Persónuverndarstefna

1. Hverjir erum við

Zónn er AI-knúin símsvörunarþjónusta rekin af María Helgadóttur (kt. 2302705709), með aðsetur í Reykjavík, Íslandi. Við leggjum áherslu á að vernda persónuupplýsingar þínar og meðhöndla gögn á ábyrgan hátt.

2. Hvaða gögn söfnum við

Þegar þú notar Zónn gætum við safnað eftirfarandi upplýsingum:

• Fyrirtækjaupplýsingar sem þú gefur upp við uppsetningu (nafn, opnunartími, þjónusta)
• Símtalagögn: símanúmer þess sem hringir, lengd símtals, samantekt símtals
• Tengiliðaupplýsingar: netfang þitt og símanúmer
• Notkunargögn: hvernig þú notar þjónustuna

3. Hvernig notum við gögnin

Við notum gögnin til að:

• Veita og bæta Zónn símsvörunarþjónustuna
• Senda þér samantektir og skilaboð úr símtölum
• Panta tíma fyrir þína hönd
• Veita þjónustuver
• Greina notkunarmynstur til að bæta þjónustuna

4. Deiling gagna

Við seljum ekki gögnin þín. Við deilum persónuupplýsingum einungis með traustum þjónustuaðilum sem nauðsynlegir eru til að veita þjónustuna:

• Greiðsluvinnsla: Rapyd (kortaviðskipti og áskriftarinnheimta)
• Fjarskiptafyrirtæki (fyrir símtöl)
• Þegar íslensk lög krefjast þess

Kortagögn eru unnin beint af Rapyd og eru aldrei geymd á okkar þjónum.

5. Geymsla og öryggi gagna

Gögnin þín eru geymd á öruggan hátt með stöðluðum dulkóðunaraðferðum. Við geymum símtalagögn meðan reikningurinn þinn er virkur. Þú getur óskað eftir eyðingu gagna hvenær sem er með því að hafa samband við okkur.

6. Réttindi þín (GDPR)

Samkvæmt GDPR og íslenskum persónuverndarlögum hefur þú rétt til:

• Aðgangs: Óska eftir afriti af persónuupplýsingum þínum
• Leiðréttingar: Óska eftir leiðréttingu á röngum gögnum
• Eyðingar: Óska eftir eyðingu gagna þinna
• Flutnings: Fá gögn þín á færanlegu formi
• Andmæla: Andmæla vinnslu gagna þinna

7. Vefkökur

Vefsíða okkar notar lágmarks vefkökur fyrir nauðsynlega virkni eins og tungumálaval. Við notum ekki rakningarkökur eða auglýsingakökur frá þriðja aðila.

8. Breytingar á þessari stefnu

Við kunnum að uppfæra þessa persónuverndarstefnu öðru hverju. Allar breytingar verða birtar á þessari síðu með uppfærðri dagsetningu.

9. Hafa samband

Ef þú hefur spurningar um þessa persónuverndarstefnu eða gögnin þín, hafðu samband við okkur:

Zónn — María Helgadóttir (kt. 2302705709)
Reykjavík, Ísland
[email protected]

10. Sub-processors (vinnsluaðilar)

Zónn notar eftirfarandi þriðju aðila til að framkvæma þjónustuna:

• Telnyx, LLC — Símanúmera-veita og símtals-routing (USA, SCCs + viðbótar-aðgerðir)
• Microsoft Corporation (Azure) — Tal-til-texta og texta-til-tal (EU primary, með möguleika á USA fallback undir SCCs)
• Anthropic, PBC — Stór tungumála-líkön (Claude) (USA, SCCs + viðbótar-aðgerðir)
• Vercel, Inc. — Vefþjónusta og hosting (USA með EU regions; SCCs ef USA)
• Supabase Inc. — Gagnagrunnur (Vestur-Evrópa / eu-west-1; engin transfer)
• Rapyd Financial Network — Greiðslur (EU/Global; greiðsluþjónustulög + SCCs)
• n8n GmbH — Workflow-sjálfvirkni (n8n.cloud, EU / Þýskaland; engin transfer út úr ESB)
• DigitalOcean LLC — Backend infrastructure fyrir Alexander voice-server (Frankfurt / FRA1, EU; engin transfer út úr ESB)
• Resend, Inc. — Email-sending (samantektir símtala, tilkynningar) (USA, SCCs)
• GitHub, Inc. — Hosting á source-kóða (engin persónugögn kaupanda; eingöngu source-kóði) (USA)

Listi vinnsluaðila er uppfærður þegar breytingar verða og er aðgengilegur á þessari síðu. Veruleg breyting á listanum (nýr aðili, landa-flutningur) er tilkynnt skráðum kaupendum með að lágmarki 30 daga fyrirvara.

EU→US gagnaflutningar fara fram skv. Standard Contractual Clauses (SCCs) útgefnum af Framkvæmdastjórn ESB, með viðbótar-aðgerðum (encryption á flutningi, takmarkanir á aðgangi).

11. Símtals-meðhöndlun og hljóðritun

Þegar Alexander (AI) tekur símtal, er talið tímabundið hljóðritað til að framkvæma talgreiningu (transkripsjon). Tæknilegt ferli:

• Símtal kemur í gegnum Telnyx (símanúmera-veita)
• Hljóð er sent til Microsoft Azure Speech Services fyrir tal-til-texta
• Texta-niðurstaða er send til Anthropic Claude fyrir skilning og svar
• Svar er aftur sent til Microsoft Azure fyrir texta-til-tal
• Niðurstaðan er send til þess sem hringdi

Geymsla: Hljóðskrár eru EKKI geymdar varanlega. Eftir transkripsjon (typically innan 60 sek) eru hljóðgögnin eytt frá Telnyx og Azure. Texta-transkripsjón er geymd í gagnagrunni Zónn (Supabase, EU) til að senda kaupanda samantekt og fyrir reikningagjörð. Texta-transkripsjón er geymd meðan áskrift kaupanda er virk + 90 daga eftir uppsögn, nema kaupandi óski annars eða lögbundnar geymsluskyldur eigi við.

Viðkvæm gögn: Ef sá sem hringir gefur upp viðkvæm gögn (kt., heilsu-upplýsingar, fjárhags-upplýsingar) í símtali, eru þau meðhöndluð sem hluti af transkripsjon. Kaupanda er bent á að upplýsa þá sem hringja til hans fyrirfram um að símtalið sé tekið af AI svo þeir geti ákveðið hvaða upplýsingar þeir gefa.

12. Réttindi þeirra sem hringja

Þegar einstaklingur hringir í símanúmer kaupanda Zónn, er sá einstaklingur „skráður einstaklingur" (data subject) skv. GDPR. Þeir hafa eftirfarandi réttindi:

• Aðgangur að persónuupplýsingum sem geymdar eru um þá (transkripsjón símtals)
• Leiðrétting ef gögnin eru rangs
• Eyðing („réttur til að gleymast")
• Andmæli gegn vinnslu

Beiðnum er beint til kaupanda Zónn (sá sem rekur símanúmerið) — sem ber ábyrgð sem data controller. Zónn stundar besta-effort til að styðja kaupanda við að uppfylla slíkar beiðnir innan 30 daga.

13. Geymsluskrá

• Hljóðskrár símtala: < 60 sek (eytt eftir transkripsjon)
• Texti símtala (transkripsjón): Áskrifta-tímabil + 90 dagar
• Reikninga-upplýsingar: 7 ár (skattalaga-skylda)
• Persónuupplýsingar kaupanda (nafn, kt., email): Áskrifta-tímabil + 30 dagar
• Tæknileg log: 90 dagar
• Greiðslu-upplýsingar: Aldrei geymd hjá Zónn (Rapyd)

14. Meðhöndlun kennitölu (kt.)

Kennitala (kt.) er sérstök persónuauðkenni samkvæmt íslenskum lögum og er meðhöndluð með auknu öryggi:

• Kt. kaupanda er notuð fyrir reikningagjörð og lögbundnar skyldur (skattafyrirgreiðsla)
• Kt. er ekki notuð sem login-auðkenni
• Kt. er aðeins gefin til þeirra þriðju aðila sem þurfa hana (Rapyd fyrir greiðslur, skattyfirvöld)
• Kt. er ekki birt í símtals-transkripsjónum nema sá sem hringir nefnir hana sjálfviljugur, og er þá meðhöndluð sem hluti af almennum gögnum
• Kt. í transkripsjón er hægt að beiðast að fjarlægja sérstaklega án þess að eyða öllu transkripsjón

15. Beiðnir um réttindi (Data Subject Requests)

Beiðnir um aðgang, leiðréttingu, eyðingu eða önnur GDPR-réttindi sendist á: [email protected]

Tímamörk:

• Móttaka staðfest innan 7 daga
• Beiðni meðhöndluð innan 30 daga, eða allt að 60 daga með rökstuðningi ef beiðni er flókin

Ef Zónn neitar beiðni, er rökstuðningur veittur og bent er á rétt til að kæra til Persónuverndar Íslands (personuvernd.is).