Databehandleravtale

Gjelder fra april 2020

Sist oppdatert 09/03/2022

Mellom:

Brukere og abonnenter av SumUps fakturerings- og regnskapstjenester (heretter kalt «kunden» eller «behandlingsansvarlig») og

SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland D02 K580, mva: IE9813461A (heretter «SumUp» eller «databehandler») 

hver en «part»; samlet «partene», 

HAR BLITT ENIGE om vilkårene i denne databehandleravtalen (heretter omtalt som «DBA» eller «avtale») om personvern i henhold til behandlingen av personopplysninger når kunden innehar rollen som behandlingsansvarlig og SumUp fungerer som databehandler, for å innfri tjenesteforpliktelsene som er beskrevet i vilkårene og betingelsene til SumUps fakturering og regnskapsføring i tjenesteavtalen (informasjon nedenfor). Som del av innfrielse av disse tjenesteforpliktelsene, vil SumUp behandle visse personopplysninger på vegne av behandlingsansvarlig i samsvar med vilkårene i denne kontrakten. Hver part godtar og forsikrer at vilkårene i denne kontrakten også fullt ut skal gjelde vedkommendes partnere som kan være involvert i behandlingen av personopplysninger for prosjekter definert i vilkårene og betingelsene for SumUps fakturering og regnskapsføring, i tjenesteavtalen. Spesifikt vil SumUp sikre at alle underbehandlere opererer innenfor de samme vilkårene som i denne avtalen når kundens personopplysninger behandles. 

Innledning og definisjoner

Personopplysninger defineres som informasjon tilknyttet den registrerte og som, direkte eller indirekte, kan identifisere vedkommende, især i tilknytning til en identifikator som navn, ID-nummer, plasseringsdata, en nettbasert identifikator eller til én eller flere faktorer som er spesifikke for den fysiske, psykologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til denne naturlige personen eller juridiske enheten (der det er aktuelt).

Alle andre definisjoner referert til her, inkludert begrepene behandlingsansvarlig og databehandler, fastsettes i henhold til gjeldende personvernlovgivning, inkludert EUs personvernforordning 2016/679 av 27. april 2016 (heretter «personvernforordning»).

Sensitive personopplysninger skal ikke behandles som del av applikasjonstjenesten som tilbys av databehandleren (SumUp-fakturering og -regnskapsføring), og er utelukket fra vilkårene i denne avtalen.

Når partene registrerer seg for SumUps fakturerings- og regnskapsprogram og godtar vilkårene og betingelsene, inkludert personvernerklæringen og denne DBA, samtykker partene under all nasjonal personvernlovgivning og personvernforordningen at denne avtalen styrer forholdet mellom behandlingsansvarlig og databehandleren, og bestemmer behandlingen av personopplysninger av SumUp og kundens data. Denne avtalen har forrang med mindre den erstattes av en annen signert DBA som kommuniserer sin forrang over denne avtalen.

Formålet med SumUps behandling av personopplysninger på vegne av kunden er å sikre kundens fulle bruk av tjenesten og å tilrettelegge for oppfyllelse av avtalen. SumUp sikrer at personopplysningene til enhver tid er tilstrekkelig sikret.

Begge parter bekrefter sin autoritet til å signere avtalen gjennom signatur.

Databehandleres ansvar

Databehandlere må håndtere alle personopplysninger på vegne av behandlingsansvarlig og følge vedkommendes instruksjoner. Ved å inngå denne avtalen, instrueres SumUp (og alle underbehandlere som databehandleren har juridiske avtaler om tjenester med) til å behandle kundens personopplysninger:

  1. I samsvar med alle nasjonale og europeiske lover

  2. Å innfri forpliktelsene i henhold til vilkårene og betingelsene for SumUps fakturering og regnskapsføring

  3. som videre instruert av den behandlingsansvarlige

  4. som beskrevet i denne avtalen

Som del av leveringen av denne applikasjonen er databehandleren pålagt å alltid gi kunden tilstrekkelige løsninger for fortsatt utvikling av virksomheten deres ved å bruke denne tjenesten. Databehandleren sporer hvordan kunden bruker applikasjonen for å kunne gi de beste forslagene, for å til enhver tid levere relevante tjenester og for å sende den mest nøyaktige kommunikasjonen for fortsatt bruksfunksjonalitet og tilfredshet. I den grad behandling av personopplysninger fra programmet er en del av dette, behandles de bare i samsvar med denne databehandleravtalen og gjeldende lov, og deles bare som påkrevd for å levere en bedre opplevelse for kunden.

Med hensyn til tilgjengelig teknologi og implementeringskostnader samt omfang, kontekst og formål av behandlingen, skal databehandleren treffe alle rimelige tiltak – deriblant tekniske og organisatoriske tiltak – for å sikre et tilstrekkelig sikkerhetsnovå i forbindelse med risiko og kategorien av personopplysninger som beskyttes. Databehandleren skal assistere den behandlingsansvarlige med rimelige tekniske og organisatoriske tiltak som påkrevd, og med hensyn til behandlingens natur og kategorien av informasjon som er tilgjengelig for databehandlere, sikre overholdelse av den behandlingsansvarliges forpliktelser i henhold til gjeldende lov.

Databehandleren skal varsle den behandlingsansvarlige uten unødig opphold hvis databehandleren blir oppmerksom på et sikkerhetsbrudd.

Databehandleren skal også, i den grad det er mulig og lovlig, informere den behandlingsansvarlige hvis en forespørsel om informasjon om opplysninger som oppbevares, forespørres (innsynsforespørsel) av instanser de må utlevere den til. Databehandleren vil svare på slike forespørsler når vedkommende er autorisert av den behandlingsansvarlige. Databehandleren vil heller ikke utlevere informasjon om denne avtalen med mindre det kreves ved lov, for eksempel ved en rettskjennelse.

Hvis den behandlingsansvarlige krever informasjon eller hjelp i tilknytning til opplysningenes sikkerhet, dokumentasjon eller informasjon om hvordan databehandleren behandler personopplysninger på generelt grunnlag, kan de be om denne informasjonen fra behandleren. Behandleren assisterer den behandlingsansvarlige i rimelig omfang for å overholde forpliktelsene i henhold til artikkel 32 til 36 i personvernforordningen.

Databehandleren, databehandlerens ansatte og partnere skal sikre konfidensialitet i tilknytning til personopplysningene som behandles under denne avtalen. Denne bestemmelsen gjelder også etter at avtalen bringes til opphør, uavhengig av grunnen for opphør.

Den behandlingsansvarliges ansvar

Ved å signere/godta denne avtalen, bekrefter den behandlingsansvarlige at det ved bruk av dette programmet vil kunne fritt behandle opplysningene én gang i samsvar med alle rettslige krav til personvern, inkludert personvernforordningen. 

Den behandlingsansvarlige kan trekke tilbake sitt samtykke til denne DBA til enhver tid, men ved å gjøre dette, vil databehandleren ikke lenger kunne levere tjenesten.

Kunden har et rettslig grunnlag for behandling av personopplysninger med databehandleren (inkludert underbehandlere) ved bruk av SumUps tjenester.

Den behandlingsansvarlige har til enhver tid ansvar for riktighet, integritet, innhold og pålitelighet av personopplysninger som behandles av databehandleren. De har oppfylt alle obligatoriske krav i tilknytning til varsling eller innhenting av samtykke fra relevante offentlige myndigheter i henhold til behandlingen av personopplysninger. De har også oppfylt utleveringsforpliktelsene sine til relevante myndigheter i henhold til behandling av personopplysninger i samsvar med gjeldende lovgivning om personvern.

Den behandlingsansvarlig må ha en nøyaktig liste over kategoriene av personopplysninger som behandles, spesielt hvis slik behandling avviker fra kategoriene som er oppført av databehandleren i tillegg A.

Avtale om dataoverføring og bruk av underleverandører

Databehandleren kan bruke underbehandlere (eller «underleverandører») for å levere tjenesten til den behandlingsansvarlige. Disse underleverandørene kan være tredjepartsleverandører både innenfor og utenfor EU/EØS. Databehandleren sikrer at alle underleverandører oppfyller forpliktelsene og kravene i denne avtalen, især at deres databeskyttelsesnivå oppfyller den påkrevde standarden i henhold til gjeldende databeskyttelseslover. Hvis en jurisdiksjon faller utenfor EU/EØS og ikke er i Europakommisjonens liste over tilstrekkelige personvernnivåer i henhold til personvernforordningen, må spesielle avtaler inngås mellom SumUp og en slik underleverandør for å sikre at vedkommende oppbevarer alle personopplysninger i samsvar med kravene til gjeldende personvernlovgivning i EU.

Denne avtalen utgjør de behandlingsansvarliges spesifikke og eksplisitte forhåndssamtykke til databehandlerens bruk av underleverandører som databehandlere, og som noen ganger kan befinne seg utenfor EU/EØS eller områder godkjent av Europakommisjonen.

Den behandlingsansvarlige kan trekke tilbake sitt samtykke til enhver tid, men dette medfører at avtalen bringes til opphør, og databehandleren vil da ikke lenger kunne levere tjenesten.

Hvis en underleverandør er etablert eller lagrer personopplysninger utenfor EU/EØS eller territorier som er godkjent av Europakommusjonen, har databehandleren ansvaret for å sikre et tilstrekkelig grunnlag for overføring av personopplysninger til tredjeland på vegne av den behandlingsansvarlig, inkludert bruken av Europakommisjonens standardkontrakter eller spesifikke tiltak som er forhåndsgodkjent av Europakommisjonen.

Den behandlingsansvarlige må underrettes før databehandleren skifter ut underleverandører. Den behandlingsansvarlige kan så proterstere mot en ny underbehandler som behandler vedkommendes personopplysninger på vegne av databehandleren, men bare hvis underbehandleren ikke behandler opplysninger i samsvar med relevat personvernlovgivning. Databehandleren kan demonstrere overholdelse ved å gi den behandlingsansvarlige tilgang til databeskyttelsesvurderingen som gjennomføres av databehandleren.

Hvis den behandlingsansvarlige fremdeles protesterer mot bruken av underleverandøren, kan vedkommende avslutte abonnementet på tjenesten uten den vanlige, påkrevde varslingsperioden, og sikre at personopplysningene ikke behandles av den ikke-foretrukne underleverandøren.

Avtalens varighet

Denne avtalen forblir gyldig inntil databehandleren behandler personopplysninger med den behandlingsansvarliges bruk av tjenesteprogrammet, med mindre den erstattes av en annen signert DBA som opplyser om sin forrang over denne avtalen.

Opphør av avtale

Hvis den behandlingsansvarlige bestemmer seg for å slutte å bruke tjenesten, uavhengig av hvorvidt tjenesten leveres som del av et abonnement, kan den behandlingsansvarlige også slette alle sine kontodata. Når dataslettingsprosedyren som ble igangsatt av den behandlingsansvarlige utføres, skal databehandleren slette alle personopplysninger med unntak av opplysninger de er påkrevd å oppbevare som følge av relevante rettslige krav, og i slike tilfeller oppbevares i samsvar med tekniske og organisatoriske beskyttelser i SumUp.

Den behandlingsansvarlige har full mulighet til å hente alle sine personopplysninger i tjenesteapplikasjonen. Hvis den behandlingsansvarlige ber om hjelp til innhenting av data, skal de påløpende kostnadene bestemmes etter avtale mellom partene, og skal baseres på den forespurte prosessens omfang og tiden det tar å etterkomme den i det valgte formatet.

Avtaleendringer

Databehandleren kan gjøre endringer ved avtalen i et separat tillegg til avtalen eller på en annen måte som er synlig for den behandlingsansvarlig og meddele dette til den behandlingsansvarlige. Hvis noen av avtalens bestemmelser anses som ugyldig, påvirker ikke dette de gjenstående betingelsene. Partene skal skifte ut ugyldige bestemmelser med en rettslig bestemmelse som reflekterer formålet til den ugyldige bestemmelsen.

Revisjoner

Behandlingsansvarlig har rett til å starte en gjennomgang av databehandlerens forpliktelser i henhold til avtalen én gang per år. Hvis dette kreves av databehandleren i henhold til gjendende lov, kan revisjoner gjentas én gang per år. Partene avgjør sammen om en tredjepart skal utføre revisjonen. Men behandlingsansvarlig kan tillate at databehandleren å utføre sikkerhetsgjennomgangen via en nøytra tredjepart valgt av databehandleren hvis flere av den behandlingsansvarliges opplysninger behandles i behandlingsmiljøet.

Hvis revisjonens foreslåtte omfang følger en sertifiseringsrapport som ISAE, ISO eller lignende som utføres av en kvalifisert tredjeparts kontrollør innen de foregående tolv månedene og databehandleren bekrefter at ingen vesentlige endringer ble gjort i tiltakene som vurderes, vil dette være tilstrekkelig for forespørsler som mottas i dette tidsrommet. Revisjoner skal ikke medføre urimelig inngripen i databehandlerens forretningsvirksomhet. Den behandlingsansvarlige har ansvar for alle kostnader som påløper i tilknytning til forespørselen om revisjonsgjennomgang.

Ansvar og jurisdiksjoner

Ansvar for handlinger som oppstår som følge av brudd på bestemmelsene i denne avtalen styres av ansvars- og kompensasjonsbestemmelser i vilkårene og betingelsene for SumUps fakturering og regnskapsføring. Dette gjelder også ethvert brudd av databehandlerens underbehandlere. Denne avtalen styres av og tolkes i samsvar med irsk lov, og de irske domstolene vil ha irsk eksklusiv jurisdiksjon til å avgjøre enhver tvist om den samme.

Tillegg A – Kategorier av personopplysninger og vanlige behandlingskategorier

1. Kategorier av personopplysninger (listen er ikke fullstendig)

  • Navn

  • Adresse

  • Telefonnummer

  • E-postadresse(r)

  • Adresse(r)

  • Eventuelle kontonummer og/eller bankopplysninger

2. Vanlige behandlingskategorier (listen er ikke fullstendig)

  • Den behandlingsansvarliges ansatte

  • Den behandlingsansvarliges kontakter (telefon/e-post/adresser/osv.) Den behandlingsansvarliges kunder Den behandlingsansvarliges bankopplysninger

  • Deres kunders ansatte

  • Deres kunders kontakter (telefon/e-post/adresser/osv.) Deres kunders kunder

  • Deres kunders kunders bankopplysninger