Avtale om behandling av personopplysninger

ved bruk av nettbutikkløsning fra Moo Gruppen AS

1. AVTALENS PARTER

1.1 PARTER

Avtalen inngås mellom behandlingsansvarlig i firma: Demobutikk (Org. 898989898). (Heretter kalt behandlingsansvarlig)

og databehandler: MooGruppen AS (Org. 917 021 384) (heretter kalt databehandler).

1.2 KONTAKTPERSON DATABEHANDLER

  1. Navn: Dragan Popovic
  2. Rolle: Chief Product Officer
  3. E-postadresse: [email protected]
  4. Telefon: 98 54 44 44

2. FORMÅLET MED AVTALEN

Formålet med avtalen er å regulere behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige under det til en hver tid gjeldende personvernregelverk, herunder “REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)” (heretter omtalt som GDPR eller “forordningen”). Avtalen omhandler behandlingen som blir utført grunnet bruk av Moo Gruppen AS sin nettbutikkplattform for levering av nettbutikk til behandlingsansvarlig. Databehandleren kan kun behandle personopplysninger på vegne av behandlingsansvarlig i henhold til denne avtale og andre instruksjoner som behandlingsansvarlig gir databehandler. Det skal fremgå klart av denne avtalen dersom databehandleren kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annen behandling. Underleverandør(er) som databehandler benytter seg av er inntatt på denne nettsiden http://moocommerce.no/underleverandører.

3. VARIGHET OG OPPSIGELSE

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig ihht. formålet angitt i avtalens pkt. 2 og pkt.5. Ved brudd på denne avtale eller personvernregelverket kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

4. PARTENES ANSVARSOMRÅDE UNDER GDPR MED FORTALEPUNKTER

Behandlingsansvarlig er i henhold til GDPR å anse som behandlingsansvarlig, jf. Art. 4 nr. 7. Den behandlingsansvarlige har ansvar for å påse at krav, herunder krav til sikkerhet, som stilles i forordningen er oppfylt. Dette innebærer blant annet også at behandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av personopplysningene hos databehandleren, jf. forordningens Art. 28 nr. 1 og 2, samt Art. 32. Databehandleren er å anse som databehandler etter GDPR Art. 4 nr. 8, og kan kun behandle personopplysninger på vegne av behandlingsansvarlig i henhold til denne avtale, jf. forordningens Art. 28 nr. 2. Eventuell annen bruk av personopplysningene skal i forkant avtales særskilt og skriftlig med behandlingsansvarlig. Databehandleren skal sikre at personopplysninger tilgjengeliggjort av behandlingsansvarlig holdes atskilt fra egne og andres opplysninger og tjenester, hvis ikke annet er skriftlig avtalt. Ved avtalens utløp skal databehandleren påse at alle personopplysninger som er tilgjengeliggjort av behandlingsansvarlig makuleres / slettes eller tilbakeleveres til behandlingsansvarlig dersom dette er avtalt med behandlingsansvarlig. Både behandlingsansvarlig og databehandler plikter å sette seg inn i alle relevante artikler i GDPR, særlig Art. 24, 28 og 32, samt sette seg inn i den registrertes rettigheter etter forordningen, jf. Art. 12 til og med Art. 23.

5. BESKRIVELSE AV FORMÅLET OG VARIGHET MED BRUKEN AV DATABEHANDLER

Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen: Databehandler leverer en teknologiplattform for enkelt oppsett av nettbutikker. Behandlingsansvarlig benytter seg av en slik nettbutikkløsning for å kunne tilby sine kunder gode og moderne nettbutikkløsninger. Databehandler drifter plattformen, og er derfor avhengig av anonyme brukerdata for feilsøking i egen plattform. Databehandler har tilgang til anonym brukerstatistikk. Databehandler har også tilgang til kunde- og kjøpsdata i nettbutikkene. Kunde- og kjøpsdata lagres i plattformen, men behandles ikke av databehandler utover lagring, med mindre behandlingsansvarlig etterspør hjelp til håndtering av bestillinger eller annen kundeservice som krever at databehandler behandler denne dataen. Plattformen, samt alle nettbutikkene som driftes på denne plattformen lagres hos Moo Gruppen AS AS (databehandler). Databehandler benytter også anonym brukerstatistikk for å kontinuerlig kunne forbedre datasikkerheten i nettbutikken, og på den måten etterleve Art. 28 nr 1 og Art. 32 i forordningen. Behandlingen nevnt ovenfor utføres frem til avtale om levering av nettbutikkløsning ikke lenger er gjeldende, typisk ved oppsigelse fra en av partene.

6. SPESIFISERING AV AKTUELLE DATA

Data som lagres i nettbutikken:

I forbindelse med kjøp:

Sluttkunders navn, adresse, telefonnummer, e-postadresse, kjøpshistorikk, valg av betalingsløsning, samt varer kjøpt.

Annen data:

Nyhetsbrevlister i nettbutikk, kundeprofiler i nettbutikk.

Data i de to foregående punktene (“I forbindelse med kjøp”, samt “Annen data”) behandles ikke av databehandler utover lagring, med mindre behandlingsansvarlig etterspør kundeservice eller på annen måte ber om slik behandling. Data som benyttes til feilsøking, vedlikehold og sikring av nettbutikk plattformen:

Anonym besøks- og brukerstatistikk.

7. KRAV TIL INFORMASJONSSIKKERHET

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter GDPR Art. 28 nr 1, samt Art. 32. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. Avviksmelding etter forordningens Art. 33 skal skje ved at databehandler melder avviket til behandlingsansvarlig uten utilbørlig forsinkelse. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

8. BRUK AV UNDERLEVERANDØRER

Dersom en av partene engasjerer utenforstående (underleverandører) til å utføre ytelser som følger av denne avtalen, er parten fullt ansvarlig for utførelsen av disse ytelsene på samme måte som han selv stod for utførelsen. Databehandleren skal sørge for at underleverandør undertegner og forplikter seg til å følge behandlingsansvarliges databehandleravtale. De underleverandører som til enhver tid benyttes for behandling av personopplysninger på vegne av behandlingsansvarlig er tatt inn på denne siden:http://moocommerce/underleverandører. Dersom det skal benyttes ny underleverandør, eller byttes ut underleverandør, vil databehandler gi skriftlig beskjed til behandlingsansvarlig i rimelig tid før byttet skjer, slik at behandlingsansvarlig kan gi tilbakemelding om denne ikke aksepterer endringen i bruk av underleverandør.

9. TAUSHETSPLIKT

Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående. Taushetsplikten gjelder partenes ansatte og andre som handler på partenes vegne i forbindelse med gjennomføringen av kontrakten. Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet. Ansatte og andre som fratres sin tjeneste hos en av databehandlerne skal pålegges taushet også etter fratredelse om forhold som nevnt over. Denne bestemmelsen gjelder også etter avtalens opphør.