sóley

Persónuverndarstefna

Síðast uppfært: 25. apríl 2026

1. Hver við erum

Sóley er rekið af Cognia ehf (kennitala 670421-0900), íslensku félagi. Við erum ábyrgðaraðili fyrir persónuupplýsingar sem unnar eru í gegnum Sóley — vefinn soley.travel, Sóley MCP-þjónininn og WhatsApp-aðstoðina.

Tengiliður: privacy@soley.travel

2. Hvaða gögnum við söfnum

2.1 MCP-þjónn (aðgangur fyrir AI-aðstoðendur)

Þegar AI-aðstoðendur tengjast við api.soley.travel/mcp söfnum við:

  • IP-tölu og lýsigögnum beiðna, til að takmarka álag og koma í veg fyrir misnotkun
  • Tækjaköllum og breytum, til að veita þjónustuna og finna villur
  • OAuth2-tóknum og kennum biðlara, til að staðfesta aðgang

Upplýsingatólin — veður, færð á vegum, öryggisviðvaranir, flug, norðurljós, jarðskjálftar, strætóáætlanir, eldsneytisverð, loftgæði, gengisskráningar, snjóflóðaskilyrði, fréttir — krefjast hvorki innskráningar né persónuupplýsinga.

2.2 Bókunar- og notendagögn

Þegar þú bókar í gegnum Sóley söfnum við:

  • Fullu nafni (til að rekstraraðili þekki gestinn)
  • Netfangi (fyrir staðfestingar og eftirfylgni)
  • Símanúmeri (fyrir WhatsApp og samband við rekstraraðila)
  • Bókunaratriðum: dagsetningar, fjöldi gesta, séróskir, valinn rekstraraðili og þjónusta

2.3 Hvað við söfnum ekki

  • Greiðslukortaupplýsingum — greiðslur fara beint í gegnum greiðsluveitanda rekstraraðilans (Valitor / Teya). Sóley sér aldrei kortaupplýsingar.
  • Vegabréfa- eða skilríkjanúmerum
  • Innihaldi samtala AI-aðstoðenda — við skráum tækjaköll, ekki samtalið sjálft

3. Hvernig við notum gögnin

  • Þjónusta. Vinnsla bókana, sending staðfestinga, samskipti við rekstraraðila.
  • Rekstur kerfisins. Álagstakmörkun, varnir gegn misnotkun, villuleit, frammistaða.
  • Lögbundnar skyldur. Fylgja reglum sem gilda á Íslandi og innan EES.

Við seljum ekki persónuupplýsingar. Notum þær ekki í auglýsingaskyni. Gerum ekki notendaprófíla fyrir markaðssetningu.

4. Lagagrundvöllur (6. gr. GDPR)

  • Framkvæmd samnings — 6. gr. (1)(b). Vinnsla bókunargagna til að uppfylla bókunina milli þín og rekstraraðila.
  • Lögmætir hagsmunir — 6. gr. (1)(f). Öryggi kerfisins, álagstakmörkun, varnir gegn misnotkun, þróun þjónustunnar.
  • Lagaskylda — 6. gr. (1)(c). Skattskyldur og bókhaldsskyldur samkvæmt íslenskum lögum.

5. Miðlun gagna

Við miðlum persónuupplýsingum aðeins til:

  • Ferðaþjónustuaðila. Nafn þitt, samskiptaupplýsingar og bókun fara til þess rekstraraðila sem þú bókar hjá. Hann er sjálfstæður ábyrgðaraðili fyrir þau gögn sem hann tekur við.
  • Innviðaveitendur. Neon (PostgreSQL, ESB), Upstash (Redis-skyndiminni, ESB), Railway (forritsumhverfi), Vercel (vefur), Twilio (WhatsApp), Clerk (auðkenning).
  • AI-líkanaveitendur. Anthropic (Claude API) vinnur nafnlaust samtalssamhengi fyrir svör AI-aðstoðans, samkvæmt vinnslusamningi.

Allir undirvinnsluaðilar eru bundnir vinnslusamningum. Við flytjum ekki gögn út fyrir EES nema með viðunandi tryggingum (staðlaðir samningsskilmálar þar sem við á).

6. Varðveisla gagna

  • Skráningar MCP-tækjakalla. 90 dagar, síðan nafnlaus.
  • Bókunarskrár. Varðveittar skv. íslenskum skattalögum (7 ár fyrir fjárhagsgögn).
  • Reikningsgögn. Varðveitt þar til þú biður um eyðingu.
  • Redis-skyndiminni. Líftími yfirleitt 15 mínútur til 24 klst.

7. Réttindi þín

Samkvæmt GDPR, sem íbúi eða gestur á EES-svæðinu, áttu rétt á að:

  • Aðgangi. Fá afrit af persónuupplýsingum þínum.
  • Leiðréttingu. Lagfæra rangar upplýsingar.
  • Eyðingu. Biðja um eyðingu („réttur til að gleymast").
  • Flytjanleika. Fá gögnin þín á tölvulesanlegu sniði.
  • Takmörkun. Setja skorður á vinnslu.
  • Andmælum. Andmæla vinnslu sem byggir á lögmætum hagsmunum.

Til að nýta þessi réttindi, sendu tölvupóst á privacy@soley.travel. Við svörum innan 30 daga.

8. Vafrakökur

Sóley-vefurinn notar aðeins nauðsynlegar vafrakökur: auðkenningarsetu (Clerk), tungumálsval og CSRF-vörn. Engar mæligagnakökur, engar auglýsingakökur, engin þriðja-aðila rakning.

9. Öryggi

Öll gögn eru send með TLS-dulritun. Gagnagrunnstengingar eru dulritaðar. Aðgangur að framleiðslukerfum er takmarkaður við viðeigandi starfsfólk. Við fylgjum bestu starfsvenjum — álagstakmörkun, inntaksvalidering, uppskráningu án persónuupplýsinga.

10. Börn

Sóley er ekki ætlað börnum yngri en 16 ára. Við söfnum ekki vísvitandi persónuupplýsingum um börn. Hafðu samband ef þú telur að við höfum gert það.

11. Breytingar á stefnunni

Stefnan kann að breytast. Veigamiklar breytingar verða tilkynntar í gegnum kerfið. Dagsetningin „Síðast uppfært" efst sýnir nýjustu útgáfu.

12. Eftirlitsstofnun

Ef þú telur réttindi þín hafa verið brotin getur þú lagt fram kvörtun til Persónuverndar: personuvernd.is.

Ábyrgðaraðili: Cognia ehf, Reykjavík (kennitala 670421-0900).
Tengiliður: privacy@soley.travel