Denne databehandleravtalen regulerer behandlingen av personopplysninger mellom nyordre AS som databehandler og våre kunder som behandlingsansvarlige.
Denne databehandleravtalen ("Avtalen") er inngått mellom:
Behandlingsansvarlig: Kunden ("Behandlingsansvarlig")
Databehandler: nyordre AS, org.nr. 934974670
("Databehandler")
Sammen omtalt som "Partene"
Formålet med denne avtalen er å sikre at personopplysninger behandles i samsvar med gjeldende personvernregler. Databehandler forplikter seg til å behandle personopplysninger kun i den grad det er nødvendig for å oppfylle sine forpliktelser etter tjenesteavtalen mellom Partene.
2.1 Art: Databehandler behandler personopplysninger i form av innsamling, lagring, strukturering, tilpasning, sletting og annen behandling som er nødvendig for å levere ordretjenesten på nyordre.no.
2.2 Formål: Formålet med behandlingen er å levere, administrere og støtte Behandlingsansvarlig i å håndtere kunde- og ordreinformasjon.
2.3 Varighet: Behandlingen av personopplysninger skal foregå så lenge det er nødvendig for å oppfylle avtalen med Behandlingsansvarlig, med mindre noe annet er avtalt eller pålagt ved lov.
3.1 Kategorier av registrerte:
3.2 Typer personopplysninger:
4.1. Databehandler forplikter seg til å behandle personopplysninger kun på instruks fra Behandlingsansvarlig, med mindre behandling er påkrevd ved lov.
4.2. Databehandler skal sørge for at personer som behandler personopplysningene er forpliktet til taushetsplikt eller er underlagt en lovpålagt taushetsplikt.
4.3. Databehandler skal ha implementert nødvendige tekniske og organisatoriske tiltak for å sikre et tilstrekkelig sikkerhetsnivå som står i forhold til risikoen. Dette inkluderer, men er ikke begrenset til, tilgangskontroll, kryptering, og sikkerhetskopiering av data.
5.1. Behandlingsansvarlig er ansvarlig for å sørge for at personopplysningene som behandles, er lovlig innhentet og at det er et gyldig behandlingsgrunnlag for all behandling som utføres av Databehandler.
5.2. Behandlingsansvarlig skal informere Databehandler om behandlingsformål og instruksjoner som er nødvendige for å sikre lovlig behandling.
5.3. Behandlingsansvarlig er ansvarlig for å overholde sine plikter som Behandlingsansvarlig etter GDPR, inkludert å svare på anmodninger fra registrerte om innsyn, retting eller sletting av deres data.
6.1. Databehandler har rett til å benytte underleverandører for å utføre deler av behandlingen på vegne av Behandlingsansvarlig, forutsatt at det inngås en skriftlig avtale som sikrer at underleverandøren oppfyller kravene i denne avtalen og gjeldende personvernlovgivning.
6.2. Databehandler skal informere Behandlingsansvarlig om eventuelle planlagte endringer ved bruk av nye eller utskiftede underleverandører, og gi Behandlingsansvarlig mulighet til å motsette seg slike endringer.
6.3. Databehandler forblir fullt ansvarlig overfor Behandlingsansvarlig for eventuelle mangler hos underleverandører som behandler personopplysninger.
7.1. Databehandler skal ikke overføre personopplysninger til land utenfor EU/EØS uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig.
7.2. Ved overføring av personopplysninger til tredjeland skal Databehandler sikre at overføringen skjer i samsvar med GDPR-kapittel V, gjennom bruk av adekvansbeslutninger eller andre lovlige overføringsgrunnlag som standard personvernbestemmelser eller bindende virksomhetsregler.
8.1. Databehandler skal bistå Behandlingsansvarlig i å svare på henvendelser fra registrerte om innsyn, retting, sletting, begrensning av behandling, dataportabilitet og innsigelser mot behandling.
8.2. Hvis en registrert henvender seg direkte til Databehandler med en anmodning om å utøve sine rettigheter, skal Databehandler umiddelbart informere Behandlingsansvarlig.
9.1. Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom det oppstår et sikkerhetsbrudd som kan føre til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.
9.2. Varslingen skal inkludere tilstrekkelig informasjon til at Behandlingsansvarlig kan oppfylle sine forpliktelser i henhold til GDPR artikkel 33 og 34.
10.1. Ved opphør av tjenesteavtalen mellom Partene eller når behandlingen av personopplysninger ikke lenger er nødvendig, skal Databehandler enten slette eller returnere alle personopplysninger etter Behandlingsansvarliges valg, med mindre annet er pålagt ved lov.
11.1. Behandlingsansvarlig har rett til å gjennomføre revisjoner av Databehandlerens overholdelse av denne avtalen. Slike revisjoner kan utføres av Behandlingsansvarlig eller en tredjepart utpekt av Behandlingsansvarlig.
11.2. Databehandler forplikter seg til å gi nødvendig tilgang og informasjon for å muliggjøre revisjonene.
12.1. Databehandler er ansvarlig for å erstatte eventuelle kostnader, skader og tap som Behandlingsansvarlig lider som følge av Databehandlers brudd på denne avtalen eller gjeldende personvernlovgivning, i den utstrekning det er fastslått ved lov.
12.2. Eventuell erstatning som Behandlingsansvarlig kan kreve fra Databehandler, er begrenset til direkte tap, med mindre grov uaktsomhet eller forsett kan påvises.
13.1. Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og varer til all behandling av personopplysninger opphører og data er slettet eller returnert i samsvar med denne avtalen.
13.2. Hver av partene kan si opp avtalen med skriftlig varsel dersom den andre parten vesentlig misligholder sine forpliktelser etter denne avtalen og misligholdet ikke rettes innen rimelig tid.
14.1. Denne avtalen er underlagt norsk lov.
14.2. Eventuelle tvister som oppstår i forbindelse med denne avtalen skal søkes løst i minnelighet. Hvis Partene ikke klarer å løse tvisten, skal saken bringes inn for de ordinære domstolene, med Kristiansand tingrett som verneting.