Gagnaþjálfunarbætibætur

I. Inngangur

Seljandi eins og hann er tilgreindur er í seljandasamningi/umsóknarformi (“seljandi”) og Teya Iceland hf., (“Teya“) hafa gert með sér samstarfssamning um færsluhirðingu á greiðslukortum (“seljandasamningur”).  

Vinnslusamningur þessi segir fyrir um skilmála, kröfur og skilyrði sem seljanda ber að uppfylla við vinnslu persónuupplýsinga og sem teljast til skyldna seljanda samkvæmt seljandasamningi aðila. Vinnslusamningur þessi inniheldur þau lögboðnu ákvæði sem kveðið er á um í reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679, að sé að finna í samningi á milli ábyrgðaraðila og vinnsluaðila. 

II. Skilgreiningar og túlkun

Hér á eftir er að finna skilgreiningar hugtaka og reglur um túlkun sem byggt er á í þessum samningi. Aðrar skilgreiningar en þær sem hér eru settar fram skulu hafa þá merkingu sem sett er fram í seljendasamningi aðila.  

1.1 Skilgreiningar:  

Viðskiptatilgangur: sú þjónusta sem lýst er í seljandasamningi eða í öðrum tilgangi og er sérstaklega skilgreind í Viðauka A. 

Löggjöf um persónuvernd: öll löggjöf er snýr að verndun einkalífs og persónuvernd þar með talin reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 sem og íslensk löggjöf sem byggir á henni eða forvera hennar sem tekur til vinnslu persónuupplýsinga, verndun einkalífs og rafrænna samskipta.  

Skráður einstaklingur: sá einstaklingur sem persónuupplýsingar eru skráðar um.  

Persónuupplýsingar: hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“); sem unnar eru vegna eða í tengslum við þjónustu samkvæmt seljandasamninga aðila; einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.  

Öryggisbrestur við vinnslu persónuupplýsinga: brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. 

Vinnsla: er aðgerð sem felur í sér notkun persónuupplýsinga eða sem lög um persónuvernd á annan hátt skilgreina sem vinnslu. Felur í sér aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, s.s. söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging. Vinnsla tekur einnig til miðlunar upplýsinga til þriðju aðila. 

1.2 Samningur þessi er órjúfanlegur hluti seljandasamnings aðila. Skilgreiningar og aðrar skyldur sem fram koma í seljandasamningi eiga við í þessum samningi.  

1.3 Viðaukar eru órjúfanlegur hluti þessa samnings og hafa sama gildi og texti meginmáls. Allar tilvísanir til samnings vísa einnig til viðauka hans.  

1.4 Tilvísun í samskipti aðila tekur einnig til samskipta í tölvupósti.  

1.5 Í þeim tilfellum sem eftirfarandi stangast á:  

(a) ákvæði þessa samnings og ákvæði viðauka þessa samnings, þá skulu ákvæði samningsins ganga framar;  

(b) ákvæði þessa samnings og ákvæði seljandasamnings, þá skulu ákvæði þessa samnings ganga framar.  

III. Flokkar persónuupplýsinga og tilgangur vinnslu

2.1Teya og seljandi staðfesta með tilvísun til tilgangs laga um persónuvernd og hliðsjón af persónuupplýsingum sem seljandi safnar um korthafa í því sjónarmiði að uppfylla skyldur sínar samkvæmt seljandasamningi, teljist Teya ábyrgðaraðili samkvæmt áðurnefndum lögum og seljandi vinnsluaðili. Seljandinn sé hinsvegar ábyrgðaraðili annarra persónuupplýsinga sem safnað er í tengslum við viðskipti með vörur sínar og/eða þjónustu.  

2.2 Teya stýrir meðferð persónuupplýsinga og ber ábyrgð á að farið sé eftir gildandi löggjöf um persónuvernd, þ.m.t. að upplýst og aflað sé nauðsynlegs samþykkis seljanda og honum veittar nauðsynlegar leiðbeiningar í tengslum við vinnslu persónuupplýsinga.  

2.3 Viðauki A tilgreinir viðfangsefni og lengd vinnslunnar, eðli og tilgang hennar, tegund persónuupplýsinga og flokka skráðra einstaklinga, með tilliti til þess hvernig Teya vinnur persónuupplýsingar til að uppfylla viðskiptatilgang sinn samkvæmt seljandasamningi.  

IV. Skyldur seljanda

3.1Seljandinn mun aðeins vinna persónuupplýsingar að því marki, og á þann hátt, sem nauðsynlegt er til að uppfylla skyldur sínar samkvæmt seljandasamningi og í samræmi við skrifleg fyrirmæli Teya. Seljandinn mun ekki meðhöndla persónuupplýsingar í öðrum tilgangi eða með öðrum hætti en sem fram kemur í þessum samningi eða eða lögum um persónuvernd. Seljandinn skal án ótilhlýðilegrar tafar tilkynna Teya ef að hans mati, fyrirmæli Teya brjóti í bága við lög um persónuvernd.  

3.2 Seljandi skal án ótilhlýðilegrar tafar verða við beiðni eða fyrirmælum Teya um að breyta, flytja, eyða eða á annan hátt vinna persónuupplýsingar, eða stöðva, draga eða bæta úr óheimilum vinnslum.  

3.3 Seljandi skal halda trúnað vegna allra persónuupplýsinga og ekki upplýsa um persónuupplýsingar til þriðju aðila, nema Teya eða samningurinn þessi heimili slíkt eða slík sé honum skylt lögum samkvæmt. Ef lög, dómstólar eða önnur yfirvöld krefjast þess að seljandi vinni eða upplýsi um persónuupplýsingar, skal seljandinn fyrst upplýsa Teya um slíkar lagalegar kröfur og gefa Teya færi á því að andmæla þeirri kröfu eða mótmæla, nema slíkar tilkynningar séu óheimilar samkvæmt lögum.  

3.4 Seljandinn skal aðstoða Teya við að uppfylla ákvæði laga um persónuvernd, að teknu tillit til eðli vinnslu seljanda og þeirra upplýsinga sem seljandi hefur aðgang að, þ.m.t í tengslum við réttindi skráðra einstaklinga, mat á öryggisráðstöfnunum, tilkynningum og ráðgjafar til Persónuverndar.  

3.5 Seljandinn skal án tafar tilkynna Teya um breytingar á lögum um persónuvernd sem áhrif geta haft á seljandasamning aðila.  

V. Starfsmenn seljanda

4.1.Seljandinn skal tryggja að allir starfsmenn:  

(a) séu upplýstir um að persónuupplýsingar séu í eðli sínu trúnaðarupplýsingar og að þeir séu bundnir af trúnaðarskyldu og aðgangsheimildum að því er varðar vinnslu persónuupplýsinga;  

(b) að þeir hafi fengið viðeigandi þjálfun í lögum um persónuvernd í tengslum við meðhöndlun persónuupplýsinga og hvernig þær skyldur nái yfir þeirra störf; og  

(c) þeir séu meðvitaðir um bæði skyldur seljanda og sínar eigin kröfur og skyldur samkvæmt lögum um persónuvernd og samningi þessum. 

VI. Öryggi

5.1Seljandi skal sjá til þess að innleiða viðeigandi tæknilegar og skipulagslegar ráðstafanir gegn óheimilum og ólöglegum vinnslum, aðgangi, birtingu, afritun, breytingu, geymslu, endurgerð, uppljóstrun, dreifingu eða eyðileggingu á persónuupplýsingum, en tamarkast ekki við, þær öryggisráðstafanir sem fram koma í viðauka B.  

5.2 Seljandi skal innleiða eftirfarandi ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna, m.a. eftir því sem við á:  

(a) notkun gerviauðkenna og dulkóðun persónuupplýsinga;  

(b) geta tryggt viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa- og þjónustu;  

(c) geta endurheimt tímanlega tiltækileika og aðgang að persónuupplýsingum ef til efnislega eða tæknilegs atviks kemur; og  

(d) að taka upp ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar.  

VII. Tilkynning vegna öryggisbresta

6.1Seljandi skal samstundis og án ótilhlýðilegrar tafar tilkynna Teya ef persónuupplýsingar glatast, eyðast eða eyðileggjast, spillast eða verða ónothæfar. Seljandinn skal bera kostnaðinn við að endurheimta slíkar persónuupplýsingar.  

6.2 Seljandi skal án ótilhlýðilegrar tafar, eigi síðar en innan 12 klst tilkynna til Teya ef hann verður var við:  

(a) óviljandi, óheimila eða ólöglega vinnslu persónuupplýsinga; eða  

(b) hvers konar öryggisbrest við meðferð persónuupplýsinga.  

6.3 Verði seljandi var við (a) og/eða (b) hér að ofan, skal hann án ótilhlýðilegrar tafar, veita Teya eftirfarandi upplýsingar:  

(a) lýsingu á eðli öryggisbrestsins við meðferð persónuupplýsinga í (a) og/eða (b), þ.m.t. þeim flokkum og áætluðum fjölda skráðra einstaklinga sem það varðar og flokkum og áætluðum fjölda skráninga persónuupplýsinga sem um er að ræða;  

(b) lýsingu á líklegum afleiðingum öryggisbrests við meðferð persónuupplýsinga og;  

(c) lýsingu á þeim ráðstöfunum sem seljandi hefur gert eða fyrirhugar að gera vegna öryggisbrests við meðferð persónuupplýsinga, þ.m.t. ráðstöfunum til að milda hugsanleg skaðleg áhrif þess.  

6.4 Í kjölfar óheimilar eða ólöglegrar vinnslu persónuupplýsinga eða öryggisbrests við meðferð persónuupplýsinga, skulu aðilar þegar í stað samræmast um að rannsaka málið. Seljandinn skal vinna í góðu samstarfi við Teya við meðhöndlun málsins, auk þess:  

(a) að veita aðstoð við rannsókn málsins;  

(b) að veita Teya aðgang að starfsstöð sinni og þeim aðgerðum öryggisbresturinn nær til;  

(c) greiða fyrir viðtölum við starfsmenn sína, fyrrum starfsmenn og aðra þá sem koma að málinu;  

(d) gera allar viðeigandi skrár, logganir, gagnaskýrslur og annað efni aðgengilegt sem krafist er til að hlíta lögum um persónuvernd eða eins og á annan hátt er krafist af Teya; og  

(e) grípa til sanngjarnra og skjótra ráðstafana til að draga úr áhrifum og minnka það tjón sem stafar af öryggisbresti við meðferð persónuupplýsinga eða ólögmætri vinnslu persónuupplýsinga.  

6.5 Seljandi mun ekki upplýsa þriðju aðila um öryggisbrest við meðferð persónuupplýsinga án þess að afla skriflegs samþykkis Teya, nema þegar upplýsingagjöf er honum skyld lögum samkvæmt.  

6.6 Seljandinn mun bera allan sanngjarnan kostnað í tengslum við framkvæmd þeirra skyldna sem um getur í greinum 6.2. og 6.4. nema málið sé tilkomið vegna sérstakra fyrirmæla frá Teya, gáleysis, ásetnings eða brots Teya á þessum samningi, mun Teya í slíkum tilvikum greiða allan sanngjarnan kostnað. 

VIII. Flutningur persónuupplýsinga yfir landamæri

.1Seljandi (eða undirvinnsluaðili) skal ekki flytja eða vinna persónuupplýsingar utan Evrópska efnahagssvæðisins (EES) án þess að hafa aflað skriflegs samþykkis Teya áður.  

7.2 Ef flutningur einhverra persónuupplýsinga milli Teya og seljanda krefst framkvæmdar um föst samningsákvæði Framkvæmdarstjórnarinnar vegna flutnings persónuupplýsinga frá Evrópusambandinu til vinnsluaðila sem staðsettur er í 3ja ríki, eins og þeir eru skilgreindir í viðauka við ákvörðun ráðsins 2010/87/EB, með síðari breytingum, skulu aðilar, í þeim tilgangi að fara að lögum um persónuvernd, skulu setja slík föst samningsákvæði, og grípa til allra annarra nauðsynlegra aðgerða til að flutningurinn sé löglegur

IX. Undirvinnsluaðilar

8.1Seljandi má heimila þriðja aðila (undirvinnsluaðila) að vinna persónuupplýsingar ef eftirfarandi skilyrði eru uppfyllt:  

(a) Teya fái tækifæri til að hafna undirvinnsluaðila innan 30 daga eftir að seljandinn veitir Teya allar upplýsingar um slíkan undirvinnsluaðila;  

(b) Seljandi geri skriflegan samning við undirvinnsluaðilann sem inniheldur skilmála sem eru efnislega í samræmi við samning þennan, sérstaklega, að því er varðar skyldur um viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir, og mun afhenda Teya afrit af þeim samningi sé þess óskað;  

(c) skilyrði seljandasamnings um notkun undirvinnsluaðila séu að öðru leyti uppfyllt;  

(d) Seljandi haldi utan um allar þær persónuupplýsingar sem hann felur undirvinnsluaðila að vinna; og 

(e) samningur við undirvinnsluaðila skal vera sagt upp sjálfkrafa við lok þessa samnings af hvaða ástæðu sem kann að liggja að baki þeirri uppsögn.  

8.2 Seljandi er ávallt ábyrgur gagnvart Teya ef undirvinnsluaðili hans bregst skyldum sínum samkvæmt skriflegum samningi.  

8.3 Samkvæmt skriflegri beiðni frá Teya skal seljandi taka út hlítingu undirvinnsluaðila við samningsskyldur sínar um meðferð persónuupplýsinga Teya og tafarlaust afhenda Teya niðurstöður slíkrar úttektar.  

X. Kvartanir, upplýsingabeiðnir hins skráða og réttindi þriðju aðila

9.1Seljandi skal án kostnaðar fyrir Teya gera viðeigandi tæknilegar og skipulagslegar ráðstafanir og veita Teya samstundis þær upplýsingar sem Teya réttilega krefst að fá afhentar til að uppfylla:  

(a) réttindi hins skráða samkvæmt lögum um persónuvernd, þar með talið aðgangsréttinn, réttinn til að leiðréttingar og eyðingar persónuupplýsinga, réttinn til að andmæla vinnslu eða takmarka hana og réttinn til að þurfa ekki að sæta sjálfvirkri ákvörðunartöku; og  

(b) upplýsinga- og/eða matskýrslur sem Teya ber að skila til viðeigandi stjórnvalda í samræmi við lög um persónuvernd.  

9.2 Seljandi skal samstundis tilkynna Teya um hvers konar kvartanir, tilkynningar eða samskipti sem tengjast beint eða óbeint vinnslu persónuupplýsinga.  

9.3 Seljandi skal tilkynna Teya innan þriggja (3) virkra daga ef hann fær beiðni frá hinum skráða um aðgang að persónuupplýsingum sínum eða um að nýta önnur réttindi sín samkvæmt lögum um persónuvernd.  

9.4 Seljandinn skal vera samvinnufús við Teya og aðstoða Teya við að bregðast við öllum kvörtunum, tilkynningum, samskiptum eða beiðnum frá hinum skráða.  

9.5 Seljandi skal ekki upplýsa um neinar persónuupplýsingar við hinn skráða eða við þriðja aðila nema samkvæmt beiðni eða fyrirmælum Teya samkvæmt samningi þessum eða lagaskyldu.  

XI. Gildistími og lok samnings

10.1Samningur þessi skal gilda að fullu eins lengi og:  

(a) Seljandasamningurinn er í gildi, eða  

(b)Seljandinn hefur stjórn á eða í vörslum sínum persónuupplýsingar sem tengjast seljandasamningum.  

10.2 Öll ákvæði þessa samnings sem kveðið hefur verið á um eða eðli máls samkvæmt ættu að taka gildi við eða gilda áfram til að vernda persónuupplýsingar skulu að fullu gilda eftir að seljendasamningur er fallinn úr gildi.  

10.3 Ef breyting á gildandi persónuverndarlöggjöf kemur í veg fyrir að aðilar uppfylli hluta eða allar skyldur samkvæmt seljandasamningi, skulu aðilar fresta vinnslu persónuupplýsinga þar til vinnslan samræmist hinum nýju lagakröfum. Ef aðilar geta ekki unnið persónuupplýsingar í samræmi við kröfur laga um persónuvernd innan þriggja (3) mánaða, getur hvor aðili sagt upp seljandasamningnum með skriflegri tilkynningu til hins aðilans. 

XII. Eyðing og skil á upplýsingum

11.1Samkvæmt beiðni Teya skal seljandi afhenda Teya afrit eða aðgang að hluta eða öllum persónuupplýsingum Teya sem hann hefur stjórn á eða hefur í vörslum sínum á því sniði og með því móti sem Teya óskar eftir.  

11.2 Við lok seljandasamnings af hvaða ástæðu sem er eða við lok gildistíma, skal seljandi með öruggum hætti eyða eða eyðileggja eða ef skriflegar leiðbeiningar berast frá Teya, skila og ekki varðveita undir sinni stjórn eða í sinum vörslum allar eða hluta persónuupplýsinga í tengslum við samning þennan.  

11.3 Ef lög, reglugerðir, stjórnvald eða eftirlitsstofnun skylda seljanda til að varðveita skjöl eða efni sem seljandinn myndi annars vera skyldugur til að eyða eða eyðileggja, skal seljandi tilkynna Teya skriflega um þá varðveislukröfu með skilgreiningu á þeim skjölum eða efni sem hann skal varðveita, lagagrundvöll fyrir varðveislunni og tilgreina þann tíma sem gögnunum verður eytt eftir að kröfur um varðveislu eru uppfylltar.  

XIII. Vinnsluskrá

12.1Seljandi skal halda vel skilgreinda, rétta og uppfærða skriflega skrá varðandi allar vinnslur persónuupplýsinga sem hann vinnur fyrir Teya, þar með talið en takmarkast ekki við, aðgang, eftirlit og öryggi persónuupplýsinganna, samþykkta undirvinnsluaðila og samstarfsaðila, markmið vinnslu, flokka vinnslu, allan flutning persónuupplýsinga til þriðju landa og viðeigandi varúðarráðstafanir, og almenna lýsingu á tæknilegum og skipulagslegum öryggisráðstöfunum samkvæmt ákvæði 5.1.

XIV. Úttekt

13.1Seljandi skal heimila Teya og fulltrúum Teya, á gildstíma samningsins, að framkvæma úttekt á hlítingu seljanda við skyldur sínar samkvæmt samningi þessum, að því gefnu að slík úttekt sé boðuð með að minnsta kosti 10 daga fyrirvara. Seljandi skal veita Teya og fulltrúum Teya alla nauðsynlega aðstoð við framkvæmd slíkrar úttektar. Aðstoðin kann að felast í en takmarkast ekki við:  

(a) raunverulegum aðgangi að, fjaraðgangi að og afritum af skrám og öðrum upplýsingum sem seljandi varðveitir á starfstöðvum sínum eða kerfum sem innihalda persónuupplýsingar;  

(b) aðgang að og fundi með hverjum þeim starfsmanni seljanda sem nauðsynlegt er til að fá allar nauðsynlegar upplýsingar og framkvæma úttektina á áhrifaríkan hátt; og  

(c) könnun á öllum skrám og innviðum, rafrænum gögnum eða kerfum, aðstöðu, útbúnaði eða hugbúnaði sem notaður er til að vista, vinna eða flytja persónuupplýsingar.  

13.2 Tilkynningarkröfur samkvæmt ákvæði 13.1 gilda ekki ef Teya telur að öryggisbrestur eigi sér stað eða muni eiga sér stað, eða ef seljandi gerist brotlegur gagnvart ákvæðum þessa samnings eða ákvæðum persónuverndarlöggjafarinnar.  

13.3 Ef öryggisbrestur hefur átt sér stað eða er að eiga sér stað, eða seljandi fær vitneskju um brot á skyldum sínum samkvæmt samningi þessum eða persónuverndarlöggjöfinni, mun seljandi:  

(a) samstundis framkvæma sína eigin úttekt til að ákvarða orsökina;  

(b) útbúa skriflega skýrslu með ítarlegum aðgerðaráætlunum til að lagfæra þá galla sem koma fram í niðurstöðu úttektarinnar;  

(c) afhenda Teya afrit af skriflegu skýrslunni; og  

(d) lagfæra alla galla sem koma í ljós við úttektina innan 14 daga.  

13.4 Að minnsta kosti árlega, skal seljandi framkvæma úttektir á vinnslu persónuupplýsinga hjá sér sem og upplýsingatækni og upplýsingaöryggisaðgerðum allra starfsstöðva og kerfa sem notuð eru til að uppfylla skyldur samkvæmt samningi þessum, þar með talið en takmarkast ekki við, að láta framkvæmda netúttektarmat af viðurkenndu skoðunarfyrirtæki í samræmi við bestu starfsvenjur.  

13.5 Samkvæmt skriflegri beiðni frá Teya skal seljandi gera allar úttektarskýrslur aðgengilegar fyrir Teya; þar með talið og eftir því sem við á: nýjustu PCI hlítingarskýrslu seljanda (PCI), hlítingarskýrslur og ef við á staðfestingarskýrslu á hlítingu (AOC), sjálfsmatsspurningarlista (SAQ), niðurstöður ársfjórðungslegrar netskönnunar sem framkvæmd er af viðurkenndum skönnunaraðila (ASV) og/eða úttektarskýrslu (ROC) viðurkennds úttektaraðila (QSA).  

13.6 Seljandi skal samstundis vinna að útbótum þeirra frávika sem fram koma í úttektarskýrslum sem hluta af þróun stjórnunar og innleiðingu útbótaáætlunar.  

XV. Ábyrgðir

14.1Seljandi ábyrgist og staðfestir að:  

(a) starfsmenn hans, undirvinnsluaðilar, umboðsaðilar og aðrir sem hafa aðgang að persónuupplýsingum sem hann geymir séu áreiðanlegir og hafi fengið alla nauðsynlega þjálfun í löggjöf um meðferð persónuupplýsinga;  

(b) hann og hver sá sem starfar fyrir hann og muni vinna persónuupplýsingar í samræmi við löggjöf um meðferð persónuupplýsinga sem og aðra löggjöf, nýja lagasetningu, reglugerðir, úrskurði, staðla og slíkar reglur;  

(c) hann hefur ekki ástæðu til að telja að persónuverndarlöggjöf hindri veitingu þjónustu í tengslum við seljendasamninginn; og  

(d) í samræmi við tæknilegar og skipulagslegar ráðstafanir til að koma í veg fyrir óheimila og ólöglega vinnslu persónuupplýsinga sem og óviljandi tap, eyðingu eða eyðileggingu persónuupplýsinga, og til að tryggja öryggisstig í samræmi við:  

(i) tjónið sem gæti hlotist af slíkum óheimilli eða ólöglegri notkun eða óviljandi tapi, eyðingu eða eyðileggingu;  

(ii) eðli persónuupplýsinganna sem verið er að vernda; og  

(iii) hlíta allri persónuverndarlöggjöfinni sem og sínum eigin upplýsinga- og öryggisstefnum, þar á meðal kröfum um öryggisráðstafanir samkvæmt ákvæði 5.1.  

14.2 Teya ábyrgist og stendur fyrir því að viðbúin notkun seljanda á persónuupplýsingum í viðskiptatilgangi og samkvæmt leiðbeiningum Teya fari að persónuverndarlöggjöfinni.  

XVI. Fyrirvari

5.1Hvers konar fyrirvari eða önnur samskipti til þriðju aðila samkvæmt samningi þessum eða í tengslum við samning þennan skulu vera skrifleg og veitt í samræmi við skilmála seljandasamnings.

XVII. Viðauki A

Tilgangur vinnslu persónuupplýsinga og nánari útskýringar 

Hinn skráði: Korthafi og færsluupplýsingar sem og aðrar upplýsingar sem nauðsynlegar eru til að Teya geti veitt þjónustu samkvæmt seljandasamningi.  

Vinnslutími: gildistími seljandasamnings.  

Lýsing á vinnslu og viðskiptatilgangur: Markmið vinnslu persónuupplýsinga er að seljandi geti gert viðskiptavinum sínum kleift að kaupa vöru/þjónustu með þægilegum hætti með notkun greiðslukorta sem gefin eru út undir merkjum alþjóðlegra kortafélaga. Samkvæmt seljandasamningi er seljanda heimilt að taka við greiðslukortum sem greiðslumáta og senda heimildabeiðnir, fjárhagsfærslur og uppgjörsfærslur til Teya eins og nánar er tilgreint í seljandasamningi.  

Flokkar perónuupplýsinga: Upplýsingar tengdar korthöfum og færsluupplýsingar sem kunna í einhverjum tilfellum að innihalda viðkvæmar persónuupplýsinar eins og skilgreint er í löggjöf um persónuupplýsingar.  

Flokkar skráðra einstaklinga: Korthafar. 

XVIII. Viðauki B

Öryggisráðstafanir 

Seljandi skal hlíta núverandi útgáfu PCI-DSS staðalsins. Staðallinn og fylgiskjöl eru aðgengileg á: https://www.pcisecuritystandards.org/document_library.