Databehandleravtale

Denne avtalen er mellom: Dropper AS, org.nr. 927 661 411 ("Dropper", "Vi/Oss", "databehandler") og Kunde av Dropper AS ("kunde", "kunden", "bruker", "behandlingsansvarlig") Dropper AS betegnes heretter som "databehandleren". Kunde av Dropper er den behandlingsansvarlige for dataene som blir tilsendt Dropper. Både kunde og Dropper betegnes hver for seg som "part", og utgjør sammen "partene" i denne avtalen. Partene har avtalt følgende standardavtalevilkår ("Vilkårene") med henblikk på å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter.

Disse vilkårene fastsetter den behandlingsansvarlige- og databehandlerens rettigheter og plikter, når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige. Disse Vilkårene er utformet for å sikre partenes etterlevelse av artikkel 28, nr. 3 i Europaparlamentets- og Rådets forordning (EU) 2016/679 av 27. april 2016, om vern av fysiske personer i forbindelse med behandling av personopplysninger, og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen). I forbindelse med leveringen av Dropper behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene. Vilkårene har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.

Det er fire vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, type personopplysninger, kategoriene av registrerte og behandlingens varighet. Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere, og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent. Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjon av databehandleren- og eventuelle underdatabehandlere skal utføres. Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av Vilkårene. Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.

Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett og disse Vilkårene. Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.

Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvernbestemmelser.

Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig.

Den behandlingsansvarlige og databehandleren skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Avhengig av relevans kan tiltakene omfatte: • Pseudonymisering og kryptering av personopplysninger • Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet • Evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger ved hendelser • En prosess for regelmessig testing og vurdering av sikkerhetstiltak

Databehandleren må ikke bruke en underdatabehandler for å oppfylle Vilkårene uten på forhånd å ha innhentet en spesifikk skriftlig godkjennelse, eller en generell skriftlig godkjennelse fra den behandlingsansvarlige. Når databehandleren engasjerer en underdatabehandler, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene.

Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.

Databehandleren bistår den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger fra registrerte, herunder: • Opplysningsplikten ved innsamling av personopplysninger • Den registrertes rett til innsyn • Retten til retting og sletting • Retten til begrensning av behandling • Retten til dataportabilitet • Retten til å protestere

Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det. Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje innen 72 timer etter at databehandleren har fått kjennskap til bruddet.

Ved opphør av databehandlertjenestene skal databehandleren mot oppfordring fra behandlingsansvarlig, slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet. Ved terminering/avbrytelse av avtale, vil alle data lagres i 5 år, før de automatisk slettes av databehandleren.

Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Databehandleren forplikter seg til å gi tilsynsmyndighetene adgang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon.

Vilkårene trer i kraft på datoen for begge partenes godkjenning. Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhensiktsmessigheter i Vilkårene gir grunn til dette. Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.

A.1 Formål: Den behandlingsansvarlige kan benytte seg av systemene, tjenestene- og produktene som er eid og vedlikeholdt av databehandleren, for å håndtere ordrer, returer, forsendelser og alt i naturlig tilknytning for den behandlingsansvarlige sine data. A.2 Art: Databehandleren gjør tilgjengelig frakt-løsningen Dropper til den behandlingsansvarlige, og lagrer dermed personlig data som tilhører slutt-kundene til behandlingsansvarlige, kontakter, ordrer, og lignende. A.3 Personopplysninger: Fullt navn, adresse, kontakt-informasjon (e-post, telefon), opplysninger om bestillinger (varelinjer, beløp, betalingsmetoder), meta-data rundt betalingskortopplysninger, kunde-ID, type produkter, tidspunkt ved bestillinger. A.4 Kategorier av registrerte: Personer som er kontakter, kunder eller leverandører av behandlingsansvarlig, samt personer som benytter seg av tjenestene og produktene. A.5 Varighet: Behandlingen skal ikke være tids-begrenset, og skal utføres fremtil denne avtalen er terminert eller kansellert av minst én av partene.

B.1 Godkjente underdatabehandlere: Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av underdatabehandlere som er listet på dropper.no/underdatabehandlere B.2 Varsel: Databehandleren har det generelle samtykke av den behandlingsansvarlige for å legge til nye underdatabehandlere. Databehandleren skal informere behandlingsansvarlige ved planlagte endringer minimum 7 dager i forkant. Behandlingsansvarlige skal gi innvendinger innen 2 dager før de planlagte endringene skal tre i kraft.

C.1 Instruks: Databehandleren skal behandle personlig data med formålet om å booke forsendelser og andre tilknyttede tjenester på vegne av behandlingsansvarlig. C.2 Sikkerhet: All overføring og lagring av data skal skje under sikre og krypterte kommunikasjonskanaler. Lagring må skje med kryptering "at rest", sikrede tilganger (zero trust), avansert autentisering med 2FA, og begrenset tilgang av personale. Alle data skal være replikert og kryptert. Systemer skal testes jevnlig. C.3 Oppbevaring: Personopplysninger oppbevares på ubestemt tid under samarbeid. Ved terminering vil alle data lagres i 5 år, før de automatisk slettes.

Dropper AS Org.nr: 927 661 411 For spørsmål om databehandling eller revisjon: privacy@dropper.no Kostnader for teknisk bistand: 1700 NOK per time, eks. MVA