Persónuverndarstefna
Síðast uppfært: 20. apríl 2026
Gildistökudagur: 20. apríl 2026
Þessi Persónuverndarstefna útskýrir hvernig Bella Books ehf. ("Bella Books", "við", "okkur", "okkar") safnar, notar, miðlar og verndar persónuupplýsingar í tengslum við Bella Books þjónustuna ("Þjónustan").
Við skuldbindum okkur til að vinna persónuupplýsingar með lögmætum, sanngjörnum og gagnsæjum hætti í samræmi við reglugerð (ESB) 2016/679 ("GDPR") og lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Ef ákvæði þessarar stefnu stangast á við ófrávíkjanleg íslensk lög um persónuvernd ganga þau lög framar.
1. Hver við erum (ábyrgðaraðili)
Ábyrgðaraðili persónuupplýsinga sem við vinnum til að veita og reka Þjónustuna er:
Bella Books ehf.
Kennitala: 510825-0710
VSK-númer: 159872
Dalsbyggð 10, 210 Garðabær, Íslandi
Almennur tengiliður: info@bellabooks.ai
Lagalegur tengiliður: legal@bellabooks.ai
Persónuverndartengiliður: privacy@bellabooks.ai
Að því er varðar persónuupplýsingar sem eru hluti af Gögnum viðskiptavinar sem viðskiptavinir okkar hlaða upp eða senda til Þjónustunnar er viðskiptavinur okkar ábyrgðaraðili og við erum vinnsluaðili fyrir hans hönd. Sjá grein 10.
2. Til hverra tekur þessi persónuverndarstefna
Þessi stefna gildir um:
- Notendur Þjónustunnar — einstaklinga sem skrá sig fyrir, skrá sig inn á eða nota Þjónustuna á annan hátt, þar á meðal kerfisstjóra, starfsmenn, verktaka og bókara viðskiptavina okkar.
- Gesti — gesti á vefsíður okkar og opinberum síðum.
- Viðskiptatengiliði — einstaklinga sem leita upplýsinga um Þjónustuna eða sem við höfum samband við í sölu-, samstarfs- eða ráðningarsamhengi.
- Þriðju aðila sem gögn um eru í Gögnum viðskiptavinar — til dæmis birgja, viðskiptavini og starfsmenn viðskiptavina okkar, að því marki sem gögn þeirra eru hluti af reikningum, tölvupósti eða öðrum skjölum sem unnin eru í gegnum Þjónustuna. Fyrir þessa þriðju aðila er viðskiptavinur okkar ábyrgðaraðili.
3. Persónuupplýsingar sem við söfnum
3.1 Aðgangs- og notendagögn
- Nafn, netfang, valið tungumál, hlutverk innan aðgangs viðskiptavinar.
- Auðkenningargögn: lykilorðshakk og valfrjálst tengt WhatsApp-númer (fyrir þau ferli sem styðja það).
- Stillingar og valkostir (t.d. bakendi gervigreindar, tungumálaval, stillingar á samþykktarferli).
- Skráning samþykkta (þar á meðal tímastimplar samþykkis þíns á Þjónustuskilmálum okkar og þessari Persónuverndarstefnu, og hakk þeirrar útgáfu sem samþykkt var).
3.2 Notkunar-, tækja- og skráarbókargögn
- IP-tala, user-agent-strengur, upplýsingar um vafra og tæki.
- Tímastimplar, heimsóttar síður, aðgerðir, eiginleikanotkun, villu- og greiningargögn.
- Auðkenningaratburðir (innskráning, útskráning, beiðnir um töfralinka).
Við notum eingöngu nauðsynlegar vafrakökur í Þjónustunni sjálfri (til dæmis lotukökur). Markaðsvefsíða okkar kann að nota aðrar vafrakökur en um þær gildir sérstakur samþykktargluggi fyrir vafrakökur á þeirri vefsíðu.
3.3 Innheimtugögn
- Áskriftarauðkenni þitt og áskriftarstaða sem geymd eru í innheimtukerfi þriðja aðila.
- Við hvorki geymum né vinnum greiðslukortagögn. Kortagögn eru meðhöndluð beint af Kling og undirliggjandi greiðsluvinnsluaðila þess, Verifone. Við fáum einungis táknmerki og lýsigögn áskriftar.
3.4 Gögn viðskiptavinar sem við vinnum fyrir hönd viðskiptavina okkar
Viðskiptavinir hlaða upp eða senda skjöl til Þjónustunnar — yfirleitt reikninga frá birgjum, kvittanir, yfirlit og önnur fjárhagsgögn — með vefupphleðslu, tölvupósti, WhatsApp, rafrænum reikningsmiðlara (ef tengt), í gegnum bókhaldskerfi þeirra (ef tengt), og í gegnum framtíðartengingar svo sem banka, kortalausnir og aðrar samþættingar. Gögn viðskiptavinar geta innihaldið persónuupplýsingar um starfsmenn, birgja, viðskiptavini og aðra þriðju aðila viðskiptavinarins, svo sem nöfn, netföng, símanúmer, heimilisföng, kennitölur, bankareikninganúmer og fjárhagsupplýsingar.
Við vinnum einnig gögn sem þú sendir inn í spjallaðstoðaraeiginleikann "Ask Bella!", sem geta falið í sér fyrirspurnir, skjöl sem hlaðið er upp og fyrirspurnarniðurstöður úr bókhaldskerfinu.
Fyrir þennan flokk er viðskiptavinur okkar ábyrgðaraðili og Bella Books er vinnsluaðili (sjá grein 10 og vinnslusamning okkar).
3.5 Samskipti
Tölvupóstur, skilaboð og stuðningsbeiðnir sem þú sendir okkur eða færð frá okkur, þar á meðal öll viðhengi.
3.6 Gögn frá þriðju aðilum
Þegar þú stillir tengingu við þriðja aðila (svo sem DK, Unimaze, banka, kortaútgefanda eða annað bókhaldskerfi eða rafrænan reikningsmiðlara) fáum við gögn frá þeirri tengingu í samræmi við heimild þína eða kerfisstjóra þíns. Þau eru unnin sem Gögn viðskiptavinar.
4. Hvernig við notum persónuupplýsingar og lagagrundvöllur samkvæmt GDPR
Við vinnum persónuupplýsingar í þeim tilgangi sem sýndur er hér að neðan, með þeim lagagrundvelli sem tilgreindur er (6. gr., 1. mgr. GDPR).
| Tilgangur | Lagagrundvöllur |
|---|---|
| Veita, viðhalda, tryggja og styðja Þjónustuna; auðkenna þig; skila Úttaki; hýsa og vinna gögnin þín | Samningur (6. gr. 1. mgr. b) við þig eða vinnuveitanda þinn |
| Senda þjónustuskilaboð (innheimtu, vöru, öryggi, laga og líftíma aðgangs) | Samningur (6. gr. 1. mgr. b) |
| Vinna greiðslur og hafa umsjón með áskriftum í gegnum greiðsluþjónustu okkar | Samningur (6. gr. 1. mgr. b) og lagaskylda (6. gr. 1. mgr. c) vegna skatta- og bókhaldsskráninga |
| Uppfylla skyldur samkvæmt íslenskum lögum um bókhald, skatta og aðgerðir gegn peningaþvætti, og varðveita skráningar eins og lög kveða á um | Lagaskylda (6. gr. 1. mgr. c) |
| Fyrirbyggja svik, misnotkun og öryggisatvik; rannsaka brot; framfylgja Skilmálum okkar | Lögmætir hagsmunir (6. gr. 1. mgr. f) — vernd viðskiptavina okkar, Þjónustunnar og heildleika fjárhagsgagna |
| Bæta Þjónustuna (samsafnaða vörugreiningu, villuvöktun, villuleit) | Lögmætir hagsmunir (6. gr. 1. mgr. f). Við fínþjálfum hvorki né þjálfum okkar eigin gervigreindarlíkön eða líkön Undirvinnsluaðila okkar á Gögnum viðskiptavinar |
| Markaðssamskipti um Þjónustuna til núverandi viðskiptavina um sambærileg tilboð | Lögmætir hagsmunir (6. gr. 1. mgr. f), með afskráningu aðgengilegri hvenær sem er |
| Markaðssetning til áhugasamra og nýrra viðskiptatengiliða | Samþykki (6. gr. 1. mgr. a) eða lögmætir hagsmunir (6. gr. 1. mgr. f) þar sem það er heimilt |
| Svara lagalegum beiðnum og verjast lagalegum kröfum | Lagaskylda (6. gr. 1. mgr. c) og lögmætir hagsmunir (6. gr. 1. mgr. f) |
Við stundum ekki sjálfvirka ákvarðanatöku sem hefur lagaleg eða álíka veruleg áhrif á þig í skilningi 22. gr. GDPR. Gervigreindarhlutar Þjónustunnar framleiða tillögur sem krefjast yfirferðar og aðgerðar af þinni hálfu.
5. Undirvinnsluaðilar
Við reiðum okkur á eftirfarandi flokka Undirvinnsluaðila til að reka Þjónustuna. Hver þeirra er bundinn af skriflegum vinnslusamningi (DPA) sem veitir viðeigandi öryggisráðstafanir.
| Undirvinnsluaðili | Tilgangur | Staðsetning |
|---|---|---|
| Amazon Web Services (AWS) | Skýjahýsing, gagnagrunnur, geymsluinnviðir og notkun gervigreindarmállíkana og sjónlíkana | ESB (aðalsvæði) |
| Anthropic PBC | Notkun gervigreindarmállíkana og sjónlíkana | Bandaríkin, með stöðluðum samningsákvæðum ESB |
| OpenAI, L.L.C. | Notkun gervigreindarmállíkana og sjónlíkana | Bandaríkin, með stöðluðum samningsákvæðum ESB |
| Twilio SendGrid | Afhending tölvupósts fyrir viðskipti og tilkynningar | Bandaríkin, með stöðluðum samningsákvæðum ESB |
| DK hugbúnaður hf. | Tenging við bókhaldskerfi (að frumkvæði viðskiptavinar) | Ísland |
| Unimaze Software ehf. | Tenging við rafrænan reikningsmiðlara (að frumkvæði viðskiptavinar) | Ísland |
| Pipedrive | Söluráðgjafakerfi og umsjón með áhugasömum | ESB |
| Google Workspace (Google Ireland Ltd.) | Innri tölvupóstur, dagatal og skjalasamstarf | ESB |
| Kling ehf. (með Verifone sem vinnsluaðila) | Áskriftarinnheimta og greiðsluvinnsla | Ísland (Kling); greiðsluvinnsla í gegnum Verifone |
Við kunnum að ráða fleiri Undirvinnsluaðila; við höldum uppfærðum lista aðgengilegum að beiðni til privacy@bellabooks.ai og veitum fyrirvara um verulegar breytingar eftir því sem vinnsluskilmálar okkar við viðskiptavini krefjast.
Alþjóðlegir gagnaflutningar
Þegar persónuupplýsingar eru fluttar út fyrir Evrópska efnahagssvæðið (EES) reiðum við okkur á viðeigandi öryggisráðstafanir, einkum stöðluðu samningsákvæðin sem framkvæmdastjórn ESB hefur samþykkt, með viðbótartæknilegum og skipulagslegum ráðstöfunum þar sem þörf krefur. Afrit af viðeigandi öryggisráðstöfun er aðgengilegt að beiðni.
6. Miðlun og birting
Við deilum persónuupplýsingum eingöngu eins og lýst er í þessari stefnu, sérstaklega með:
- Undirvinnsluaðilum eins og talið er upp í grein 5, sem starfa eftir skráðum fyrirmælum okkar.
- Heimiluðum Notendum þínum innan Bella Books-aðgangs þíns.
- Tengingum við þriðja aðila sem þú tengir, að þínum fyrirmælum.
- Okkar fagráðgjöfum (lögmönnum, endurskoðendum, bókurum) bundnum af trúnaði, þar sem þörf krefur.
- Löggæslu, eftirlitsaðilum eða öðrum yfirvöldum þar sem lög, dómsúrskurður eða önnur lagaskylda krefst þess, eða þar sem við teljum með sanngirni að birting sé nauðsynleg til að vernda réttindi, eignir eða öryggi Bella Books, viðskiptavina okkar eða almennings.
- Kaupendum í tengslum við samruna, yfirtöku, endurskipulagningu eða sölu allra eða nær allra eigna okkar; sérhver slíkur viðtakandi verður bundinn af skilmálum sem eru ekki lakari en þessi stefna.
Við seljum ekki persónuupplýsingar. Við deilum ekki persónuupplýsingum með auglýsinganetum til hegðunartengdrar markaðssetningar.
7. Varðveisla
Við geymum persónuupplýsingar aðeins svo lengi sem nauðsynlegt er til þeirra tilgangs sem lýst er í þessari stefnu, nema lengri varðveisla sé krafist eða heimil samkvæmt lögum. Sérstaklega:
- Gögn viðskiptavinar — við veitum áreiðanlega, endingargóða og örugga geymslu Gagna viðskiptavinar á áskriftartímanum. Við slit eru þau geymd í hálf-eyddu ástandi í 90 daga, á þeim tíma getur þú óskað eftir útflutningi (sjá grein 9), og eru síðan eytt eða nafnlaus gerð til frambúðar, nema þau kunni að haldast tímabundið í venjubundnum dulkóðuðum afritum okkar, sem eru skipt út á okkar staðlaða ferli. Lögbundnar kröfur um varðveislu gagna (svo sem 7 ára bókhaldsgeymsluskylda samkvæmt lögum nr. 145/1994 um bókhald) hvíla á þér sem því fyrirtæki sem rekur bókhaldið, svo vinsamlegast flyttu út öll gögn sem þú þarft til að uppfylla þær skyldur áður en 90 daga umbreytingarfresturinn rennur út.
- Aðgangs- og notendagögn eru varðveitt meðan aðgangur þinn er virkur og í hæfilegan tíma eftir það til að uppfylla lagalegar og endurskoðunarlegar skyldur.
- Okkar eigin innheimtu-, bókhalds- og skattagögn (til dæmis reikningar sem við gefum út til þín og skráningar tengdar VSK og tekjuskatti) eru varðveitt í þann tíma sem krafist er samkvæmt íslenskum lögum sem gilda um okkur sem fyrirtæki — yfirleitt 7 ár samkvæmt lögum nr. 145/1994.
- Samskipta- og stuðningsskráningar eru varðveittar í allt að 3 ár eftir síðasta samskipti, nema lengri varðveisla sé nauðsynleg af lagalegum eða varnarlegum ástæðum.
- Markaðsgögn eru varðveitt þangað til þú afskráir þig eða við ákveðum að þau séu ekki lengur nauðsynleg.
- Netþjóna- og öryggisskráar eru varðveittar í allt að 12 mánuði, nema lengri tími sé nauðsynlegur til rannsóknar atvika.
8. Öryggi
Við beitum tæknilegum og skipulagslegum ráðstöfunum sem hæfa áhættu, þar á meðal dulkóðun í flutningi (TLS) og í geymslu fyrir gögn sem geymd eru hjá skýjaveitanda okkar, aðgangsstýringum og lágmarksréttindareglum, auðkenningu og lotustýringu, skráningu og vöktun, og afrits- og hamfaraendurreisnarferlum. Ekkert kerfi er fullkomlega öruggt og við getum ekki ábyrgst fullkomið öryggi gagna sem flutt eru til eða frá Þjónustunni.
Ef við verðum vör við persónuupplýsingabrest sem líklegt er til að hafa í för með sér áhættu á réttindi og frelsi þitt munum við tilkynna Persónuvernd innan 72 klukkustunda frá því að við verðum vör við brestinn, eins og 33. gr. GDPR krefst, og munum tilkynna hlutaðeigandi einstaklingum eða ábyrgðaraðilum án ótilhlýðilegrar tafar þar sem 34. gr. GDPR krefst þess.
9. Réttindi þín
Með fyrirvara um skilyrði og takmarkanir GDPR og íslenskra persónuverndarlaga hefur þú rétt til að:
- Fá aðgang að persónuupplýsingum sem við geymum um þig (15. gr.).
- Fá leiðrétt rangar eða ófullkomnar persónuupplýsingar (16. gr.).
- Láta eyða persónuupplýsingum þínum við tilteknar aðstæður ("réttur til að gleymast") (17. gr.).
- Takmarka vinnslu okkar á persónuupplýsingum þínum við tilteknar aðstæður (18. gr.).
- Færanleiki gagna — fá persónuupplýsingar þínar á uppbyggðu, algengu og tölvulesanlegu formi og, þar sem það er tæknilega gerlegt, fá þær sendar til annars ábyrgðaraðila (20. gr.).
- Mótmæla vinnslu sem byggir á lögmætum hagsmunum, þar á meðal sniðgreiningu (21. gr.).
- Afturkalla samþykki hvenær sem er þegar vinnsla byggir á samþykki, án þess að hafa áhrif á lögmæti vinnslu sem fram fór fyrir afturköllun.
- Leggja fram kvörtun til Persónuverndar (personuvernd.is) eða annars þar til bærs eftirlitsyfirvalds.
Til að nýta þessi réttindi hafið samband við okkur á privacy@bellabooks.ai. Við svörum innan eins mánaðar frá móttöku beiðni þinnar, eins og 12. gr. 3. mgr. GDPR krefst. Við kunnum að framlengja þennan frest um allt að tvo mánuði til viðbótar vegna flókinna eða fjölmargra beiðna; í því tilviki tilkynnum við þér það innan eins mánaðar frá móttöku og útskýrum ástæðuna. Við kunnum að þurfa að staðfesta auðkenni þitt áður en við bregðumst við beiðni.
Ef umræddar persónuupplýsingar eru hluti af Gögnum viðskiptavinar sem geymd eru fyrir hönd viðskiptavinar okkar, vísum við beiðni þinni til þess viðskiptavinar (ábyrgðaraðilans) og aðstoðum hann við að svara.
Við bjóðum ekki sem stendur upp á sjálfsafgreiðslu útflutning. Við uppfyllum þó útflutningsbeiðnir handvirkt innan þess eins mánaðar frests sem fyrr er nefndur.
10. Þegar við störfum sem vinnsluaðili
Fyrir Gögn viðskiptavinar er viðskiptavinur okkar ábyrgðaraðili og Bella Books er vinnsluaðili. Í því hlutverki:
- vinnum við Gögn viðskiptavinar eingöngu samkvæmt skráðum fyrirmælum viðskiptavinarins;
- tryggjum við að starfsfólk með aðgang sé bundið af trúnaði;
- innleiðum við viðeigandi tæknilegar og skipulagslegar ráðstafanir;
- ráðum við Undirvinnsluaðila eingöngu samkvæmt skriflegum samningi sem leggur á sambærilegar persónuverndarskyldur;
- aðstoðum við viðskiptavininn við beiðnir skráðra einstaklinga, mat á áhrifum á persónuvernd og tilkynningar um persónuupplýsingabrest, að því marki sem 28. gr. GDPR krefst;
- við slit eyðum við eða skilum Gögnum viðskiptavinar eins og lýst er í grein 7, með fyrirvara um lögbundnar varðveisluskyldur.
Vinnslusamningur okkar er innlimaður með tilvísun í viðskiptavinasamninga okkar og er aðgengilegur að beiðni.
11. Börn
Þjónustan er ekki ætluð börnum og er eingöngu ætluð fyrirtækjanotendum sem eru 18 ára eða eldri. Við söfnum ekki vitandi persónuupplýsingum um börn. Ef þú telur að við höfum óvart safnað slíkum gögnum, hafðu samband við okkur á privacy@bellabooks.ai og við eyðum þeim.
12. Breytingar á þessari stefnu
Við kunnum að uppfæra þessa stefnu af og til. Óverulegar breytingar taka gildi við birtingu á https://bellabooks.ai/privacy-policy með endurskoðaðri "Síðast uppfært"-dagsetningu. Verulegar breytingar verða tilkynntar með tölvupósti eða tilkynningu í vörunni með fyrirvara þar sem því verður með sanngirni við komið. Þar sem gildandi lög krefjast munum við afla samþykkis þíns áður en slíkar breytingar taka gildi.
13. Gildandi tungumál
Þessi stefna er veitt á ensku og íslensku. Íslenska útgáfan er eingöngu veitt til hægðarauka; ef upp kemur ágreiningur eða misræmi milli útgáfanna tveggja gildir enska útgáfan.
14. Samband
Bella Books ehf.
Dalsbyggð 10, 210 Garðabær, Íslandi
Kennitala: 510825-0710
VSK-númer: 159872
Almennur tengiliður: info@bellabooks.ai
Lagalegur tengiliður: legal@bellabooks.ai
Persónuverndartengiliður: privacy@bellabooks.ai
Eftirlitsyfirvald: Persónuvernd, personuvernd.is.