Privacy Policy

GDPR Databehandleravtale

1. Bakgrunn og generelt

1.1 Denne personopplysningsdatabehandleravtalen er inngått gjennom avtalen mellom Yabie (som personopplysningsdatabehandler) og Kunden (som behandlingsansvarlig). Avtalen regulerer Kundens bruk av Produktene og innebærer at Yabie vil behandle personopplysninger på vegne av Kunden.

1.2 Personopplysningsdatabehandleravtalen trer i kraft når Kunden begynner å bruke Produktene i samsvar med Avtalen, og gjelder så lenge Yabie behandler personopplysninger på vegne av Kunden.

2. Definisjoner

2.1 I denne Databehandleravtalen brukes følgende definisjoner:

“Tilgjengelig personvernlovgivning”

Alle gjeldende lover og forskrifter innenfor EU/EØS som gjelder behandling av personopplysninger i henhold til Databehandleravtalen (inkludert, men ikke begrenset til lov (2018:218) med tilleggsbestemmelser til EU’s personvernforordning og Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri flyt av slike opplysninger og oppheving av direktiv 95/46/EF (generell personvernforordning) («Personvernforordningen»)).

“Underdatabehandler”

Enhver annen databehandler som Yabie engasjerer for behandling av personopplysningene.

Andre ord og uttrykk med stor bokstav i denne Personopplysningsdatabehandleravtalen, som ikke er definert ovenfor, skal ha samme betydning som angitt i Avtalen eller som ellers fremgår av denne Personopplysningsdatabehandleravtalen. Andre begreper i denne Personopplysningsdatabehandleravtalen skal tolkes i samsvar med Personvernforordningen.

3. Behandling av personopplysninger

3.1 Kunden påtar seg fullt ansvar for å sikre at behandlingen av personopplysninger skjer i samsvar med gjeldende lover, inkludert innhenting av nødvendige lisenser, tillatelser eller godkjenninger for behandlingen.

3.2 Yabie skal kun behandle personopplysningene i samsvar med de dokumenterte instruksjonene fra Kunden som fremgår i Vedlegg 1 («Instruksjonen»), inkludert når det gjelder overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre Yabie har en plikt i henhold til EU-lovgivning (inkludert lovene i dens medlemsstater) å behandle personopplysningene. I slike tilfeller skal Yabie informere Kunden om lovpålagte krav før behandlingen starter, i den grad det er tillatt i henhold til gjeldende lov.

3.3 Denne databehandleravtalen, inkludert instruksjonen, utgjør alle instruksjoner fra Kunden til Yabie for behandlingen av personopplysninger under denne personopplysningsdatabehandleravtalen.

3.4 Med tanke på behandlingens art og den informasjonen som er tilgjengelig for Yabie, skal Yabie bistå Kunden med å sikre at Kundens plikter i henhold til gjeldende personvernlovgivning blir oppfylt.

4. Personell

Yabie skal sørge for at alle personer som Yabie er ansvarlig for og som behandler personopplysninger under denne personopplysningsdatabehandleravtalen, har forpliktet seg til å overholde konfidensialitet eller er underlagt en passende lovregulert taushetsplikt.

5. Sikkerhetstiltak

5.1 Yabie skal implementere passende tekniske og organisatoriske tiltak, inkludert, når relevant, tiltakene som nevnes i artikkel 32(1) i personvernforordningen, for å sikre et sikkerhetsnivå som er passende med hensyn til tilgjengelig teknologi, kostnadene for tiltakene, behandlingens art, omfang, kontekst og formål, samt risikoen for fysiske personers rettigheter og friheter.

5.2 Ved vurderingen av et passende sikkerhetsnivå skal Yabie særlig ta hensyn til risikoene ved behandlingen, spesielt risikoen for en personopplysningshendelse.

6. Underdatabehandlere

6.1 Kunden gir hermed Yabie tillatelse til å utpeke (og tillater at enhver Underdatabehandler utpekt i samsvar med denne avsnitt 6 også kan utpeke) Underdatabehandlere i samsvar med avsnitt 6. Ved inngåelsen av denne databehandleravtalen bruker Yabie de Underdatabehandlerne som er angitt i Vedlegg 2.

6.2 Yabie skal skriftlig informere Kunden på forhånd om ansettelsen av en ny Underdatabehandler, inkludert fullstendig informasjon om behandlingen som skal utføres av Underdatabehandleren. Hvis Kunden skriftlig fremsetter berettigede innsigelser mot ansettelsen av Underdatabehandleren, innen 5 arbeidsdager fra den dagen Kunden mottok Yabies melding, skal ikke Yabie ansette Underdatabehandleren.

6.3 Yabie skal med hensyn til hver ny Underdatabehandler:

6.3.1 Utføre en tilstrekkelig kontroll for å sikre at Underdatabehandleren kan tilby den beskyttelsesnivået for personopplysninger som kreves i henhold til gjeldende personvernlovgivning, før Underdatabehandleren begynner behandlingen av personopplysninger;

6.3.2 Sikre at det foreligger skriftlige avtaler mellom Yabie eller den mellomliggende Underdatabehandleren og Underdatabehandleren, som tilbyr minst samme beskyttelsesnivå for personopplysninger som det som er angitt i denne databehandleravtalen, og som oppfyller kravene i artikkel 28(3) i personvernforordningen; og

6.3.3 Levere kopier av avtalene med Underdatabehandlerne (som kan redigeres for å fjerne konfidensiell og kommersiell informasjon som ikke er relevant for kravene i denne databehandleravtalen) til Kunden for gjennomgang etter behov.

6.3.4 Yabie skal sørge for at hver Underdatabehandler utfører sine forpliktelser i henhold til denne databehandleravtalen.

7. Rettigheter for registrerte

7.1 Med tanke på behandlingens art skal Yabie hjelpe Kunden gjennom passende tekniske og organisatoriske tiltak, i den grad det er mulig, slik at Kunden kan oppfylle sin plikt til å svare på forespørsler om utøvelse av rettigheter for registrerte i henhold til gjeldende personvernlovgivning.

7.2 Yabie skal:

  • Umiddelbart informere Kunden hvis Yabie eller en ansett Underdatabehandler mottar en forespørsel fra en registrert angående personopplysninger i henhold til gjeldende personvernlovgivning; og
  • Ikke selv besvare og sørge for at den ansatte Underdatabehandleren ikke besvarer en slik forespørsel, med mindre det foreligger dokumenterte instruksjoner fra Kunden eller plikter i henhold til gjeldende personvernlovgivning. I tilfeller der det foreligger en rettslig plikt i henhold til gjeldende personvernlovgivning, skal Yabie, i den grad det tillates av gjeldende personvernlovgivning, informere Kunden om denne rettslige plikten før forespørselen besvares.

8. Personopplysningshendelse

8.1 Yabie skal umiddelbart varsle Kunden når Yabie eller en Underdatabehandler blir kjent med en personopplysningshendelse som påvirker personopplysninger under denne databehandleravtalen. Varselet skal gi Kunden tilstrekkelig informasjon for at Kunden skal kunne oppfylle sine plikter med å rapportere eller informere registrerte om personopplysningshendelsen i henhold til gjeldende personvernlovgivning.

8.2 Yabie skal samarbeide med Kunden og treffe rimelige forretningsmessige tiltak for å bistå i etterforskningen, dempingen og håndteringen av enhver slik personopplysningshendelse.

9. Konsekvensvurdering og forhåndskonsultasjon

9.1 Yabie skal yte rimelig støtte til Kunden ved eventuelle konsekvensvurderinger og forhåndskonsultasjoner med tilsynsmyndigheter eller andre kompetente personvernmyndigheter, som kreves i henhold til artikkel 35 eller 36 i personvernforordningen. En slik støtte skal bare gjelde behandling av personopplysninger utført av Yabie eller engasjerte Underdatabehandlere.

10. Sletting eller tilbakeføring av personopplysninger

10.1 Med forbehold om punkt 10.2 og 10.3 nedenfor skal Yabie umiddelbart og uansett innen 30 arbeidsdager etter avslutningen av avtalen slette personopplysningene, inkludert kopier av disse personopplysningene.

10.2 Kunden kan, etter eget ønske, ved skriftlig varsel til Yabie som må være mottatt av Yabie før personopplysningene er slettet i henhold til punkt 10.1, kreve at Yabie returnerer en fullstendig kopi av alle personopplysninger til Kunden gjennom en sikker filoverføring i et format som er rimelig og oppgitt av Kunden. Yabie skal imøtekomme en slik skriftlig forespørsel innen 30 arbeidsdager etter Kunden’s forespørsel.

10.3 Yabie og engasjerte Underdatabehandlere kan beholde personopplysninger i den utstrekning og i den tiden som kreves i henhold til gjeldende personvernlovgivning. Yabie skal da sikre konfidensialiteten til personopplysningene og at de bare behandles for de nødvendige formålene som er angitt i gjeldende personvernlovgivning.

10.4 Yabie skal på forespørsel fra Kunden levere en skriftlig bekreftelse til Kunden om at den har oppfylt forpliktelsene i avsnitt 10.

11. Revisjon (gransking)

11.1 Yabie skal gi Kunden tilgang til all informasjon som er nødvendig for å vise at de pliktene som følger av denne databehandleravtalen er oppfylt. Kunden eller en revisor utpekt av Kunden har rett til å gjennomføre revisjon, inkludert inspeksjoner, én gang per år i normal arbeidstid for å vurdere Yabies etterlevelse av denne databehandleravtalen. En slik revisjon skal forutgås av minimum 30 dagers forhåndsvarsel fra Kunden, der inspeksjonens innhold og omfang skal spesifiseres. Formålet med en slik revisjon er å kontrollere at Yabie følger de pliktene som er angitt i denne databehandleravtalen. Innholdet og omfanget av revisjonen skal ikke overstige det som er nødvendig med tanke på revisjonens formål. Med mindre det er avtalt skriftlig mellom partene, kan inspeksjon kun gjennomføres dersom revisjon i henhold til gjeldende personvernlovgivning ikke kan gjennomføres ved at Yabie gir informasjon. Alle kostnader knyttet til revisjonen skal bæres av Kunden.

11.2 En revisjon i henhold til punkt 11.1 forutsetter at Kunden, eller en revisor utpekt av Kunden, har inngått nødvendige taushetsforpliktelser og følger Yabies sikkerhetsbestemmelser på stedet der inspeksjonen skal gjennomføres, og at inspeksjonen gjennomføres uten urimelig risiko for å hindre Yabies virksomhet eller risikere beskyttelsen av informasjon som gjelder tredjepart. Informasjon som samles inn som en del av revisjonen skal umiddelbart slettes etter fullført inspeksjon eller så snart informasjonen ikke lenger er nødvendig for formålet med revisjonen.

12. Ansvarsbegrensning

12.1 Yabie er ansvarlig for direkte skade som oppstår som følge av behandlingen av personopplysninger i den grad Yabie handler utenfor eller i strid med Kundens lovlige instruksjoner. Ellers er Kunden ansvarlig for all direkte eller indirekte skade forårsaket av behandlingen av personopplysninger under denne databehandleravtalen og i samsvar med instruksjonene som strider mot gjeldende lov. I den grad det er tillatt etter gjeldende lov, skal Yabies totale ansvar for skade eller tap (uavhengig av hvordan skaden eller tapet har oppstått, inkludert eventuelle skader eller tap forårsaket av uaktsomhet) under denne databehandleravtalen være begrenset i henhold til ansvarsbegrensningene som fremgår av avtalen

12.2 Uavhengig av det som fremgår ovenfor, skal Kunden holde Yabie skadesløs hvis og i den grad Yabie blir holdt ansvarlig av en registrert eller tredjepart for ulovlig eller urettmessig behandling av personopplysninger, med mindre et slikt ansvar har oppstått som følge av at Yabie ikke har oppfylt forpliktelsene i denne databehandleravtalen. Kunden skal også holde Yabie skadesløs hvis og i den grad Yabie blir holdt ansvarlig av en registrert eller tredjepart for ulovlig eller urettmessig behandling av personopplysninger hvis et slikt ansvar har oppstått som følge av instruksjonene.

12.3 En part som er gjenstand for krav fra en registrert skal innen rimelig tid skriftlig informere den andre parten om slike krav når det er sannsynlig at krav kan rettes mot den andre parten i henhold til denne delen 12. Den første parten skal gjøre relevant dokumentasjon angående den registrerte tilgjengelig for den andre parten og tillate den andre parten å komme med forslag i saken. En part må kreve erstatning fra den andre parten i samsvar med denne klausul 12.3 senest to (2) år etter at den er holdt ansvarlig for skader til den registrerte.

12.4 Når denne databehandleravtalen opphører, uavhengig av årsak, skal dette punktet 12 være fortsatt bindende for partene.

13. Endringer og tillegg

13.1 Endringer og tillegg til denne databehandleravtalen og/eller instruksen, inkludert denne punkt 13, skal for å være bindende utarbeides skriftlig og underskrives av begge parter.

13.2 Dersom gjeldende personvernlovgivning endres i løpet av denne databehandleravtalen, eller hvis en kompetent tilsynsmyndighet utsteder retningslinjer, beslutninger eller forskrifter om anvendelsen av gjeldende personvernlovgivning som medfører at denne databehandleravtalen ikke oppfyller kravene til databehandleravtaler, eller avtalen endres, skal denne databehandleravtalen endres for å imøtekomme slike nye eller tilleggskrav og/eller endringer.

14. Annet

14.1 Denne databehandleravtalen utgjør partenes fullstendige regulering av formålet med denne databehandleravtalen og erstatter alle tidligere og samtidige forhandlinger og avtaler, både skriftlige og muntlige, mellom partene knyttet til dette. Hvis bestemmelsene i denne databehandleravtalen kommer i konflikt med bestemmelsene i en annen avtale mellom partene, skal bestemmelsene i denne databehandleravtalen ha fortrinn. Dette gjelder imidlertid ikke bestemmelsene i en senere inngått avtale som uttrykkelig angir at den skal ha fortrinn for bestemmelsene i denne databehandleravtalen.

14.2 Hvis en bestemmelse i denne databehandleravtalen blir ugyldig eller ikke kan håndheves, forblir resten av denne databehandleravtalen gyldig. Den ugyldige eller ikke-håndhevbare bestemmelsen skal enten (i) endres slik at den blir nødvendig for å sikre gyldighet og håndhevbarhet, samtidig som partenes intensjoner bevares i størst mulig grad, eller hvis dette ikke er mulig, (ii) tolkes på en måte som innebærer at den ugyldige eller ikke-håndhevbare bestemmelsen aldri har vært en del av denne databehandleravtalen.

15. Tvisteløsning og gjeldende lov

15.1 Denne databehandleravtalen skal tolkes og anvendes i samsvar med norsk rett, med unntak av slike internasjonale privatrettslige bestemmelser som medfører anvendelse av loven i en annen jurisdiksjon

15.2 Enhver tvist som oppstår i forbindelse med denne databehandleravtalen skal endelig avgjøres i samsvar med bestemmelsene om tvisteløsning i avtalen.

Bilag 1 til Databehandleravtale – Instruksjon

Kassesystemet

1 Behandling

1.1 Yabie vil behandle personopplysninger på vegne av Kunden så lenge Kunden bruker Kassesystemet.

2. Kategorier av registrerte

2.1 Yabie skal behandle personopplysninger knyttet til følgende typer registrerte:

2.1.1 Enkeltpersoner som kjøper varer i Kundens lokaler; og

2.1.2 Ansatte som jobber i Kundens lokaler.

3. Formål

3.1 Personopplysningene vil bli lagret og behandlet av Yabie som en del av leveransen av Kassesystemet. Yabie og dets ansatte vil kun ha tilgang til personopplysningene for å levere Kassesystemet i samsvar med avtalen og denne Databehandleravtalen, inkludert å gi teknisk støtte. Teknisk støtte inkluderer at Yabie kan bruke såkalt «Mobile Device Management» (MDM) i forhold til Kundens maskinvare, slik at Yabie kan få fjernaksess og behandle personopplysninger som Yabie får tilgang til.

3.2 Personopplysningene vil også behandles i forbindelse med leveransen av Kassesystemet for å overholde skattelovgivningen i de landene og områdene der Kunden bruker Kassesystemet og for å forhindre svindel.

4. Typer personopplysninger

4.1 Ansatte/aktive hos Kunden: Navn, e-postadresse, personnummer (tidrapportering), personlige autentiseringsopplysninger (brukernavn og passord), rolle i systemet, siste påloggingstid og dato, siste brukte IP-adresse, antall ganger den ansatte har logget på i systemet, ordre, tidligere kjøp og kvitteringer knyttet til den ansatte (bestillings-/kvitterings-/kjøps-ID), ordrestatus, varenummer, varebeskrivelser, priser og merverdiavgiftssatser, utstyrsserienummer, kjøpssteder (butikker), GPS-posisjon for butikker, salgssted-ID, tid og dato for kjøp, betalingsmetoder og styringsenhet-ID.

4.2 Sluttkunde: Navn, e-postadresse, mobilnummer, adresse, kjønn, fødselsdato, fritekstsnotater knyttet til kunden, bestillinger, tidligere kjøp og kvitteringer (bestillings-/kvitterings-/kjøps-ID), ordrestatus, varenummer, priser og merverdiavgiftssatser, kjøpssteder (butikker), GPS-posisjon for butikker, salgssted-ID, tid og dato for kjøp, betalingsmetoder, maskerte kortnumre og leveringsinformasjon (type levering, detaljer, status).

Yabie Online

1. Behandling

1.1 Yabie vil behandle personopplysninger på vegne av Kunden så lenge Kunden bruker Yabie Online.

1.2 Betalingstjenesteleverandøren som Kunden inngår avtale med for å håndtere betalinger via Yabie Online, er behandlingsansvarlig for personopplysningene som behandles i forbindelse med slik betaling.

2. Kategorier av registrerte

2.1 Yabie skal behandle personopplysninger knyttet til følgende typer registrerte:

2.2 Forbrukere som bestiller fra Kunden via nettstedet.

3. Formål

3.1 Personopplysningene vil bli lagret og behandlet av Yabie som en del av leveransen av Yabie Online. Yabie og dets ansatte vil kun ha tilgang til personopplysningene for å levere Yabie Online i samsvar med avtalen og denne Databehandleravtalen, inkludert å gi teknisk støtte. Teknisk støtte inkluderer at Yabie kan bruke såkalt «Mobile Device Management» (MDM) i forhold til Kundens maskinvare, slik at Yabie kan få fjernaksess og behandle personopplysninger som Yabie får tilgang til.

4. Typer personopplysninger

4.1 Forbrukere: Navn, kontaktinformasjon (slik som e-postadresse, telefonnummer og adresse), ordreinformasjon og betalingsopplysninger.

Bilag 2 til Databehandleravtale – Underleverandører

Underleverandører som brukes av Yabie

  • Amazon Web Services Inc., 1200 12th Ave South, Ste 1200, Seattle, WA 98144, USA. Behandling av personopplysninger skjer i Tyskland, Irland og Frankrike.
  • MongoDB Inc., 229 W 43rd Street, 5th Floor, New York, NY 10036, USA. Behandling av personopplysninger skjer i Irland.
  • Bambora Device AB, Hammarby kaj 10D, 120 32 Stockholm, Sverige.
  • Infrasec Sweden AB, Regeringsgatan 67, 111 56 Stockholm.
  • ProMobi Technologies (Scalefusion), IT Park, 101-B, Gamma-1, Giga Space, Pune – Ahmednagar Hwy, Viman Nagar, Pune, Maharashtra 411014. Behandling av personopplysninger skjer i Amsterdam, Nederland.
  • Softpay Aps, Æbeløgade 4, 1. DK-2100 Copenhagen Ø, CVR 41352272. Behandling av personopplysninger skjer i Irland.

 

Last ned PDF