Vinnslusamningur
Síðast uppfært: 2. júlí 2026.
Þessi vinnslusamningur (Data Processing Agreement, DPA) er hluti af skilmálum Varhuga og gildir sjálfkrafa fyrir öll fyrirtæki sem nota þjónustuna, óháð áskriftarleið. Hann er gerður til að uppfylla kröfur 28. gr. almennu persónuverndarreglugerðarinnar (GDPR) og persónuverndarlaga nr. 90/2018 um samning milli ábyrgðaraðila og vinnsluaðila. Fyrirtæki í Pro- eða enterprise-áskrift geta óskað eftir undirrituðu eintaki á síðunni Hafa samband.
1. Hlutverk aðila
Fyrirtækið sem stofnar reikning („viðskiptavinurinn“) er ábyrgðaraðili þeirra persónuupplýsinga sem það leggur inn í þjónustuna, þar á meðal upplýsinga um starfsfólk sitt. Varhugi er vinnsluaðili og vinnur upplýsingarnar aðeins fyrir hönd viðskiptavinarins og í samræmi við þennan samning.
2. Efni, eðli og tilgangur vinnslunnar
Vinnslan felst í að veita öryggisvitundarþjálfun: að halda utan um starfsmannalista, úthluta námskeiðum, skrá niðurstöður prófa, gefa út skírteini og útbúa tölfræði og endurskoðunarskýrslur fyrir viðskiptavininn. Vinnslan varir á meðan viðskiptavinurinn er með virkan reikning, að viðbættum eyðingarfresti samkvæmt kaflanum um eyðingu og skil gagna.
3. Tegundir gagna og skráðir einstaklingar
Unnið er með eftirfarandi flokka persónuupplýsinga: nafn, netfang, deild og hlutverk starfsmanns; framvindu námskeiða, prófniðurstöður og útgefin skírteini; og tæknilegar færslur um innskráningar og notkun (tímasetningar, IP-tölur, vafrategund). Skráðir einstaklingar eru starfsfólk og stjórnendur viðskiptavinarins. Þjónustan er ekki ætluð fyrir viðkvæmar persónuupplýsingar og viðskiptavinurinn skal ekki leggja slíkar upplýsingar inn í hana.
4. Fyrirmæli ábyrgðaraðila
Varhugi vinnur persónuupplýsingar aðeins samkvæmt skjalfestum fyrirmælum viðskiptavinarins. Notkun þjónustunnar samkvæmt skilmálunum, stillingar í stjórnborði og skriflegar beiðnir teljast slík fyrirmæli. Telji Varhugi að fyrirmæli brjóti gegn persónuverndarlöggjöf tilkynnir Varhugi viðskiptavininum það án tafar.
5. Trúnaður
Allir sem vinna með persónuupplýsingar á vegum Varhuga eru bundnir trúnaði, með samningi eða samkvæmt lögum. Aðgangur að gögnum viðskiptavina er takmarkaður við þá sem þurfa hann til að reka og þjónusta kerfið.
6. Öryggi vinnslu
Varhugi gerir viðeigandi tæknilegar og skipulagslegar ráðstafanir í samræmi við 32. gr. GDPR. Meðal þeirra eru dulkóðun gagna í flutningi (TLS) og í hvíld, aðgangsstýring byggð á hlutverkum, aðskilnaður gagna milli fyrirtækja, aðgangstakmarkanir (rate limiting) og reglulegar öryggisuppfærslur. Ráðstafanirnar eru endurskoðaðar reglulega með hliðsjón af eðli vinnslunnar og áhættu.
7. Undirvinnsluaðilar
Viðskiptavinurinn veitir almenna heimild fyrir notkun undirvinnsluaðila. Núverandi undirvinnsluaðilar eru: Vercel (hýsing og keyrsla hugbúnaðarins), Neon (gagnagrunnur, Frankfurt), Resend (sending tölvupósta), Stripe (greiðsluvinnsla, þegar áskrift er greidd) og Upstash (skyndiminni fyrir aðgangstakmarkanir). Hver aðili fær aðeins þau gögn sem þjónusta hans krefst og er bundinn af vinnslusamningi við Varhuga. Varhugi tilkynnir viðskiptavinum um fyrirhugaðar breytingar á listanum með 30 daga fyrirvara og viðskiptavinurinn getur andmælt breytingu á málefnalegum grundvelli áður en hún tekur gildi.
8. Aðstoð við ábyrgðaraðila
Varhugi aðstoðar viðskiptavininn, að teknu tilliti til eðlis vinnslunnar, við að svara beiðnum skráðra einstaklinga um aðgang, leiðréttingu, eyðingu og önnur réttindi samkvæmt III. kafla GDPR, og eftir atvikum við mat á áhrifum á persónuvernd og fyrirfram samráð við Persónuvernd.
9. Tilkynning öryggisbrota
Verði Varhugi vart við öryggisbrot sem varðar persónuupplýsingar viðskiptavinarins tilkynnir Varhugi honum það án ótilhlýðilegrar tafar. Í tilkynningunni koma fram eðli brotsins, hvaða gögn og einstaklingar kunna að hafa orðið fyrir áhrifum, líklegar afleiðingar og þær ráðstafanir sem gripið hefur verið til. Þannig getur viðskiptavinurinn uppfyllt eigin tilkynningarskyldu til Persónuverndar innan 72 klukkustunda þegar við á.
10. Eyðing og skil gagna
Við lok þjónustunnar, eða samkvæmt beiðni, eyðir Varhugi persónuupplýsingum viðskiptavinarins innan 30 daga eða skilar þeim á algengu tölvutæku formi, nema lög krefjist lengri varðveislu (til dæmis bókhaldslög). Útgefin skírteini eru varðveitt áfram svo hægt sé að staðfesta þau á opinni staðfestingarsíðu, enda er það hluti af þjónustunni, en þeim er eytt ef viðskiptavinurinn eða skráður einstaklingur óskar þess sérstaklega.
11. Úttektir og upplýsingaskylda
Varhugi veitir viðskiptavininum þær upplýsingar sem sanngjarnt er að krefjast til að sýna fram á að skyldur samkvæmt 28. gr. GDPR séu uppfylltar. Viðskiptavinurinn getur óskað eftir úttekt, sem framkvæmd er með skriflegum fyrirspurnum eða af óháðum þriðja aðila, með hæfilegum fyrirvara og að hámarki einu sinni á ári nema öryggisbrot eða krafa eftirlitsstjórnvalds gefi tilefni til annars.
12. Flutningur út fyrir EES
Gögn þjónustunnar eru að jafnaði hýst innan Evrópska efnahagssvæðisins. Sumir undirvinnsluaðilar eru bandarísk félög og flutningur persónuupplýsinga út fyrir EES, eigi hann sér stað, byggist á stöðluðum samningsákvæðum framkvæmdastjórnar ESB (Standard Contractual Clauses, SCC) eða á þátttöku viðkomandi aðila í EU-US Data Privacy Framework, samkvæmt vinnslusamningi Varhuga við hvern aðila. Yfirlit yfir undirvinnsluaðila er í persónuverndarstefnunni.
13. Gildistími og forgangur
Samningur þessi gildir á meðan Varhugi vinnur persónuupplýsingar fyrir viðskiptavininn. Ef misræmi er milli þessa samnings og annarra skilmála Varhuga gengur þessi samningur framar að því er varðar vinnslu persónuupplýsinga. Um samninginn gilda íslensk lög.

