Menu

Vinnslusamningur

VINNSLUSAMNINGUR FONS JURIS EHF.

Staðlaður vinnslusamningsviðauki við skilmála eða þjónustusamning.

Í gildi frá 18. maí 2026.

Þessi vinnslusamningur, þar á meðal sem staðlaður vinnslusamningsviðauki við skilmála eða þjónustusamning, gildir frá 18. maí 2026 þegar Fons Juris ehf. vinnur persónuupplýsingar sem vinnsluaðili fyrir ábyrgðaraðila í tengslum við Lögmennis-þjónustuna eða aðra þjónustu Fons Juris sem vísar til þessa samnings, ásamt viðeigandi þjónustusértækri lýsingu og lista yfir undirvinnsluaðila, nema sérstakur skriflegur vinnslusamningur aðila mæli fyrir um annað.

AÐILAR OG GILDISSVIÐ

Þessi vinnslusamningsviðauki („Vinnslusamningur“ eða „DPA“) er hluti af viðskiptaskilmálum, þjónustusamningi eða öðrum samningi milli:

  • Ábyrgðaraðila: viðskiptavinar, lögmannsstofu, stofnunar, lögaðila eða notanda sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga sem hlaðið er upp eða afhentar eru Fons Juris til vinnslu; og
  • Vinnsluaðila: Fons Juris ehf., kt. 460611-2450, Laugavegi 7, 101 Reykjavík, Ísland, netfang: persónuvernd@fonsjuris.is.

Frá 18. maí 2026 gildir þessi DPA sjálfkrafa um vinnslu Fons Juris sem vinnsluaðila í Lögmennis-þjónustunni þegar ábyrgðaraðili eða notendur á hans vegum halda áfram notkun þjónustunnar eftir birtingu þessa DPA, nema sérstakur skriflegur vinnslusamningur aðila gildi um sömu vinnslu. Ef sérstakur skriflegur vinnslusamningur og þessi DPA fjalla um sama efni hefur sérsamningurinn forgang að því marki sem hann víkur frá þessum DPA.

Þessi DPA gildir aðeins að því marki sem Fons Juris vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila í skilningi 28. gr. GDPR og laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Fons Juris er áfram sjálfstæður ábyrgðaraðili fyrir eigin rekstrargögnum þjónustunnar, svo sem reikningsupplýsingum, auðkenningu, öryggis- og rekstrarvöktun, þjónustusamskiptum og eigin bókhalds- eða samningsgögnum.

VIÐFANGSEFNI, EÐLI OG TILGANGUR VINNSLU

Fons Juris vinnur, fyrir hönd ábyrgðaraðila, persónuupplýsingar sem ábyrgðaraðili eða notendur á hans vegum hlaða upp, senda inn eða gera aðgengilegar í þeirri Fons Juris þjónustu sem viðkomandi samningur tekur til.

Vinnslan getur meðal annars falist í:

  • geymslu skjala og tengdra lýsigagna,
  • útdrætti texta og undirbúningi skjala fyrir leit og greiningu,
  • leit, flokkun, samantekt og svörun við fyrirspurnum um efni skjala,
  • tengingu efnis skjala við opinberar réttarheimildir og önnur gögn sem þjónustan hefur heimild til að nota,
  • rekstrarvöktun, villugreiningu, öryggisvöktun og tæknilegri aðstoð.

Tilgangur vinnslunnar er að gera ábyrgðaraðila kleift að nota viðkomandi Fons Juris þjónustu í samræmi við samning aðila og þjónustusértæka lýsingu. Fyrir Lögmennis-þjónustuna felst tilgangurinn einkum í lögfræðilegri rannsókn, skjalavinnslu, námsvinnu, greiningu, samantekt og tengdri upplýsingaleit.

Fons Juris notar ekki gögn ábyrgðaraðila til að þjálfa eða fínstilla eigin AI-líkön og veitir undirvinnsluaðilum ekki leyfi eða fyrirmæli um slíka notkun nema ábyrgðaraðili hafi sérstaklega samþykkt slíka vinnslu. Notkun Fons Juris á Google Cloud AI/ML-þjónustu fer fram samkvæmt Google Cloud-skilmálum sem kveða á um að Google noti ekki Customer Data til að þjálfa eða fínstilla AI/ML-líkön án fyrirfram leyfis eða fyrirmæla viðskiptavinar.

TEGUNDIR PERSÓNUUPPLÝSINGA OG FLOKKAR SKRÁÐRA EINSTAKLINGA

Persónuupplýsingar geta verið mjög breytilegar eftir því hvaða gögn ábyrgðaraðili hleður upp eða gerir aðgengileg.

Tegundir persónuupplýsinga geta meðal annars verið:

  • almennar persónuupplýsingar, svo sem nafn, kennitala, heimilisfang, netfang, símanúmer, starfsheiti, samskiptaupplýsingar og undirskriftir,
  • upplýsingar sem koma fram í lögfræðilegum skjölum, samningum, málskjölum, dómsskjölum, stjórnsýslugögnum, sönnunargögnum, bréfaskiptum, minnisblöðum og fræðilegu efni,
  • viðkvæmar persónuupplýsingar samkvæmt 9. gr. GDPR, svo sem heilsufarsupplýsingar, trúarbrögð, kynhneigð, þjóðerni eða sambærilegar upplýsingar, ef slíkar upplýsingar koma fram í skjölum sem ábyrgðaraðili hefur heimild til að vinna með,
  • upplýsingar um sakfellingar og refsiverð brot samkvæmt 10. gr. GDPR, ef slíkar upplýsingar koma fram í lögfræðilegum gögnum, rannsóknargögnum, dómsskjölum eða sambærilegum gögnum sem ábyrgðaraðili hefur heimild til að vinna með.

Flokkar skráðra einstaklinga geta meðal annars verið:

  • skjólstæðingar eða viðskiptavinir ábyrgðaraðila,
  • starfsmenn, stjórnendur, verktakar eða samstarfsaðilar ábyrgðaraðila,
  • gagnaðilar, vitni, sérfræðingar, brotaþolar, sakborningar, dómstólasembættismenn, opinberir starfsmenn eða aðrir einstaklingar sem koma fram í málsgögnum,
  • einstaklingar sem koma fram í opinberum gögnum, fræðilegum gögnum, fjölmiðlaefni eða öðrum gögnum sem ábyrgðaraðili hefur heimild til að vinna með,
  • notendur þjónustunnar að því marki sem upplýsingar um þá birtast í skjölum eða fyrirmælum ábyrgðaraðila.

Ábyrgðaraðili ber ábyrgð á því að vinnsla þeirra gagna sem hann hleður upp eða gerir aðgengileg hafi fullnægjandi lagagrundvöll samkvæmt 6. gr. GDPR og, eftir því sem við á, 9. og 10. gr. GDPR.

Ábyrgðaraðili skal ekki hlaða upp eða gera Fons Juris aðgengilegar persónuupplýsingar nema slíkt sé nauðsynlegt vegna þeirrar lögfræðilegu vinnslu, rannsóknar, skjalavinnslu eða námsvinnu sem þjónustan er notuð til og ábyrgðaraðili hafi heimild til vinnslunnar. Ef gögn innihalda viðkvæmar persónuupplýsingar samkvæmt 9. gr. GDPR eða upplýsingar um sakfellingar og refsiverð brot samkvæmt 10. gr. GDPR ber ábyrgðaraðili ábyrgð á því að viðeigandi skilyrði þeirra ákvæða séu uppfyllt. Ef slík heimild er ekki til staðar skal ábyrgðaraðili ekki afhenda Fons Juris viðkomandi gögn.

Eftir því sem unnt er skal ábyrgðaraðili fjarlægja, afmá eða gerviauðkenna persónuupplýsingar sem ekki eru nauðsynlegar fyrir tilgang vinnslunnar áður en gögn eru afhent Fons Juris.

GILDISTÍMI VINNSLU

Þessi DPA gildir á meðan Fons Juris vinnur persónuupplýsingar sem vinnsluaðili fyrir ábyrgðaraðila.

Persónuupplýsingar eru varðveittar í samræmi við viðskiptaskilmála, persónuverndarstefnu, fyrirmæli ábyrgðaraðila og tæknilegar varðveislustillingar þjónustunnar. Þar til sjálfvirk varðveislustefna með föstum mörkum hefur tekið gildi eru skjöl sem notandi hleður upp að jafnaði varðveitt þar til ábyrgðaraðili eða notandi á hans vegum óskar eftir eyðingu, eða þar til vinnslu lýkur og eyðing eða skil fara fram samkvæmt 14. kafla. Fyrirhuguð föst varðveislumörk, þar á meðal mörk fyrir samtalssögu, verða nánar tilgreind í heildarendurskoðaðri persónuverndarstefnu sem tekur gildi 6. júlí 2026.

FYRIRMÆLI ÁBYRGÐARAÐILA

Fons Juris vinnur persónuupplýsingar aðeins samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, þar á meðal þessum DPA, viðskiptaskilmálum eða þjónustusamningi aðila, stillingum og aðgerðum ábyrgðaraðila eða notenda hans í þjónustunni, og skriflegum fyrirmælum sem ábyrgðaraðili sendir Fons Juris og Fons Juris samþykkir að framkvæma.

Fons Juris skal tilkynna ábyrgðaraðila ef Fons Juris telur að fyrirmæli brjóti gegn GDPR, lögum nr. 90/2018 eða öðrum viðeigandi persónuverndarlögum, nema lög banni slíka tilkynningu.

Fons Juris metur ekki hvert einstakt skjal fyrir fram með tilliti til lagagrundvallar, heimildar samkvæmt 9. eða 10. gr. GDPR eða upplýsingaskyldu gagnvart skráðum einstaklingum. Fons Juris vinnur gögnin sem vinnsluaðili á grundvelli skjalfestra fyrirmæla ábyrgðaraðila og byggir á því, nema augljóst sé að fyrirmæli séu ólögmæt, að ábyrgðaraðili hafi heimild til vinnslunnar og hafi uppfyllt eigin skyldur samkvæmt persónuverndarlögum.

SKYLDUR FONS JURIS SEM VINNSLUAÐILA

Fons Juris skal:

  • vinna persónuupplýsingar eingöngu í samræmi við skjalfest fyrirmæli ábyrgðaraðila,
  • tryggja að starfsfólk og aðrir sem hafa heimild til að vinna með persónuupplýsingar séu bundnir trúnaði,
  • gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir samkvæmt 32. gr. GDPR,
  • aðstoða ábyrgðaraðila, eftir því sem eðlilegt er miðað við eðli vinnslunnar, við að svara beiðnum skráðra einstaklinga um réttindi sín,
  • aðstoða ábyrgðaraðila, eftir því sem eðlilegt er, við skyldur samkvæmt 32.-36. gr. GDPR, þar á meðal öryggi vinnslu, tilkynningar um öryggisbrot, mat á áhrifum á persónuvernd og fyrirframsamráð,
  • gera ábyrgðaraðila aðgengilegar þær upplýsingar sem nauðsynlegar eru til að sýna fram á fylgni við 28. gr. GDPR,
  • leyfa og leggja sitt af mörkum til úttekta samkvæmt 28. gr. GDPR, með þeim takmörkunum og verklagi sem nánar er lýst í þessum DPA.

SKYLDUR ÁBYRGÐARAÐILA

Ábyrgðaraðili skal:

  • tryggja að hann hafi fullnægjandi lagagrundvöll fyrir vinnslu þeirra persónuupplýsinga sem hann eða notendur á hans vegum hlaða upp eða gera aðgengilegar í þjónustunni,
  • tryggja að persónuupplýsingar sem hann eða notendur á hans vegum hlaða upp séu takmarkaðar við það sem er nauðsynlegt fyrir tilgang vinnslunnar, og að óþarfar persónuupplýsingar séu fjarlægðar, afmáðar eða gerviauðkenndar eftir því sem unnt er áður en gögn eru afhent Fons Juris,
  • veita skráðum einstaklingum upplýsingar samkvæmt 13. og 14. gr. GDPR eftir því sem við á, með hliðsjón af upplýsingum sem Fons Juris birtir í persónuverndarstefnu, undirvinnsluaðila-lista og þjónustusértækum lýsingum,
  • tryggja að fyrirmæli til Fons Juris séu lögmæt, skýr og í samræmi við samning aðila,
  • tryggja að notendur á hans vegum hafi heimild til að nota þjónustuna og hlaða upp viðkomandi gögnum,
  • bregðast við beiðnum skráðra einstaklinga nema ábyrgðaraðili hafi sérstaklega falið Fons Juris að aðstoða við slíka framkvæmd.

UNDIRVINNSLUAÐILAR

Ábyrgðaraðili veitir Fons Juris almenna heimild til að nota undirvinnsluaðila í tengslum við þjónustuna, að því gefnu að Fons Juris uppfylli skilyrði 28. gr. 2. og 4. mgr. GDPR.

Fons Juris skal birta lista yfir undirvinnsluaðila á fastri vefslóð eða í persónuverndarstefnu sinni. Listinn getur verið þjónustusértækur ef mismunandi undirvinnsluaðilar eru notaðir fyrir mismunandi þjónustur Fons Juris. Fons Juris skal tilkynna ábyrgðaraðila um fyrirhugaða nýja eða breytta undirvinnsluaðila með að minnsta kosti 30 daga fyrirvara, nema brýn öryggis-, rekstrar- eða lagaleg ástæða krefjist skemmri fyrirvara.

Ábyrgðaraðili getur andmælt nýjum eða breyttum undirvinnsluaðila á málefnalegum persónuverndarástæðum innan tilkynningarfrestsins. Ef aðilar geta ekki leyst úr andmælum getur ábyrgðaraðili hætt notkun þess hluta þjónustunnar sem viðkomandi undirvinnsluaðili kemur að, eða sagt upp þjónustu í samræmi við samning aðila.

Fons Juris skal tryggja að undirvinnsluaðilar séu bundnir skriflegum samningi sem leggur á þá sambærilegar persónuverndarskyldur og Fons Juris ber samkvæmt þessum DPA, að því marki sem við á. Fons Juris ber ábyrgð gagnvart ábyrgðaraðila á því að undirvinnsluaðilar uppfylli skyldur sínar samkvæmt 28. gr. GDPR.

NÚVERANDI UNDIRVINNSLUAÐILAR

UndirvinnsluaðiliHlutverkStaðsetning / athugasemd
Google Cloud PlatformSkjalageymsla í Google Cloud Storage, Vertex AI Search, Gemini AI-vinnsla og tengd skýjaþjónusta.GCS og Vertex AI Search innan EEA eftir því sem stillingar þjónustunnar mæla fyrir um. Gemini getur notað global endapunkt; vinnsla getur þá farið fram utan EEA og ekki er unnt að stjórna eða vita fyrirfram í hvaða svæði einstök ML-vinnsla fer fram. Google Cloud DPA / Cloud Data Processing Addendum, þjónustusértækir skilmálar Google Cloud um AI/ML og, eftir því sem við á, staðlaðir samningsskilmálar (SCC) ESB gilda um slíka vinnslu.
Sentry / Functional Software, Inc.Villuvöktun og rekstrarvöktun.Sentry er notað á de.sentry.io innan Þýskalands/EEA eftir því sem við á. Functional Software, Inc. er bandarískt félag; ef vinnsla eða aðgangur felur í sér flutning utan EEA gilda viðeigandi flutningsheimildir samkvæmt kafla um millilandsflutning.
Amazon Web Services (AWS)PostgreSQL gagnagrunnshýsing fyrir notendasamtöl, sjálfvirkar runuvinnslur, lýsigögn og rekstrarvöktun.Nánari staðsetning gagnagrunns skal birt á fastri undirvinnsluaðila-síðu.

Fons Juris getur birt nánari og uppfærðan lista yfir undirvinnsluaðila á sérstakri undirvinnsluaðila-síðu. Ef munur er á töflunni hér að ofan og uppfærðum lista á fastri undirvinnsluaðila-síðu skal nýrri listinn gilda frá þeim degi sem hann tekur gildi samkvæmt tilkynningarfresti þessa kafla.

MILLILANDSFLUTNINGUR

Fons Juris skal ekki flytja persónuupplýsingar utan EEA nema slíkur flutningur sé heimill samkvæmt GDPR.

Ef vinnsla eða aðgangur undirvinnsluaðila felur í sér flutning persónuupplýsinga utan EEA skal Fons Juris tryggja að viðeigandi flutningsheimild sé til staðar, svo sem ákvörðun um fullnægjandi vernd, staðlaðir samningsskilmálar (SCC) ESB eða önnur heimild samkvæmt V. kafla GDPR.

Þegar Gemini AI-líkön eru notuð í gegnum Google Cloud global endapunkt getur vinnsla farið fram utan EEA og ekki er unnt að stjórna eða vita fyrirfram í hvaða svæði einstök ML-vinnsla fer fram. Slík vinnsla fer fram samkvæmt Google Cloud DPA / Cloud Data Processing Addendum, þjónustusértækum skilmálum Google Cloud um AI/ML og, eftir því sem við á, stöðluðum samningsákvæðum (SCC) ESB.

ÖRYGGISRÁÐSTAFANIR

Fons Juris skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi persónuupplýsinga, með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga.

Slíkar ráðstafanir geta meðal annars falið í sér:

  • dulkóðun gagna í flutningi og, eftir því sem við á, í hvíld,
  • aðgangsstýringar og auðkenningu,
  • aðgreiningu aðgangs eftir hlutverki og þörf,
  • rekstrar- og öryggisvöktun,
  • afritun og endurheimtarferla,
  • skráningu og rannsókn öryggisatvika,
  • prófanir, mat og endurskoðun á virkni öryggisráðstafana,
  • verklag um lágmörkun persónuupplýsinga í villuskýrslum og rekstrargögnum.

ÖRYGGISBROT

Fons Juris skal tilkynna ábyrgðaraðila án ótilhlýðilegrar tafar eftir að Fons Juris verður vart við öryggisbrot sem varðar persónuupplýsingar sem Fons Juris vinnur sem vinnsluaðili fyrir ábyrgðaraðila.

Tilkynning skal, eftir því sem upplýsingar liggja fyrir, innihalda þær upplýsingar sem ábyrgðaraðili þarf með sanngjörnum hætti til að meta hvort tilkynna þurfi brotið til Persónuverndar eða skráðra einstaklinga. Fons Juris skal veita frekari upplýsingar eftir því sem þær verða tiltækar.

ÚTTEKTIR OG UPPLÝSINGAR UM FYLGNI

Fons Juris skal eftir fremsta megni gera ábyrgðaraðila aðgengilegar upplýsingar sem nauðsynlegar eru til að sýna fram á fylgni við þennan vinnslusamning og 28. gr. GDPR sbr. og lög um persónuvernd og persónuupplýsingar.

Ábyrgðaraðili getur óskað eftir upplýsingum um öryggisráðstafanir, undirvinnsluaðila og vinnslufyrirkomulag Fons Juris. Fons Juris getur uppfyllt slíka beiðni með viðeigandi hætti.

RÉTTINDI SKRÁÐRA EINSTAKLINGA

Berist Fons Juris beiðni frá skráðum einstaklingi sem varðar persónuupplýsingar sem Fons Juris vinnur sem vinnsluaðili fyrir ábyrgðaraðila skal Fons Juris, eftir því sem við á, framsenda beiðnina til ábyrgðaraðila eða leiðbeina skráða einstaklingnum um að hafa samband við ábyrgðaraðila.

Fons Juris skal aðstoða ábyrgðaraðila, eftir því sem eðlilegt er og tæknilega mögulegt, við að uppfylla skyldur ábyrgðaraðila vegna réttinda skráðra einstaklinga samkvæmt GDPR.

EYÐING EÐA SKIL GAGNA VIÐ LOK VINNSLU

Við lok vinnslu skal Fons Juris, eftir vali eða fyrirmælum ábyrgðaraðila, eyða persónuupplýsingum eða skila þeim til ábyrgðaraðila, nema Fons Juris sé skylt samkvæmt lögum að varðveita tilteknar upplýsingar.

Fons Juris getur varðveitt afrit í öryggisafritum, rekstrarskrám eða tæknilegum kerfum í takmarkaðan tíma samkvæmt eðlilegum varðveislu- og eyðingarferlum, enda séu slík gögn áfram varin samkvæmt þessum DPA þar til þeim er eytt.

ÁBYRGÐ

Hvor aðili ber ábyrgð á eigin skyldum samkvæmt GDPR, lögum nr. 90/2018 og þessum DPA. Um fjárhagslega ábyrgð, takmarkanir á ábyrgð og önnur samningsbundin úrræði fer eftir viðskiptaskilmálum eða þjónustusamningi aðila, að því marki sem slíkar takmarkanir eru heimilar samkvæmt persónuverndarlögum.

Ekkert í þessum DPA takmarkar réttindi skráðra einstaklinga eða valdheimildir Persónuverndar eða annarra lögbærra eftirlitsstjórnvalda.

BREYTINGAR Á ÞESSUM DPA

Fons Juris getur uppfært þennan DPA þegar slíkt er nauðsynlegt vegna breytinga á þjónustu, lögum, undirvinnsluaðilum, öryggisráðstöfunum eða viðskiptaskilmálum.

Ef breyting hefur veruleg áhrif á réttindi eða skyldur ábyrgðaraðila samkvæmt þessum DPA skal Fons Juris tilkynna ábyrgðaraðila um breytinguna með hæfilegum fyrirvara eða samkvæmt þeim tilkynningarfresti sem kveðið er á um í viðskiptaskilmálum aðila.

LÖG OG VARNARÞING

Um þennan DPA gilda íslensk lög, að því marki sem slíkt samrýmist ófrávíkjanlegum ákvæðum GDPR og laga nr. 90/2018.

Mál vegna þessa DPA skulu rekin fyrir íslenskum dómstólum á heimilisvarnarþingi Fons Juris, nema ófrávíkjanleg lög mæli fyrir um annað.

SPURNINGAR OG AÐSTOÐ

Spurningar um þennan DPA, undirvinnsluaðila eða vinnslu persónuupplýsinga má senda á persónuvernd@fonsjuris.is.

Fons Juris ehf., Laugavegi 7, 101 Reykjavík.

```
Við notum vefkökur
Vefur Fons Juris notar vefkökur m.a. til þess að safna upplýsingum um umferð á vefnum, til að bæta upplifun og vegna auglýsingabirtinga.

Cookie Settings

We use cookies to improve user experience. Choose what cookie categories you allow us to use. You can read more about our Cookie Policy by clicking on Cookie Policy below.

These cookies enable strictly necessary cookies for security, language support and verification of identity. These cookies can’t be disabled.

These cookies collect data to remember choices users make to improve and give a better user experience. Disabling can cause some parts of the site to not work properly.

These cookies help us to understand how visitors interact with our website, help us measure and analyze traffic to improve our service.

These cookies help us to better deliver marketing content and customized ads.