Persónuverndarstefna

Þessi persónuverndarstefna lýsir því hvernig osm2cdr.ru safnar, vinnur og geymir persónuupplýsingar.

1. Ábyrgðaraðili

Vefsvæðið er rekið af einyrkja (einstaklingsrekstri) skráðum í Lýðveldinu Póllandi, sem starfar sem ábyrgðaraðili í skilningi GDPR. Tengiliður: [email protected].

2. Gögn sem við söfnum

• Aðgangsgögn: netfang (við nýskráningu)
• Tæknileg gögn: IP-tala, User-Agent, gerð vafra, OS
• Útflutningsgögn: hnit svæðis (bbox), valið snið, smáatriðastig
• Greiðslugögn: unnin af Tinkoff Bank; við geymum ekki kortaupplýsingar
• Vafrakökur: virknitengdar (tungumál, þema) og greiningarkökur

3. Tilgangur vinnslunnar

• Að veita þjónustu við útflutning korta
• Vinnsla greiðslna og umsýsla áskrifta
• Að bæta gæði þjónustunnar og leiðrétta villur
• Notkunartölfræði (nafnlaus)
• Tilkynningar um að útflutningur sé tilbúinn

4. Geymsla gagna

Gögn eru geymd í PostgreSQL-gagnagrunni á sérstökum þjóni í gagnaveri Hetzner Online GmbH (Þýskaland, ESB). Persónuupplýsingar eru geymdar þar til notandinn eyðir aðgangi sínum eða óskar eftir eyðingu.

Aðgangsskrár (access logs) geyma nafnlausa (síðasta áttundin felld út) IP-tölu viðskiptavinar í 14 daga vegna öryggis og rannsóknar á misnotkun. Villuskrár geyma fulla IP-tölu í allt að 7 daga. Villuskýrslur frá Sentry innihalda engar persónuupplýsingar að sjálfgefnu (vafrakökur, hausar og auðkenni notenda eru ekki send).

5. Miðlun til þriðju aðila

• Tinkoff Bank -- vinnsla greiðslna
• Resend Inc. -- tölvupóststilkynningar
• Sentry (Functional Software) -- vöktun villna (aðeins tæknileg gögn)
• Yandex LLC (Yandex.Metrica) -- nafnlaus vefgreining (aðeins eftir að þú veitir samþykki fyrir vafrakökum)
• Google LLC (Google Analytics 4) -- nafnlaus vefgreining (aðeins eftir að þú veitir samþykki fyrir vafrakökum; gögn kunna að vera flutt til þjóna Google í Bandaríkjunum)

Við seljum ekki persónuupplýsingar og miðlum þeim ekki til auglýsinganeta eða gagnasala.

6. Vafrakökur og samþykki

• Virknitengdar (ekki krafist samþykkis): valið tungumál, þema, kortastillingar
• Greiningarkökur (krafist beins samþykkis): Yandex.Metrica og Google Analytics 4. Rekjarar eru ekki hlaðnir fyrr en þú smellir á “Samþykkja” í vafrakökuborðanum. Þú getur breytt vali þínu hvenær sem er með því að hreinsa staðværa geymslu vafrans (local storage).

7. Réttindi þín

Samkvæmt GDPR og gildandi persónuverndarlöggjöf hefur þú rétt til að:

• Fá aðgang að persónuupplýsingum þínum
• Leiðrétta rangar upplýsingar
• Óska eftir eyðingu upplýsinga þinna
• Takmarka vinnslu eða andmæla henni
• Afturkalla samþykki þitt hvenær sem er
• Flytja gögn milli kerfa
• Leggja fram kvörtun til persónuverndaryfirvalds

Til að neyta réttinda þinna hafðu samband við [email protected]. Þar sem rekstraraðilinn hefur staðfestu í Póllandi er leiðandi eftirlitsyfirvald pólska persónuverndarstofnunin (Urząd Ochrony Danych Osobowych, UODO, uodo.gov.pl); þú getur einnig haft samband við eftirlitsyfirvald búsetulands þíns í ESB.

8. Persónuverndarréttindi í Kaliforníu (CCPA / CPRA)

Þessi kafli á við um íbúa Kaliforníu í Bandaríkjunum, samkvæmt California Consumer Privacy Act (CCPA) og California Privacy Rights Act (CPRA, 2026).

Ef þú ert íbúi Kaliforníu átt þú eftirfarandi réttindi:

• Réttur til vitneskju — þú mátt óska eftir upplýsingum um flokka persónuupplýsinga sem við söfnum (flettingar síðna, IP-tölu með síðustu áttund nafnleynda, tungumálastillingar, gerð vafra, OS; við söfnum ekki viðkvæmum persónuupplýsingum), tilganginn (vefgreining með Yandex.Metrica og Google Analytics 4 með anonymize_ip), og aðila sem við deilum gögnum með (Yandex LLC og Google LLC starfa sem þjónustuveitendur; gögn eru ekki seld og þeim er ekki deilt fyrir hegðunarmiðaðar auglýsingar þvert á samhengi).
• Réttur til eyðingar — þú mátt óska eftir eyðingu persónuupplýsinga þinna, þar með talið uppsafnaðra greiningargagna og hvers kyns aðgangsgagna.
• Réttur til leiðréttingar — þú mátt óska eftir leiðréttingu á ónákvæmum persónuupplýsingum.
• Réttur til að hafna sölu eða deilingu — við seljum ekki persónuupplýsingar þínar og við deilum þeim ekki fyrir hegðunarmiðaðar auglýsingar þvert á samhengi eins og þær eru skilgreindar í CCPA. Að smella á “Hafna” í vafrakökuborðanum = afþökkun á hleðslu greiningarrekjara. Tengillinn “Persónuverndarval þitt” í síðufæti vefsvæðisins opnar borðann aftur svo þú getir breytt vali þínu.
• Réttur til að takmarka notkun viðkvæmra persónuupplýsinga — við söfnum ekki viðkvæmum persónuupplýsingum eins og þær eru skilgreindar í CPRA (engin SSN, lífkenni, nákvæm staðsetning, heilsufarsupplýsingar o.s.frv.). IP-tölur eru nafnleyndar niður í /24 (síðasta áttund núlluð af Google Analytics).
• Réttur til að sæta ekki mismunun — nýting réttinda þinna mun ekki leiða til skertrar þjónustu. Ókeypis þrepið er áfram í boði; engin verðmismunun er viðhöfð.
• Global Privacy Control (GPC) — við virðum sjálfkrafa navigator.globalPrivacyControl-merkið sem afþökkun: ef vafrinn þinn sendir GPC=true eru greiningarrekjarar ekki hlaðnir og val þitt er skráð staðbundið (localStorage, samþykkisskema v2, reitur gpc:true).
• Heimilaður umboðsaðili — þú mátt tilnefna heimilaðan umboðsaðila til að leggja fram beiðni fyrir þína hönd; vinsamlegast hengdu við skriflega heimild.
• Sannprófun á auðkenni — til að uppfylla beiðnir um rétt til vitneskju og rétt til eyðingar munum við sannreyna auðkenni þitt (samanburður á netfangi aðgangs þíns).

Til að neyta réttinda samkvæmt CCPA / CPRA skaltu hafa samband við [email protected] með “CCPA Request” í efnislínu. Við svörum innan lögbundins frests (45 daga, framlengjanlegt í 90 daga).

9. Persónuupplýsingaréttindi notenda í Kína (PIPL)

Þessi kafli á við um notendur staðsetta í Alþýðulýðveldinu Kína, samkvæmt Personal Information Protection Law (PIPL, 2021).

Tilkynning um millilandaflutning. Þegar þú notar osm2cdr.ru kunna persónuupplýsingar þínar að vera fluttar til þjóna utan Kína: Google Analytics flytur gögn til þjóna Google í Bandaríkjunum; Yandex.Metrica flytur gögn til þjóna Yandex í Rússlandi. Flutningar eiga sér aðeins stað eftir að þú veitir samþykki í vafrakökuborðanum.

Flokkar fluttra gagna:

• Flettingar síðna (URL, tilvísandi)
• IP-tala með síðustu áttund nafnleynda
• Vafraupplýsingar (User-Agent, tungumál, OS)
• Setuauðkenni, gerð tækis

Tilgangur: uppsöfnuð vefgreining til að skilja notkunarmynstur þjónustunnar og hagræða notendaupplifun. Gögn eru ekki notuð fyrir beina markaðssetningu.

Auðkenni og tengiliðaupplýsingar viðtakanda:

• Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA, USA — persónuverndarstefna: policies.google.com/privacy
• Yandex LLC, 16 Lva Tolstogo St, Moscow 119021, Russia — persónuverndarstefna: yandex.com/legal/privacy

Réttindi þín gagnvart erlendum viðtakendum. Þú mátt hafa samband við Google eða Yandex beint til að neyta réttar til aðgangs, leiðréttingar og eyðingar samkvæmt viðeigandi persónuverndarstefnum þeirra (tengt hér að ofan). Staðbundið mátt þú afturkalla samþykki hvenær sem er með því að smella á “Hafna” í vafrakökuborðanum.

Sérstakt samþykki. Vafrakökuborðinn með “Samþykkja” / “Hafna”-hnöppunum telst hið sérstaka samþykki fyrir millilandaflutningi persónuupplýsinga sem krafist er í greinum 38–39 í PIPL.

Flokkar gagna sem við söfnum EKKI: lífkennagögn, trúarskoðanir, heilsufarsupplýsingar, nákvæm rauntímastaðsetning, tengiliðir eða ljósmyndir úr tækjum.

Fyrir beiðnir samkvæmt PIPL skaltu hafa samband við [email protected] með “PIPL Request” í efnislínu.

10. Notendur í Brasilíu (LGPD)

Þessi kafli á við um notendur staðsetta í Sambandslýðveldinu Brasilíu, samkvæmt Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018).

Lagagrundvöllur vinnslunnar. Við vinnum persónuupplýsingar á grundvelli samþykkis þíns (vafrakökuborði) og lögmætra hagsmuna (grunngreining fyrir rekstur þjónustunnar).

Réttindi hins skráða (18. gr. LGPD):

• Staðfesting á vinnslu
• Aðgangur að gögnum
• Leiðrétting á ófullkomnum, ónákvæmum eða úreltum gögnum
• Nafnleynd, hindrun eða eyðing óþarfra gagna
• Gagnaflytjanleiki
• Upplýsingar um deilingu gagna með þriðju aðilum
• Upplýsingar um möguleika á afturköllun samþykkis og afleiðingar hennar
• Afturköllun samþykkis hvenær sem er

Millilandaflutningur til Bandaríkjanna / Rússlands. Google (Bandaríkin) og Yandex (Rússland) starfa sem þjónustuveitendur fyrir vefgreiningu; sjá kaflann fyrir notendur í Kína hér að ofan til nánari skýringar.

Tengiliður persónuverndarfulltrúa (DPO). Beindu beiðnum samkvæmt LGPD til [email protected] með “LGPD Request” í efnislínu.

Kvörtun til eftirlitsyfirvalds. Þú mátt leggja fram kvörtun til brasilíska persónuverndaryfirvaldsins (ANPD): gov.br/anpd.

11. Breytingar

Við kunnum að uppfæra þessa stefnu. Núgildandi útgáfa er ávallt aðgengileg á þessari síðu. Skráðir notendur fá tilkynningu um umtalsverðar breytingar með tölvupósti.