Databehandleravtale for nyordre.no
Sist oppdatert: 16.11.2024
Denne databehandleravtalen ("Avtalen") er inngått mellom:
Behandlingsansvarlig:
Kunden i denne avtalen referert til som ("Behandlingsansvarlig")
Databehandler:
Gunnar Fjellestad / nyordre.no
934061349
Liankollen 11, 4636 Kristiansand
("Databehandler")
Tilsammen referert til som "Partene".
Denne avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, i samsvar med kravene i personvernforordningen (EU 2016/679) ("GDPR") og annen relevant personvernlovgivning.
1. Formål
Formålet med denne avtalen er å sikre at personopplysninger behandles i samsvar med gjeldende personvernregler. Databehandler forplikter seg til å behandle personopplysninger kun i den grad det er nødvendig for å oppfylle sine forpliktelser etter tjenesteavtalen mellom Partene.
2. Behandlingens art, varighet og formål
2.1 Art: Databehandler behandler personopplysninger i form av innsamling, lagring, strukturering, tilpasning, sletting og annen behandling som er nødvendig for å levere ordretjenesten på nyordre.no.
2.2 Formål: Formålet med behandlingen er å levere, administrere og støtte Behandlingsansvarlig i å håndtere kunde- og ordreinformasjon.
2.3 Varighet: Behandlingen av personopplysninger skal foregå så lenge det er nødvendig for å oppfylle avtalen med Behandlingsansvarlig, med mindre noe annet er avtalt eller pålagt ved lov.
3. Kategorier av registrerte og typer personopplysninger
3.1 Kategorier av registrerte:
Kunder og kontaktpersoner hos Behandlingsansvarlig
Brukere av Tjenesten som er kunder eller ansatte hos Behandlingsansvarlig
3.2 Typer personopplysninger:
Navn
Kontaktinformasjon (telefonnummer, e-post, adresse, registreringsnummer)
Ordreopplysninger
Betalingsinformasjon
IP-adresser og andre nettverksdata relatert til brukerinteraksjon
4. Databehandlers plikter
4.1. Databehandler forplikter seg til å behandle personopplysninger kun på instruks fra Behandlingsansvarlig, med mindre behandling er påkrevd ved lov.
4.2. Databehandler skal sørge for at personer som behandler personopplysningene er forpliktet til taushetsplikt eller er underlagt en lovpålagt taushetsplikt.
4.3. Databehandler skal ha implementert nødvendige tekniske og organisatoriske tiltak for å sikre et tilstrekkelig sikkerhetsnivå som står i forhold til risikoen. Dette inkluderer, men er ikke begrenset til, tilgangskontroll, kryptering, og sikkerhetskopiering av data.
5. Behandlingsansvarliges plikter
5.1. Behandlingsansvarlig er ansvarlig for å sørge for at personopplysningene som behandles, er lovlig innhentet og at det er et gyldig behandlingsgrunnlag for all behandling som utføres av Databehandler.
5.2. Behandlingsansvarlig skal informere Databehandler om behandlingsformål og instruksjoner som er nødvendige for å sikre lovlig behandling.
5.3. Behandlingsansvarlig er ansvarlig for å overholde sine plikter som Behandlingsansvarlig etter GDPR, inkludert å svare på anmodninger fra registrerte om innsyn, retting eller sletting av deres data.
6. Bruk av underleverandører (underbehandlere)
6.1. Databehandler har rett til å benytte underleverandører for å utføre deler av behandlingen på vegne av Behandlingsansvarlig, forutsatt at det inngås en skriftlig avtale som sikrer at underleverandøren oppfyller kravene i denne avtalen og gjeldende personvernlovgivning.
6.2. Databehandler skal informere Behandlingsansvarlig om eventuelle planlagte endringer ved bruk av nye eller utskiftede underleverandører, og gi Behandlingsansvarlig mulighet til å motsette seg slike endringer.
6.3. Databehandler forblir fullt ansvarlig overfor Behandlingsansvarlig for eventuelle mangler hos underleverandører som behandler personopplysninger.
7. Overføring av personopplysninger til tredjeland
7.1. Databehandler skal ikke overføre personopplysninger til land utenfor EU/EØS uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig.
7.2. Ved overføring av personopplysninger til tredjeland skal Databehandler sikre at overføringen skjer i samsvar med GDPR-kapittel V, gjennom bruk av adekvansbeslutninger eller andre lovlige overføringsgrunnlag som standard personvernbestemmelser eller bindende virksomhetsregler.
8. Rettigheter til registrerte
8.1. Databehandler skal bistå Behandlingsansvarlig i å svare på henvendelser fra registrerte om innsyn, retting, sletting, begrensning av behandling, dataportabilitet og innsigelser mot behandling.
8.2. Hvis en registrert henvender seg direkte til Databehandler med en anmodning om å utøve sine rettigheter, skal Databehandler umiddelbart informere Behandlingsansvarlig.
9. Sikkerhetsbrudd
9.1. Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom det oppstår et sikkerhetsbrudd som kan føre til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.
9.2. Varslingen skal inkludere tilstrekkelig informasjon til at Behandlingsansvarlig kan oppfylle sine forpliktelser i henhold til GDPR artikkel 33 og 34.
10. Sletting eller retur av personopplysninger
10.1. Ved opphør av tjenesteavtalen mellom Partene eller når behandlingen av personopplysninger ikke lenger er nødvendig, skal Databehandler enten slette eller returnere alle personopplysninger etter Behandlingsansvarliges valg, med mindre annet er pålagt ved lov.
11. Revisjon
11.1. Behandlingsansvarlig har rett til å gjennomføre revisjoner av Databehandlerens overholdelse av denne avtalen. Slike revisjoner kan utføres av Behandlingsansvarlig eller en tredjepart utpekt av Behandlingsansvarlig.
11.2. Databehandler forplikter seg til å gi nødvendig tilgang og informasjon for å muliggjøre revisjonene.
12. Ansvar og erstatning
12.1. Databehandler er ansvarlig for å erstatte eventuelle kostnader, skader og tap som Behandlingsansvarlig lider som følge av Databehandlers brudd på denne avtalen eller gjeldende personvernlovgivning, i den utstrekning det er fastslått ved lov.
12.2. Eventuell erstatning som Behandlingsansvarlig kan kreve fra Databehandler, er begrenset til direkte tap, med mindre grov uaktsomhet eller forsett kan påvises.
13. Varighet og oppsigelse
13.1. Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og varer til all behandling av personopplysninger opphører og data er slettet eller returnert i samsvar med denne avtalen.
13.2. Hver av partene kan si opp avtalen med skriftlig varsel dersom den andre parten vesentlig misligholder sine forpliktelser etter denne avtalen og misligholdet ikke rettes innen rimelig tid.
14. Gjeldende lov og tvisteløsning
14.1. Denne avtalen er underlagt norsk lov.
14.2. Eventuelle tvister som oppstår i forbindelse med denne avtalen skal søkes løst i minnelighet. Hvis Partene ikke klarer å løse tvisten, skal saken bringes inn for de ordinære domstolene, med Kristiansand tingrett som verneting.