Persónuverndarstefna

Uppfært: júní 2026

1. Inngangur

BílaPassinn er smáforrit fyrir iOS sem gerir bílaeigendum kleift að skrá þjónustur, viðgerðir og allt umfram það. Bílaeigendur hafa síðan valkost á að deila sögunni með hugsanlegum kaupendum í gegnum sölusöguskýrslu. Þjónustusaga er tengd ökutækjanúmeri og er einungis sýnileg öðrum þegar eigandi kveikir sérstaklega á deilingarsamþykki í forritinu.

Þessi persónuverndarstefna lýsir því hvaða gögnum við söfnum, hvernig við notum þau, á hvaða lagalegum grunni og hvaða réttindi þú hefur yfir þeim samkvæmt reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 (GDPR) og lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Með því að skrá þig í BílaPassinn staðfestir þú að þú hafir kynnt þér efni þessarar persónuverndarstefnu.

Ábyrgðaraðili gagna:
BílaPassinn — Einar Þór Kjartansson
Heiðarholt 1E
bilapassinn@gmail.com
bilapassinn.is

2. Gögn sem við söfnum

Við söfnum eingöngu þeim gögnum sem nauðsynleg eru til að veita þjónustuna.

Reikningsupplýsingar (notendur smáforritsins):

• Fullt nafn og netfang við skráningu
• Dulkóðað lykilorð — við sjáum lykilorðið þitt aldrei í lesanlegu formi

Gögn um ökutæki:

• Framleiðandi, gerð, tegund/týpa, árgerð og númeraplata
• Litur ökutækis, eldsneytistegundin og skoðunarár
• Stillingar deilingarsamþykkis (hvort ökutæki sé sýnilegt í leitarniðurstöðum)

Þjónustufærslur:

• Tegund þjónustu, dagsetning, kílómetrastöður, kostnaður og athugasemdir
• Myndir af reikningum og kvittunum sem þú hleður upp (geymt í dulkóðaðri skráargeymslu)

Greiðslugögn (kaupendur sölusöguskýrslu á vefsíðunni):

• Staðfesting á greiðslu og tímasetning kaups — geymd af BílaPassinn
• Greiðsluupplýsingar (kortanúmer o.fl.) eru afgreiddar og geymdar eingöngu af greiðslumiðlara okkar — [GREIÐSLUMIÐLARI — bæta við fyrir opnun, t.d. Stripe eða Teya]. BílaPassinn geymir aldrei kortaupplýsingar beint.
• Netfang kaupanda til að senda staðfestingarpóst

Tæknigögn:

• Innskráning þín í smáforritinu er geymd með dulkóðun í öruggri lyklageymslum iOS (Keychain) — ekki í venjulegum gagnagrunni
• Við söfnum ekki staðsetningargögnum, IP-föngum eða notkunargreiningu í gegnum smáforritið
• Vefsíðan bilapassinn.is notar Google Analytics — sjá kafla 7

3. Lagalegur grundvöllur og tilgangur vinnslu

Við vinnum persónuupplýsingar á eftirfarandi lagalegum grunni samkvæmt 1. mgr. 9. gr. laga nr. 90/2018:

Samningur (1. mgr. 9. gr., 2. tölul.): Vinnsla er nauðsynleg til að uppfylla samning við þig sem notanda — þ.e. til að veita þér þjónustuna sem þú hefur skráð þig fyrir, geyma þjónustusögu bíla þinna og gera þér kleift að búa til og deila sölusöguskýrslum.

Samþykki (1. mgr. 9. gr., 1. tölul.): Þegar þú kveikir á deilingarsamþykki í forritinu samþykkir þú að ökutæki þitt sé leitanlegt af öðrum. Þetta samþykki er valkvætt og má afturkalla hvenær sem er í stillingum forritsins.

Lögmætir hagsmunir (1. mgr. 9. gr., 6. tölul.): Við notum nafnlægar tæknilegar greiningar til að bæta stöðugleika og upplifun í forritinu, þar sem hagsmunir okkar af bættu þjónustuöryggi fara ekki í bága við réttindi notenda.

Við seljum aldrei persónuupplýsingar til þriðja aðila og notum þær ekki í markaðsskyni eða til auglýsinga.

4. Undirvinnsluaðilar og þriðji aðilar

BílaPassinn notar eftirfarandi undirvinnsluaðila til að veita þjónustuna. Allir aðilar uppfylla kröfur GDPR.

Supabase Inc. — gagnagrunnsþjónusta, auðkenning og skráageymsla.
Gögn geymd í Frankfurt, Þýskalandi (EU-Central-1) — innan Evrópska efnahagssvæðisins.
Persónuverndarstefna Supabase

[GREIÐSLUMIÐLARI — bæta við fyrir opnun] — greiðsluvinnsla fyrir sölusöguskýrslur á vefsíðunni.
Kortaupplýsingar eru afgreiddar beint af greiðslumiðlaranum og geymast ekki hjá BílaPassinn.

Google LLC — Google Analytics á vefsíðunni bilapassinn.is eingöngu (sjá kafla 7).
Persónuverndarstefna Google

Smáforritið sjálft notar ekki Google Analytics og sendir engin gögn til Google.

5. Geymsla og varðveisla gagna

Öll gögn eru geymd á öruggu skýjainnviðum innan Evrópska efnahagssvæðisins (EES) — Frankfurt, Þýskalandi — í samræmi við kröfur GDPR um flutning gagna.

Gögn notanda eru varðveitt svo lengi sem reikningur er virkur. Þegar þú eyðir reikningnum þínum eru öll gögn þín — nafn, netfang, ökutæki, þjónustufærslur og myndir af reikningum — eytt varanlega innan 30 daga frá staðfestingu eyðingar.

Sölusöguskýrslur sem kaupendur hafa keypt og hlekkar sem hafa verið gefnir út geta verið varðveittir í allt að 12 mánuði eftir kaup í samræmi við lögmætar skyldur varðandi bókhald og rekjanleika greiðslna. Persónugreinanlegar upplýsingar um seljanda eru ekki hluti þessara gagna.

6. Myndir af reikningum og kvittunum

Þegar þú hleður upp mynd af reikningi eða kvittun er hún geymd á dulkóðaðan hátt og tengd viðkomandi þjónustufærslu. Aðgangur er stýrður með auðkenningarreglum (Row Level Security) þannig að aðeins þú sem eigandi getur skoðað myndirnar.

• Myndir eru aldrei notaðar til þjálfunar gervigreindar eða til annars tilgangs en þjónustufærslunnar
• Kaupendur sölusöguskýrslu sjá ekki myndir af reikningum — aðeins samantekt þjónustusögunnar
• Myndum er eytt varanlega þegar þú eyðir viðkomandi þjónustufærslu eða reikningnum þínum

7. Vafrakökur og Google Analytics

Vefsíðan bilapassinn.is notar Google Analytics til að skilja hvernig gestir nota síðuna (t.d. hvaða síður eru mest sóttar og hvaðan gestir koma). Þessi vinnsla byggist á lögmætum hagsmunum okkar af því að þróa og bæta þjónustuna.

Google Analytics safnar nafnlausum tölfræðiupplýsingum með vafrakökum. Þú getur takmarkað þessa söfnun með því að:

• Setja upp Google Analytics Opt-out viðbót í vafrann þinn
• Nota vafra með innbyggðri vörn gegn rekjanleika (t.d. Firefox eða Brave)
• Slökkva á vafrakökum í stillingum vafrans þíns

Smáforritið sjálft (iOS appið) notar engar vafrakökur og sendir engin gögn til Google.

8. Réttindi þín

Samkvæmt GDPR og lögum nr. 90/2018 hefur þú eftirfarandi réttindi:

• Réttur til aðgangs (gr. 15 GDPR): Þú getur óskað eftir afriti af öllum persónuupplýsingum sem við geymum um þig.
• Réttur til leiðréttingar (gr. 16 GDPR): Þú getur leiðrétt rangar eða ófullnægjandi upplýsingar beint í forritinu.
• Réttur til eyðingar (gr. 17 GDPR): Þú getur eytt reikningnum þínum og öllum tengdum gögnum í forritinu undir Prófíll → Eyða reikningi. Við uppfyllum beiðni þína innan 30 daga.
• Réttur til takmarkningar (gr. 18 GDPR): Þú getur óskað eftir að við takmarkum vinnslu gagna þinna í tilteknum tilvikum.
• Réttur til flutnings (gr. 20 GDPR): Þú getur óskað eftir að fá gögn þín á tölvulesanlegu formi (JSON) til að flytja þau til annars þjónustuaðila.
• Réttur til að afturkalla samþykki (gr. 7 GDPR): Þar sem vinnsla byggist á samþykki (t.d. deilingarstilling ökutækis) getur þú afturkallað samþykki hvenær sem er í stillingum forritsins án þess að það hafi áhrif á lögmæti vinnslu fyrir afturköllun.
• Mótmælaréttur (gr. 21 GDPR): Þú getur mótmælt vinnslu gagna þinna þar sem hún byggist á lögmætum hagsmunum okkar.

Til að nýta þér réttindi þín skaltu hafa samband við okkur á bilapassinn@gmail.com. Við svörum beiðnum innan 30 daga.

9. Kvartanir til eftirlitsyfirvalds

Ef þú telur að vinnsla persónuupplýsinga þinna fari í bága við GDPR eða íslensk lög um persónuvernd hefur þú rétt til að leggja fram kvörtun hjá Persónuvernd — eftirlitsstofnun persónuverndar á Íslandi:

Persónuvernd
Rauðarárstíg 10, 105 Reykjavík
Sími: 510 9600
postur@personuvernd.is
www.personuvernd.is

Við hvetjum þig til að hafa samband við okkur fyrst svo við getum reynt að leysa málið áður en kvörtun er lögð fram.

10. Öryggi gagna

Við beitum viðeigandi tæknilegum og skipulagslegum öryggisráðstöfunum til að vernda persónuupplýsingar þínar:

• Öll samskipti milli forritsins og þjóns eru dulkóðuð með TLS
• Aðgangsstýring með auðkenningarreglum (Row Level Security) í gagnagrunni — enginn notandi getur séð gögn annars notanda
• Innskráning þín er geymd í dulkóðaðri lyklageymslum iOS (Keychain)
• Lykilorð eru aldrei geymd í lesanlegu formi
• Dagleg öryggisafrit gagna

11. Breytingar á persónuverndarstefnunni

Við kunnum að uppfæra þessa stefnu reglulega í takt við þróun þjónustunnar eða breytingar á löggjöf. Við munum tilkynna um verulegar breytingar með tölvupósti á netfangið sem þú skráðir þig með eða með tilkynningu í forritinu með að minnsta kosti 14 daga fyrirvara. Dagsetning efst á síðunni sýnir hvenær stefnan var síðast uppfærð.

Eldri útgáfur persónuverndarstefnunnar eru geymdar og aðgengilegar að beiðni.

12. Hafa samband

Ef þú hefur spurningar um persónuverndarstefnu okkar, vilt nýta þér réttindi þín eða hefur áhyggjur af því hvernig við meðhöndlum gögn þín, skaltu hafa samband:

BílaPassinn
Einar Þór Kjartansson
bilapassinn@gmail.com
bilapassinn.is

Við leitast við að svara öllum fyrirspurnum innan 5 virkra daga.