Databehandleravtale

Gjelder fra og med 15.08.2022

Sist oppdatert 15.08.2022

Denne databehandleravtalen («DBA») er en del av og underlagt bestemmelsene i SumUps vilkår for e-handel («avtalen», «ytterligere vilkår»), personvernerklæringen og alle andre gjeldende vilkår fra SumUp (her «vilkår», «personvernerklæring») som er inngått og avtalt av deg og SumUps forhandler («du», «deg», «behandlingsansvarlig») og SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland D02 K580 («SumUp», «vi», «databehandler»), en del av selskapsgruppen SumUp S.A.R.L. – SumUp-gruppen.

Hver part godtar og forsikrer at vilkårene i denne databehandleravtalen også fullt ut skal gjelde deres tilknyttede selskaper som måtte være involvert i behandlingen av personopplysninger for tjenestene som er definert i ekstravilkårene. Spesifikt vil SumUp sørge for at alle underbehandlere opererer innenfor de samme vilkårene som i denne databehandleravtalen når dine kunders opplysninger behandles.

For å kunne levere tjenestene til deg i henhold til ekstravilkårene, behandler SumUp opplysningene til kunder eller besøkende på nettstedet eller tjenestene dine («dine kunder», «kunder»). Behandlingen av slike opplysninger av SumUp betegnes heretter som «behandling» (slik dette begrepet er definert i personvernforordningen). Følgende databehandleravtale styrer vilkårene for slik behandling av SumUp.

1. Definisjoner

1.1. «Gjeldende personvernlovgivning» refererer til forordning 2016/679/EU («personvernforordningen», «GDPR», «forordningen») samt annen gjeldende lovgivning som styrer behandlingen av personopplysninger, inkludert, der det gjelder, kommunikasjonsverndirektiv 2002/58/EF.

1.2. Begrepene «behandlingsansvarlig»«den registrerte»«personopplysninger», «behandle», «behandling» og «databehandler» defineres slik de defineres i personvernforordningen.

1.3. «Innhold» viser til innholdet ditt og innhold som leveres av SumUp til kundene dine, inkludert, uten begrensninger, tekst, fotografier, bilder, lyd, video, kode, informasjon fra informasjonskapsler eller lignende sporingsmekanismer, og alt ytterligere materiale.

1.4. «Dine kunders opplysninger viser til personopplysninger i innholdet til kunden(e) din(e) som behandles av SumUp på dine vegne som en del av tjenesten. Dine kunders opplysninger inkluderer ikke personopplysninger der slike opplysninger styres av SumUp.

Alle definisjoner som brukes i databehandleravtalen, men som ikke har en eksplisitt definisjon i denne delen, har samme definisjon som definert i ekstravilkårene. Hvis ingen spesifikk definisjon er gitt i ekstravilkårene eller vilkårene, vil betydningen være den som er gitt i personvernforordningen eller i de gjeldende reglene hvis de ikke er definert i forordningen.

2. Anvendelighet. Denne databehandleravtalen gjelder for dine kunders opplysninger og bare hvis personvernforordningen gjelder. Du samtykker i at SumUp ikke er ansvarlig for personopplysninger som du har valgt å behandle via tredjepartstjenester eller utenfor tjenestene, inkludert systemer tilhørende tredjeparters skytjenester, offline eller lagring på stedet.

3. Informasjon om behandling av personopplysninger

3.1. Emneområde. Emneområdet til behandlingen i henhold til denne DBA er dine kunders opplysninger.

3.2. Varighet. Mellom deg og oss avgjøres varigheten av behandlingen av opplysninger i henhold til denne databehandleravtalen av deg og for den valgte perioden der du velger å bruke tjenestene våre.

3.3. Formål. Formålet med denne databehandlingen i henhold til denne databehandleravtalen er levering og forbedring av tjenestene som opprettes av deg. 

3.4. Behandlingens natur. Tjenestene som beskrevet i ekstravilkårene og som startet av deg fra tid til annen.

3.5. Kategorier av personopplysninger. Dine kunders opplysninger i tilknytning til deg, dine kunder eller andre enkeltpersoner hvis personopplysninger er inkludert i innhold som behandles som en del av tjenestene i henhold til de gitte instruksjonene. Disse opplysningene inkluderer, men er ikke begrenset til, dine kunders navn, e-postadresser, mobil-/telefonnumre, postadresser, bankopplysninger, transaksjonshistorikker og IP-adresser. Særlige kategorier av personopplysninger, deriblant opplysninger i tilknytning til domfellelser og lovbrudd, skal ikke behandles under tjenestene, og de er ekskludert fra vilkårene i denne databehandleravtalen. Hvis slike opplysninger behandles mens tjenestene våre brukes, skjer dette uten SumUps kjennskap, og du bør slette slik informasjon umiddelbart etter at du har identifisert slik behandling.

3.6. Kategorier av registrerte. Du, dine kunder og dine kunders potensielle kunder og alle andre enkeltpersoner hvis personopplysninger er inkludert i innholdet.

4. Rettigheter og forpliktelser

4.1. I den grad dine kunders opplysninger behandles av SumUp på dine vegne og denne behandlingen er underlagt personvernforordningen (forordning 2016/679/EU, også kjent som «GDPR»), bekrefter og godtar du at du er behandlingsansvarlig av disse personopplysningene for formålene med bestemmelsene for tjenestene som leveres av SumUp, og at du, ved å bruke SumUps tjenester, har instruert SumUp til å behandle dine kunders opplysninger på dine vegne og i samsvar med denne databehandleravtalen.

4.2. Du kan trekke tilbake ditt samtykke til denne DBA til enhver tid, men ved å gjøre dette, vil ikke SumUp lenger kunne levere tjenesten til deg.

4.3. SumUp i sin rolle som databehandler:

A. behandler dine kunders opplysninger til formålene som er spesifisert i databehandleravtalen og i henhold til gjeldende lov og databehandleravtalen;

B. kan bare handle og behandle dine kunders personopplysninger i henhold til dine dokumenterte instruksjoner, med mindre det er påkrevd av loven, rettsordre eller rettsakt å handle uten slike instruksjoner. Dine instruksjoner, når denne databehandleravtalen inngås, innebærer at SumUp bare kan behandle dine kunders opplysninger for formålet med å levere tjenestene som beskrevet i databehandleravtalen og ekstravilkårene. Du kan utlevere ytterligere skriftlige instruksjoner som samsvarer med vilkårene i denne databehandleravtalen underlagt vilkårene i denne databehandleravtalen og etter gjensidig avtale mellom begge parter;

C. garanterer at personene som har autorisasjon til å behandle personopplysninger har forpliktet seg til å overholde taushetsplikt og er juridisk forpliktet til å overholde taushetsplikt:

D. garanterer at tilgangen til personopplysninger bare er gitt der det er nødvendig med hensyn til ytelsen av tjenestene i henhold til ekstravilkårene;

E. er ansvarlig for å sikre at ansatte/underleverandører og/eller alle agenter som behandler dine kunders opplysninger, bare behandler personopplysninger i henhold til instruksjonene dine;

F. vil informere deg umiddelbart hvis vi mener at noen av instruksjonene dine er i strid med gjeldende personvernlovgivning;

G. er forpliktet til å beskytte dine kunders opplysninger mot destruering, endring, tap og annen uautorisert behandling i henhold til denne databehandleravtalen. For dette formålet iverksetter SumUp rimelige sikkerhetstiltak i henhold til gjeldende lov. Tekniske og organisatoriske tiltak som brukes av SumUp, er avhengige av teknisk utvikling. Det er mulig at SumUp kan ta i bruk alternative behørige tiltak. Det er ikke mulig å redusere nivået av definerte sikkerhetstiltak når slike alternativer tas i bruk. SumUp vil hjelpe deg med rimelige tekniske og organisatoriske tiltak som påkrevd, og vil, med hensyn til behandlingens natur og kategorien av informasjon som er tilgjengelig for SumUp, hjelpe til med å sikre samsvar med forpliktelsene dine i henhold til gjeldende personvernlovgivning.

H. vil, etter en fornuftig forespørsel fra deg, gjøre sertifiseringer tilgjengelige som demonstrerer SumUps samsvar med forpliktelser i henhold til denne databehandleravtalen og gjeldende personvernlovgivning, og/eller gjøre informasjon tilgjengelige for å demonstrere samsvar med forpliktelser i henhold til denne databehandleravtalen og gjeldende personvernlovgivning. Informasjonen som skal gjøres tilgjengelig av SumUp er begrenset til kun nødvendig informasjon, med hensyn til tjenestenes natur og informasjonen som er tilgjengelig for SumUp, for å hjelpe deg med å overholde dine forpliktelser, spesielt med hensyn til personvernforordningens art. 23 og 36 (forpliktelser i forbindelse med vurdering av personvernkonsekvenser, forhåndsdrøftinger og sikring av personopplysninger);

I. vil, innenfor rimelige tidsrammer, med rimelige tiltak og i den grad det er mulig (med hensyn til behandlingens natur) hjelpe deg med å overholde de registrertes rettigheter og alle andre relevante forpliktelser i henhold til personvernlovgivning, inkludert personvernforordningen;

J. vil varsle deg, der det er tillatt av gjeldende lov, ved mottak av en forespørsel eller klage fra en enkeltperson hvis personopplysninger er inkludert i innholdet ditt, eller et bindende krav fra statlige eller rettshåndhevende myndigheter, tilsynsorgan eller annet organ, med hensyn til dine kunders opplysninger som vi behandler på dine vegne og i henhold til dine instruksjoner.

4.4. Du i rollen som personlig behandlingsansvarlig:

A. vil samle inn, bruke og behandle personopplysninger i innholdet i samsvar med enhver og all gjeldende personvernlovgivning;

B. har alene ansvaret for nøyaktigheten, kvaliteten og den lovmessige behandlingen av dine kunders opplysninger og metodene for hvordan de samles inn;

C. vil sikre et rimelig sikkerhetsnivå når tjenestene brukes, og vurdere eventuelle risikoer i forbindelse med dine kunders opplysninger;

D. bekrefter at du alene påtar deg risikoen og er ansvarlig for oppbevaring og/eller overføring av deg av dine kunders opplysninger til tredjeparter eller plattformer annet enn SumUp.

E. sikrer at dine instruksjoner i forbindelse med behandling av personopplysninger samsvarer med alle lover, forskrifter og regler som gjelder i forhold til dine kunders opplysninger. Du vil også påse at behandlingen av dine kunders opplysninger i henhold til instruksjonene dine ikke forårsaker eller resulterer i at vi eller du bryter lover, regler eller forskrifter (deriblant personvernforordningen).

5. Varsler om brudd. Parten skal umiddelbart (og ikke senere enn 48 timer) informere den andre parten etter at vedkommende oppdager brudd på personvern tilknyttet personopplysninger som behandles i forbindelse med denne databehandleravtalen. SumUp vil hjelpe deg med å overholde dine varslingsforpliktelser i henhold til personvernforordningen artikkel 33 og 34, levere slik informasjon til deg om brudd som vi rimelig kan utlevere til deg, med hensyn til våre tjenesters natur, informasjonen som er tilgjengelig for oss og eventuelle begrensninger for utlevering av denne informasjonen, deriblant taushetsplikt. Til tross for foregående, gjelder SumUps forpliktelser i denne delen ikke for hendelser som forårsakes av deg, aktiviteter på kontoen din og/eller tredjepartstjenester. SumUp er forpliktet til å samarbeide og støtte deg i forbindelse med etterforskningen, reduksjonen av negative konsekvenser og retting av personvernbrudd, samt forebygging av lignende brudd i fremtiden. SumUps varsel om personvernbrudd vil ikke anses som en bekreftelse av SumUp når det gjelder feil eller ansvar i forbindelse med en slik hendelse. Ved personvernbrudd er du forpliktet til å treffe de nødvendige tiltakene i henhold til gjeldende lov i forbindelse med dine kunders opplysninger.

6. Underbehandlere. Du gir herved SumUp generell autorisasjon til å bruke underbehandlere for å levere tjenestene uten ytterligere skriftlig og spesifikk autorisasjon. SumUp vil inngå en avtale med hver for å sikre disse underleverandørs samsvar med vilkår som sikrer minst det samme beskyttelsesnivået som denne databehandleravtalen. Hvis du protesterer mot en underleverandør og denne protesten er rimelig og tilknyttet personvernbekymringer, vil vi bruke kommersielt rimelige tiltak for at du skal få tilgang til måter å unngå behandlingen av dine kunders opplysninger av den berørte underleverandøren. Hvis vi ikke kan utføre slike foreslåtte endringer innenfor en rimelig tidsperiode, vil vi varsle deg, og hvis du fremdeles protesterer mot bruken vår av denne underleverandøren, vil du kunne avslutte kontoen din eller, der det er mulig, delene av tjenestene som involverer bruken av denne underleverandøren.

7. Overføring av personopplysninger. Behandlingen av dine kunders opplysninger skal skje innenfor grensene til det europeiske økonomiske samarbeidsområde (EØS). Enhver overføring til og behandling i tredjeland utenfor EU/EØS som ikke garanterer et rimelig beskyttelsesnivå i henhold til EU-kommisjonen, skal utføres i henhold til standard kontraktsvilkår eller annen rimelig mekanisme som garanterer et rimelig personvernnivå i henhold til kravene i kapittel V i personvernforordningen.

8. Kontroller. Du har rett til å starte en gjennomgang av SumUps forpliktelser i henhold til denne databehandleravtalen én gang per år. Hvis dette kreves av SumUp i henhold til gjeldende lov, kan kontroller gjentas én gang per år. Partene avgjør sammen om en tredjepart skal utføre kontrollen. Men du kan tillate at vi utfører sikkerhetsvurderingen via en nøytral tredjepart valgt av oss, hvis det er et behandlingsmiljøet der flere behandlingsansvarliges opplysninger behandles. Hvis kontrollen foreslåtte omfang følger en sertifiseringsrapport som ISO eller lignende, som utføres av en kvalifisert tredjeparts kontrollør innen de foregående tolv månedene og SumUp bekrefter at ingen vesentlige endringer ble gjort i tiltakene som vurderes, vil dette være tilstrekkelig for forespørsler som mottas i dette tidsrommet. Kontroller kan ikke i urimelig grad påvirke SumUps virksomhet som uvanlige aktiviteter. Du er ansvarlig for alle kostnader som måtte oppstå i forbindelse med kontrollforespørselen din.

9. Ansvar. Hver parts ansvar i henhold til denne databehandleravtalen er underlagt eksklusjonene og begrensingene for ansvar som angitt i ekstravilkårene og/eller vilkårene. Du godtar at alle forskriftsmessige straffer eller krav fra registrerte eller andre som pådras av SumUp i forbindelse med dine kunders personopplysninger som følge av, eller i forbindelse med, at du ikke retter deg etter forpliktelsene dine i henhold til denne databehandleravtalen eller den gjeldende personvernlovgivningen, skal redusere SumUps maksimale totalansvar til deg i henhold til ekstravilkårene og/eller vilkårene til samme sum som gebyrene og/eller ansvaret påregnet oss som resultat.

10. Opphør. Denne databehandleravtalen skal gjelde så lenge du bruker SumUps tjenester. Men hvis SumUp er pålagt, i henhold til vilkårene i denne databehandleravtalen eller SumUps vilkår, å oppbevare personopplysningene til kundene dine etter at tjenestene er bragt til opphør, vil denne databehandleravtalen fortsatt gjelde så lenge det kreves at SumUp oppbevarer slike personopplysninger. Når bruken av tjenestene opphører, og med mindre SumUp er pålagt å oppbevare dine kunders opplysninger i henhold til SumUps ekstravilkår og/eller vilkår, alle avtaler eller gjeldende lov, skal SumUp, etter skriftlig forespørsel fra deg, slette dine kunders personopplysninger så snart det er rimelig mulig og i henhold til SumUps vilkår og gjeldende lover.

11. Diverse.

11.1. Ved konflikter mellom bestemmelsene i denne databehandleravtalen og enhver av SumUps ekstravilkår og/eller vilkår, vil bestemmelsene i denne databehandleravtalen gjelde.

11.2. Du er ansvarlig for alle kostnader og utgifter som følge av SumUps overholdelse av instruksjonene eller forespørslene dine i henhold til ekstravilkårene (inkludert denne databehandleravtalen) som faller utenfor standardfunksjonene som leveres av SumUp generelt via tjenestene.

11.3. SumUp har rett til å endre og/eller justere enhver av vilkårene i denne databehandleravtalen som kan være påkrevd fra tid til annen. Endringer i avtalen kan gjøres av SumUp i et separat vedlegg eller på en annen synlig måte, og kommuniseres på en forsvarlig måte.

11.4. Alle spørsmål vedrørende denne databehandleravtalen eller andre forespørsler om behandling av opplysninger må sendes til [email protected] SumUp vil forsøke å løse klager i forbindelse med bruken av dine kunders opplysninger i henhold til denne databehandleravtalen, vilkårene og SumUps interne retningslinjer.

11.5. Hvis en av bestemmelsene i databehandleravtalen anses å være ugyldig, skal ikke dette påvirke de gjenværende bestemmelsene. Partene skal skifte ut ugyldige bestemmelser med en rettslig bestemmelse som reflekterer formålet til den ugyldige bestemmelsen.

11.6. Denne avtalen skal styres av og tolkes i samsvar med irsk lov. Enhver tvist som følge av eller i forbindelse med denne avtalen skal føres og løses av de irske domstoler, med unntak av der dette er forbudt ved EU-lov.