Persónuverndarstefna
**Útgáfa 1.0** | **Gildir frá: [verður útfyllt]**
1. Ábyrgðaraðili gagna
Ábyrgðaraðili persónuupplýsinga þinna er **GastroBridge**, með skráð lögheimili að **[HEIMILISFANG, Reykjavík, Ísland]**, kennitala: **[KENNITALA]** ("Ábyrgðaraðili", "við").
Tengiliður vegna persónuverndar: **info@gastrobridge.com**
2. Hvaða gögn söfnum við
2.1 Notendareikningsgögn
Nafn, netfang, símanúmer (valfrjálst), lykilorð (geymt eingöngu sem dulkóðað tætigildi í Firebase Authentication kerfinu - Ábyrgðaraðili hefur ekki aðgang að lykilorðum í hreinum texta).
2.2 Fyrirtækjagögn
Löglegt heiti fyrirtækis, kennitala, VSK-númer, skráð heimilisfang, afhendingarheimilisfang, vöruhúsheimilisfang, bankareikningsnúmer (IBAN), netfang fyrirtækis, símanúmer fyrirtækis, reikningsnetfang, greiðsluskilmálar, sendingastillingar.
2.3 Rekstrargögn
Innskráningarsaga, reikningsstillingar, aðgerðir í stjórnborði (t.d. pöntun, vörulistastjórnun), lýsigögn pantana og fyrirspurna.
2.4 Reikningsgögn
Áskriftarupplýsingar, greiðslusaga vegna þjónustunnar, reikningsgögn vegna áskrifta. Greiðslur eru unnar af Stripe - Ábyrgðaraðili geymir ekki full greiðslukortaupplýsingar.
2.5 Tæknigögn
IP-tala, haus vafra (user agent), vefkökur, villukladdar, gögn frá Google Analytics (ef þú veitir samþykki - sjá kafla 9).
3. Tilgangur og lagagrundvöllur vinnslu
Vinnsla fer fram á grundvelli reglugerðar (ESB) 2016/679 (GDPR), sem gildir á Íslandi á grundvelli samningsins um Evrópska efnahagssvæðið, og íslenskra laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
| Tilgangur | Lagagrundvöllur | Lýsing |
|---|---|---|
| Þjónustuveitingar | 6. gr. 1. mgr. b-liður GDPR | Efndir samnings - skráning reiknings, pöntunarstjórnun, samskipti við Seljendur, vörulistastjórnun |
| Bókhald og skattar | 6. gr. 1. mgr. c-liður GDPR | Lagaskylda - útgáfa reikninga vegna áskrifta, bókhald Ábyrgðaraðila, skattskylda Ábyrgðaraðila |
| Öryggi og misnotkunarvarnir | 6. gr. 1. mgr. f-liður GDPR | Lögmætir hagsmunir - vörn gegn óheimilum aðgangi, uppgötvun misnotkunar, öryggiskladdar |
| Greiningar og þjónustubætur | 6. gr. 1. mgr. a-liður GDPR | Samþykki - Google Analytics, afkastamælingar, notkunargreining (aðeins eftir samþykki í gegnum vefkökusamþykki) |
| Markaðssetning eigin þjónustu | 6. gr. 1. mgr. a-liður GDPR | Samþykki - fréttabréf, upplýsingar um nýja eiginleika, tilboð (aðeins eftir valfrjálst samþykki, afturkallanlegt hvenær sem er) |
4. Viðtakendur gagna
Gögn þín kunna að vera deild með eftirfarandi flokkum viðtakenda, eingöngu að því marki sem nauðsynlegt er til að uppfylla tilganginn sem lýst er í kafla 3:
| Viðtakandi | Tilgangur | Höfuðstöðvar | Gagnageymslusvæði |
|---|---|---|---|
| Google Cloud Platform | Hýsing forrits (Cloud Run) | Bandaríkin | ESB (europe-west1 / europe-north1) |
| Firebase Authentication (Google) | Auðkenning notenda | Bandaríkin | ESB |
| MongoDB Atlas (MongoDB Inc.) | Gagnagrunnur forrits | Bandaríkin | ESB (europe-west1) |
| SendGrid (Twilio Inc.) | Sending færslutölvupósts | Bandaríkin | ESB |
| Stripe Inc. | Greiðslu- og áskriftarvinnsla | Bandaríkin | ESB |
| Google Analytics (Google LLC) | Notkunargreiningar (með samþykki) | Bandaríkin | ESB |
Allir aðilar vinna gögn á grundvelli vinnslusamninga og í samræmi við fyrirmæli Ábyrgðaraðila.
Auk þess er heimilt að miðla gögnum til opinberra aðila sem hafa til þess lagaheimild (t.d. Skatturinn, Ríkisskattstjóri).
Ábyrgðaraðili selur ekki persónuupplýsingar og deilir þeim ekki í auglýsingaskyni þriðju aðila.
5. Flutningur gagna utan EES
Vinnsluaðilar sem taldir eru upp í kafla 4 hafa höfuðstöðvar í Bandaríkjunum. Gögn eru geymd á netþjónum á ESB-svæðinu, en vegna staðsetningar höfuðstöðva vinnsluaðila getur aðgangur að gögnum frá yfirráðasvæði Bandaríkjanna átt sér stað.
Ísland er aðili að Evrópska efnahagssvæðinu (EES). Lagagrundvöllur gagnaflutnings til Bandaríkjanna: ákvörðun framkvæmdastjórnar ESB um fullnægjandi vernd samkvæmt EU-US Data Privacy Framework (ákvörðun frá 10. júlí 2023), einnig samþykkt af sameiginlegu EES-nefndinni. Allir tilgreindir aðilar eru vottaðir samkvæmt þessu kerfi.
Auk þess, sem viðbótarvernd, notum við staðlaða samningsákvæði ESB (SCC) við vinnsluaðila.
6. Geymslutími gagna
| Gagnaflokkur | Geymslutími | Grundvöllur |
|---|---|---|
| Reikningsgögn | Á samningstíma + 4 ár eftir lok | Almennur fyrningarfrestur samkvæmt íslenskum lögum (lög nr. 150/2007) |
| Reiknings- og skattagögn | 7 ár frá lokum skattárs | Íslensk skattalög (lög nr. 90/2003, 40. gr.) |
| Tækni- og öryggiskladdar | Allt að 12 mánuðir | Lögmætir hagsmunir |
| Öryggisafrit | Allt að 30 dagar | Rekstrarsamfella |
| Markaðsgögn | Þar til samþykki er afturkallað | Samþykki notanda |
| Greiningargögn (Google Analytics) | Allt að 14 mánuðir | GA4 stilling, samþykki notanda |
Eftir að geymslutímar renna út eru gögn eytt eða nafnlaus.
7. Réttindi þín
Samkvæmt GDPR og íslenskum lögum nr. 90/2018 hefur þú eftirfarandi réttindi:
- **Aðgangur** - þú getur óskað eftir upplýsingum um unna gögn (15. gr.)
- **Leiðrétting** - þú getur leiðrétt ónákvæm gögn (16. gr.)
- **Eyðing** - þú getur óskað eftir eyðingu gagna, með fyrirvara um lagaskyldur (17. gr.). GastroBridge býður upp á sjálfsafgreiðslu reikningseyðingar í stillingum forritsins með staðfestingu í tölvupósti.
- **Takmörkun vinnslu** - þú getur óskað eftir takmörkun í ákveðnum aðstæðum (18. gr.)
- **Gagnaflutningur** - þú getur fengið gögn á skipulögðu formi (20. gr.)
- **Andmæli** - þú getur andmælt vinnslu sem byggist á lögmætum hagsmunum (21. gr.)
- **Afturköllun samþykkis** - þú getur afturkallað samþykki hvenær sem er, án þess að hafa áhrif á lögmæti vinnslu áður en afturköllun (7. gr. 3. mgr.)
Þú getur sent beiðnir varðandi réttindi þín á: **info@gastrobridge.com**. Við svörum innan 30 daga.
Kvörtun til eftirlitsaðila
Þú hefur rétt til að leggja fram kvörtun til íslenskrar persónuverndarstofnunar:
**Persónuvernd** Rauðarárstígur 10, 105 Reykjavík, Ísland www.personuvernd.is
Ef þú hefur aðsetur í öðru EES-ríki geturðu einnig lagt fram kvörtun til eftirlitsaðila í þínu landi.
8. Gagnaöryggi
Við beitum eftirfarandi verndarráðstöfunum:
- Dulkóðun flutninga (TLS/HTTPS)
- Dulkóðun gagna í hvíld (encryption at rest)
- Hlutverkamiðuð aðgangsstýring (RBAC)
- Lykilorð geymd eingöngu sem dulkóðuð tætigildi (Firebase Auth)
- Reglulegt öryggisafrit
- Öryggiseftirlit og uppfærslur
9. Vefkökur
9.1 Nauðsynlegar (krefjast ekki samþykkis)
| Vefkaka | Tilgangur | Líftími |
|---|---|---|
| __session | Viðhald notendaþings | Þing |
| gb_cookie_consent | Geymsla á vefkökustillingum | 12 mánuðir |
9.2 Greiningar (krefjast samþykkis)
| Vefkaka | Tilgangur | Líftími |
|---|---|---|
| _ga | Google Analytics - auðkenning notanda | 14 mánuðir |
| _ga_[ID] | Google Analytics - stöðu þings | 14 mánuðir |
Greiningarvefkökur eru aðeins hlaðnar eftir að samþykki er veitt í gegnum vefkökusamþykkisborða. Þú getur breytt stillingum þínum hvenær sem er með því að smella á "Vefkökustillingar" í fæti síðunnar.
10. Gögn barna
GastroBridge þjónustan er B2B vettvangur ætlaður fyrirtækjum. Hún er ekki ætluð einstaklingum undir 16 ára aldri og við söfnum ekki vísvitandi gögnum frá slíkum einstaklingum.
11. Breytingar á persónuverndarstefnu
Við áskiljum okkur rétt til að breyta þessari stefnu. Við munum tilkynna um efnislegar breytingar með:
- Tilkynningu í þjónustunni
- Tölvupósti á netfangið sem tengist reikningnum þínum
Efnislegar breytingar (t.d. nýir vinnslutilgangar, nýir viðtakendur gagna) kunna að krefjast endurnýjaðs samþykkis. Áframhaldandi notkun þjónustunnar eftir að minniháttar breytingar taka gildi felur í sér samþykki.
Núverandi útgáfa stefnunnar er alltaf aðgengileg á: [URL]/privacy
12. Tengiliður
**GastroBridge** Netfang: **info@gastrobridge.com**