Skip links
Kontakt Oss

Data Policy Addendum

Sist oppdatert: 7. november 2024

Denne Databehandleravtalen (“DPA”) og dens vedlegg utgjør en integrert del av Bruksvilkårene eller enhver annen skriftlig eller elektronisk avtale mellom Moo Gruppen AS (“Selskapet”, “vi” eller “oss”) og deg (“Kontrakten”) for levering av visse merketjenester, annotering, innsamling eller andre tjenester (“Tjenestene”).

I forbindelse med levering av Tjenestene kan du behandle data, inkludert personopplysninger som definert i gjeldende personvernlovgivning, på vegne av oss, der vi behandler slike data på vegne av tredjeparts behandlingsansvarlige.

1.Definisjoner

”Adekvansbeslutning” betyr en beslutning fra Europakommisjonen, den norske regjeringen eller annen relevant myndighet som bekrefter at en jurisdiksjon utenfor EØS, Storbritannia eller Norge tilbyr et tilstrekkelig nivå av databeskyttelse, slik at personopplysninger som omfattes av GDPR eller norsk personvernlovgivning kan overføres dit uten ytterligere garantier, inkludert, men ikke begrenset til, standard kontraktsklausuler.

”Tilknyttet selskap” betyr enhver enhet under en Parts kontroll der ”kontroll” innebærer eierskap til eller rett til å kontrollere mer enn 50 % av stemmeberettigede verdipapirer i en slik enhet.

”Gjeldende personvernlovgivning” betyr alle gjeldende internasjonale lover og forskrifter om databeskyttelse og personvern, inkludert:

(a) Forordning (EU) 2016/679 om beskyttelse av enkeltpersoner med hensyn til behandling av personopplysninger og om fri utveksling av slike opplysninger (General Data Protection Regulation, ”GDPR”);

(b) Europeisk direktiv 2002/58/EF (”ePrivacy-direktivet”) og direktiv 2009/136/EF (”Cookie-direktivet”), sammen med nasjonal implementeringslovgivning i EUs medlemsstater;

(c) Lov om behandling av personopplysninger (personopplysningsloven) og annen relevant databeskyttelseslovgivning i Norge; og

(d) enhver tilsvarende lovgivning som gjelder for noen av Partene, som endret eller erstattet fra tid til annen.

Begrepene ”behandlingsansvarlig”, ”databehandler”, ”behandling”, ”personopplysninger”, ”registrert” og ”særlige kategorier av data” brukt i denne DPA-en skal ha den betydningen som er angitt i GDPR.

”EØS” betyr, for formålene til denne DPA-en, medlemsstatene i EU og det europeiske økonomiske samarbeidsområde.

”Ikrafttredelsesdato” betyr datoen da denne DPA-en er signert av Partene.

”Part” betyr deg eller oss, eller sammen ”Partene”, under denne DPA-en.

”Sikkerhetshendelse” betyr ethvert brudd på sikkerheten som fører til, eller rimelig kan antas å ha ført til, utilsiktet eller ulovlig ødeleggelse, tap, endring av, eller uautorisert avsløring av eller tilgang til personopplysninger.

”Standard kontraktsklausuler” betyr klausulene fastsatt i Vedlegg A, som ble godkjent av Europakommisjonen i Implementeringsbeslutning (EU) 2021/914.

”Underleverandør” betyr en part som er engasjert av en databehandler til å behandle personopplysninger på sine vegne.

”Tilsynsmyndighet” betyr en uavhengig offentlig myndighet som er ansvarlig for å overvåke overholdelse av gjeldende personvernlovgivning, inkludert Datatilsynet.

”Varighet” betyr (a) kontraktens varighet; og (b) enhver periode etter avslutning der du behandler personopplysninger til de er slettet, ødelagt eller returnert i henhold til denne DPA-en.

2. Rolle og omfang av behandlingen

2.1 Du erkjenner at du skal opptre som en underdatabehandler for behandling av personopplysninger under kontrakten, på vegne av Moo Gruppen AS som databehandler for tredjeparts behandlingsansvarlige. Du samtykker i å overholde kravene i denne DPA-en og kontrakten, uten ekstra kostnad for Moo Gruppen, gjennom hele kontraktens varighet.

2.2 Hver Part skal overholde sine forpliktelser i henhold til gjeldende personvernlovgivning vedrørende personopplysninger som behandles under denne DPA-en.

2.3 Du skal til enhver tid: (i) kun behandle Personopplysningene strengt og utelukkende i den grad det er nødvendig i forbindelse med denne DPA, eller som nødvendig for å levere Tjenestene til Moo Gruppen i henhold til Kontrakten, i samsvar med Moo Gruppen AS’s dokumenterte instruksjoner som mottatt fra tid til annen; og (ii) ikke behandle Personopplysningene for dine egne formål eller for formål som tilhører en tredjepart.

2.4 Hvis du er pålagt av gjeldende lov å behandle Personopplysninger for andre formål enn de som er spesifisert i denne DPA, forplikter du deg til å varsle Moo Gruppen AS om slike formål umiddelbart før du utfører behandlingen, med mindre slik lov forbyr varsling til Moo Gruppen AS. Med hensyn til Personopplysninger som omfattes av GDPR eller UK GDPR, kan du kun behandle slike data utenfor Moo Gruppen AS’s dokumenterte instruksjoner dersom det kreves av lovene i EU, en europeisk medlemsstat eller Storbritannia spesifikt. Dette kravet utelukker lovene i andre jurisdiksjoner, inkludert men ikke begrenset til USA.

2.5 Hvis du blir klar over eller mener at en databehandlingsinstruksjon fra Moo Gruppen AS bryter med gjeldende personvernlov(er), eller hvis du av en eller annen grunn ikke kan etterkomme Moo Gruppen AS’s databehandlingsinstruksjoner, eller på annen måte ikke kan etterkomme vilkårene i Kontrakten eller denne DPA, skal du umiddelbart: (i) varsle Moo Gruppen AS om slik manglende evne, med rimelig detalj om instruksjonene du ikke kan etterkomme og hvorfor det ikke er mulig å etterkomme, så langt det er tillatt etter gjeldende lov; og (ii) stanse all behandling av Personopplysningene (unntatt lagring og opprettholdelse av datasikkerheten) inntil Moo Gruppen AS gir nye instruksjoner som du kan etterkomme.

2.6 Du skal ikke, enten gjennom handling eller unnlatelse, forårsake at Moo Gruppen AS bryter noen gjeldende personvernlovgivning, inkludert de som gjelder for databeskyttelse i EØS, Norge, eller andre jurisdiksjoner innenfor GDPRs virkeområde.

3. Underleverandører

3.1 Du skal ikke sette ut behandling av Personopplysninger til en annen underdatabehandler uten første skriftlige samtykke fra Moo Gruppen AS. Hvis Moo Gruppen AS, etter eget forgodtbefinnende, gir slikt samtykke, skal du sikre at ingen Personopplysninger avsløres til underdatabehandleren før du har inngått en bindende skriftlig avtale med underdatabehandleren som: (i) pålegger underdatabehandleren de samme forpliktelsene som de som er nedfelt i denne DPA angående behandling av Personopplysninger, og (ii) gir Moo Gruppen AS rett til å håndheve slike forpliktelser.

4. Samarbeid

4.1 Du skal, under hensyntagen til behandlingens art, samarbeide med Moo Gruppen AS for å muliggjøre at Moo Gruppen (eller dets tredjepartsbehandlingsansvarlige) kan svare på forespørsler, klager eller andre henvendelser fra Registrerte og offentlige, regulatoriske eller rettslige organer knyttet til behandlingen av Personopplysninger under Kontrakten, inkludert forespørsler fra Registrerte som ønsker å utøve sine rettigheter i henhold til gjeldende personvernlovgivning. Du skal umiddelbart videresende enhver slik forespørsel, klage eller henvendelse som er rettet direkte til deg til Moo Gruppen og skal ikke svare på slike forespørsler, klager eller henvendelser uten uttrykkelig tillatelse fra Moo Gruppen AS.

4.2 Du skal umiddelbart gi Moo Gruppen AS all rimelig bistand som er nødvendig for å sette Moo Gruppen AS (eller dets tredjeparters behandlingsansvarlige) i stand til å: (i) varsle relevante brudd på GDPR til passende tilsynsmyndigheter og/eller berørte registrerte; (ii) gjennomføre en vurdering av personvernkonsekvenser, som kreves; og (iii) konsultere relevante tilsynsmyndigheter med hensyn til planlagte behandlingsaktiviteter som innebærer høy risiko for de registrerte, der dette kreves ved lov.

5. Tilgang til Data og Moo Gruppen AS’ Sikkerhetstiltak

5.1 Du skal implementere og opprettholde hensiktsmessige tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger mot sikkerhetshendelser og for å ivareta sikkerheten, integriteten, tilgjengeligheten og konfidensialiteten til personopplysninger, i samsvar med artikkel 32 i GDPR, og Moo Gruppen AS’ Retningslinjer for akseptabel bruk (“Selskapets sikkerhetstiltak”).

5.2 Kun du er autorisert til å behandle personopplysninger som en del av tjenestene. Du skal til enhver tid sikre overholdelse av Moo Gruppen AS’ sikkerhetstiltak.

6. Sikkerhetshendelser

6.1 Du skal umiddelbart varsle Moo Gruppen om enhver sikkerhetshendelse som involverer personopplysninger, og under enhver omstendighet innen 48 timer etter å ha blitt kjent med en slik hendelse. Varslingen skal inneholde: (i) en beskrivelse av hendelsens art, (ii) kategoriene av involverte personopplysninger, (iii) det omtrentlige antallet berørte registrerte, og (iv) tiltakene du har iverksatt for å begrense hendelsens innvirkning. Du skal videre samarbeide med Moo Gruppen i undersøkelsen og løsningen av sikkerhetshendelsen, inkludert varsling av berørte registrerte eller tilsynsmyndigheter, som kreves av gjeldende personvernlovgivning.

7. Sikkerhetsrapporter og Inspeksjoner

7.1 Du skal: (i) opprette, (ii) holde oppdatert i perioden for din behandling av personopplysninger, og (iii) opprettholde i en periode på seks (6) år deretter, fullstendige og nøyaktige opptegnelser skriftlig (inkludert i elektronisk form) tilstrekkelige til å demonstrere din overholdelse av forpliktelsene angitt i denne databehandleravtalen (DPA). Du skal gi slike opptegnelser til Moo Gruppen eller enhver tilsynsmyndighet umiddelbart på forespørsel.

7.2 Moo Gruppen (eller dets utpekte representanter) kan gjennomføre en inspeksjon av dine operasjoner og fasiliteter i vanlige forretningstider, med rimelig forhåndsvarsel, etter Moo Gruppens eget forgodtbefinnende, inkludert, men ikke begrenset til, situasjoner hvor Moo Gruppen anser det som nødvendig eller hensiktsmessig. Dette inkluderer, men er ikke begrenset til, tilfeller hvor Moo Gruppen har rimelig bekymring for din overholdelse av personvernreglene, etter en sikkerhetshendelse (hvor det ikke vil kreves forhåndsvarsel), eller etter instruksjoner fra en tilsynsmyndighet eller relevante tredjeparters behandlingsansvarlige.

8. Internasjonale Overføringer

8.1 Partene skal kun overføre, eller tillate overføring av, personopplysninger i samsvar med bestemmelsene i gjeldende personvernlovgivning om internasjonale dataoverføringer. Gjeldende personvernlovgivning inkluderer GDPR, britisk GDPR, norsk personvernlovgivning og andre relevante lover innenfor Det europeiske økonomiske samarbeidsområde (EØS).

8.2 Uten at det berører punkt 8.3, i den grad du er lokalisert i en jurisdiksjon utenfor EØS eller Storbritannia som ikke har fordel av en adekvansbeslutning, og overføringen av personopplysninger til deg er underlagt GDPR og/eller britisk GDPR, inngår partene herved de standard kontraktsbestemmelser (Modul 3) som er vedlagt her som Vedlegg A. I den grad britisk GDPR gjelder, inngår partene herved også den britiske tilleggsteksten, vedlagt her som Vedlegg B. For formålene med de standard kontraktsbestemmelser, og kun mellom deg og Moo Gruppen AS, godtar du at du er “dataimportør” og Moo Gruppen AS er “dataeksportør”.

8.3 Uten at det berører punkt 8.2, i den grad du er lokalisert i EØS eller Storbritannia, og du overfører personopplysninger til Moo Gruppen AS, inngår partene herved de standard kontraktsbestemmelser (Modul 3) som er vedlagt her som Vedlegg A, og i den grad du er lokalisert i Storbritannia, inngår partene herved også den britiske tilleggsteksten, vedlagt her som Vedlegg B, med hensyn til slike overføringer. For formålene med de standard kontraktsbestemmelser, og kun mellom deg og Moo Gruppen AS, godtar du at Moo Gruppen AS er “dataimportør” og du er “dataeksportør”.

8.4 I konteksten av en overføring av personopplysninger under denne DPA, er det hver parts ansvar å avklare sin rolle med hensyn til enhver overføring og å konsultere den andre parten hvis det er usikkerhet.

8.5 Partene er enige om at, i tilfelle en tilsynsmyndighet og/eller gjeldende personvernlovgivning ikke lenger tillater lovlig overføring av personopplysninger til deg og/eller krever at Moo Gruppen AS vedtar en alternativ løsning for overføring som overholder gjeldende personvernlovgivning, skal du samarbeide fullt ut med Moo Gruppen for å diskutere og bli enige om å endre denne DPA for å rette opp slik manglende overholdelse og/eller stanse behandlingen av personopplysninger.

8.6 Det er ikke intensjonen til noen av partene, og det er heller ikke effekten av denne DPA, å motsette seg eller begrense noen av bestemmelsene i de standard kontraktsbestemmelser. Derfor, hvis og i den grad de standard kontraktsbestemmelser er i konflikt med noen bestemmelse i denne DPA, skal de standard kontraktsbestemmelser ha forrang. Under ingen omstendighet skal denne DPA begrense eller innskrenke rettighetene til noen registrert eller noen kompetent tilsynsmyndighet.

9. Sletting og Retur

9.1 Innen tretti (30) dager etter opphør eller utløp av denne DPA, skal du umiddelbart, permanent og sikkert slette (eller, etter valg av Moo Gruppen, returnere) alle personopplysninger (inkludert kopier) i din besittelse eller kontroll. Dette kravet skal ikke gjelde i den grad du er pålagt av gjeldende lov å beholde noen eller alle personopplysningene, i hvilket tilfelle du skal isolere og beskytte personopplysningene fra enhver videre behandling, unntatt som påkrevd av slik lov. Når det gjelder personopplysninger som er underlagt GDPR, kan du kun beholde kopier av slike personopplysninger etter avslutning av tjenestene dersom lovene i EU eller en europeisk medlemsstat krever det.

10. Generelt

10.1 Denne DPA trer i kraft på ikrafttredelsesdatoen og, med mindre den termineres tidligere i samsvar med denne klausul 10.1, vil fortsette i avtaleperioden.

10.2 Partene erkjenner og er enige om at ethvert brudd fra din side på denne DPA skal utgjøre et vesentlig brudd på denne DPA og kontrakten. I et slikt tilfelle, og uten at det berører noen annen rettighet eller rettsmiddel som er tilgjengelig, kan Moo Gruppen velge å umiddelbart si opp kontrakten (helt eller delvis) i samsvar med bestemmelsene om oppsigelse i kontrakten.

10.3 Hvis det er noen konflikt mellom noen bestemmelse i denne DPA og noen bestemmelse i kontrakten, skal denne DPA kontrollere og ha forrang, med mindre annet er uttrykkelig angitt her.

10.4 Vilkårene og betingelsene i denne DPA utgjør hele avtalen mellom partene med hensyn til emnet heri og erstatter alle tidligere avtaler, løfter, forsikringer, garantier, representasjoner og forståelser mellom dem, enten skriftlige eller muntlige, med hensyn til emnet heri.

10.5 Partene er enige om at uavhengig av en eventuell opphøring av Kontrakten og/eller denne DPA-en, skal vilkårene i denne DPA-en forbli i kraft inntil du har slettet eller returnert de personopplysningene som er behandlet i henhold til denne DPA-en i samsvar med vilkårene i denne DPA-en.

10.6 Denne DPA-en kan ikke endres, unntatt ved et etterfølgende skriftlig dokument utstedt av Moo Gruppen. Hvis noen del av denne DPA-en anses som ugyldig, skal gyldigheten av de gjenværende delene ikke påvirkes.

10.7 Med mindre annet er påkrevd i henhold til gjeldende lov, skal denne DPA-en og enhver tvist eller krav (inkludert tvister eller krav utenfor kontrakt) som oppstår under eller i forbindelse med denne DPA-en eller dens emne eller opprettelse være underlagt og tolkes i samsvar med lovene i Norge, GDPR og andre gjeldende lover i EØS. Hver part er enig i at norske domstoler skal ha eksklusiv jurisdiksjon til å avgjøre enhver tvist eller krav (inkludert tvister eller krav utenfor kontrakt) som oppstår fra eller i forbindelse med denne DPA-en eller dens emne eller opprettelse.

10.8 Partene erkjenner herved og er enige om at eventuelle rettsmidler som oppstår som følge av en sikkerhetshendelse eller brudd fra din side på vilkårene i denne DPA-en eller gjeldende personvernlovgivning, ikke er og skal ikke være underlagt noen utelukkelses- eller ansvarsbegrensningsbestemmelse som gjelder for deg i henhold til Kontrakten.

For å sikre samsvar med norske og europeiske lover, inkludert General Data Protection Regulation (GDPR) og relevante klausuler, er følgende endringer gjort i teksten. Disse endringene fjerner enhver referanse til britisk lovgivning og fokuserer utelukkende på norske, europeiske og EØS-reguleringer.

 

ロJeg har lest, forstått og aksepterer vilkårene som er beskrevet i Data Processing Addendum for Moo Gruppen.

 

Moo Gruppen AS

Organisasjonsnummer: 917021384

Forretningsadresse: Industriveien 6
1461 LØRENSKOG

E-post: post@moogruppen.no