Databehandleravtale

1. Bakgrunn

Denne Databehandleravtalen ("DPA") inngås mellom Evo Store AS, organisasjonsnummer 934 849 272, Ringvegen 11A, 2312 Ottestad ("Evo Store", "Databehandler") og Selger ("Selger", "Behandlingsansvarlig") som benytter Evo Store-plattformen.

DPA utgjør et bindende vedlegg til Vilkårene og inngås automatisk når Selger aksepterer Vilkårene. DPA regulerer Evo Stores behandling av personopplysninger på vegne av Selger i henhold til personopplysningsloven og GDPR artikkel 28.

Ved motstrid mellom DPA og Vilkårene, skal DPA ha forrang for spørsmål som gjelder behandling av personopplysninger.

2. Definisjoner

Begreper som ikke er definert her, har samme betydning som i Vilkårene eller GDPR.

• Behandlingsansvarlig: Selger, som fastsetter formål og midler for behandlingen.
• Databehandler: Evo Store, som behandler personopplysninger på vegne av Selger.
• Registrert: Fysisk person hvis personopplysninger behandles. Typisk Sluttkunder, men også Selgers egne ansatte registrert som brukere av Plattformen.
• Personopplysninger: Slik definert i GDPR artikkel 4 nr. 1.
• Underdatabehandler: Tredjepart engasjert av Evo Store for å utføre behandling på vegne av Selger.
• GDPR: Europaparlaments- og rådsforordning (EU) 2016/679.

3. Formål og varighet

Formål: Evo Store behandler personopplysninger utelukkende for å levere Plattformen til Selger, herunder drift av nettbutikk, ordre- og kundebehandling, lager- og logistikkstøtte, kommunikasjon med Sluttkunder på Selgers vegne, rapportering, og betalingsprosessering.

Varighet: DPA løper så lenge Vilkårene løper, og opphører automatisk ved opphør av disse. Bestemmelsene i pkt. 14 (sletting/tilbakelevering) og pkt. 15 (ansvar) gjelder også etter opphør i den grad det er relevant.

4. Kategorier av registrerte og personopplysninger

Kategorier av registrerte:

• Sluttkunder som kjøper varer eller tjenester fra Selger via Plattformen.
• Selgers egne ansatte og brukere av Plattformen.
• Mottakere av e-post og andre meldinger som Selger sender via Plattformen.
• Nyhetsbrev-abonnenter som har samtykket til markedsføring fra Selger, der Selger har aktivert nyhetsbrev-funksjonen for sin nettbutikk.

Kategorier av personopplysninger:

• Identifikasjonsdata: navn, e-postadresse, telefonnummer, kundenummer.
• Adressedata: leverings- og fakturaadresse.
• Ordredata: kjøpshistorikk, produkter, beløp, leveringsstatus.
• Kommunikasjonsdata: meldinger, e-post og kundeservicehistorikk sendt via Plattformen.
• Teknisk data: IP-adresse, nettleseropplysninger, sesjonsdata som er nødvendig for drift og sikkerhet.
• Betalingsreferanser (transaksjons-ID, status). Kortnummer og andre betalingsinstrumenter behandles aldri av Evo Store, men direkte av Dintero som egen behandlingsansvarlig.
• Markedsføringssamtykke: e-postadresse, samtykketidspunkt, kilde og status (aktiv eller avmeldt), for Sluttkunder som melder seg på Selgers nyhetsbrev.

Særlige kategorier av personopplysninger (GDPR artikkel 9, f.eks. helseopplysninger, politisk oppfatning, religiøs tro): Plattformen er ikke beregnet for behandling av slike data. Selger forplikter seg til ikke å laste opp eller legge inn slike opplysninger uten forhåndsskriftlig avtale med Evo Store.

5. Selgers (Behandlingsansvarliges) plikter

Selger er behandlingsansvarlig og skal:

• Sikre gyldig behandlingsgrunnlag (GDPR art. 6, og evt. art. 9) for alle personopplysninger som legges inn eller oppstår i Plattformen.
• Oppfylle informasjonsplikten overfor Registrerte (GDPR art. 13-14), herunder publisere egen personvernerklæring.
• Kun gi instruksjoner til Evo Store som er i samsvar med personvernlovgivningen. Bruk av Plattformen (inntak, registrering, eksport m.m.) utgjør slike instruksjoner.
• Ikke overføre særlige kategorier av personopplysninger uten skriftlig forhåndsavtale, jf. pkt. 4.
• Varsle Evo Store uten ugrunnet opphold ved endringer i behandlingsgrunnlag som påvirker Evo Stores behandling.
• Sikre egen tilgangsstyring: kun gi Plattform-tilgang til medarbeidere som har tjenstlig behov, og trekke tilganger når behovet opphører.
• Dersom Selger aktiverer nyhetsbrev-funksjonen: sikre at påmeldingen er basert på gyldig samtykke (opt-in) og at innholdet i utsendelsene følger markedsføringsloven § 15. Plattformen står for lagring av samtykkeloggen og for den tekniske avmeldingsflyten.

6. Evo Stores (Databehandlers) plikter

Evo Store skal:

• Kun behandle personopplysninger på dokumenterte instruksjoner fra Selger, med mindre annet kreves etter EU-rett eller norsk rett. I slike tilfeller varsles Selger med mindre lovgivningen forbyr det.
• Sikre at personer med tilgang til personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.
• Iverksette passende tekniske og organisatoriske tiltak (se pkt. 8).
• Overholde vilkårene for bruk av underdatabehandlere (pkt. 9).
• Bistå Selger så langt det er mulig med oppfyllelse av Selgers plikter (pkt. 11).
• Slette eller tilbakelevere alle personopplysninger ved opphør (pkt. 14).
• Gjøre tilgjengelig all informasjon som er nødvendig for å påvise etterlevelse av GDPR art. 28, og muliggjøre og bidra til revisjoner (pkt. 13).
• Umiddelbart varsle Selger dersom en instruksjon etter Evo Stores mening er i strid med GDPR eller annen personvernlovgivning.

7. Konfidensialitet

Evo Store og alt personell som behandler personopplysninger på vegne av Selger er underlagt taushetsplikt. Taushetsplikten gjelder også etter at arbeidsforholdet opphører og etter at denne DPA er avsluttet.

8. Tekniske og organisatoriske sikkerhetstiltak

Evo Store implementerer passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå tilpasset risikoen, jf. GDPR artikkel 32. Tiltakene omfatter minst:

• Kryptering: Data overføres kryptert over TLS 1.2+. Data lagres kryptert i database og sikkerhetskopier (encryption at rest).
• Tilgangskontroll: Minste privilegiums-prinsipp, rollebasert tilgang, separasjon mellom utviklings-, test- og produksjonsmiljø.
• Autentisering: Tofaktorautentisering kreves for all administrativ og privilegert tilgang.
• Logging og overvåking: Sikkerhetsrelevante hendelser og tilganger logges, overvåkes og oppbevares i minst 12 måneder.
• Sikkerhetskopiering: Daglige krypterte sikkerhetskopier med definert gjenopprettingstid (RTO) og gjenopprettingspunkt (RPO).
• Innebygd personvern: Innebygd personvern og personvern som standard (GDPR art. 25) gjennom arkitektur- og designbeslutninger.
• Sikker utvikling: Kodegjennomgang, automatiserte tester, avhengighetsskanning og rutiner for sikkerhetsoppdateringer.
• Personellsikkerhet: Bakgrunnssjekk ved ansettelser med tilgang til produksjonsdata, taushetserklæringer og periodisk sikkerhetsopplæring.
• Fysisk sikkerhet: Drift i sertifiserte datasentre innenfor EU/EØS med fysisk adgangskontroll og miljøbeskyttelse.
• Hendelseshandtering: Dokumenterte rutiner for oppdagelse, eskalering, håndtering og opplæring etter sikkerhetshendelser.

Tiltakene revideres løpende og oppdateres i takt med trusselbildet og teknologisk utvikling. Detaljert dokumentasjon tilgjengeliggjøres på rimelig forespørsel fra Selger.

9. Underdatabehandlere

Selger gir Evo Store generell tillatelse til å benytte underdatabehandlere. Evo Store skal:

• Opprettholde en oppdatert liste over godkjente underdatabehandlere (under).
• Pålegge hver underdatabehandler databeskyttelsesforpliktelser som minst tilsvarer forpliktelsene i denne DPA, jf. GDPR art. 28 nr. 4.
• Varsle Selger minst 30 dager før nye underdatabehandlere tas i bruk eller erstattes.
• Gi Selger rett til å protestere på saklig grunnlag. Ved berettiget og uavklart protest, har Selger rett til å si opp Vilkårene uten oppsigelsestid og uten kostnad.
• Være fullt ut ansvarlig for underdatabehandleres oppfyllelse av forpliktelsene overfor Selger.

Nåværende underdatabehandlere:

All øvrig infrastruktur — applikasjonsservere, database, e-postutsendelse, fillagring, sikkerhetskopier og overvåking — driftes av Evo Store selv på egen infrastruktur i EU/EØS. Ingen andre underdatabehandlere er i bruk.

10. Overføring til tredjeland

Evo Store overfører ikke personopplysninger ut av EU/EØS. All lagring og behandling skjer innenfor EU/EØS-området.

Dersom det i fremtiden blir nødvendig å overføre personopplysninger til tredjeland, skal overføringen baseres på gyldig overføringsgrunnlag under GDPR kapittel V (adekvansbeslutning, standard personvernbestemmelser, bindende konsernregler eller tilsvarende), og Selger skal varsles i forkant med samme varslingsfrist og protestrett som for nye underdatabehandlere.

11. Bistand til Selger

Evo Store bistår Selger med:

• Registrertes rettigheter (GDPR art. 15-22): Plattformen tilbyr nødvendige funksjoner for at Selger selv kan oppfylle rett til innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse. Ytterligere bistand leveres på forespørsel.
• Sikkerhet i behandlingen (art. 32): Evo Store opprettholder og dokumenterer tiltakene i pkt. 8.
• Avviksvarsling (art. 33-34): Se pkt. 12.
• Personvernkonsekvensvurderinger og forhåndskonsultasjoner (art. 35-36): Evo Store leverer informasjon om Plattformens behandlinger i den grad det er relevant og forholdsmessig.

Bistand som går utover det som med rimelighet dekkes av Abonnementet (f.eks. omfattende innsynskrav, revisjonsarbeid eller assistanse ved kompleks tilsynssak), kan faktureres etter Evo Stores til enhver tid gjeldende timesatser.

12. Avviksvarsling

Evo Store varsler Selger uten ugrunnet opphold, og senest innen 48 timer, etter å ha fått kjennskap til et brudd på personopplysningssikkerheten som involverer Selgers data.

Varselet skal, så langt informasjon foreligger, inneholde:

• Beskrivelse av bruddets art, kategorier og omtrentlig antall berørte Registrerte og personopplysninger.
• Sannsynlige konsekvenser av bruddet.
• Gjennomførte eller foreslåtte tiltak for å håndtere bruddet og redusere skade.
• Kontaktinformasjon for videre oppfølging.

Varselet suppleres løpende etter hvert som ytterligere informasjon foreligger.

Selger er ansvarlig for eventuell varsling til tilsynsmyndigheten (Datatilsynet) og Registrerte i henhold til GDPR art. 33-34.

13. Revisjon

Evo Store gjør tilgjengelig all informasjon som er nødvendig for å påvise etterlevelse av denne DPA og GDPR art. 28. Selger har rett til å gjennomføre revisjon, herunder inspeksjoner, én gang per kalenderår. Revisjon skal varsles minst 30 dager i forkant og gjennomføres på en måte som ikke unødig forstyrrer driften.

Selger kan alternativt akseptere uavhengig tredjepartsrevisjon (f.eks. ISO 27001, SOC 2 Type II eller tilsvarende) som tilstrekkelig dokumentasjon, dersom slik foreligger og omfatter relevant virkeområde.

Selger bærer egne kostnader ved revisjon. Dersom revisjonen avdekker vesentlige brudd fra Evo Stores side, dekker Evo Store de rimelige revisjonskostnadene.

14. Sletting og tilbakelevering

Ved opphør av Vilkårene:

• Selger kan eksportere alle egne data i strukturert, maskinlesbart format.
• Personopplysninger oppbevares i 90 dager etter opphør, hvoretter de slettes fra produksjonsmiljøet.
• Data i sikkerhetskopier slettes i tråd med ordinær oppbevaringssyklus, senest 180 dager etter opphør.
• Personopplysninger som Evo Store plikter å oppbevare etter annen lovgivning (f.eks. bokføringsloven for regnskapsrelaterte data) oppbevares så lenge den relevante plikten gjelder, og behandles kun for det spesifikke formålet.

Evo Store bekrefter skriftlig når sletting er gjennomført, på forespørsel fra Selger.

15. Ansvar og lovvalg

Hver parts ansvar under denne DPA er regulert av ansvarsbegrensningen i Vilkårene pkt. 11. Selger skal holde Evo Store skadesløs for krav som springer ut av Selgers brudd på denne DPA, herunder ulovlig innsamling, registrering eller overføring av personopplysninger.

DPA er underlagt norsk rett. Tvister følger vernetingsbestemmelsen i Vilkårene pkt. 14.

16. Kontakt

Personvernhenvendelser og spørsmål til denne DPA rettes til: