Persónuverndarstefna
Síðast uppfært: 8. mars 2026
1. Ábyrgðaraðili
Skrif ehf. · kt. 541025-2190 · Ísland · skrif@skrif.com
Skrif ehf. ber ábyrgð á vinnslu persónuupplýsinga í tengslum við þjónustu okkar, í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 (GDPR).
2. Hvaða upplýsingum söfnum við
2.1 Persónuupplýsingar við skráningu
- Nafn, netfang, símanúmer (ef veitt)
- Innskráningargögn frá innskráningarþjónustum (t.d. Google)
- Notandanafn og prófílmynd
2.2 Viðskipta- og fyrirtækjaupplýsingar
- Nafn fyrirtækis, kennitala, VSK-númer
- Heimilisfang, rekstrarform, atvinnugrein
2.3 Fjárhagsgögn
- Bankareikningsnúmer og tegund reiknings
- Bankahreyfingar (fjárhæðir, dagsetningar, lýsingar, tilvísanir)
- Kreditkortagögn og kreditkortahreyfingar
- Stöður reikninga
2.4 Bókhaldsgögn
- Bókhaldsfærslur (debet/kredit)
- Viðskiptavinir (nöfn, netföng, símanúmer, heimilisföng)
- Lánardrottnar (nöfn, tilvísanir)
- Starfsmenn (nöfn, netföng, símanúmer, heimilisföng, ráðningardagar, kennitölur)
- Reikningar og kostnaðarfærslur
2.5 Spjallgögn
- Skilaboð sem þú sendir til Skrif
- Svör frá Skrif og aðgerðasaga
- Upplýsingar sem Skrif greinir og vistar um fyrirtækið þitt
2.6 Skrár sem hlaðið er upp
Allar skrár sem þú hleður upp (PDF-skjöl, myndir, bankayfirlit, reikningar).
2.7 Gögn sem safnast sjálfkrafa
- Tækjaupplýsingar (vafri, stýrikerfi)
- IP-tala og almenn staðsetning
- Notkunargögn og villuboð (eingöngu ef þú hefur samþykkt greiningarkökur)
- Vafrakökur (sjá kafla 7)
2.8 Greining og sérsniðin þjónusta
Við greinum gögn fyrirtækisins þíns til að veita sérsniðna þjónustu, svo sem sjálfvirkar bókhaldstillögur, fjárhagslegar samantektir og skýrslur. Þessi greining er eingöngu unnin í þágu þinni og gögn eru aldrei seld eða nýtt í þágu þriðja aðila.
3. Hvernig við notum gögn þín
| Hvað við gerum | Af hverju | Lagagrundvöllur (GDPR) |
|---|---|---|
| Stofnun og rekstur reiknings | Nauðsynlegt til að veita þér þjónustuna | 6(1)(b) |
| Samstilling bankagagna | Kjarni þjónustunnar | 6(1)(b) |
| Samstilling bókhaldsgagna | Kjarni þjónustunnar | 6(1)(b) |
| Greining fjárhagsgagna með gervigreind | Kjarni þjónustunnar | 6(1)(b) |
| Spjall við Skrif | Kjarni þjónustunnar | 6(1)(b) |
| Geymsla skjala og skráa | Hluti af þjónustunni | 6(1)(b) |
| Greining og sérsniðnar skýrslur | Hluti af þjónustunni | 6(1)(b) |
| Sending tilkynninga í tölvupósti | Hluti af þjónustunni | 6(1)(b) |
| Varðveisla gagna meðan þjónustusamningur er í gildi | Nauðsynlegt til að veita þér þjónustuna | 6(1)(b) |
| Varðveisla gagna í 30 daga eftir lokun reiknings | Til að gefa þér tækifæri til að endurheimta gögn | 6(1)(f) |
| Notkunargreiningar | Eingöngu ef þú samþykkir | 6(1)(a) |
4. Vinnsluaðilar
Við treystum eftirfarandi þjónustuveitendum til að vinna persónuupplýsingar fyrir okkar hönd:
| Vinnsluaðili | Land | Tilgangur |
|---|---|---|
| Cloudflare Workers | Næsta gagnaver (m.a. Ísland) | Hýsing og gagnavinnsla |
| Cloudflare R2, KV, D1 | ESB | Gagnageymsla og skráageymsla |
| Neon.tech | ESB | Gagnagrunnur (PostgreSQL) |
| Clerk | BNA | Auðkenning og innskráning |
| Anthropic | BNA | Gervigreindarvinnsla (Claude) |
| OpenAI | BNA | Gervigreindarvinnsla (GPT) |
| BNA | Gervigreindarvinnsla (Gemini) | |
| Fireworks AI | BNA | Gervigreindarvinnsla á eigin innviðum |
| Postmark | BNA | Tölvupóstsending |
| PostHog | ESB | Greiningar og villuboð |
| Arion banki | Ísland | Bankatenging |
| Landsbankinn | Ísland | Bankatenging |
| Íslandsbanki | Ísland | Bankatenging |
| Payday | Ísland | Bókhaldskerfatenging |
| Dk Plus | Ísland | Bókhaldskerfatenging |
4.1 Hvenær deilum við gögnum
Við deilum persónuupplýsingum þínum eingöngu þegar:
- Nauðsynlegt er til að veita þér þjónustuna (t.d. senda gögn til gervigreindarþjónustu)
- Þú hefur gefið samþykki
- Lög eða dómsúrskurður krefjast þess
- Nauðsynlegt er til að vernda réttindi, eigur eða öryggi okkar eða annarra
4.2 Hvað gerum við ekki
- Við seljum ekki persónuupplýsingar þínar
- Gervigreindarþjónustur sem við notum þjálfa ekki líkön sín á gögnum þínum
- Gögn eru ekki geymd hjá gervigreindarþjónustum lengur en 30 daga
- Gögnin þín eru eingöngu aðgengileg vinnsluaðilum sem tilgreindir eru í kafla 4
5. Flutningur gagna til landa utan EES
Margir af vinnsluaðilum okkar eru staðsettir í Bandaríkjunum. Þegar persónuupplýsingar eru fluttar utan Evrópska efnahagssvæðisins tryggjum við fullnægjandi vernd með:
- Fullnægjandi verndarákvörðun ESB vegna gagnaverndarrammans milli ESB og Bandaríkjanna (EU-US Data Privacy Framework) þar sem vinnsluaðili er vottaður
- Stöðluðum samningsákvæðum (SCCs) samkvæmt framkvæmdarákvörðun ESB 2021/914 þar sem vinnsluaðili er ekki vottaður undir DPF
Þú getur óskað eftir afriti af viðeigandi samningsákvæðum með því að hafa samband við okkur.
6. Varðveislutími
| Gögn | Tími | Ástæða |
|---|---|---|
| Notandagögn | Meðan reikningur er virkur + 30 dagar | Þjónustufyrirkomulag |
| Fyrirtækjaupplýsingar | Meðan reikningur er virkur + 30 dagar | Þjónustufyrirkomulag |
| Fjárhagsgögn og bankahreyfingar | Meðan reikningur er virkur + 30 dagar | Þjónustufyrirkomulag |
| Bókhaldsgögn | Meðan reikningur er virkur + 30 dagar | Þjónustufyrirkomulag |
| Spjallsaga | Meðan reikningur er virkur + 30 dagar | Þjónustufyrirkomulag |
| Skjöl og skrár | Meðan reikningur er virkur + 30 dagar | Þjónustufyrirkomulag |
| Greiningar og skýrslur | Meðan reikningur er virkur + 30 dagar | Þjónustufyrirkomulag |
| Gögn frá PostHog | Samkvæmt PostHog stillingu | Samþykki |
7. Vafrakökur
Við notum eftirfarandi vafrakökur:
| Tegund | Veitandi | Tilgangur | Samþykki |
|---|---|---|---|
| Nauðsynlegar | Clerk | Innskráning og auðkenning | Ekki krafist |
| Nauðsynlegar | Skrif | Val um vafrakökur | Ekki krafist |
| Greiningar | PostHog | Notkunargreiningar og villuleit | Krafist |
Greiningarkökur eru ekki virkjaðar fyrr en þú hefur samþykkt þær. Þú getur breytt stillingum þínum hvenær sem er með því að hreinsa vafrakökur vafrans og velja aftur.
8. Réttindi þín
Samkvæmt lögum nr. 90/2018 og reglugerð ESB 2016/679 (GDPR) hefur þú eftirfarandi réttindi:
| Réttindi | Lýsing |
|---|---|
| Aðgangsréttur | Fá afrit af persónuupplýsingum þínum |
| Réttur til leiðréttingar | Leiðrétta rangar upplýsingar |
| Réttur til eyðingar | Eyða persónuupplýsingum |
| Réttur til takmörkunar | Takmarka vinnslu gagna þinna |
| Gagnaflutningsréttur | Fá gögn þín á véllæsilegu formi |
| Andmælaréttur | Andmæla vinnslu sem byggir á lögmætum hagsmunum |
| Réttur til afturköllunar samþykkis | Hvenær sem er, án þess að lögmæti fyrri vinnslu sé skert |
8.1 Takmarkanir á réttindum
Við kunnum að hafna eða takmarka beiðni ef:
- Ekki tekst að sannreyna hver þú ert
- Gögnin hafa verið ópersónugreind eða eydd
- Lagaskylda stendur í vegi
- Beiðnin er augljóslega ástæðulaus eða óhófleg
Hafðu samband við okkur á skrif@skrif.com til að nýta þessi réttindi. Við svörum innan 30 daga (framlenganlegt í 90 daga við flókin erindi).
Þú átt einnig rétt á að leggja fram kvörtun hjá Persónuvernd (personuvernd.is).
9. Öryggi
Við berum trúnaðarskyldu gagnvart fjárhagsgögnum þínum og meðhöndlum þau af fyllstu varúð. Öll gögn eru dulkóðuð bæði í flutningi (TLS) og í geymslu. Aðgangur er stýrður með hlutverkatengdum heimildum og öryggisráðstafanir eru endurskoðaðar reglulega.
Verði öryggisbrestur er unnið í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
10. Börn
Þjónusta okkar er ekki ætluð einstaklingum undir 18 ára aldri. Við söfnum ekki vísvitandi persónuupplýsingum frá börnum. Samþykkisaldur vegna persónuverndar á Íslandi er 13 ár skv. 10. gr. laga nr. 90/2018, en vegna eðlis þjónustunnar (fjármálagögn og bókhald) krefst Skrif 18 ára aldurs.
11. Breytingar á stefnunni
Við uppfærum þessa stefnu eftir þörfum og dagsetningin efst á síðunni endurspeglar alltaf nýjustu útgáfu. Ef um verulegar breytingar er að ræða tilkynnum við þær sérstaklega.
12. Hafðu samband
Sendu okkur tölvupóst á skrif@skrif.com. Við svörum innan 30 daga.