Personopplysningsbistandsavtalen

**Denne tilgangsavtalen for personopplysninger (“Avtalen”) er inngått [oppgi dato] mellom:

[E-handelsinnehavare], org.no [skriv inn org.no] (“Personlig dataadministrator”), og

Abicart AB, org.no 559202-5406 (“Personlig dataassistent”).

Personopplysningsadministratoren og personopplysningsassistenten blir samlet referert til som “partene” og hver del som “part”.

1 Vedlegg

Avtalen består av dette kjernedokumentet og følgende vedlegg:

Vedlegg 1 till Personopplysningsbistandsavtalen i Abicart e-handelsplattform (”Vedlegg 1”).

I tilfelle inkonsistenser, har kjernedokumentet rangen foran vedleggene. Vedleggene har rang i henhold til mekanismene som er bestemt ovenfor.

2 Definisjoner

I den grad europaparlaments- og rådsforordning (EF) nr. 2016/679, heretter kalt personvernforordningen, inneholder definisjoner tilsvarende de som brukes i avtalen, skal slike definisjoner anvendes og implementeres i samsvar med personvernforordningen.

Til grunn for denne avtalen, defineres vilkårene gitt under på følgende måte: Med ‘avtale’ menes dette kjernedokumentet og til enhver tid gjeldende vedlegg.

Med «behandling» menes enhver operasjon eller sett med operasjoner som gjøres med personopplysninger, enten de er automatiserte eller ikke, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Med “personopplysninger” menes enhver opplysning om en identifisert eller identifiserbar fysisk person (“den registrerte”); en identifiserbar person er en person som, direkte eller indirekte, kan identifiseres, særlig ved hjelp av et navn, et identifikasjonsnummer, lokaliseringsopplysninger, nettidentifikator eller et eller flere elementer som er spesifikke for nevnte persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Med “hendelse med personopplysninger” menes en sikkerhetshendelse som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til beskyttet informasjon som er overført, lagret eller på annen måte behandlet.

3 Formål

Personopplysningsbehandleren har, gjennom denne avtalen, forpliktet seg til å behandle personopplysninger på vegne av Personopplysningsansvarlig. Partene er blitt enige om å regulere den omfattende og detaljerte beskrivelsen av denne behandlingen ved å opprette denne avtalen.

4 Ansvarsområdet til den Personopplysningsansvarlige

4.1 Behandling i overensstemmelse med gjeldende bestemmelser

4.1.1 Behandling i overensstemmelse med avtalen og gjeldende bestemmelser

Personopplysningsansvarlige er ansvarlig for å sikre at all behandling av personopplysninger utføres i overensstemmelse med avtalen og gjeldende bestemmelser.

4.1.2 Bestemmelser for personopplysninger

Personopplysningsansvarlige skal gi Personopplysningsbehandleren de nødvendige og riktige personopplysningene slik at Personopplysningsbehandleren kan oppfylle forpliktelsene i henhold til avtalen og gjeldende bestemmelser.

4.1.3 Nøyaktig informasjon

I tilfelle de dokumenterte instruksjonene er ukorrekte, ufullstendige eller har behov for andre endringer, skal Personopplysningsansvarlige umiddelbart gi korrekt informasjon til den personlige Personopplysningsbehandleren.

4.1.4 Ved å undertegne denne avtalen, bekrefter Personopplysningsansvarlige at Personopplysningsansvarlige:

Har et rettslig grunnlag for å behandle og innlevere relevante personopplysninger til Personlig Personopplysningsbehandleren (inkludert eventuelle underleverandører brukt av Personopplysningsbehandleren). Er eneansvarlig for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten av personopplysningene som er innlevert til Personopplysningsbehandleren. Har oppfylt noen obligatoriske krav og forpliktelser til å varsle eller få tillatelse fra relevante myndigheter til behandling av personopplysninger. Har oppfylt sine forpliktelser om å gi relevant informasjon til sine kunder angående behandling av personopplysninger i henhold til gjeldende personopplysningsloven. Enig i at Personopplysningsbehandleren har gitt garantier for gjennomføring av tekniske og organisatoriske sikkerhetsforanstaltninger som er tilstrekkelige for å beskytte kundens integritet og personopplysninger.

5 Ansvarsområdene til Personopplysningsbehandleren

5.1 Behandling av personopplysninger

5.1.1 Behandling i overensstemmelse med avtalen og gjeldende bestemmelser

Personopplysningsbehandleren skal kun behandle personopplysninger på vegne av Personopplysningsansvarlige i overensstemmelse med avtalen og gjeldende bestemmelser. Personopplysningsbehandleren må ikke, uten samtykke fra Personopplysningsansvarlige, instruksjoner fra relevant tilsynsmyndighet eller obligatoriske lover, hente inn eller utlevere personopplysninger fra eller til en tredjepart, med mindre annet er avtalt skriftlig, endre behandlingsmetode, kopiere eller gjenopprette personopplysninger, eller på noen annen måte behandle personopplysninger til andre formål enn de som er angitt i de dokumenterte instruksjonene.

5.1.2 Overføring av personlig data

Personopplysningsbehandleren må ikke overføre personopplysninger til land utenfor EU or the EEA, eller til land som ikke kvalifiserer til unntak fra forbudet mot overføringer til et tredjeland, i overensstemmelse med gjeldende bestemmelser. Dette forbudet omfatter også systemtjenester, teknisk støtte, vedlikehold, utvikling og relaterte tjenester.

Unntak fra forbudet mot overføringer til et tredjeland:

EU-kommisjonen har analysert databeskyttelsesregler i enkelte land og har bestemt at beskyttelsesnivået i disse landene er tilstrekkelig. Beslutningene gjelder:

Andorra, Argentina, Bailiwick of Guernsey, Faroe Islands, Isle of Man, Jersey, New Zealand, State of Israel, Switzerland

I tillegg har EU-kommisjonen tidligere vurdert at beskyttelsesnivået er tilstrekkelig i visse områder eller under spesielle forhold i følgende land:

Canada (hvis deres personvernregler i privat sektor gjelder for mottakerens personopplysninger) USA (hvis mottakeren har sluttet seg til Privacy Shield)

EU-kommisjonens vedtak er oppført i et vedlegg til personopplysningsforordningen. Forordningen sier også uttrykkelig at overføring er tillatt i disse tilfellene.

5.1.3 Skriftlig autorisasjon for overføring

Overføringer som ikke dekkes av ovennevnte krever skriftlig forhåndsgodkjenning av Personopplysningsansvarlige, noe som sikrer at slike overføringer gjennomføres i overensstemmelse med gjeldende bestemmelser.

5.1.4 Implementering av endringer

Personopplysningsbehandleren skal implementere endringer, slettinger, begrensninger og overføringer på uttrykt forespørsel fra Personopplysningsansvarlige, hvis ikke en slik forespørsel er i strid med avtalen og gjeldende bestemmelser

5.2 Tekniske og organisatoriske tiltak

5.2.1 Utfører tekniske og organisatoriske tiltak

Med tanke på den siste utviklingen, implementeringskostnadene og arten, omfanget, konteksten og formålet med behandlingen, i tillegg til risikoen for varierende sannsynlighet og alvorlighetsgrad knyttet til enkeltpersoners rettigheter og friheter, så skal Personopplysningsbehandleren implementere passende tekniske og organisatoriske tiltak for å sikre at sikkerhetsnivået er tilpasset risikoen, inkludert eventuell pseudonymisering og kryptering av personopplysningene; evnen til å sikre pågående konfidensialitet, integritet, tilgjengelighet og motstandsdyktighet for behandlingssystemer og -tjenester; evnen til i tide å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tilfelle en fysisk eller teknisk hendelse; en prosess for regelmessig testing, vurdering og evaluering av effektiviteten til de tekniske og organisatoriske tiltakene for å sørge for behandlingens sikkerhet.

5.2.2 Retningslinjer for etisk handel og sertifiseringsmekanisme

Personopplysningsbehandleren kan, ved overholdelse av en godkjent adferdskodeks eller en godkjent sertifiseringsmekanisme, demonstrere samsvar med de overnevnte krav.

5.3 Vedlikehold av registre

5.3.1 Vedlikeholder registre

Personopplysningsbehandleren skal holde en oversikt over alle behandlingskategoriene som er utført på vegne av Personopplysningsansvarlige, inkludert følgende:

Navn og kontaktdetaljer for personopplysningsbehandleren og Personopplysningsansvarlige som personopplysningsbehandleren handler på vegne av, og, der det er passende, Personopplysningsansvarliges eller personopplysningsbehandlerens representant og den databeskyttelseansvarlige.

Behandlingskategoriene som er utført på vegne av Personopplysningsansvarlige.

Der det er passende, overføringer av personopplysninger til et tredje land eller en internasjonal organisasjon, inkludert identifisering av det tredje landet eller den internasjonale organisasjonen og dokumentasjonen av passende beskyttelsestiltak.

Der det er mulig, en generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak.

5.3.2 Skriftlige registre

Personopplysningsansvarliges oversikter skal være skriftlige, inkludert i elektronisk format.

5.4 Varslingsplikt

Personopplysningsbehandleren må varsle Personopplysningsansvarlige uten unødvendige forsinkelser dersom behandlingen av personopplysninger står i strid med avtalen, personvernforordningen eller andre lover. Personopplysningsbehandleren skal så avvente Personopplysningsansvarliges instrukser.

5.5 Informasjon

5.5.1 Utlevering av personopplysninger

Personopplysningsbehandleren må ikke utlevere personopplysninger eller informasjon i forbindelse med behandlingen av personopplysninger uten forhåndstillatelse fra Personopplysningsansvarlige, hvis ikke dette er bestilt av en relevant tilsynsmyndighet, eller hvis Personopplysningsbehandleren er nødt til å å gjøre dette i overensstemmelse med gjeldende bestemmelser.

5.5.2 Varslingsplikt ved kontakt

Personopplysningsbehandleren skal, uten unødvendige forsinkelser, varsle Personopplysningsansvarlige dersom personopplysningsbehandleren har blitt kontaktet av en kompetent tilsynsmyndighet, datasubjekt eller tredjepart for å få tilgang til personopplysninger behandlet av personopplysningsbehandleren.

5.6 Revisjon

5.6.1 Samsvarskontroll

Personopplysningsansvarlige har rett til, direkte eller gjennom en tredjepart, å gjennomføre revisjoner av personopplysningsbehandleren, eller på annen måte verifisere at personopplysningsbehandlerens databehandling samsvarer med avtalen og gjeldende bestemmelser. Under slike revisjoner eller inspeksjoner, skal personopplysningsbehandleren gi Personopplysningsansvarlige nødvendig assistanse.

5.6.2 Demonstrer samsvar med avtalen og gjeldende bestemmelser

Personopplysningsbehandleren skal på forespørsel og uten unødvendige forsinkelser demonstrere samsvar med avtaleforpliktelsene og gjeldende bestemmelser. Dette inkluderer, men er ikke begrenset til, en plikt til å levere dokumentasjon, demonstrere at adferdskodekser og sertifiseringer er møtt, samt aktivere og bidra til personopplysningsbehandlerens mulighet til å utføre nødvendige revisjoner og inspeksjoner.

5.6.3 Tilgang til personlig data

Personopplysningsbehandleren skal gi Personopplysningsansvarlige tilgang til alle personopplysninger som personopplysningsbehandleren behandler på vegne av Personopplysningsansvarlige. Dette inkluderer tilgang til informasjon og dokumenter som Personopplysningsansvarlige trenger for å utøve kontroll over personopplysningsbehandlerens samsvar med avtalen og gjeldende bestemmelser. Slik tilgang skal gis uten unødvendige forsinkelser, og i alle tilfeller innen 20 dager fra Personopplysningsansvarliges skriftlige forespørsel.

5.7 Sikkerhet og konfidensialitet

5.7.1 Risikoevaluering

The Personal Data Processor shall evaluate the risks of the processing and take measures, such as encryption, to mitigate them. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the latest development and implementation costs, in relation to the risks and the nature of the personal data to be protected.

5.7.2 Utføre sikkerhetstiltak

Personopplysningsbehandleren skal evaluere risikoene ved behandling og utføre tiltak, slik som kryptering, for å redusere dem. Disse tiltakene skal sikre et tilstrekkelig sikkerhetsnivå, inkludert konfidensialitet, og ta den nyeste utviklingen og implementeringskostnadene med i betraktningen, i forhold til risikoene og arten av personopplysninger som skal beskyttes.

5.7.3 Tilfredsstillende kunnskap og opplæring

Personopplysningsbehandleren er ansvarlig for at alle enkeltpersoner med tilgang til behandlede personopplysninger har tilstrekkelig kunnskap og opplæring til å behandle personopplysningene på en sikker og hensiktsmessig måte.

5.7.4 Endringer i behandlingen av personopplysninger

Dersom personopplysningsbehandleren har til hensikt å implementere endringer i behandlingen av personopplysninger, eller på annen måte implementere endringer som kan påvirke datasubjektenes sikkerhet, datasubjektenes rettigheter eller samsvar med avtalen eller gjeldende lovgivning, skal personopplysningsbehandleren varsle Personopplysningsansvarlige skriftlig på forhånd. Slike endringer må autoriseres av Personopplysningsansvarlige.

5.7.5 Bestemmelser om konfidensialitet og hemmelighold

Personopplysningsbehandleren er forpliktet til å behandle personopplysninger og annen informasjon i forbindelse med avtalen i samsvar med gjeldende regler for konfidensialitet. Personale som behandler personopplysninger har forpliktet seg til konfidensialitet og blitt informert om om at de er underlagt taushetsplikt i samsvar med avtalen eller nasjonal lovgivning.

5.7.6 Passende opplysninger om restriksjoner

Personopplysningsbehandleren skal sikre at alt personale, konsulenter og andre personer som personopplysningsbehandleren er ansvarlig for og som er autorisert til å behandle personopplysninger, er underlagt en passende lovbestemt taushetsplikt og har blitt informert om hvordan personopplysningene skal behandles.

5.7.7 Informasjon for personer med tilgang

Personopplysningsbehandleren er ansvarlig for å sikre at disse personene med tilgang til personopplysninger har blitt informert om hvordan personopplysningene skal behandles i samsvar med de dokumenterte instruksene fra Personopplysningsansvarlige. Personopplysningsbehandleren må også sørge for tilstrekkelig autorisasjonsadministrasjon.

5.8 Hendelser vedrørende personopplysninger

5.8.1 Utfør skadebegrensende tiltak

Ved mistenkt eller oppdaget hendelse vedrørende personopplysninger, skal personopplysningsbehandleren umiddelbart etterforske hendelsen, og ta de nødvendige stegene for å redusere potensielle negative konsekvenser.

5.8.2 Beskrivelse av hendelse vedrørende personopplysninger

Dersom Personopplysningsansvarlige ber om det, skal det sendes inn en beskrivelse av hendelsen vedrørende personopplysninger til ham innen 48 timer. En slik beskrivelse må inneholde minst

a) en beskrivelse av hendelsens art, inkludert, dersom det er mulig, kategoriene og et omtrentlig antall datasubjekter som er påvirket, så vel som kategoriene og et omtrentlig antall personopplysningsposter som er påvirket;

b) oppgi navnet og kontaktinformasjonen til databeskyttelsesansvarlig, eller andre kontaktpunkter der man kan innhente mer informasjon;

c) beskriv de sannsynlige konsekvensene av hendelsen vedrørende personopplysninger; og

d) beskriv tiltakene som er gjort eller foreslått av personopplysningsbehandleren for å adressere hendelsen vedrørende personopplysninger, inkludert, der det er passende, skritt for å redusere potensielle negative konsekvenser.

Dersom det ikke er mulig å oppgi denne informasjonen samtidig, kan informasjonen leveres separat uten ytterligere unødig forsinkelse.

5.8.3 Assistanse i gjennomføringen av forpliktelser relatert til hendelser vedrørende personopplysninger

Personopplysningsbehandleren skal assistere Personopplysningsansvarlige i gjennomføringen av forpliktelsene deres i samsvar med gjeldende bestemmelser for hendelser vedrørende personopplysninger, tatt i betraktning typen behandling og informasjon som personopplysningsbehandleren har tilgang til. Dette gjelder også dersom Personopplysningsansvarlige mistenker, eller har oppdaget, en hendelse vedrørende personopplysninger.

5.8.4 Varsling av en hendelse vedrørende personopplysninger

Personopplysningsbehandleren skal varsle Personopplysningsansvarlige uten unødvendige forsinkelser, og i alle tilfeller innen 30 timer, etter å ha blitt klar over en hendelse vedrørende personopplysninger.

5.8.5 Informasjon om hendelsen vedrørende personopplysninger

Et varsel i samsvar med overnevnte skal inneholde all informasjonen Personopplysningsansvarlige trenger for å følge sine forpliktelser i forhold til tilsynsmyndigheten.

5.8.6 Ubetinget forpliktelse til å varsle

Overnevnte forpliktelse til å varsle Personopplysningsansvarlige gjelder også dersom personopplysningsbehandleren av en hver annen grunn ikke kan oppfylle sine forpliktelser under avtalen eller de dokumenterte instruksjonene, alternativt blir klar over at personopplysninger har blitt behandlet i strid med avtalen.

5.9 Gi assistanse til Personopplysningsansvarlig

5.9.1 Konsekvensanalyser og forhåndskonsultasjon

Personopplysningsbehandleren skal, der det er passende og på forespørsel, assistere Personopplysningsansvarlige i oppfyllelse av sine forpliktelser under databeskyttelseforskriften som omhandler gjennomføring av konsekvensanalyser i forbindelse med databeskyttelse og forhåndskonsultasjon med tilsynsmyndigheten.

5.9.2 Oppfyllelse av forpliktelser relatert til datasubjektene

Personopplysningsbehandleren skal, der det er passende og på forespørsel, assistere Personopplysningsansvarlige i oppfyllelse av deres forpliktelser under bestemmelsene i databeskyttelseforskriften som omhandler datasubjektenes rettigheter.

6 Personopplysningsbehandlerens utpeking av underbehandler

6.1 Godkjenning av Personopplysningsbehandleren tildeling av underbehandler

Personopplysningsansvarlige godkjenner at Personopplysningsbehandleren ansetter en underbehandler i henhold til “Informasjon og instruksjoner for Personopplysningsansvarlig i Textalk / Abicart” (se Vedlegg 1).

6.2 Skriftlig tillatelse til å utpeke underbehandler

Personopplysningsbehandleren kan ikke utpeke en annen personopplysningsbehandler (underbehandler) uten å på forhånd ha mottatt en spesiell eller generell skriftlig autorisasjon fra Personopplysningsansvarlige.

6.3 Generell skriftlig autorisasjon

Dersom en generell skriftlig autorisasjon har blitt innhentet, skal personopplysningsbehandleren informere Personopplysningsansvarlige om alle intensjoner om å utpeke nye personopplysningsbehandlere eller å erstatte personopplysningsbehandlere, slik at Personopplysningsansvarlige har mulighet til å protestere mot slike endringer.

6.4 Risikofordeling

Utpekingen av en underbehandler av personopplysningsbehandleren gjøres for personopplysningsbehandlers egen risiko. Det endrer ikke ansvarsfordelingen mellom partene som angitt i avtalen.

6.5 Tilstrekkelig beskyttelsesnivå

Dersom Personopplysningsansvarlige godkjenner personopplysningsbehandlerens forespørsel om å utpeke en underbehandler, skal personopplysningsbehandleren utføre passende tiltak for å sikre at underbehandleren opprettholder et tilstrekkelig beskyttelsesnivå for alle behandlede personopplysninger, samt overholder de relevante delene av avtalen og gjeldende databeskyttelseforskrift.

6.6 Varsling om utpeking eller utskifting av underbehandler

Personopplysningsbehandleren skal, før noen tiltak igangsettes, og gitt at forespørselen om å utpeke en underbehandler har blitt godkjent av Personopplysningsansvarlige, informere Personopplysningsansvarlige om en hver utpeking eller utskifting av underbehandlere. Personopplysningsansvarlige skal ha muligheten til å protestere mot endringen som er foreslått av personopplysningsbehandleren. En slik protest utelukker databehandleren fra å implementere den foreslåtte endringen.

7 Skadeansvar

7.1 Ansvarsområdene til personopplysningsbehandleren

Personopplysningsbehandleren skal, i forhold til Personopplysningsansvarlige, kun være ansvarlig for eventuelle skader forårsaket som følge av behandlingen av personopplysninger, dersom personopplysningsbehandleren ikke har oppfylt forpliktelsene i henhold til gjeldende bestemmelser som spesifikt gjelder for personopplysningsbehandleren, eller dersom personopplysningsbehandleren har handlet utenfor, eller i strid med, avtalen.

Personopplysningsbehandleren skal være fritatt fra ansvar som ovenfor, dersom de kan vise at de ikke på noen måte er ansvarlige for hendelsen som forårsaket skaden.

7.2 Ansvarsområdene til Personopplysningsansvarlige

Personopplysningsansvarlige skal kompensere personopplysningsbehandleren for alle krav rettet mot personopplysningsbehandleren, gitt at kravet skyldes ufullstendige eller ukorrekte instrukser fra Personopplysningsansvarlige til personopplysningsbehandleren.

8 Avtalens varighet og endringer

8.1 Varighet

Avtalen vil tre i kraft fra datoen den er signert av begge parter, og mens personopplysningsbehandleren behandler personopplysninger i samsvar med Personopplysningsansvarliges intrukser.

8.2 Retur og sletting av personopplysninger

Etter behandlingen på vegne av Personopplysningsansvarlige er fullført, skal personopplysningsbehandleren returnere eller slette personopplysningene, med mindre lagring av nevnte personopplysninger eller lovpålagt. En hver retur av personopplysninger skal gjennomføres uten unødvendige forsinkelser, og i et generelt og leselig elektronisk format.

8.3 Personopplysningsansvarliges rett til å utføre endringer

Personopplysningsansvarlige kan kun utføre endringer i avtalen når det er nødvendig for å sikre samsvar med gjeldende lovverk.

8.4 Endring av avtalen

En hver endring i avtalen vil tre i kraft 30 dager etter personopplysningsbehandleren har blitt underrettet om endringen.

8.5 Personopplysningsbehandleren rett til å foreta endringer

Personopplysningsbehandleren kan kun be om endringer i avtalen når det er nødvendig for å sikre samsvar med gjeldende lovverk.

8.6 Samtykke til nye behandlingstyper

Dersom Personopplysningsansvarlige har til hensikt å utvide personopplysningsbehandlerens behandling av personopplysninger til å inkludere nye behandlingstyper, er personopplysningsbehandlerens uttrykkelige samtykke påkrevd.

9 Varsler

9.1 Skriftlige varsler

Varsler og kommunikasjoner under avtalen skal gjøres skriftlig. Varslene skal sendes ut til kontaktene som er navngitt nedenfor.

Personopplysningsansvarlig, #webshop_company_name {{webshop_owner_fullname}}, {{webshop_company_email}} {{webshop_company_address}}, {{webshop_company_zip}} {{webshop_company_city}}

Personopplysningsbehandlere, Abicart AB Robin Berglund Björk, gdpr@abicart.se Krokslätts fabriker 12, 431 37 Mölndal, Sweden

9.2 Skriftlig varsel om hendelse vedrørende personopplysninger

Varsler om hendelser vedrørende personopplysninger skal alltid sendes via e-post til gdpr@abicart.se

10 Tvist

10.1 Tolkning og implementering

Avtalen skal tolkes og implementeres i samsvar med svensk lovgivning. En hver tvist som omhandler tolkning eller implementering av avtalen skal avgjøres av de svenske domstolene.

11 Signaturer

For at denne avtalen skal kunne tre i kraft, må den signeres av en autorisert signatar for {{webshop_company_name}} {{webshop_organisation_number}}