Lög og gögn

Persónuverndarstefna

Síðast uppfært: 21. apríl 2026

1. Ábyrgðaraðili

Mynstra ráðgjöf ehf. (kt. 491224-0960) rekur Verkgreinir og er ábyrgðaraðili persónuupplýsinga sem unnið er með í þjónustunni í skilningi almennu persónuverndarreglugerðarinnar (GDPR) og laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Fyrir fyrirspurnir um persónuvernd, aðgang að gögnum eða önnur atriði tengd þessari stefnu má hafa samband við okkur á personuvernd@verkgreinir.is.

2. Hvaða upplýsingar við vinnum

Við söfnum lágmarksupplýsingum sem þarf til að veita þjónustuna:

  • Auðkennisgögn: Nafn, netfang og meðlimsupplýsingar vinnustaðarins. Þetta er unnið í gegnum utanaðkomandi auðkenningar- og aðgangsstýringarþjónustu.
  • Verkefnaskjöl: PDF skjöl sem þú hleður upp (útboðsgögn, verklýsingar, teikningar og tilboðsblöð). Innihald skjalanna er unnið með gervigreind — sjá 4. kafla.
  • Greiningarniðurstöður: Athugasemdir, villugreiningar og önnur úttak frá vinnslu sem kerfið býr til úr skjölum þínum.
  • Greiðsluupplýsingar: Reikningsupplýsingar og greiðslustaða unnin í gegnum íslenskan reikningsaðila. Við geymum ekki sjálf kortanúmer eða banka­upplýsingar.
  • Tæknilegar upplýsingar: IP-tala, vafri, stýrikerfi og tímastimplar aðgerða — notað til öryggis, villuleitar og rekstrar þjónustunnar.

3. Tilgangur og lögmæti vinnslu

Vinnsla persónuupplýsinga byggir á eftirfarandi lagalegum grundvelli:

  • Samningur (gr. 6(1)(b) GDPR): Til að veita þjónustuna, halda utan um aðgang, framkvæma greiningar á skjölum og senda kerfislegar tilkynningar.
  • Lagaskylda (gr. 6(1)(c) GDPR): Bókhald og reikningar eru geymd í samræmi við íslensk lög um bókhald (nr. 145/1994), sem krefjast sjö ára geymslu reikningsskjala.
  • Lögmætir hagsmunir (gr. 6(1)(f) GDPR): Til að tryggja öryggi kerfisins, greina misnotkun og bæta þjónustuna. Þessi hagsmunir eru vegnir á móti grundvallarréttindum notenda.

4. Gervigreindarvinnsla

Verkgreinir notar utanaðkomandi gervigreindarþjónustu til að greina innihald PDF skjala sem hlaðið er upp. Þegar þú keyrir greiningu er það skjalainnihald sem þarf fyrir greininguna sent til slíks þjónustuaðila til vinnslu og niðurstöður eru sendar til baka og geymdar í okkar gagnagrunni.

Mikilvæg atriði:

  • Í núverandi framleiðsluumhverfi er inntak og úttak fyrir þá gervigreindarvinnslu sem við notum ekki notað til að þjálfa almenn módel þjónustuveitandans.
  • Ef gervigreindarvinnslan felur í sér flutning persónuupplýsinga út fyrir EES byggir sá flutningur á viðeigandi samningsbundnum vörnum, svo sem Data Processing Addendum (DPA) og Standard Contractual Clauses (SCC) samkvæmt gr. 46 GDPR.
  • Niðurstöður gervigreindar eru ráðleggingar, ekki staðreyndir. Kerfið getur yfirséð villur eða búið til ranga vísbendingu. Notandi ber lokaábyrgð á sínum gögnum og ákvörðunum — sjá notendaskilmála.

5. Hvar gögnin eru vistuð

Kjarnainnviðir þjónustunnar — vefur, bakþjónn, gagnagrunnur og skjalageymsla — eru vistaðir á innviðum sem staðsettir eru á europe-west4 svæðinu (Eemshaven, Holland), innan Evrópska efnahagssvæðisins (EES). Þetta nær til allra útboðsgagna, greiningarniðurstaðna og rekstrargagna.

Eftirfarandi flokkar þjónustuaðila geta falið í sér flutning persónuupplýsinga utan EES:

  • Auðkenningar- og aðgangsstýringarþjónusta: Þessi þjónusta geymir aðeins auðkennismetagögn (netfang, nafn, meðlimir vinnustaðarins og session tokens). Útboðsgögn og greiningarniðurstöður fara ekki í gegnum hana. Núverandi þjónusta er staðsett í Bandaríkjunum og flutningur byggir á Standard Contractual Clauses.
  • Gervigreindarvinnsluþjónusta: Skjalainnihald sem sent er til greiningar getur verið unnið á alþjóðlegum innviðum utan EES. Flutningur byggir á viðeigandi DPA og Standard Contractual Clauses — sjá 4. kafla.

6. Viðtakendur og undirvinnsluaðilar

Við notum takmarkaðan fjölda ytri þjónustuaðila til að reka þjónustuna. Hér að neðan lýsum við flokkunum sem geta unnið persónuupplýsingar fyrir hönd okkar:

  • Skýja- og hýsingarinnviðir hýsing vefs, bakþjóns, gagnagrunns og skjalageymslu. Aðalstaðsetning: europe-west4, Holland (EES).
  • Auðkenningar- og aðgangsstýringarþjónustur notendaauðkenning, session-stýring og stjórnun vinnustaða. Gögn: nafn, netfang, meðlimsupplýsingar og session auðkenni. Núverandi aðalstaðsetning: Bandaríkin. Flutningur byggir á SCC.
  • Gervigreindarvinnsluþjónustur gervigreindarvinnsla skjala þegar notandi keyrir greiningu. Gögn: það skjalainnihald sem þarf fyrir tiltekna greiningu og tilheyrandi úttak. Vinnsla getur farið fram á alþjóðlegum innviðum utan EES. Flutningur byggir á viðeigandi DPA og SCC. Í núverandi framleiðsluumhverfi eru gögn ekki notuð til þjálfunar almennra módela þjónustuveitandans.
  • Reiknings- og innheimtuþjónustur innheimta og reikningagerð. Gögn: reikningsupplýsingar og greiðslustaða. Staðsetning: Ísland.

Þessi stefna lýsir þeim flokkum ytri viðtakenda sem vinna persónuupplýsingar sem hluta af þjónustunni. Við teljum ekki upp hvert innra verkfæri eða tæknibirgja sem fær ekki aðgang að persónuupplýsingum viðskiptavina í þjónustuveitingunni. Við veitum viðskiptavinum núverandi nafngreindan lista undirvinnsluaðila sé þess óskað eða í tengslum við DPA, og tilkynnum um efnislegar breytingar með hæfilegum fyrirvara áður en þær taka gildi.

7. Öryggi gagna

Öll gögn eru dulkóðuð í flutningi (TLS) milli vafra, þjónustu okkar og utanaðkomandi þjónustuveitenda. Gögn eru dulkóðuð í geymslu á vettvangi (at-rest) af innviðabirgjum okkar fyrir gagnagrunn og skjalageymslu.

Við beitum rökréttri aðskilnaðarstefnu milli viðskiptavina (tenant isolation) á gagnagrunnslagi og í skjalageymslu, og aðgangi er stjórnað með hlutverkum (OWNER, ADMIN, MEMBER, VIEWER) innan hvers vinnustaðar. Aðgangur milli vinnustaða er óheimill og prófaður sjálfvirkt.

8. Geymslutími

  • Á meðan áskrift er virk: Verkefnagögn og greiningarniðurstöður eru geymd svo lengi sem þú ert áskrifandi.
  • Eftir uppsögn: Þú hefur 30 daga til að sækja gögnin þín. Að þeim tíma liðnum eru verkefnagögn eytt úr virku kerfi. Öryggisafrit eru venjulega eytt innan 35 daga.
  • Bókhaldsskjöl: Reikningar og bókhaldsgögn eru geymd í sjö ár samkvæmt íslenskum lögum um bókhald nr. 145/1994.
  • Rekstrarskrár: Tæknilegar skrár fyrir rekstur og öryggi eru geymdar í allt að 90 daga.

9. Réttindi þín samkvæmt GDPR

Sem skráður aðili átt þú eftirfarandi réttindi samkvæmt GDPR og íslenskum persónuverndarlögum:

  • Aðgangsréttur (gr. 15): Að fá staðfestingu á því hvort persónuupplýsingar um þig séu í vinnslu, og ef svo er, afrit af þeim.
  • Réttur til leiðréttingar (gr. 16): Að fá rangar eða ófullkomnar upplýsingar lagfærðar.
  • Réttur til eyðingar (gr. 17): Að biðja um eyðingu persónuupplýsinga í tilteknum aðstæðum, með fyrirvara um lagaskyldur (t.d. bókhald).
  • Réttur til takmörkunar (gr. 18): Að takmarka vinnslu í tilteknum aðstæðum.
  • Réttur til gagnaflutnings (gr. 20): Að fá persónuupplýsingar þínar á uppbyggilegu, vélrænu formi og flytja þær til annars þjónustuveitanda.
  • Mótmælaréttur (gr. 21): Að mótmæla vinnslu sem byggir á lögmætum hagsmunum.

Til að nýta þessi réttindi, sendu beiðni á personuvernd@verkgreinir.is. Við svörum að jafnaði innan eins mánaðar.

10. Vafrakökur

Verkgreinir notar aðeins nauðsynlegar vafrakökur:

  • Auðkenning: Kökur sem auðkenningarþjónustan okkar notar til að viðhalda innskráningu þinni.
  • Tungumál: Köku sem geymir tungumálsval þitt á milli heimsókna.

Við notum hvorki greiningarkökur (analytics) né markaðskökur sem þurfa samþykki.

11. Breytingar á stefnunni

Við kunnum að uppfæra þessa persónuverndarstefnu. Verulegar breytingar verða tilkynntar með hæfilegum fyrirvara í gegnum þjónustuna eða með tölvupósti áður en þær taka gildi. Dagsetning síðustu uppfærslu er sýnd efst á þessari síðu.

12. Hafið samband og kæruleið

Ef þú hefur spurningar um þessa stefnu eða vilt nýta réttindi þín, hafðu samband við okkur á personuvernd@verkgreinir.is.

Þú átt einnig rétt á að senda kvörtun til Persónuverndar, eftirlitsaðila um persónuvernd á Íslandi: Persónuvernd, Rauðarárstíg 10, 105 Reykjavík, postur@personuvernd.is, personuvernd.is. Ef þú ert búsettur í öðru EES-ríki getur þú kvartað til eftirlitsaðila þar.