Carbbion

Vinnslusamningur

Vinnslusamningur um persónuupplýsingar

Data Processing Agreement – DPA

Gildir frá: Feb 2026

Þessi vinnslusamningur („Samningur“) er gerður milli:

Pose ehf., kt. 650823-0600, með lögheimili að Flugvallarbraut 740, 262 Reykjanesbæ, sem rekur þjónustuna Carbbion („Vinnsluaðili")

og

þess aðila sem notar Carbbion („Ábyrgðaraðili").

Samningur þessi er hluti af þjónustuskilmálum Carbbion og telst samþykktur við stofnun aðgangs eða notkun þjónustunnar.

1. Tilgangur og eðli vinnslu

Pose ehf., sem rekstraraðili Carbbion, vinnur persónuupplýsingar fyrir hönd Ábyrgðaraðila í þeim tilgangi að veita SaaS lausn fyrir:

  • Sjálfbærniskýrslugerð (VSME / ESG)
  • Útreikning kolefnisspors
  • Úrvinnslu reikninga og gagna

Vinnslan fer eingöngu fram samkvæmt fyrirmælum Ábyrgðaraðila.

2. Tegundir persónuupplýsinga

Vinnslan getur náð til:

  • Nafns
  • Netfangs
  • Símanúmers
  • Kennitölu (ef hún birtist í reikningum)
  • Notendaupplýsinga
  • Ferðaupplýsinga starfsmanna
  • Annarra persónugreinanlegra upplýsinga sem hlaðið er inn

3. Skyldur Ábyrgðaraðila

  • Hafa lagagrundvöll fyrir vinnslu
  • Uppfylla upplýsingaskyldu gagnvart einstaklingum
  • Tryggja að gögn sem hlaðið er inn séu löglega fengin
  • Veita skýr og lögmæt fyrirmæli

4. Skyldur Pose ehf. (Vinnsluaðila)

  • Vinna gögn eingöngu samkvæmt fyrirmælum
  • Tryggja trúnað starfsmanna og verktaka
  • Innleiða viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir
  • Aðstoða við að uppfylla réttindi einstaklinga
  • Tilkynna um öryggisbrest án tafar

5. Öryggi og hýsing

Carbbion er hýst innan Evrópska efnahagssvæðisins (EES), að jafnaði í Microsoft Azure.

Beitt er m.a.:

  • Dulkóðun gagna í flutningi (TLS)
  • Aðgangsstýringu og auðkenningu
  • Aðskilnaði viðskiptavina (multi-tenant)
  • Reglulegri öryggisvöktun

6. Undirvinnsluaðilar

Pose ehf. kann að nýta undirvinnsluaðila til að reka þjónustuna, svo sem:

  • Microsoft (Azure hýsing)
  • Aðra tækniaðila fyrir auðkenningu eða innviði

Undirvinnsluaðilar eru bundnir sambærilegum persónuverndarskyldum.

7. Flutningur gagna utan EES

Gögn eru að jafnaði unnin innan EES. Ef flutningur utan EES á sér stað skal hann byggja á viðurkenndum verndarráðstöfunum samkvæmt GDPR.

8. Geymsla og eyðing

Við lok þjónustusambands skal:

  • Gögnum eytt, eða
  • Þau afhent Ábyrgðaraðila samkvæmt ósk

nema lög kveði á um annað.

9. Gagnalekar

Pose ehf. skal tilkynna Ábyrgðaraðila án óþarfa tafar ef öryggisbrestur á sér stað sem hefur áhrif á persónuupplýsingar.

10. Lög og lögsaga

Um samning þennan gilda íslensk lög. Ágreiningur skal rekinn fyrir íslenskum dómstólum.

Samþykki

Með því að stofna aðgang eða nota þjónustu Carbbion staðfestir Ábyrgðaraðili að hann samþykki vinnslusamning þennan í samræmi við 28. gr. GDPR.