Databehandleravtale

Sist oppdatert: 21. mars 2023

Denne databehandleravtalen («DPA») mellom deg, brukeren, sammen med eventuelle andre virksomheter du representerer (samlet kalt «Kunden»), og VistaPrint-avtaleparten som fremgår av denne avtalen («VistaPrint»), inngås ved henvisning og supplerer og utgjør en del av vilkårene for bruk av ulike VistaPrint-tjenester, med tidvise endringer (samlet kalt «Avtalen»). DPA-dokumentet gjelder når og i den utstrekning VistaPrint opptrer som en databehandler eller tjenesteleverandør (etter hva som er relevant) av personopplysninger på vegne av Kunden i henhold til Avtalen. Dette DPA-dokumentet gjelder fra og med ikrafttredelsesdatoen og erstatter alle tidligere gjeldende vilkår knyttet til Avtalens hovedgjenstand, og skal forbli gjeldende frem til Avtalen sies opp.

1. DEFINISJONER

«Kvalifisert land» betyr, etter det som er relevant, (i) der EUs personvernforordning gjelder: Det europeiske økonomiske samarbeidsområdet («EØS») eller et land eller område som av EU-kommisjonen anses å sikre et tilstrekkelig beskyttelsesnivå, (ii) der Storbritannias GDPR gjelder: enten Storbritannia eller et land eller område som er anerkjent for å sikre tilstrekkelig vern av personopplysninger i samsvar med paragraf 17A i britiske Data Protection Act 2018, med endringer eller avløsende rettsaker, og (iii) der sveitsiske FADP gjelder. med endringer eller avløsende rettsaker: Sveits eller et land eller område utenfor Sveits som av Sveits’ føderale personvern- og informasjonsmyndighet (FDPIC) er blitt anerkjent for å sørge for tilstrekkelig beskyttelsesnivå for personopplysninger.

«Forretningsformål» betyr et begrenset formål som er spesifisert i vedlegg I, som VistaPrint mottar eller samler inn personopplysninger for å oppfylle.

«Personvernlovgivning» betyr alle gjeldende lover og forordninger om vern av personopplysninger som gjelder for en part, inkludert, men ikke begrenset til, etter hva som er relevant, EUs og USAs personvernlovgivning og enhver annen statlig eller nasjonal lovgivning for vern av personopplysninger, personvern eller datasikkerhet som er gjeldende for Tjenestenes omfang, med eventuelle endringer, fornyelser og avløsende rettsakter for alt dette.

«Sluttbrukeres personopplysninger» betyr personopplysninger som er knyttet til besøkende og brukere av Kundens tjenester, og som behandles av VistaPrint på vegne av Kunden i forbindelse med levering av Tjenestene.

«EUS personvernlovgivning» betyr (i) Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning eller «EU GDPR»); (ii) personvernforordningen som er innlemmet i Storbritannias nasjonale rett i henhold til paragraf 3 i European Union (Withdrawal) Act («UK GDPR»); (iii) sveitsisk føderal lov om vern av personopplysninger av 19. juni 1992 med tilhørende forordninger («FADP»); (iv) EU-direktiv 2002/58/EF om behandling av personopplysninger og personvern i sektoren for elektronisk kommunikasjon, og (v) enhver rettsakt som gjelder i de enkelte EU-landene eller i Storbritannia, og som er opprettet under eller i henhold til punkt (i)–(iii), med eventuelle endringer, fornyelser og avløsende rettsakter for alt dette.

«Personopplysninger», «registrert», «behandle» eller «behandling», «behandlingsansvarlig» og «databehandler» skal bety det samme som det som er gitt i gjeldende personvernlovgivning, eller hvis det ikke er definert der: personvernforordningen/GDPR, mens uttrykkene «virksomhet» og «tjenesteleverandør» har samme betydning som de er gitt i CCPA (hhv. business og service provider).

«Tjenestene» betyr de ulike tjenestene VistaPrint tilbyr Kunden på nettstedet sitt, når og i den grad VistaPrint opptrer som databehandler eller tjenesteleverandør (etter hva som er relevant) på vegne av Kunden under den relevante Avtalen, inkludert, men ikke begrenset til ProAdvantage-programavtalen og bruksvilkårene for ProShop.

«Standardavtalevilkår» eller «SCC» betyr (i) der EUs personvernforordning og/eller sveitsiske FADP gjelder: EUs standardavtalevilkår, som er godkjent av Europakommisjonens beslutning (EU) 2021/914 av 4. juni 2021 («EU SCC»), og (ii) der Storbritannias UK GDPR gjelder: EU SCC, som endret av International Data Transfer Addendum til Europakommisjonens standardavtalevilkår, utstedt av Storbritannias Information Commissioner’s Office («UK Addendum»), med eventuelle endringer, fornyelser og avløsende rettsakter for alt dette. EU SCC og UK Addendum inngår ved henvisning og utgjør en integrert del av dette DPA-dokumentet.

«Underbehandler» betyr enhver enhet som engasjeres av VistaPrint, inkludert dets tilknyttede selskaper, til å hjelpe til med å oppfylle forpliktelsene under Avtalen eller dette DPA-dokumentet.

«Vurdering av overføringsrisiko» betyr tilleggsgarantier som supplerer garantiene som er gitt av SCC og UK Addendum.

«USAs personvernlovgivning» betyr alle gjeldende lover og forskrifter i en hvilken som helst jurisdiksjon i USA knyttet til personvern, vern av personopplysninger eller datasikkerhet (med eventuelle endringer, fornyelser og avløsende rettsakter for alt dette), inkludert, men ikke begrenset til, etter hva som gjelder, California Consumer Privacy Act, som endret av California Privacy Rights Act, sammen med forskriftene som er kunngjort under denne (samlet kalt «CCPA»), Virginia Consumer Data Protection Act, Colorado Privacy Rights Act, Connecticut Data Privacy Act og Utah Consumer Privacy Act.

Annen terminologi som blir brukt, men som ikke er definert i dette DPA-dokumentet, skal ha samme betydning som i Avtalen.

2. ROLLER OG BEHANDLINGENS OMFANG

2.1. Partenes roller. Partene er enige i at når det gjelder behandling av sluttbrukeres personopplysninger under dette DPA-dokumentet, skal Kunden opptre som databehandlingsansvarlig eller virksomhet (etter hva som er relevant), mens VistaPrint skal opptre som databehandler eller tjenesteleverandør (etter hva som er relevant).

Kunden anerkjenner at VistaPrint opptrer som en uavhengig databehandlingsansvarlig når det gjelder personopplysninger som det samler inn direkte fra kunder eller besøkende via applikasjoner og tjenester for forbrukere.

2.2. Behandlingens omfang. Hver part skal rette seg etter all gjeldende personvernlovgivning og respektive forpliktelser under Avtalen og dette DPA-dokumentet knyttet til behandling av sluttbrukeres personopplysninger, slik det er beskrevet i vedlegg I. Uten å begrense det foregående skal VistaPrint sørge for samme nivå av personvern som det kreves av virksomheter (slik de er definert i CCPA) i CCPA.

3. PARTENES FORPLIKTELSER

3.1. Kundens forpliktelser. Ved bruk av Tjenestene som leveres av VistaPrint:

(i) Kunden garanterer og erklærer at den har varslet de registrerte, har etablert alt nødvendig rettslig grunnlag og hentet inn nødvendig samtykke under gjeldende personvernlovgivning for VistaPrint og dets underleverandører, for å behandle sluttbrukernes personopplysninger på deres vegne, og levere Tjenestene som er beskrevet i Avtalen, inkludert dette DPA-dokumentet.

(ii) Kunden er eneansvarlig for nøyaktigheten og kvaliteten av sluttbrukerens personopplysninger, og for at metodene Kunden har brukt til å samle inn, dele og behandle sluttbrukerens personopplysninger, er lovlige. Kunden forblir eneansvarlig for sitt eget samsvar med gjeldende personvernlovgivning i henhold til eventuell uavhengig innsamling og behandling av personopplysninger som ikke er knyttet til Tjenestene.

(iii) Kunden skal gi VistaPrint beskjed om å behandle sluttbrukeres personopplysninger på deres vegne i henhold til dette DPA-dokumentet, og skal sørge for at instruksjonene samsvarer med gjeldende personvernlovgivning. Dette DPA-dokumentet og Avtalen er Kundens fullstendige og endelige instruks til VistaPrint. Tilleggsinstrukser som ligger utenfor omfanget av Avtalen og DPA-dokumentet må avtales skriftlig for seg, inkludert eventuelle tilleggsgebyrer som Kunden kan være ansvarlig for å betale til VistaPrint for å utføre slike tilleggsinstrukser.

3.2. VistaPrints forpliktelser. VistaPrint skal ved behandling av sluttbrukeres personopplysninger:

(i) bare behandle sluttbrukernes personopplysninger til forretningsformål og i henhold til Kundens instrukser, så lenge disse instruksene samsvarer med Avtalen og dette DPA-dokumentet.

(ii) behandle sluttbrukernes personopplysninger som fortrolige opplysninger og bare behandle dem i den grad og på en måte som er nødvendig for å oppfylle forpliktelsene under Avtalen, og til de formålene som er spesifisert i vedlegg I nedenfor. VistaPrint skal ikke behandle sluttbrukeres personopplysninger til noe annet formål, med mindre VistaPrint er pålagt å gjøre det av gjeldende rett. I slike tilfeller skal VistaPrint informere Kunden skriftlig om et slikt rettslig krav før de utfører behandlingen, med mindre gjeldende rett hindrer dem i å gjøre dette av hensyn til offentlige interesser.

(iii) bistå Kunden med å sikre overholdelse av forpliktelsene sine under gjeldende personvernlovgivning, noe som kan inkludere, men ikke er begrenset til på forhånd å utføre eventuelle obligatoriske personvernkonsekvensvurderinger eller konsultasjoner med relevante myndighet for vern av personopplysninger, etter en rimelig forespørsel fra Kunden.

(iv) informere Kunden hvis de tror at Kundens behandlingsinstrukser er i strid med gjeldende personvernlovgivning. I slike tilfeller forbeholder VistaPrint seg retten til å stoppe behandlingen av sluttbrukernes personopplysninger inntil Kunden gir nye instrukser, og VistaPrint skal da ikke være ansvarlig overfor Kunden for eventuell unnlatelse av å levere Tjenestene under Avtalen i denne perioden.

(v) sikre at ansatte og underbehandlere som har tilgang til sluttbrukeres personopplysninger, blir pålagt en egnet taushetsplikt.

(vi) varsle Kunden om eventuelle bestemmelser som fører til at de ikke lenger kan oppfylle forpliktelsene sine under dette DPA-dokumentet eller personvernlovgivningen.

(vii) varsle Kunden umiddelbart dersom de mottar en forespørsel fra en av de registrerte, eller et håndhevingsorgan, knyttet til behandling av sluttbrukerens personopplysninger, slik at Kunden kan svare på denne forespørselen.

(viii) umiddelbart tilby seg å samarbeide og yte den bistand som med rimelighet kan kreves av Kunden, for å oppfylle forpliktelsene sine under personvernlovgivningen knyttet til forespørsler fra registrerte, eller forespørsler fra relevante tilsynsorganer og andre myndigheter.

I den grad gjeldende personvernlovgivning tillater det, kan VistaPrint bruke aggregerte og anonymiserte data som samles inn fra sluttbrukernes personopplysninger («anonymiserte data») internt, for å bygge på og forbedre kvaliteten av Tjenestene, forutsatt at slike anonymiserte data ikke utgjør personopplysninger under gjeldende personvernlovgivning.

3.3. Behandlingsaktiviteter som er forbudt for VistaPrint. VistaPrint skal ikke:

(i) selge eller dele/utlevere (etter definisjonen i CCPA) sluttbrukeres personopplysninger eller oppbevare, bruke eller tilgjengeliggjøre sluttbrukeres personopplysninger til noen kommersielle formål (etter definisjonen av «commercial purposes» i CCPA), ei heller utenom sin direkte forretningsrelasjon med Kunden, men bare etter at Kunden eventuelt har gitt skriftlig godkjenning til det

(ii) blande eller kombinere sluttbrukeres personopplysninger med sine egne opplysninger eller opplysninger fra en tredjepart, bortsett fra når det er helt nødvendig for å utføre Tjenestene
VistaPrint erklærer at de forstår og skal overholde begrensningene i bruken av sluttbrukernes personopplysninger knyttet til Tjenestene som er angitt i dette DPA-dokumentet.

4. REGISTRERTES RETTIGHETER

I den grad VistaPrint er i stand til det, og i tråd med gjeldende rett, skal VistaPrint, tatt i betraktning behandlingens art, gi rimelig bistand for at Kunden skal kunne svare på alle forespørsler mottatt fra registrerte som ønsker å utøve rettighetene sine under gjeldende personvernlovgivning. Kunden skal dekke alle kostnadene VistaPrint pådrar seg i forbindelse med slik bistand. Hvis en slik forespørsel sendes direkte til VistaPrint, skal VistaPrint informere Kunden, med mindre VistaPrint er forhindret fra å gjøre dette under loven, og Kunden skal være eneansvarlig for å svare på slike forespørsler. VistaPrint påtar seg intet ansvar for informasjon som er gitt i god tro til Kunden i tråd med dette avsnittet.

5. UNDERBEHANDLERE

5.1. Generell autorisasjon. Kunden gir herved VistaPrint generell autorisasjon til å engasjere underbehandlere (inkludert tilknyttede selskaper) til å behandle sluttbrukeres personopplysninger, for å kunne levere Tjenestene og oppfylle forpliktelsene sine under Avtalen og dette DPA-dokumentet. VistaPrint skal, i tråd med konfidensialitetsbestemmelsene i Avtalen, og på tidligere forespørsel fra Kunden, gjøre en liste over underbehandlerne de engasjerer, tilgjengelig for Kunden.

5.2. Ansvarsområder. VistaPrint skal pålegge underbehandlerne de samme avtalefestede forpliktelsene som er pålagt VistaPrint under dette DPA-dokumentet, i den grad det er relevant for den typen tjenester som leveres av hver av underbehandlerne.

5.3. Rett til å protestere på bruk av nye underbehandlere. Når VistaPrint engasjerer nye underbehandlere, skal de varsle Kunden på forhånd så snart som det er rimelig mulig, om når og i hvilken grad et slikt engasjement er knyttet til levering av de relevante Tjenestene.

5.3.1. Kunden kan motsette seg VistaPrint utnevnelse eller erstatning av en underbehandler skriftlig innen en periode på ti (10) virkedager fra mottak av varselet basert på rimelige grunner knyttet til gjeldende databeskyttelseslover. I et slikt tilfelle kan VistaPrint, etter eget skjønn, velge å bruke kommersielle rimelige anstrengelser (men er ikke forpliktet til) for å gjøre en alternativ løsning tilgjengelig for deg for å unngå behandling av sluttbrukernes personopplysninger av den nye eller nye underbehandleren. Inntil VistaPrint tar en avgjørelse angående kundens innvending, kan VistaPrint bli pålagt å midlertidig suspendere behandlingen av de relaterte sluttbrukernes personopplysninger, inkludert, hvis nødvendig for denne saken, suspendere eller begrense tilgangen til kundens konto eller suspendere eller begrense visse funksjoner i tjenestene som tilbys til kunden. Hvis VistaPrint med rimelighet er i stand til å levere tjenestene til kunden i samsvar med avtalen uten å bruke underbehandleren og etter eget skjønn bestemmer seg for å gjøre det, vil kunden ikke ha ytterligere rettigheter i henhold til dette avsnittet med hensyn til den foreslåtte bruken av underbehandleren.

5.3.2. Hvis VistaPrint, etter eget skjønn, krever bruk av underbehandleren og ikke er i stand til å tilfredsstille kundens innvendinger angående den foreslåtte bruken av den nye eller erstatningsunderbehandleren innen tretti (30) dager fra mottak av din gyldige begrunnede innvending, kan kunden si opp den gjeldende avtalen med virkning fra datoen VistaPrint begynner å bruke en slik ny eller erstatningsunderbehandler utelukkende med hensyn til tjenestene som vil bruke den foreslåtte nye underbehandleren for behandling av personopplysninger ved å gi skriftlig varsel til VistaPrint. Slik oppsigelse vil ikke berøre eventuelle gebyrer påløpt av kunden før oppsigelsen av de berørte tjenestene, og kunden vil ikke ha ytterligere krav mot VistaPrint i forbindelse med oppsigelsen av de berørte tjenestene.

5.3.3. Hvis kunden ikke protesterer skriftlig mot VistaPrints utnevnelse av en ny underbehandler innen ti (10) virkedager fra mottak av varselet, samtykker kunden i at det anses å ha samtykket til den nye underbehandleren.

5.4. Ansvar. VistaPrint forblir ansvarlig for ethvert brudd på denne DPA forårsaket av en handling eller unnlatelse av sine underbehandlere, i samme grad som VistaPrint er ansvarlig for sine egne, med mindre annet er angitt i avtalen.

6. INTERNASJONALE DATAOVERFØRINGER

6.1. Generelt. Som en del av Tjenestene som tilbys, gir Kunden VistaPrint, dets tilknyttede selskaper og dets underbehandlere autorisasjon til å oppbevare, behandle og overføre sluttbrukeres personopplysninger hvor som helst i verden der VistaPrint, dets tilknyttede selskaper eller dets underbehandlere utfører databehandlingsoperasjoner. Hvis personopplysninger fra EU, Storbritannia eller Sveits overføres utenfor EØS, Storbritannia eller Sveits, skal VistaPrint bare behandle eller tillate behandling av personopplysninger fra EU, Storbritannia eller Sveits utenfor EØS, Storbritannia eller Sveits så fremt følgende betingelser blir møtt:

a) sluttbrukeres personopplysninger fra EU, Storbritannia eller Sveits overføres til et kvalifisert land, eller

b) det er tatt i bruk standardavtalevilkår og gjennomført en vurdering av overføringsrisiko mellom VistaPrint og Kunden og/eller mellom VistaPrint og underbehandleren, etter hva som er relevant.

6.2. Overføring av personopplysninger fra EU. I den grad personopplysninger overføres fra en EØS-jurisdiksjon der personvernforordningen styrer overføringens internasjonale art, utgjør EUs SCC en del av dette DPA-dokumentet og blir ansett som oppfylt etter det følgende:

(i) Vilkårene i modul to (behandlingsansvarlig til databehandler) skal gjelde når Kunden er behandlingsansvarlig for og opplysningsoverfører av personopplysninger, mens VistaPrint er databehandler og opplysningsmottager for personopplysningene.

(ii) Vilkårene i modul tre (databehandler til databehandler) skal gjelde når VistaPrint er en databehandler som handler på vegne av en behandlingsansvarlig, og samtidig opplysningsoverfører av personopplysningene, mens underbehandleren er databehandler og opplysningsmottager av disse personopplysningene.

(iii) Klausul 7 (a)–(c) skal gjelde.

(iv) Klausul 9, alternativ 2 skal gjelde, og tidsperioden for forhåndsvarsling om endring av underbehandler skal være i henhold til varslingsprosedyren som er angitt i bestemmelsene om underbehandlere i dette DPA-dokumentet.

(v) Klausul 11 skal ikke gjelde.

(vi) Klausul 17, alternativ 1 skal gjelde, og EUs SCC skal være underlagt den retten som er spesifisert i Avtalen, forutsatt at dette er gjeldende rett for en EU-medlemsstat som anerkjenner rettighetene til begunstigede tredjeparter. Hvis ikke, skal nederlandsk rett gjelde i stedet.

(vii) Klausul 18 (b) – tvister skal løses i de domstolene som er spesifisert i Avtalen, forutsatt at de befinner seg i en EU-medlemsstat. Hvis ikke, skal saken legges frem for en domstol i Nederland. Klausul 17 og 18 (b) skal i alle tilfeller være konsekvent ved at valget av verneting og jurisdiksjon skal falle på landet med gjeldende rett.

(viii) Vedleggene til EUs SCC skal fylles ut med den relevante informasjonen som er angitt i vedlegg I, vedlegg II og vedlegg III i dette DPA-dokumentet.

(ix) Hvis og i den grad EUs SCC er i konflikt med noen av bestemmelsene i dette DPA-dokumentet, skal EUs SCC ha forrang.

6.3. Overføring av personopplysninger fra Storbritannia. I den grad personopplysninger overføres fra Storbritannia, og UK GDPR styrer overføringens internasjonale art, gjelder EUs SCC, som det henvises til i avsnitt 6.2 ovenfor, i tillegg til UK Addendum, og de blir ansett som utfylt som følger:

(i) Tabell 1 og 3 i del 1 av UK Addendum skal bli ansett som utfylt ved hjelp av informasjonen i vedleggene til dette DPA-dokumentet.

(ii) Tabell 4 i del 2 av UK Addendum skal bli ansett som utfylt når man velger «importør».

(iii) Enhver konflikt mellom EUs SCC og UK Addendum skal løses i tråd med paragraf 10 og 11 i UK Addendum.

6.4. Overføring av personopplysninger fra Sveits. I den grad personopplysninger overføres fra Sveits på en måte som gjør forpliktelser gjeldende under den sveitsiske føderale loven om vern av personopplysninger (FADP), skal EUs SCC gjelde for slike overførsler og skal anses å være tilpasset på en slik måte at det innlemmes relevante henvisninger og definisjoner som gjør EUs SCC til et tilstrekkelig verktøy for overføringene under FADP, inkludert, men ikke begrenset til følgende:

(i) Den kompetente tilsynsmyndigheten i vedlegg I.C av EUs SCC under klausul 13 er Sveits’ føderale personvern- og informasjonsmyndighet (FDPIC).

(ii) Gjeldende rett for krav under avtalen i tråd med klausul 17 i EUs SCC er sveitsisk rett eller den nasjonale retten i et land som tillater og gir rettigheter som en begunstiget tredjepart.

(iii) Uttrykket «medlemsstat», som brukes i EUs SCC, skal ikke tolkes på en måte som utelukker at registrerte personer i Sveits kan gå til sak for å håndheve rettighetene sine i bostedslandet (Sveits) i henhold til klausul 18(c).

(iv) EUs SCC beskytter også opplysningene til juridiske enheter frem til den reviderte FADP trer i kraft.

6.5. Ekstra sikkerhetstiltak. I den grad VistaPrint behandler personopplysninger om registrerte som er bosatt i eller underlagt gjeldende personvernlovgivning i EØS, Storbritannia eller Sveits, har VistaPrint gjennomført en rekke ekstra sikkerhetstiltak knyttet til overføringen av slike personopplysninger fra disse jurisdiksjonene. VistaPrint har utført en vurdering av overføringsrisiko som skal leveres til Kunden ved skriftlig forespørsel per e-post: [email protected].

7. DATASIKKERHET OG VARSEL OM BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN

7.1. Sikkerhetstiltak. VistaPrint har gjennomført og skal opprettholde gjeldende tekniske og organisatoriske sikkerhetstiltak for å beskytte sluttbrukeres personopplysninger mot uautorisert og ulovlig behandling samt utilsiktet tap eller endring («sikkerhetshendelser»). I den forbindelse har VistaPrint blant annet gjennomført de tekniske og organisatoriske tiltakene som er oppført i Vedlegg II.

7.2. Varsel om brudd på personopplysningssikkerheten. Dersom VistaPrint blir oppmerksom på en sikkerhetshendelse som påvirker sluttbrukeres personopplysninger, skal VistaPrint ta rimelige skritt for å varsle Kunden, uten nødig forsinkelse, og skal:

(i) gi Kunden slik informasjon om sikkerhetshendelsen som det med rimelighet kan gjøre tilgjengelig for Kunden tatt i betraktning Tjenestenes art, informasjonen som er tilgjengelig for VistaPrint, og eventuelle begrensninger for tilgjengeliggjøring av informasjonen, slik som taushetsplikt

(ii) på Kundens forespørsel yte rimelig hjelp for å gjøre det mulig for Kunden å varsle relevante myndigheter eller berørte registrerte i henhold til kravene i gjeldende personvernlovgivning.

En sikkerhetshendelse omfatter ikke mislykkede forsøk eller aktiviteter som ikke utsetter sikkerheten til sluttbrukeres personopplysninger for risiko. VistaPrints varsling om eller respons på en sikkerhetshendelse utgjør ikke en erkjennelse av skyld eller ansvar for nevnte sikkerhetshendelse.

8. REVISJONER

8.1. Revisjonsrapporter. På skriftlig forespørsel fra Kunden som gis med rimelige intervaller (ikke oftere enn én gang per år), og underlagt taushetsplikt, skal VistaPrint levere en kopi av VistaPrints nyeste sammendrag av revisjoner, sertifikater og rapporter fra tredjeparter, etter hva som er relevant. Partene er enige i at Kundens rett til revisjoner, som beskrevet i gjeldende personvernlovgivning, blir ansett som oppfylt ved VistaPrints levering av slike sammendrag og/eller rapporter.

8.2. Revisjoner utført av tilsynsmyndighetene. VistaPrint skal gi Kunden rimelig tilgang til dokumentasjon og systemer tilknyttet en revisjon som er utført av et offentlig tilsynsorgan eller en tilsynsmyndighet for overholdelse av gjeldende personvernlovgivning.

8.3. Fortrolige opplysninger. All informasjon som gis av VistaPrint under dette avsnitt 8, skal anses som fortrolige opplysninger. VistaPrint er ikke pålagt å utlevere kommersielle hemmeligheter, herunder algoritmer, kildekoder, forretningshemmeligheter eller lignende informasjon.

9. SLETTING AV OPPLYSNINGER

Partene er enig om at VistaPrint og eventuelle underbehandlere skal, ved opphør av DPA eller på skriftlig forespørsel fra Kunden, slette alle sluttbrukernes personopplysninger og kopier av disse på en sikker måte, så snart dette er rimelig mulig i henhold til vilkårene i Avtalen og gjeldende rett. Til tross for det foregående kan VistaPrint beholde alle eller noen av sluttbrukernes personopplysninger hvis dette kreves under Avtalen eller av gjeldende lover eller forordninger (inkludert gjeldende personvernlovgivning), forutsatt at slike personopplysninger om sluttbrukerne oppbevares beskyttet i samsvar med vilkårene i dette DPA-dokumentet og gjeldende personvernlovgivning.

10. DIVERSE

10.1. Hierarki. I tilfelle uoverensstemmelser eller konflikt mellom bestemmelsene i dette DPA-dokumentet og bestemmelsene i Avtalen, skal bestemmelsene i dette DPA-dokumentet ha forrang i den grad konflikten er knyttet til behandling av sluttbrukeres personopplysninger. I den grad det er konflikt mellom standardavtalevilkårene (der disse er gjeldende) og dette DPA-dokumentet, skal standardavtalevilkårene ha forrang.

10.2. Oppdateringer av DPA-dokumentet. VistaPrint kan fra tid til annen, ved behov, endre dette DPA-dokumentet og vil da legge ut den nyeste versjonen på nettstedet. Enhver slik oppdatering eller endring skal tre i kraft ved publisering. Ved å fortsette å bruke eller benytte seg av tilgangen til Tjenestene etter at eventuelle endringer trer i kraft, er Kunden enig i at den er bundet av det oppdaterte DPA-dokumentet.

10.3. Gjeldende rett. Dette DPA-dokumentet styres av og skal tolkes i samsvar med gjeldende rett og bestemmelser om jurisdiksjon i Avtalen, med mindre noe annet kreves av gjeldende personvernlovgivning.

10.4. Ansvarsbegrensning. Alle aktiviteter under dette DPA-dokumentet (inkludert, men ikke begrenset til behandling av sluttbrukeres personopplysninger) forblir underlagt gjeldende ansvarsbegrensning som er angitt i Avtalen.

10.5 Kontakt. Eventuelle spørsmål angående dette DPA-dokumentet kan rettes til personvernombudet på [email protected]. VistaPrint vil prøve å behandle alle klager knyttet til bruken av sluttbrukeres personopplysninger i samsvar med dette DPA-dokumentet og Avtalen.

VEDLEGG I – BESKRIVELSE AV BEHANDLING/OVERFØRING

A. LISTE OVER PARTER

Opplysningsoverfører(e):

  • Navn: Enheten som er identifisert som «Kunden», eller navnet som er spesifisert i Kundens konto.
  • Adresse: Kundens faktureringsadresse som spesifisert i Kundens konto.
  • Kontaktpersonens navn, stilling og kontaktopplysninger: Kontaktopplysningene som er spesifisert i Kundens konto.
  • Aktiviteter som er relevante for opplysningene som overføres under disse klausulene: Eventuelle aktiviteter som er relevante for formålet med å motta Tjenestene levert av VistaPrint knyttet til Avtalen.
  • Underskrift og dato: Ved å inngå denne avtalen, DPA-dokumentet, anses opplysningsoverføreren å ha signert standardavtalevilkårene og vedleggene som er innlemmet her, fra og med ikrafttredelsesdatoen for DPA-dokumentet.
  • Rolle (behandlingsansvarlig/behandler): Behandlingsansvarlig

Opplysningsmottager(e):

  • Navn: VistaPrints avtalepart i henhold til Avtalen.
  • Adresse: Adressen til VistaPrints avtalepart i henhold til Avtalen.
  • Kontaktpersonens navn, stilling og kontaktopplysninger: [email protected].
  • Aktiviteter som er relevante for opplysningene som overføres under disse klausulene: Behandling av personopplysninger tilknyttet Kundens bruk av Tjenester fra VistaPrint.
  • Underskrift og dato: Ved å inngå denne avtalen, DPA-dokumentet, anses opplysningsmottageren å ha signert standardavtalevilkårene og vedleggene som er innlemmet her, fra og med ikrafttredelsesdatoen for DPA-dokumentet.
  • Rolle (behandlingsansvarlig/behandler): Databehandler

B. BESKRIVELSE AV OVERFØRINGEN

Kategorier av registrerte: Registrerte kan omfatte, men er ikke begrenset til:

  • sluttbrukere (som er fysiske personer), for eksempel eksisterende eller potensielle kunder, klienter eller besøkende som er brukere av Kundens tjeneste
  • eksisterende, tidligere og potensielle Kunders representanter, ansatte, kandidater, agenter, konsulenter, frilansere, forretningspartnere, entreprenører og/eller samarbeidspartnere (som er fysiske personer)
  • tredjepartspersoner som Kunden har valgt å engasjere via Tjenesten

Kategorier av personopplysninger: Personopplysninger som er sendt inn innenfor omfanget og arten som er bestemt av databehandleren ut fra dennes skjønn.

Sensitive opplysninger som er overført (hvis relevant), og som er underlagt begrensninger eller sikkerhetstiltak: Partene forventer ikke å overføre sensitive opplysninger.

Overføringens hyppighet: Kontinuerlig basis, avhengig av Kundens bruk av Tjenestene.

Behandlingens art: Gjennomføring av Tjenestene i henhold til Avtalen.

Formål med overføring av opplysninger og videre behandling: Vi kan bruke personopplysningene dine til følgende formål (og oppgaver knyttet til slike formål), alltid er i samsvar med Avtalen og på en måte som er proporsjonal, og som respekterer personopplysningene til sluttbrukerne dine:

  • levere Tjenestene til deg
  • handle på instruks fra deg
  • gjennomføre og overholde Avtalen og dette DPA-dokumentet
  • forsvare rettighetene våre
  • forhindre, etterforske og rette opp risikoer for brudd på personopplysningssikkerheten og sikkerhetshendelser, svindel, feil og/eller ulovlige eller forbudte aktiviteter
  • sørge for samsvar med gjeldende lover og forordninger

Perioden da personopplysningene blir beholdt, eller, om det ikke er mulig, kriteriene som er brukt for å bestemme denne perioden: VistaPrint beholder personopplysninger inntil Avtalen opphører og i henhold til avsnitt 9 i DPA-dokumentet, med mindre noe annet har blitt bestemt under Avtalen.

Ved overføring til databehandlere/underbehandlere må behandlingens hovedgjenstand, art og varighet også spesifiseres: Underbehandlere behandler personopplysninger etter behov for å utføre Tjenestene i henhold til Avtalen så lenge Avtalen er gyldig, med mindre det er inngått skriftlig avtale om noe annet.

C. KOMPETENT TILSYNSMYNDIGHET

Identifiser kompetent(e) tilsynsmyndighet(er) i henhold til klausul 13: Den nederlandske personvernmyndigheten, med mindre noe annet er påkrevd av avsnitt 6 i DPA-dokumentet.

VEDLEGG II – TEKNISKE OG ORGANISATORISKE TILTAK INKLUDERT TEKNISKE OG ORGANISATORISKE TILTAK FOR Å OPPRETTHOLDE DATASIKKERHETEN

VistaPrint opprettholder følgende tekniske og organisatoriske sikkerhetstiltak for å beskytte og bevare personopplysningenes konfidensialitet og integritet. Vær oppmerksom på at VistaPrint kan endre denne praksisen etter eget skjønn. Eventuelle endringer som gjøres, vil ikke redusere sikkerheten til eller beskyttelsen av personopplysningene.

1- Forhindre uautoriserte personer i å få tilgang til systemer der personopplysninger blir behandlet eller benyttet (fysisk adgangskontroll), særlig ved å iverksette følgende tiltak:

  • kontrollert adgang til kritiske eller sensitive områder
  • hendelselogger
  • automatiserte systemer for tilgangskontroll
  • ID- eller brikke-kortlesere
  • opplæring i sikkerhetsbevissthet

2- Forhindre at databehandlingssystemer blir brukt uten autorisasjon (logisk tilgangskontroll), særlig ved å iverksette følgende tiltak:

  • nettverksenheter, for eksempel systemer for oppdagelse av inntrengere, rutere og brannmurer
  • sikker innlogging med unik bruker-ID / unikt passord, inkludert krav til kompliserte passord og autorisasjon med flere faktorer, etter behov
  • retningslinjer for låsing av ubetjente arbeidsstasjoner; det tas i bruk skjermsparerpassord, slik at arbeidsstasjonen låses automatisk hvis brukeren glemmer å gjøre det
  • loggføring og analyse av systembruk
  • rollebasert tilgang til kritiske systemer som inneholder personopplysninger
  • prosesser for rutinemessige systemoppdateringer for kjente sårbarheter
  • kryptering av harddisker på bærbare datamaskiner
  • overvåking av sikkerhetssårbarheter i kritiske systemer
  • installasjon og oppdatering av antivirusprogramvare
  • nettverksenheter, for eksempel systemer for oppdagelse av inntrengere, rutere og brannmurer
  • samsvar med datasikkerhetsstandarder innen betalingskortbransjen

3- Sikre at personer som har tilgang til et system, bare kan få tilgang til personopplysninger som de har rett til, og at de ved behandling eller bruk av disse, og etter at opplysningene er blitt lagret, ikke kan lese, kopiere, endre eller slette dem uten autorisasjon (tilgangskontroll for data), særlig ved å ta i bruk følgende tiltak:

  • nettverksenheter, for eksempel systemer for oppdagelse av inntrengere, rutere og brannmurer
  • sikker innlogging med unik bruker-ID / unikt passord, inkludert krav til kompliserte passord og autorisasjon med flere faktorer, etter behov
  • loggføring og analyse av systembruk
  • Rollebasert tilgang til kritiske systemer som inneholder personopplysninger.
  • kryptering av harddisker på bærbare datamaskiner
  • installasjon og oppdatering av antivirusprogramvare
  • samsvar med datasikkerhetsstandarder innen betalingskortbransjen

4- Sikre at personopplysninger ikke kan leses, kopieres, endres eller slettes uten autorisasjon under elektronisk overføring, transport eller lagring, ved å ta i bruk følgende tiltak:

  • sikker innlogging med unik bruker-ID / unikt passord, inkludert krav til kompliserte passord og autorisasjon med flere faktorer, etter behov
  • Protokoller for sikker overføring
  • loggføring og analyse av systembruk
  • Rollebasert tilgang til kritiske systemer som inneholder personopplysninger
  • nettverksenheter, for eksempel systemer for oppdagelse av inntrengere, rutere og brannmurer
  • installasjon av VPN-programvare

5- Sikre at personopplysninger bare blir behandlet i samsvar med selskapets retningslinjer, ved å ta i bruk følgende tiltak:

  • obligatorisk opplæring i sikkerhet og personvern for alle medarbeidere
  • prosedyrer for ansettelse som krever utfylling av et detaljert søknadsskjema av nøkkelmedarbeidere som har tilgang til viktige personopplysninger, der lokal lovgivning tillater dette
  • nøye utvelgelse av riktig personale og tjenesteleverandører
  • inngå hensiktsmessige databehandleravtaler med underbehandlere som omfatter hensiktsmessige tekniske og organisatoriske sikkerhetstiltak

6- Sikre at personopplysninger blir beskyttet mot utilsiktet ødeleggelse eller tap (tilgjengelighetskontroll), særlig ved å ta i bruk følgende tiltak:

  • regelmessig testing av sikkerhetstiltakenes effektivitet
  • prosedyrer for sikkerhetskopiering og gjenopprettingssystemer
  • redundante servere med separat plassering
  • avbruddsfri strømforsyning og hjelpestrømenhet
  • fjernlagring
  • klimaovervåking og -kontroll for servere
  • installasjon og oppdatering av antivirusprogramvare
  • gjenopprettingsplan ved katastrofer og nødssituasjoner

7- Sikre at opplysninger som samles inn for ulike formål eller for ulike fullmaktsgivere, kan behandles separat (separeringskontroll), særlig ved å ta i bruk følgende tiltak:

  • rollebasert tilgang til kritiske systemer som inneholder personopplysninger
  • separering av testdata og ekte data
  • samsvar med datasikkerhetsstandarder innen betalingskortbransjen

VEDLEGG III – LISTE OVER UNDERBEHANDLERE

En liste over underbehandlere vi engasjerer, og formålet med å engasjere dem, er tilgjengelig på forespørsel fra Kunden.