Persónuverndarstefna
Vernd persónuupplýsinga — GDPR
Síðast uppfært: Janúar 2026
VeraTrace SAS (hér á eftir "VeraTrace", "við", "okkar") skuldbindur sig til að vernda friðhelgi einkalífs þíns og persónuupplýsingar. Þessi persónuverndarstefna útskýrir hvernig við söfnum, notum, geymum og verndum persónuupplýsingar þínar í samræmi við reglugerð (ESB) 2016/679 (GDPR) sem gildir á EES-svæðinu, þar með talið Íslandi. Hún gildir um öll gögn sem safnað er í gegnum vefsíðuna okkar veratrace.xyz, farsímaforrit, eyðublöð og IoT tæki.
Gildissvið
Þessi stefna gildir um öll persónuupplýsingar sem við söfnum í gegnum vefsíður okkar veratrace.xyz (aðalsíða), veratrace.eu (Evrópusíða) og veratrace.net (alþjóðleg síða), farsímaforrit okkar (VeraTrace Producteur, VeraTrace Client), tengiliðaeyðublöð okkar, IoT-sett og NFC-merki okkar, og hvers kyns önnur samskipti við þjónustu okkar.
Þessi stefna nær ekki yfir persónuverndarvenjur þriðja aðila vefsíðna sem við kunnum að tengja á. Við hvetjum þig til að lesa persónuverndarstefnu allra þriðja aðila vefsíðna sem þú heimsækir.
Ábyrgðaraðili vinnslu
Ábyrgðaraðili vinnslu persónuupplýsinga þinna er:
VeraTrace SAS
35 rue de la République, 95110 Sannois, Frakkland
Fulltrúi er Frédéric Georjon, forseti
Contact DPO : [email protected]
Persónuverndarfulltrúi okkar (DPO) er til taks fyrir allar spurningar varðandi vernd persónuupplýsinga þinna. Þú getur haft samband við hann hvenær sem er til að nýta réttindi þín eða vegna hvers konar spurninga um vinnslu gagna þinna.
Gögn sem safnað er
Við söfnum eftirfarandi flokkum gagna í samræmi við notandasnið þitt og samskipti þín við þjónustu okkar:
Gagnaflokkar
Auðkenningargögn
Eftirnafn, fornafn, netfang, símanúmer, fyrirtækisheiti, SIRET (fyrir fagaðila), póstfang
Fagleg gögn
Tegund starfsemi (framleiðandi, veitingastaður, dreifingaraðili), stærð býlis, fjöldi starfsmanna, vottorð í eigu (Organic, HVE, AOP, IGP, Label Rouge), upprunaheiti, ræktað land
Rekjanleikagögn
Framleiðslulotur, uppskeru-/framleiðsludagar, leið vöru, skráð hitastig, staðsetning afhendinga, blockchain tímamerkingar
Viðskiptagögn
Pöntunarsaga, reikningar, greiðslumátar (tokenaðir), áunnir VRT stigar, Pioneer staða
Vafragögn
IP-tala (nafnlaus gerð eftir 13 mánuði), tegund vafra, stýrikerfi, heimsóttar síður, lengd heimsóknar, umferðaruppruni, framkvæmdar aðgerðir
Tengingagögn
Innskráningarupplýsingar (hakkaðar), tengingalogar, fundarsaga, notuð tæki
Samskiptagögn
Innihald skilaboða sem send eru til þjónustudeildar, samskiptasaga, samskiptakjörstillingar, samþykki fyrir fréttabréfi
IoT-gögn
Auðkenni skynjara, hitastigsmælingar, staðsetning rekjara, rafhlöðustaða, kveiktar viðvaranir
Viðkvæm gögn
Við söfnum ekki viðkvæmum gögnum í skilningi 9. greinar GDPR (kynþáttar- eða þjóðernisuppruna, stjórnmálaskoðana, trúarskoðana, heilsufarsgagna, kynhneigðar o.s.frv.) nema það sé bráðnauðsynlegt og með skýru samþykki þínu.
Ólögráða börn
Þjónusta okkar er ekki ætluð ólögráða einstaklingum yngri en 16 ára. Við söfnum ekki vísvitandi persónuupplýsingum um ólögráða einstaklinga. Ef þú ert foreldri eða forráðamaður og telur að barnið þitt hafi veitt okkur persónuupplýsingar, vinsamlegast hafðu tafarlaust samband við okkur á [email protected] svo við getum eytt þeim.
Gagnauppsprettur
- •Beint frá þér (eyðublöð, handvirk innsláttur)
- •Sjálfvirkt (kökur, logar, IoT-skynjarar)
- •Í gegnum þriðja aðila (samstarfs-API, tengd upplýsingakerfi)
- •Opinberar heimildir (opinberar skrár til staðfestingar)
Tilgangur vinnslu
Persónuupplýsingar þínar eru unnar í eftirfarandi tilgangi, hver og einn byggður á sérstökum lagagrundvelli:
Veiting rekjanleikþjónustu
Skrá og votta rekjanleikagögn vara þinna, búa til QR-kóða, leyfa endanotendum að skoða upplýsingar.
Stjórnun notendareiknings
Búa til og stjórna reikningi þínum, stjórna aðgangi, sérsníða upplifun.
Vinnsla pantana og greiðslna
Stjórna forpöntunum þínum, áskriftum, reikningum, búnaðarsendingum.
Stjórnun stiga og VRT tokens
Reikna, úthluta og fylgjast með rekjanleikastigum þínum, undirbúa umbreytingu í tokens.
Þjónustuver
Svara fyrirspurnum þínum, leysa tæknileg vandamál, veita þjónustu eftir sölu.
Markaðssamskipti
Upplýsa þig um fréttir okkar, nýjar vörur, sértilboð, viðburði.
Bætt þjónusta
Greina notkun pallsins, þróa nýja eiginleika.
Reglufylgni
Uppfylla lagalegar skyldur okkar: EUDR, DPP, bókhald, skattar, HACCP.
Öryggi og svikaforvarnir
Vernda pallinn gegn óheimilum aðgangi, greina svikasamlega hegðun.
Blockchain sönnun
Festa hash rekjanleikagagna á blockchain til að tryggja óbreytanleika sönnunargagna. Aðeins hash eru geymd, ekki persónuupplýsingar.
Lagagrundvöllur vinnslu
Í samræmi við GDPR verður öll vinnsla persónuupplýsinga að byggjast á lagalegri forsendu. Hér eru lagalegu forsendurnar sem við byggjum vinnslu okkar á:
Samþykki (gr. 6.1.a GDPR)
Fyrir sendingu fréttabréfa, markaðssamskipti, notkun ónauðsynlegra vafrakökur. Þú getur afturkallað samþykki þitt hvenær sem er með afskráningartengla eða með því að hafa samband við okkur.
Efndir samnings (gr. 6.1.b GDPR)
Til að efna samning okkar við þig: stofnun reiknings, veiting rekjanleikþjónustu, pöntunastjórnun, þjónustuver, úthlutun VRT stiga.
Lagaleg skylda (gr. 6.1.c GDPR)
Til að uppfylla lagalegar skyldur okkar: geymsla reikninga í 10 ár (viðskiptalög), EUDR/DPP samræmi, innskráningarskrár í 12 mánuði, svör við dómsmálum.
Lögmætir hagsmunir (gr. 6.1.f GDPR)
Fyrir lögmæta hagsmuni okkar sem skaða ekki réttindi þín: bætt þjónusta, pallsöryggi, nafnlausar tölfræðiupplýsingar, svikaforvarnir.
Jafnvægi hagsmuna
Þegar við beitum lögmætum hagsmunum höfum við framkvæmt jafnvægi milli hagsmuna okkar og réttinda og frelsis þíns. Þessi greining er skráð og aðgengileg eftir beiðni frá DPO okkar.
Geymslutími
Við varðveitum persónuupplýsingar þínar einungis eins lengi og nauðsynlegt er fyrir þá tilgangi sem þeim var safnað fyrir, í samræmi við lagalegar skyldur:
| Données | Durée | Justification |
|---|---|---|
| Reikningsgögn (væntanlegir viðskiptavinir) | 3 ár eftir síðasta virka samband | Tillaga CNIL |
| Reikningsgögn (viðskiptavinir) | Lengd samnings + 5 ár | Borgaraleg fyrning |
| Rekjanleikagögn | Að lágmarki 10 ár | Reglugerðarskyldur á matvælasviði |
| Reikningsgögn | 10 ár | Viðskiptalögin (gr. L123-22) |
| Vafragögn (vafrakökur) | Að hámarki 13 mánuðir | Tillaga CNIL |
| Tengiannálar | 12 mánuðir | LCEN / Öryggi |
| Samþykki (sannanir) | Lengd samþykkis + 5 ár | Sönnun ef eftirlit fer fram |
| Fréttabréfsgögn | Þar til afskráning fer fram + 3 ár | Meðferð mótmæla |
| Þjónustumiðar | 3 ár eftir lokun | Þjónustugæði |
| Blockchain-hash | Varanlegt | Óbreytanleiki blockchain (aðeins hash, ekki gögnin) |
Geymsla
Að loknum varðveislutíma í virkum gagnagrunni geta tiltekin gögn verið geymd í milligagnagrunni með takmörkuðu aðgengi til að uppfylla lagalegar skyldur okkar eða til að staðfesta, beita eða verja lagaleg réttindi.
Eyðing
Þegar varðveislu- og geymslutíminn er liðinn eru gögn þín eydd með öruggum hætti eða nafnleynt á óafturkræfan hátt.
Viðtakendur gagna
Persónuupplýsingar þínar kunna að vera sendar eftirfarandi viðtakendum, innan strangra marka þess sem nauðsynlegt er til að ná þeim markmiðum sem lýst er að ofan:
Innanhúss
Aðeins meðlimir VeraTrace teymisins sem þurfa aðgang að gögnum þínum í starfi sínu hafa aðgang:
- •Tækniteymi (stuðningur, þróun)
- •Söluteymi (samskipti við viðskiptavini)
- •Stjórnsýsluteymi (reikningar, bókhald)
- •Stjórn (umsjón)
Aðgangur er stýrður samkvæmt meginreglunni um minnstu heimild og rakinn í úttektarskrám okkar.
Undirverktakar og þjónustuaðilar
Við nýtum tæknilega þjónustuaðila til að reka þjónustu okkar. Allir eru háðir ströngum samningsbundnum skyldum (28. gr. GDPR):
Hetzner Online GmbH
Hýsing vefsíðu og CDN
Leiðargögn, annálar
Amazon Web Services (AWS)
Skýjainnviðir, gagnageymsla
Öll notkunargögn
Make (áður Integromat)
Sjálfvirkni eyðublaða og verkflæða
Eyðublaðagögn
Brevo (áður Sendinblue)
Sending viðskiptatölvupósta og fréttabréfa
Netfang, fornafn, valstillingar
Stripe
Greiðsluvinnsla
Greiðslugögn (tokenized)
Einkablockchain VeraTrace
Festing rekjanleikasannana
Aðeins dulkóðaðir hash
Airtable
CRM og tengiliðastjórnun
Atvinnutengd tengiliðagögn
Þessi listi er reglulega uppfærður. Síðasta endurskoðun: janúar 2026.
Samstarfsaðilar (með samþykki þínu)
Með beinu samþykki þínu kunna tiltekin gögn að vera deilt með samstarfsaðilum okkar:
- •Landbúnaðarsamvinnufélög sem þú ert meðlimur í
- •Samstarfs sveitarfélög (aðeins samanlögð gögn)
- •Vottunaraðilar (til staðfestingar)
Yfirvöld og lagalegar skyldur
Gögn þín kunna að vera send til þar til bærra yfirvalda á grundvelli lagalegrar beiðni:
- •Skattayfirvöld (eftirlit)
- •Dómsyfirvöld (beiðnir)
- •CNIL (eftirlit)
- •Matvælaeftirlitsyfirvöld (DGCCRF, DDPP)
Sala gagna
Við seljum ALDREI persónuupplýsingar þínar til þriðja aðila. Við deilum þeim ekki í auglýsingaskyni án beins samþykkis þíns.
Flutningar utan ESB
Sumir þjónustuveitendur okkar eru staðsettir utan Evrópusambandsins, aðallega í Bandaríkjunum. Í slíkum tilvikum tryggjum við að viðeigandi verndarráðstafanir séu til staðar í samræmi við V. kafla persónuverndarreglugerðarinnar (GDPR):
Verndarráðstafanir til staðar
Staðlaðir samningsskilmálar (SCC)
Skilmálar samþykktir af framkvæmdastjórn Evrópusambandsins (ákvörðun 2021/914) undirritaðir með bandarískum þjónustuveitendum okkar
Viðbótarráðstafanir
Dulkóðun gagna í flutningi og í hvíld, gerviauðkenning þar sem hægt er, mat á áhrifum flutnings (TIA)
ESB-hýsing í forgangi
Við leggjum kerfisbundið áherslu á þjónustuveitendur sem hýsa gögn innan ESB
Viðkomandi lönd
Bandaríkin
Stripe, Airtable
SCC + viðbótarráðstafanirÞú getur fengið afrit af stöðluðum samningsskilmálum eða verndarráðstöfunum sem eru til staðar með því að hafa samband við okkur á [email protected]
Sjálfvirkar ákvarðanir og persónugreining
Í samræmi við 22. grein GDPR upplýsum við yður um vinnslu sem felur í sér sjálfvirkar ákvarðanir:
Útreikningur á rekjanleikaeinkunn
Við reiknum sjálfvirkt út rekjanleikaeinkunn (frá A til E) byggða á þeim gögnum sem þér veitið: heildleika upplýsinga, vottorðum, keðjuumfangi o.s.frv.
Þessi einkunn er til upplýsingar og hefur engin veruleg réttaráhrif. Hún hefur ekki áhrif á möguleika yðar á að nota þjónustuna.
Þér getið mótmælt þessari einkunn með því að hafa samband við þjónustuteymi okkar.
Úthlutun VRT-stiga
Stigin eru reiknuð sjálfvirkt samkvæmt reiknirit sem tekur tillit til: farinnar vegalengdar, vottorða, vörutegundar, kælikeðju o.s.frv.
Þessi útreikningur hefur áhrif á fjölda stiga sem þér safnið.
Þér getið óskað eftir handvirkri endurskoðun ef þér teljið að villa hafi átt sér stað.
Engin alfarið sjálfvirk ákvörðun
Engin ákvörðun sem hefur réttaráhrif eða hefur veruleg áhrif á yður er tekin eingöngu með sjálfvirkum hætti. Ávallt er hægt að fá mannlega íhlutun að beiðni.
Réttindi þín
Í samræmi við GDPR hefur þú eftirfarandi réttindi varðandi persónuupplýsingar þínar:
Aðgangsréttur (gr. 15 GDPR)
Fá staðfestingu á því að unnið sé úr gögnum þínum, fá aðgang að þeim og afrit. Þú getur einnig beðið um upplýsingar um tilgang, gagnaflokka, viðtakendur, geymslutíma o.s.frv.
Réttur til leiðréttingar (gr. 16 GDPR)
Láta leiðrétta ónákvæm gögn eða bæta við ófullnægjandi gögnum.
Réttur til eyðingar (gr. 17 GDPR)
Biðja um eyðingu gagna þinna í ákveðnum tilvikum: gögn ekki lengur nauðsynleg, afturköllun samþykkis, andmæli, ólögmæt vinnsla. Þessi réttur gildir ekki ef vinnsla er nauðsynleg vegna lagalegrar skyldu.
Réttur til takmörkunar (gr. 18 GDPR)
Biðja um takmörkun vinnslu meðan nákvæmni gagna er staðfest, ef vinnsla er ólögmæt, eða meðan andmæli er skoðað.
Réttur til gagnafæranlega (gr. 20 GDPR)
Fá gögnin þín á skipulagðu formi (JSON, CSV) og flytja þau til annars ábyrgðaraðila.
Andmælaréttur (gr. 21 GDPR)
Andmæla vinnslu sem byggist á lögmætum hagsmunum. Þú getur andmælt án rökstuðnings vinnslu í markaðslegum tilgangi.
Réttur til að afturkalla samþykki
Afturkalla samþykki þitt hvenær sem er fyrir vinnslu sem byggist á því, án þess að hafa áhrif á lögmæti fyrri vinnslu.
Réttur til að skilgreina fyrirmæli eftir andlát
Skilgreina fyrirmæli um geymslu og miðlun gagna þinna eftir andlát þitt.
Réttur til að vera ekki háður sjálfvirkri ákvörðun
Vera ekki háður ákvörðun sem byggist eingöngu á sjálfvirkri vinnslu sem hefur lagaleg áhrif á þig eða hefur veruleg áhrif á þig.
Hvernig nýta réttindi þín
Til að nýta réttindi þín eru nokkrir möguleikar í boði:
Á netinu
Í gegnum persónulega svæðið þitt, undir liðnum «Gögnin mín» (fyrir notendur með aðgang)
Með tölvupósti
Með því að skrifa á [email protected]
Bréfleiðis
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, Frakklandi
Vinsamlegast láttu afrit af skilríkjum fylgja með öllum beiðnum (kennivottorð, vegabréf). Þessi ráðstöfun er til þess að vernda gögn þín gegn sviksamlegum beiðnum.
Við skuldbindum okkur til að svara beiðni þinni innan eins mánaðar frá móttöku. Þennan frest má framlengja um tvo mánuði með hliðsjón af flækjustigi og fjölda beiðna, og í því tilviki verður þér tilkynnt um framlenginguna.
Nýting réttinda þinna er gjaldfrjáls. Hins vegar getum við krafið þig um greiðslu sanngjarns gjalds eða neitað að verða við beiðninni ef beiðnir eru augljóslega tilhæfulausar eða óhóflegar, einkum vegna endurtekinnar eðlis þeirra.
Kvörtun til eftirlitsaðila
Ef þú telur að vinnsla persónuupplýsinga þinna brjóti gegn reglugerðum, hefur þú rétt til að leggja fram kvörtun til Persónuverndar, íslenska eftirlitsaðilans: www.personuvernd.is. Fyrir íbúa annarra EES-landa, hafðu samband við staðbundna eftirlitsaðila (CNIL í Frakklandi, BfDI í Þýskalandi, o.s.frv.).
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Þú getur einnig lagt fram kvörtun á netinu á vef CNIL.
Vafrakökur og rekjarar
Vefsvæði okkar notar vefkökur og svipaða tækni (pixla, vefvita, staðbundna geymslu). Vefkaka er lítil textaskrá sem geymd er á tæki þínu (tölvu, snjallsíma, spjaldtölvu) þegar þú heimsækir vefsvæði.
Hvað er vefkaka?
Vefkaka gerir vefsvæðinu kleift að þekkja vafra þinn og muna tilteknar upplýsingar (stillingar, lotu o.s.frv.). Vefkökur geta ekki keyrt forrit né sent veirur.
Tegundir vefkaka sem notaðar eru
Nauðsynlegar vefkökur
Ómissandi fyrir virkni vefsvæðisins
Notendalota, tungumálastillingar, öryggi (CSRF), karfa
Frammistöðu-/greiningarvefkökur
Að skilja hvernig gestir nota vefsvæðið
Skoðaðar síður, tímalengd heimsókna, notendaferli, villur sem upp koma
Stillingavefkökur
Að muna val þitt til að sérsníða upplifunina
Tungumál, gjaldmiðill, dökkt/ljóst þema, æskileg birting
Það sem við notum EKKI
- Auglýsinga- eða miðunarvefkökur
- Rekjarar samfélagsmiðla (Facebook Pixel o.s.frv.)
- Google Analytics eða nokkur Google rekjaraþjónusta
- Vefkökur þriðja aðila í markaðssetningartilgangi
Stjórnun vefkaka
Þú getur hvenær sem er breytt stillingum vefkaka:
Samþykkisborði
Aðgengilegur með hlekknum „Stjórna vefkökum“ neðst á hverri síðu
Stillingar vafra
Þú getur stillt vafrann þinn til að hafna öllum vefkökum eða til að láta vita þegar vefkaka er send
Hlekkir á stillingar helstu vafra
Að slökkva á ákveðnum vefkökum getur haft áhrif á virkni vefsvæðisins og vafraupplifun þína.
Gagnaöryggi
Við beitum viðeigandi tæknilegum og skipulagslegum ráðstöfunum til að vernda persónuupplýsingar þínar gegn óvæntri eða ólögmætri eyðingu, glötun, breytingu, óheimilli birtingu eða aðgangi:
Tæknilegar ráðstafanir
- •Dulkóðun gagna í flutningi (HTTPS/TLS 1.3)
- •Dulkóðun viðkvæmra gagna í hvíld (AES-256)
- •Tætun lykilorða (bcrypt með salti)
- •Sterk auðkenning fyrir aðgang að kerfum (2FA skylda)
- •Forritaeldveggur (WAF) og DDoS-vernd
- •Vöktun og greining innbrota (IDS/IPS)
- •Daglegar dulkóðaðar afritanir með mánaðarlegri endurheimtarprófun
- •Aðskilið þróunar-, prófunar- og framleiðsluumhverfi
Skipulagslegar ráðstafanir
- •Ströng aðgangsstýring byggð á meginreglunni um lágmarksréttindi
- •Rekjanleiki gagnaaðgangs (endurskoðunarskrár)
- •Regluleg þjálfun teyma í öryggi og persónuverndarmálum
- •Stefna um meðferð öryggisatvika
- •Regluleg endurskoðun aðgangsréttinda
- •Trúnaðarákvæði fyrir alla starfsmenn og þjónustuaðila
Prófanir og úttektir
Við gerum reglulega öryggisprófanir (innbrotaprófanir, varnarleysisskannanir) og úttektir á starfsháttum okkar.
Gagnabrot
Ef brot verður á persónuupplýsingum sem gæti skapað áhættu fyrir réttindi þín og frelsi:
- Við tilkynnum CNIL innan 72 klukkustunda frá því að við fáum vitneskju um brotið
- Við upplýsum þig eins fljótt og auðið er ef áhættan fyrir réttindi þín og frelsi er mikil
- Við skráum hvert brot í innri skrá okkar
- Við grípum til ráðstafana til að lagfæra brotið og takmarka afleiðingar þess
Sérstök atriði tengd bálkakeðju
VeraTrace notar bálkakeðjutækni til að votta rekjanleikagögn. Hér er það sem þér þurfið að vita:
Hvað er geymt á bálkakeðjunni
- •Einungis dulkóðunarkjörnunargildi (stafræn fingraför)
- •Tímastimplar færslna
- •Auðkenni framleiðslulota (nafnlaus)
Hvað er EKKI geymt á bálkakeðjunni
- •Persónuupplýsingar yðar (nafn, heimilisfang o.s.frv.)
- •Viðskiptaupplýsingar (verð, magn)
- •Viðkvæm gögn um bú yðar
Óbreytanleiki
Kjörnunargildi sem skráð eru á bálkakeðjuna eru í eðli sínu óbreytanleg og ekki er unnt að eyða þeim. Hins vegar gera þessi gildi ekki kleift að endurgera persónuupplýsingar yðar. Eyðing gagna yðar úr kerfum okkar gerir þessi gildi ónothæf.
Réttur til eyðingar og bálkakeðja
Ef þér nýtið rétt yðar til eyðingar eyðum vér öllum persónuupplýsingum yðar úr gagnagrunnum okkar. Bálkakeðjukjörnunargildin eru áfram til staðar en er ekki lengur unnt að tengja við auðkenni yðar og gera ekki kleift að endurgera gögn yðar.
Breytingar á þessari stefnu
Við áskiljum okkur rétt til að breyta þessari persónuverndarstefnu hvenær sem er til að endurspegla breytingar á starfsháttum okkar eða kröfum eftirlitsaðila.
Hvernig þér verður tilkynnt
- •Tölvupóstur um verulegar breytingar (notendur með reikning)
- •Upplýsingaborði sýnilegur á vefsvæðinu í 30 daga
- •Uppfærsla á dagsetningu „síðast uppfært" efst í skjalinu
Áframhaldandi notkun á þjónustu okkar eftir birtingu breytinga jafngildir samþykki á nýju stefnunni.
Útgáfusaga er aðgengileg samkvæmt beiðni hjá DPO okkar.
Hafðu samband
Vegna allra spurninga um þessa persónuverndarstefnu eða vinnslu persónuupplýsinga þinna:
Póstfang
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Ábyrgðarpóstur fyrir formlegar beiðnir
Við skuldbindum okkur til að svara öllum beiðnum innan 5 virkra daga með fyrstu staðfestingu og innan lögbundins frests eins mánaðar með fullnaðarsvari.