er.
Skilmálar þessir voru síðast uppfærðir: 01.11.2022