Integritetspolicy

lastu.co | Webblager | Integritetsdeklaration (för GDPR)

----

AVSNITT 1-VAD GÖR VI MED DIN INFORMATION?

När du köper något från vår affär, som en del av köpen och försäljningsprocessen, samlar vi in den personliga information som du ger oss, som namn, adress och e-postadress.
När du bläddrar i vår butik får vi också automatiskt din datorns internetprotokoll (IP)-adress för att ge oss information som hjälper oss att lära oss om webbläsaren och operativsystemet.
Mejlmarknadsföring (om tillämpligt): Med din tillåtelse kan vi skicka e-postmeddelanden till dig om vår butik, nya produkter och andra uppdateringar.

AVSNITT 2-MEDGIVANDET

Hur får du mitt samtycke?
När du ger oss personlig information för att slutföra en transaktion, kontrollera ditt kreditkort, placera en beställning, ordna en leverans eller returnera ett köp, innebär det att du samtycker till att vi samlar in den och använder den enbart av den specifika anledningen.
Om vi ber om din personliga information av en sekundär anledning, som marknadsföring, kommer vi antingen att fråga dig direkt för ditt uttryckliga samtycke, eller ge dig en möjlighet att säga nej.

Hur tar jag tillbaka mitt samtycke?
Om du ändrar dig efter att du har valt-in, kan du dra tillbaka ditt samtycke för att vi ska kontakta dig, för fortsatt insamling, användning eller utlämnande av din information, när som helst, genom att kontakta oss på info@lastucase.com eller mailing oss på:
Lastu
Nahkatehtaankatu 2 OULU FI 90130

AVSNITT 3-OFFENTLIGGÖRANDE

Vi kan avslöja din personliga information om vi är skyldiga enligt lag att göra det eller om du bryter mot våra tjänstevillkor.

AVSNITT 4-FÖRSTÄRKNING

Vår affär är värd för Shopify Inc. De ger oss den elektroniska handelsplattformen som gör det möjligt för oss att sälja våra produkter och tjänster till er.
Data lagras med hjälp av Shopify s datalagring, databaser och den allmänna applikationen för att visa en förskärning. De lagrar dina data på en säker server bakom en brandvägg.

Betalning:
Om du väljer en direkt betalningsförmedlingsnod för att slutföra inköpet, lagras kreditkortsdata i Shopify. Den krypteras med hjälp av PCI-DSS (BetalCard Industry Data Security Standard). Dina inköpstransaktionsdata lagras bara så länge som krävs för att slutföra inköpstransaktionen. När det är klart tas din inköpstransaktionsinformation bort.
Alla direktbetalningar följer de standarder som fastställs av PCI-DSS, som förvaltas av rådet för säkerhetsstandarder för gemensamt intresse, vilket är en gemensam satsning på varumärken som Visa, Mastercard, American Express och Discover.
PCI-DSS-kraven bidrar till att säkerställa säker hantering av kreditkortsinformation från vår butik och dess tjänsteleverantörer.
För mer insikt kan du också vilja läsa Shopify's Terms of Service (https: //www.shopify.com/legal/terms) eller integritetsförklaring (https: //www.shopify.com/legal/privacy).

AVSNITT 5-TREDJE PARTS TJÄNSTER

I allmänhet kommer de tredjepartsleverantörer som vi använder bara att samla in, använda och avslöja er information i den utsträckning som är nödvändig för att de ska kunna utföra de tjänster de tillhandahåller oss.
Vissa tredjepartsleverantörer, t.ex. betalningsgatewayer och andra betalningstransaktionsprocessorer, har dock en egen sekretesspolicy när det gäller den information som vi behöver för att tillhandahålla dem för dina inköpsrelaterade transaktioner.
För dessa leverantörer rekommenderar vi att du läser deras sekretessregler så att du kan förstå hur dina personuppgifter kommer att hanteras av dessa leverantörer.
Kom ihåg att vissa leverantörer kan vara belägna i eller ha anläggningar som är belägna i en annan jurisdiktion än du eller vi. Så om du väljer att gå vidare med en transaktion som innefattar tjänster från en leverantör av en tredjepartsleverantör, kan din information bli föremål för lagstiftningen i den eller de jurisdiktionsenheter som tjänsteleverantören eller dess anläggningar befinner sig i.
Om du t.ex. är belägen i Kanada och din transaktion behandlas av en betalningsförmedlingsnod i Förenta staterna, kan din personliga information som används för att slutföra transaktionen omfattas av offentliggörande enligt United States lagstiftning, inklusive Patriot Act.
När du lämnar vår butiks webbplats eller omdirigeras till en webbplats eller en tredjeparts webbplats, styrs du inte längre av denna sekretesspolicy eller vår webbsajts tjänstevillkor.

Länkar
När du klickar på en länk i vår affär, kan de leda dig bort från vår sajt. Vi är inte ansvariga för den personliga integriteten på andra platser och uppmuntrar er att läsa deras sekretessuttalanden.


AVSNITT 6-SÄKERHETEN

För att skydda din personliga information vidtar vi rimliga försiktighetsåtgärder och följer branschens bästa praxis för att se till att det inte är felaktigt förlorat, missbrukas, accessas, sprids, ändras eller förstörs.
Om du ger oss din kreditkortsinformation krypteras informationen med hjälp av SSL och lagras med en AES-256 kryptering. Även om ingen metod för överföring via Internet eller elektronisk lagring är 100% säker, följer vi alla PCI-DSS-krav och genomför ytterligare allmänt accepterade branschstandarder.

AVSNITT 7-KAKOR

Här är en lista med kakor som vi använder. Vi har listat dem här så att du kan välja om du vill att du ska välja att välja mellan att välja kakor eller inte.
_session_id, unique token, sessional, Låter Shopify lagra information om din session (hänvisare, landningssida osv.).
_shopify_besök, inga data som hålls, Persistent i 30 minuter från det senaste besöket, som används av vår webbplatsleverantörens interna statistik-spårare för att registrera antalet besök
_shopify_uniq, inga data hållna, upphör att gälla vid midnatt (i förhållande till besökaren) nästa dag, räknar antalet besök till en butik av en enskild kund.
varukorg, unik token, beständig i 2 veckor, Stores information om innehållet i din varukorg.
_secure_session_id, unique token, sessional
lagerhållning_digest, unikt token, obestämt om butiken har ett lösenord, används detta för att avgöra om den aktuella besökaren har åtkomst.



AVSNITT 8-MEDGIVANDET

Genom att använda denna anläggning representerar du att du är minst lika gammal som i din delstat eller provins, eller att du är en majoritet i din stat eller en provins och du har gett oss ditt samtycke för att tillåta att någon av dina underordnade personer är beroende av att använda den här platsen.

AVSNITT 9-ÄNDRINGAR AV DENNA SEKRETESSPOLICY

Vi förbehåller oss rätten att när som helst ändra den här integritetspolicyn, så var snäll och se över det ofta. Ändringar och förtydliganden kommer att träda i kraft omedelbart på deras utpostering på webbplatsen. Om vi gör väsentliga ändringar i denna politik kommer vi att meddela er att den har uppdaterats, så att ni är medveten om vilka uppgifter vi samlar in, hur vi använder den, och under vilka omständigheter, om någon, vi använder och / eller avslöjar det.
Om vår affär förvärvas eller slås samman med ett annat företag, får din information överföras till de nya ägarna så att vi kan fortsätta att sälja produkter till dig.

FRÅGOR OCH KONTAKTINFORMATION

Om du vill: få tillgång till, korrigera, ändra eller radera all personlig information som vi har om dig, registrera ett klagomål, eller helt enkelt vill ha mer information kontakta vår sekretessansvarig på info@lastucase.com eller per post på
Lastu
[ Re: Sekretessuppfyllande Officer ]
Nahkatehtaankatu 2

ULEÅBORG-90130

----

NOSTOS DATABEHANDLING ADDENDUM

26 mars 2018

Den här databehandlings-addendum (den här "DPA") tillämpas på alla kunder som använder Nosto' s Service och / eller eventuella ytterligare tjänster (“Kund”, “du). Den här DPA bör läsas noggrant för att förstå dina rättigheter och skyldigheter, samt vår.

Genom att få åtkomst till eller använda tjänsten bekräftar du och håller med om att du har läst, förstått och accepterar att bindas av den här DPA. Vi kan uppdatera denna DPA då och då. Genom att fortsätta att använda tjänsten efter det att Nosto publicerat ett meddelande om en modifiering på www.nosto.com kan du därigenom acceptera ändringen. Om du inte instämmer i de termer som beskrivs i denna DPA, bör du omedelbart avbryta användningen av tjänsten.

Denna DPA omfattar avsnitten 1, 2 och 3 och ska betraktas som en integrerad del av NostosAnvändningsvillkor (tillgängliga på www.nosto.com/terms/, som uppdaterats då och då) mellan Kunden och Nosto, eller något annat avtal mellan Kunden och Nosto som styr Kundens användning av tjänsten som tillhandahålls av Nosto (nedan kallad "Tjänsteavtal").

1. Effektivitet.

  1. För att undvika tvivel gäller detta DPA endast för Nosto Service som köpts från Nosto och inte är tillämplig på en tjänst som kunden köper från någon annan skiva än Nosto.

  2. Kunden representerar och garanterar Nosto att han eller hon har den juridiska auktoriteten att binda och lagligen ingå kunden i serviceavtalet.

  3. Denna DPA upphör automatiskt vid uppsägning av serviceavtalet eller Användarvillkoren (i förekommande fall), eller som tidigare sagts upp i enlighet med villkoren i detta DPA.

page1image3778800

AVSNITT 1
Databehandling Villkor

  1. Definition. Om inget annat anges i serviceavtalet kommer alla aktiverade termer som används i detta avtal att ha de betydelser som anges nedan:

    1. "Nosto Infrastruktur" definieras som Nosto och dess tjänsteleverantörer och / ellerunderleverantörens datacenter, servrar, nätverksutrustning och värd programvarusystem (t. ex., virtuella brandväggar) som ligger inom Nostos kontroll och används för att getjänst.

    2. "Nosto Säkerhetsstandarder" definieras som de säkerhetsstandarder som bifogas detta avtal om ömsesidigt erkännande enligt Avsnitt 2.

    3. "kunddata" definieras som "personuppgifter" (enligt definitionen i förordning) som behandlas inom Nosto-infrastrukturen under Kundens konto.

    4. "Förordning" definieras som Förordning 2016/679 av Europaparlamentets och Rådets förordning av den 27 April 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, och om upphävande av Direktiv 95/46/EG (Allmän uppgiftsskyddsförordning).

    1. "EES" definieras som Europeiska ekonomiska samarbetsområdet.

    2. "Bearbetning" har den mening som ges till den i förordningen och" processen", " processer"

      och "bearbetad" kommer att tolkas i enlighet därmed.

    3. "Standardavtalsklausuler" definieras som avtal enligt Europeiska kommissionens beslut av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare som är etablerade i tredjeländer enligt den förordning som ingår i detta avtal om ömsesidigt erkännande.

  2. databehandling

    2.1. Omfattning och roller. Detta DPA gäller när kunddata behandlas av Nosto och dess underleverantörer. i detta sammanhang ska kunden fungera som "controller", Nosto ska fungera som"förädlare" och Nostos underleverantör(er) ska fungera som “Sub-processor " med avseende påKunddata (som varje term definieras i förordningen). Trots ovanstående ska Nosto fungera som registeransvarig med avseende på de personuppgifter som vi kan ha samlat in från dig under registrering eller tillhandahållande av supporttjänster, om sådana finns.

    2.2. Uppgifter om databehandlingen. Närmare uppgifter om behandling av uppgifter, t. ex. behandlingens ämne och varaktighet, behandlingens art och syfte, typ av personuppgifter och kategorier av registrerade, anges i Avsnitt 3 "Uppgifter Om Databehandling”.

    2.3. Överensstämmelse med gällande lagar. Varje part kommer att följa de lagar, regler och förordningar som är tillämpliga på den och bindande för den i utförandet av denna DPA, särskilt inklusive förordning. Som registeransvarig ska kunden vara ansvarig för att den har de nödvändiga rättigheterna och att den har erhållit de nödvändiga samtyckena från de registrerade för Nostos (och dess Underentreprenörer) behandling av personuppgifter. Kunden är också ansvarig för att utarbeta den relevanta Sekretesspolicyn och Cookiepolicyn eller på annat sätt informera de registrerade om behandlingen av personuppgifter i enlighet med förordningen. Genom att använda tjänsten garanterar du att du har informerat

och erhöll nödvändiga samtycke från dina anställda och slutanvändaren av din webbutik som behövs för behandling av deras personuppgifter.

  1. 2.4.  Särskilda kategorier av personuppgifter. Kunden erkänner härmed och samtycker till att skicka eller lagra personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller fackligt medlemskap, och behandling av genetiska uppgifter, biometriska uppgifter i syfte att unikt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexliv ellersexuell läggning “Särskilda kategorier av personuppgifteri tjänsten är strängt förbjudet. Genom att använda tjänsten garanterar du att du inte skickar eller lagrar några särskilda kategorier av personuppgifter i tjänsten.

  2. 2.5.  Instruktioner för databehandling. Nosto (och dess underleverantörer) kommer endast att behandla kunduppgifter i enlighet med kundens dokumenterade instruktioner, inklusive när det gäller överföring av personuppgifter till ett tredjeland, om inte detta krävs enligt unionsrätten eller den medlemsstats lagstiftning som personuppgiftsbiträdet omfattas av, och i så fall ska Nosto informera kunden om detta rättsliga krav före behandlingen, såvida inte denna lag förbjuder sådan information av viktiga skäl av allmänt intresse. Parterna är överens om att detta DPA är kundens kompletta och slutliga instruktioner till Nosto i samband med behandling av kunddata. Behandling utanför ramen för detta DPA (om någon) kommer att kräva föregående skriftligt avtal mellan Nosto och kunden om ytterligare instruktioner för bearbetning, inklusive avtal om eventuella extra avgifter kunden kommer att betala till Nosto för att utföra sådana instruktioner. Kunden kan säga upp detta DPA, inklusive serviceavtalet, enligt de bestämmelser som anges i användarvillkoren om Nosto avböjer att följa instruktioner som kunden begär och som inte omfattas av detta avtal om ömsesidigt erkännande.

  3. 2.6.  Tillgång eller användning. Nosto kommer inte att komma åt eller använda kunddata, förutom vid behov för att tillhandahålla tjänsten enligt definitionen i serviceavtal som gäller mellan Nosto och kunden. Nosto kan också använda statistiska, aggregerade eller på annat sätt anonymiserade uppgifter som samlats in av Tjänsten, förutsatt att sådana uppgifter inte direkt eller indirekt kan identifieras för kunden eller dess kunder.

  4. 2.7.  Offentliggörande. Nosto kommer inte att lämna ut kunddata till någon regering, förutom vid behov för att följa lagen eller en giltig och bindande order från en brottsbekämpande myndighet (t.ex. en stämning eller domstolsbeslut). Om en brottsbekämpande myndighet skickar Nosto en efterfrågan på kunddata, kommer Nosto att försöka omdirigera brottsbekämpande organet för att begära att data direkt från kunden. Som en del av detta arbete kan Nosto ge kundens grundläggande kontaktinformation till brottsbekämpande organet. Om det är tvunget att lämna ut kunddata till en brottsbekämpande myndighet, då Nosto kommer att ge kunden rimligt meddelande om efterfrågan att tillåta kunden att söka en skyddsorder eller annan lämplig åtgärd om inte Nosto är lagligt förbjudet att göra det.

  5. 2.8.  Nosto Personal. Nosto begränsar sin personal från att behandla kunddata utan tillstånd enligt beskrivningen i Såtgärd 2 “Nosto Säkerhetsstandarder. Nosto kommer att ålägga sin personal lämpliga avtalsförpliktelser, inklusive relevanta skyldigheter i fråga om sekretess, dataskydd och datasäkerhet.

  6. 2.9.  Kundkontroller. Tjänsten ger kunden kontroller för att göra det möjligt för kunden att ta bort eller blockera kunddata enligt beskrivningen i tjänsten. Nosto tillhandahåller ett antal funktioner och funktioner som kunden kan välja att använda. Kunden är ansvarig för korrekt (a) konfigurera och använda tjänsten, (b) använda de kontroller som finns i samband med tjänsten, och (c) vidta sådana åtgärder som kunden anser lämpliga för att upprätthålla lämplig säkerhet, skydd,

radering och säkerhetskopiering av kunddata. Den Kunden kan använda denna kontroll som Nostoshjälp genom lämpliga tekniska och organisatoriska åtgärder för att uppfylla kundens skyldighet som registeransvarig enligt förordningen att svara på förfrågningar om att utöva den registrerades rättigheter.

2.10. Hjälp med föregående samråd och säkerhet för behandlingen. Den information som Nosto tillhandahållit enligt Avsnitt 2 "Nosto säkerhetsstandarder" äravsedd att hjälpa kunden att följa Kundens skyldigheter enligtartiklarna 32 och 36 i förordningen, med beaktande av behandlingens art och den information som Nost0 förfogar över.

2.11. Kund Gottgörelse. Du samtycker till att gottgöra och hålla Nosto (och våra dotterbolag, tjänstemän, direktörer, anställda) skadeslösa från alla anspråk eller krav,inklusive rimliga advokatkostnader, gjorda av någon tredje part på grund av eller till följd avdin överträdelse av ovanstående sub-avsnitt 2.3 och 2.4 I avsnitt 1 " dataprocessersjungaBestämmelser”.

  1. Överföring av personuppgifter

    3.1. Region. När du tillhandahåller tjänsten till kunden använder Nosto tredjepartstjänstleverantörer och underleverantörer (“Underentreprenörer") ligger i USA. Därför, det är nödvändigt för Nosto att överföra kunduppgifter till underentreprenörer baserat på antingen de databehandlingsavtal som innehåller standardavtalsklausulerna eller genom att följa Privacy Shield mellan EU och USA. Genom att acceptera användarvillkoren och / eller serviceavtalet bemyndigar kunden Nosto att ingå det eller de nödvändiga Databehandlingsavtalen, inklusive i tillämpliga fall standardavtalsklausulerna, med underentreprenörer för Kundens räkning. Nosto har genomfört tekniska och organisatoriska försiktighetsåtgärder som definieras i denna DPA för att skydda säkerheten och integriteten hos kunddata som behandlas av Nosto Infrastructure.

    3.2. Tillämpning av standardavtalsklausuler. Standardavtalsklausulerna gäller för kunddata som överförs, antingen direkt eller via vidare överföring, till underentreprenör i USA. Standardavtalsklausulerna gäller inte kunduppgifter som inte överförs, antingen direkt eller via vidare överföring, utanför EES. Utan hinder av ovanstående gäller inte standardavtalsklausulerna: om underentreprenören i fråga har antagit en alternativ erkänd efterlevnadsstandard för laglig överföring av personuppgifter (t.ex. Privacy Shield) utanför EES.

  2. Nosto: s säkerhetsansvar

    1. 4.1.  Nosto ansvarar för att genomföra och upprätthålla de tekniska och organisatoriska åtgärderna för anläggningarna enligt beskrivningen i Nosto säkerhetsstandarder och punkt 3.2 i Avsnitt 1 Databehandlingsvillkor som är utformade för att hjälpa kunden att säkra kunddata mot obehörig behandling och oavsiktlig eller olaglig förlust, åtkomst eller avslöjande.

    2. 4.2.  De tekniska och organisatoriska åtgärderna omfattar följande:

      1. i) Nosto har genomfört och kommer att upprätthålla åtgärder för att säkerställa den fysiska säkerheten för de anläggningar som anges i punkt 1.2. i Avsnitt 2 Nosto säkerhetsstandarder;

      2. ii) Nosto har genomfört och kommer att upprätthålla åtgärder för att säkerställa säkerheten för Nosto-infrastrukturen i enlighet med punkt 1.1 i Avsnitt 2 Nosto-säkerhet

Standard;

  1. (iii) Nosto har genomfört och kommer att behålla åtgärder för att kontrollera åtkomsträttigheter för Nosto anställda och uppdragstagare i förhållande till Nosto Infrastruktur som anges i avsnitt 1.1 i Avsnitt 2 Nosto Säkerhet. Kunden har genomfört och kommer att behålla åtgärder för att kontrollera åtkomsträttigheter till kunddata;

  2. (iv) och Nosto kommer att behandla kunddata i enlighet med kundens instruktioner enligt beskrivningen i punkt 2.5 I avsnitt 1 Databehandlingsvillkor.

  1. Kundens revisionsrätt

    1. 5.1.  Nosto ska tillhandahålla kunden all information som behövs för att visaNosto s fullgörande av sina skyldigheter enligt detta avtal om offentlig upphandling och förordningen.

    2. 5.2.  Nosto kommer att använda bästa ansträngningar för att ingå avtal med Nosto's underentreprenörer som ger kunden rätt att bidra till revisioner, inklusive inspektioner, med avseende på Nosto-Infrastruktur. Trots det föregående bekräftar kunden och samtycker till att Nosto inte kan garantera att kunden kommer att vararätt till revision Nostos Sub- bearbetningsföretag (eller deras underentreprenörer) direkt. Följaktligen Kundens begäran (och på Kundens enda kostnad) Nosto kan anlita oberoende externa revisorer för att granska att behandlingen av personuppgifter inom Nosto Infrastructure uppfyller sina dataskyddsskyldigheter. För att bevisa överensstämmelse med sina skyldigheter kommer Nosto att tillhandahålla rapporten till kunden under förutsättning att separat sekretessavtal ingås. I den utsträckning som inte omfattas av de oberoende revisionsrapporterna får kunden eller en extern revisor på uppdrag av kunden granska Nostosefterlevnad av uppgiftsskyddsskyldigheterna enligt detta avtal om dataskydd. För tydlighetens skulln ingen händelse får Nostos konkurrent vara kvalificerad att granska Nosto eller Nosto Infrastruktur.

    3. 5.3.  Parterna ska komma överens om tid och andra uppgifter om revisionen minst 30 arbetsdagar före revisionen eller inspektionen. Revisionen eller inspektionen ska genomföras så att Tid, Arbete, kostnader och den skada som Nostos verksamhet minimeras (inklusive men inte begränsat till skada Nostos kunder, partners, underprocessorer och leverantörer). Nosto: s sekretesskrav gentemot tredje man ska respekteras. Alla Kunderde företrädare eller externa revisorer som deltar i revisionen skall undertecknaseparata sekretessavtal.

    4. 5.4.  Nosto ska korrigera rapporterade brister utan onödigt dröjsmål. Endast om revisionen avslöjaraterial brister i Nostos prestanda, Nosto ska bära sina egna kostnader för revisionen.

  2. Anmälan Om Säkerhetsöverträdelser

    1. 6.1.  Om Nosto får kännedom om antingen (a) otillåten åtkomst till kunddata som lagras på Nostos utrustning eller i Nosto-Infrastruktur, eller (b) obehörig åtkomst till sådan utrustning eller sådana anläggningar, där i båda fallen sådan åtkomst resulterar i förlust, avslöjande eller ändring av kunddata (var och en av dessa). "Säkerhet Iordförande"), Nosto kommer omedelbart: (a) meddela kunden om Säkerhetsincidenten; och (B) vidta rimliga åtgärder för att mildra effekterna och minimera eventuella skador till följd av Säkerhetsincidenten.

    2. 6.2.  Kunden godkänner att:
      i) ett olyckligt säkerhetstillbud omfattas inte av denna klausul 4. En

misslyckad säkerhetsincident är en som resulterar i ingen obehörig åtkomst till kunddata eller till någon av Nosto-infrastrukturen eller anläggningar som lagrar kunddata, och kan inkludera, utan begränsning, pings och andra sändningsattacker på brandväggar eller kantservrar, portscanningar, misslyckade inloggningsförsök, överbelastningsattacker, paket sniffning (eller annan obehörig åtkomst till trafikdata som inte resulterar i åtkomst utöver IP-adresser eller rubriker) eller liknande incidenter; och

(ii) Nostos skyldighet att rapportera eller svara på en säkerhetsincident enligt denna klausul 4 är inte och kommer inte att tolkas som ett erkännande av Nosto av något fel eller ansvar av Nosto med avseende på Säkerhetsincidenten.

6.3. Anmälan(er) av säkerhetsincidenter, om någon, kommer att levereras till en eller flera av kundens administratörer på något sätt Nosto väljer, inklusive via e-post. Det är kundens eget ansvar att säkerställa att kundens administratörer alltid upprätthåller korrekt kontaktinformation på nosto management console.

7. Underbearbetning.

7.1. Auktoriserad Underbearbetning. Den Kunden samtycker till att Nosto får använda underentreprenörer för att fullgöra sina avtalsenliga skyldigheter enligt detta DPA - och / eller tjänsteavtal eller för att tillhandahålla vissa tjänster för dess räkning, t.ex. tillhandahålla supporttjänster. Avsnitt 3 " uppgifter om databehandling” listar underprocessorer som För närvarande är auktoriserade av Nosto för att komma åt kunddata. Nosto informerar minst 14 dagar innan Nosto godkänner och tillåter nya underprocessorer att få tillgång till kunddata. Kunden samtycker härmed till Nostos användning av underprocessorer som beskrivs i paragraf 5 i Avsnitt 1 Databehandling Villkor. Om inte annat anges i denna DPA, eller som kunden annars kan godkänna, kommer Nosto inte att tillåta några underprocessorer att få tillgång till kunddata.

7.2. Underentreprenörer skyldigheter. När Nosto godkänner Underprocessorer enligt beskrivningen i punkt 5.1 ovan i Avsnitt 1 Databehandlingsvillkor:

7.2.1.

7.2.2.

7.2.3.

Nosto kommer att begränsa underleverantörens tillgång till kunddata endast till vad som är nödvändigt för att upprätthålla eller tillhandahålla Tjänsten till kunden i enlighet med serviceavtalet och Nosto kommer att förbjuda underprocessorn att komma åt kunddata för något annat ändamål;

Nosto ska skriftligen ålägga underentreprenören lämpliga avtalsförpliktelser som inte är mindre skyddande än detta avtal om dataskydd, inklusive relevanta avtalsförpliktelser avseende sekretess, dataskydd, datasäkerhet och revisionsrättigheter, och

Nosto kommer att förbli ansvarig för att Nosto fullgör sina skyldigheter enligt detta DPA och för eventuella handlingar eller utelämnanden av underprocessorer som gör att Nosto bryter mot någon av Nostos skyldigheter enligt detta DPA.

8. Uppgifter att informera. Om kunduppgifter blir föremål för förverkande under konkurs-eller insolvensförfaranden, eller liknande åtgärder av tredje part medan de behandlas av Nosto, kommer Nosto att informera kunden utan onödigt dröjsmål. Nosto kommer utan onödigt dröjsmål att meddela alla relevanta parter i sådana åtgärder (t.ex. borgenärer, konkursförvaltare) att alla kunddata som omfattas av dessa förfaranden är kundens egendom och ansvarsområde och att kunddata är kundens enda disposition.

9. Sekretessavtal. Kunden samtycker till att detaljerna i detta DPA inte är allmänt kända

och utgör Nostos konfidentiella Information enligt sekretessbestämmelserna i serviceavtalet. om tjänsteavtalet inte innehåller en sekretessbestämmelse proterar Nosto är konfidentiell Information och kunden och Nosto eller dess dotterbolag har inte ett icke-avslöjande avtal på plats som täcker denna DPA, då kunden kommer inte att avslöja innehållet i denna DPA till någon tredje part förutom vad som krävs enligt lag.

10. Hela Avtalet; Konflikt. Utom i dess lydelse enligt detta avtal kommer Avtalet att fortsätta att gälla fullt ut. Om inte annat anges i serviceavtalet, i händelse av en konflikt mellan Serviceavtalen och / eller Användarvillkor tillgängliga påhttp://www.nosto.com/terms/ och detta DPA, villkoren i denna DPA kommer att kontrollera.

page7image3708288

AVSNITT 2
Nosto Säkerhetsstandarder

1. lnformationen säkerhetsprogram. Nosto kommer att upprätthålla ett information security program i enlighet med artikel 32 i Förordning (däribland antagandet och efterlevnaden av interna policies och procedurer) i syfte att (a) hjälpa Kunden att trygga Kundens Uppgifter mot oavsiktlig eller olaglig förlust, åtkomst eller avslöjande, (b) identifiera rimligen förutsebara och interna risker för säkerhet och obehörig åtkomst till Nosto Infrastruktur, och (c) minimera säkerhetsrisker, bland annat genom riskbedömning och återkommande provning. Nosto kommer att utse en eller flera anställda att samordna och vara ansvariga för informationssäkerhetsprogrammet. Informationssäkerhetsprogrammet kommer att innehålla följande åtgärder:

a) pseudonymisering och kryptering av personuppgifter;

(B) förmågan att säkerställa att bearbetningssystem och bearbetningstjänster fortlöpande är konfidentiella, integritet, tillgänglighet och motståndskraftiga;

c) möjligheten att i god tid återställa tillgången till och tillgången till personuppgifter i händelse av en fysisk eller teknisk incident;

d) en process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen.

1.1. Säkerhet Nosto Infrastruktur

  1. 1.1.1.  Datacenter och säker miljö.-Alla servrar är utvilade av Amazon Web Services (AWS) som är bland de största molndataleverantörerna och har lång spårningspost som kör datacenter på ett tillförlitligt och säkert sätt. AWS hanterar datacenterinfrastruktur, fysisk säkerhet och kontinuitet som datacenterleverantör. Mer information finns i AWS Security Whitepaper. Tjänsten körs i det virtuella privata molnet (VPC) där åtkomst till varje delsystem är begränsad med brandvägg och åtkomst till dem kräver VPN-anslutning med flerfaktorsautentisering med TOTP. Åtkomst av AWS-resurser via API kräver autentisering tillAWS IAM med åtkomstnyckel och hemlig åtkomstnyckel. Autentisering till IAM med användarnamn och lösenord kräver flerfaktorautentisering för TOTP.

  2. 1.1.2.  Tillträde till Nosto Infrastruktur. Nätverket Nosto Infrastruktur kommer att vara tillgängligt för Nosto Personal, entreprenörer och andra personer som är nödvändiga för att tillhandahålla tjänsterna (t.ex. underprocessorer). Nosto kommer att upprätthålla de tillträdeskontroller som beskrivs i avsnitt 1.1.1. i Nosto Security Standards och policyer för hantering av vilka åtkomst som ges till Nosto-infrastrukturen från varje nätverksanslutning och för varje användare. Åtkomstbehörigheterna är begränsade till minimala resurser och åtgärder som krävs av jobbansvar.

  3. 1.1.3.  Auditering. Loggning av Nosto-infrastrukturen görs på flera nivåer, inklusive aktiviteter som utförs av Nosto Personnel, Customers eller systemkomponenter. Försök att göra ändringar i granskningskonfigurationen som inträffar medan granskningsfunktionerna för granskning är inloggade. Loggarna vidarebefordras till ett fjärrsystem och ett centraliserat loggsystem där de kan övervakas. Loggar sparas i ett dedikerat databaskluster som replikeras för redundans och tillgänglighet. Konfigurationsändringar av AWS-resurser spåras. Loggarna innehåller detaljerad information om API-anrop till AWS-resurser.

1.2. Fysisk säkerhet

  1. 1.2.1.  Fysiska åtkomstkontroller. Tillträde till Nosto-anläggningar ("Faciliteter") ger inte någon tillgång till infrastruktur. Fysikaliska barriärkontroller används för att förhindra obehörig entré till anläggningen. Passage genom de fysiska barriärerna vid anläggningen kräver antingen elektronisk kontrollvalidering (t.ex. system för kortsystem osv.) eller validering av personalens säkerhetspersonal (t.ex. kontrakt eller säkerhetsskyddstjänst i hemmet, receptionist osv.). Besökare på Facilities eskorteras fortlöpande av auktoriserade anställda eller entreprenörer.

  2. 1.2.2.  Obegränsad anställnings-och kontraktsåtkomst. Nosto ger dem tillgång till de anställda och entreprenörer som har ett legitimt affärsbehov av sådana åtkomsträttigheter. När en anställd eller entreprenör inte längre har ett affärsbehov av tillträdesprivilegier för honom/henne, återkallas utan dröjsmål tillträdesbefogenheterna, även om arbetstagaren eller entreprenören fortsätter att vara anställd hos Nosto eller dess närstående företag.

1.2.3. Fysiska säkerhetsavskydd. Alla anslutningspunkter (andra än de viktigaste infartsluckorna) hålls i en säkrad (låst) läge. Nosto innehåller också elektroniska intrångsdetekteringssystem som är utformade för att upptäcka obehörig åtkomst till anläggningar, inklusive rörelsedetektorer som är utformade för att upptäcka personer som försöker att få tillgång till anläggningen. All fysisk åtkomst till Facilities av anställda och entreprenörer loggas.

2. Fortsatt utvärdering. Nosto kommer att genomföra regelbundna översyner av säkerheten för dess nosto-infrastruktur och lämplighet i sitt informationssäkersprogram, mätt i förhållande till industrins säkerhetsstandarder och dess politik och förfaranden. Nosto kommer kontinuerligt att utvärdera säkerheten för dess nosto-infrastruktur och tillhörande tjänster för att fastställa om ytterligare eller olika säkerhetsåtgärder krävs för att bemöta nya säkerhetsrisker eller fynd som genereras genom periodiska granskningar.

AVSNITT 3
Databehandlingsdetaljer

Föremäl för behandling

Ämnet för databehandlingen i Addendum är kunddata.

Bearbetningens varaktighet

Som mellan Nosto och Kunden har Kunden (som styrenhet) en skyldighet att bestämma hur länge databehandlingen ska gälla enligt detta tillägg.

Efter det att tillhandahållandet av tjänsterna har avslutats ska Kunden ta bort kunddata med hjälp av de kontroller som är tillgängliga i samband med Tjänsten eller begäran om att Nosto ska ta bort kunddata eller låta kunddata returneras av Nosto till Kundens kostnad.

page10image3738032

Typ av bearbetning

" Tjänsten analyserar beteendet hos besökare i Kundens onlinebutik för att ge besökarna meningsfulla inköpsrekommendationer. Beroende på den funktionsuppsättning som används av Kunden, kan dessa rekommendationer visas på plats eller via mejl eller Facebook och Instagram. "

page10image3735328

Bearbetningsarbetens syfte

Syftet med databehandlingen enligt detta tillägg är att tillhandahålla de tjänster som initieras av Kunden.

Typ av personuppgifter

Förnamn, efternamn, e-postadress, användaragent (webbläsare), IP-adress, händelser, visade produkter, beställningshändelser, varukorgsinnehåll, gillade produkter, ogillade produkter, externa kampanjtilldelningar, klickat rekommendationer, orderinformation, telefonnummer, postnummer, landskod, landskod, skickade e-postmeddelanden.

Kategorier av de registrerade

De registrerade inkluderar Kunden' s kunder.

Delprocessorer

Amazon Web Services, Inc. ; SendGrid, Inc.

 

Kopiera GDPR

Whitepaper

20 april, 2018.

Ansvarsfrihet

Observera att detta dokument endast tillhandahålls för informationsändamål. Dess innehåll kan bli föremål för förändring över tiden. Informationen i denna whitepaper ändrar inte befintliga avtalsenliga överenskommelser och kan inte tolkas som juridisk rådgivning.

1

page2image1752096

Innehållsförteckning

Disclaimer 1

Innehållsförteckning 2

Inledning 4

Termer 4

Global GDPR-tillämpning 5

Vem är GDPR tillämplig på? 5 Sammanfogar och partner 5 Buyers 6

Vilka data är GDPR-data tillämpliga på? 6

Styrenhet kontra processorstatus 6

Bearbetningsskyldighet 8 Underbehandling 9 Dataskyddskonsekvensbedömningar 9 Personuppgifter, överträdelse av rapportering 9 Utnämning av en dataskyddsombud 10

Styrenhet 10 Underlättande av begäran 10 Införande av ett meddelande om integritetsskydd 10 Klagande med godkännande för försäljning och cookieföreskrifter 11-Att behandla barndata 11

Rättslig grund för bearbetning 11

Dataöverföringar 13

Inom EES 14 EES-Kanada 14 Förenta staterna 14 Upplysningar till tredje parter 15 Shopify ecosystem 16 App Store disstängning 16

Datarättigheter 16

Erasure 17 Timing 17

2

page3image1764640

Räckvidd 18 Access 18 Dataportabilitet 19 Rectifiering 19 Automatiserade beslut-20

Uppgiftsskydd och säkerhet 21

Organisatoriska åtgärder 21 Teknologiska åtgärder 22 Övervakning och skogsavverkning 22 Säkerhetsstandarder och certifieringar 23

Avtalsöverenskommelser och databehandling addenda 23

Förstora planer 23 Shopify Plus planer 24

Ansvarsskyldighet och transparens 24 FAQ 25

Vad gör jag om jag har fler frågor om GDPR eller min lokala sekretesslagstiftning? 25

Vem kan jag kontakta för att få mer information om Shopifis metoder? 25

Om jag använder Shopify för att vara värd för min affär, följer mina affärer med GDPR? 25

Kommer Shopify-signera standardavtal? 26

3

page4image1752992

Inledning

Shopify arbetar för att se till att den kommer att följa Europeiska unionens allmänna dataskyddsförordning (GDPR) när den träder i kraft den 25 maj 2018, och se till att dess köpmän också kommer att kunna uppfylla kraven i fråga om deras användning av "Shopify". Den här whitepemannen presenterar Shopify för GDPR-förberedelse och efterlevnad.

Villkor

BCR: ​Bindande företagsregler.
Köpare:​ Person som besöker en butik som är värd för Shopify.
Styrenhet:​ Part som bestämmer hur och för vilka ändamål persondata bearbetas.
Dataämne:Personaboutwhompersonliga datarelates.
DPIA: ​Konsekvensbedömning av data.
EEA:Europeiska ekonomiska och ekonomiska frågor i Österrike, Belgien, Bulgarien, Cypern, Tjeckien, Danmark, Estland, Finland, Frankrike, Tyskland, Grekland, Ungern, Island, Irland, Italien, Lettland, Liechtenstein, Litauen, Luxemburg, Malta, Nederländerna, Norge, Polen, Portugal, Rumänien, Slovakien, Slovenien, Spanien, Sverige och Förenade kungariket.
GDPR: ​Allmän dataskyddsförordning.
Merchant:PDet är att använda Shopifytohostasbutik.
NDA: ​Avtal om icke-spridning
Partner: ​Part som skapar Shopify-butiker för köpmän.Personuppgifter:​ All information som rör en identifierad eller identifierbar person.
PIPEDA:​ Lagen om personlig informationsskydd och elektronisk dokument.Processor:​ Part som bearbetar personliga data för styrenhetens räkning.

4

page5image1737536

Global GDPR-tillämpningVem är GDPR tillämplig på?

Opify

GDPR gäller för alla företag som hanterar invånarnas personuppgifter i Europeiska ekonomiska samarbetsområdet (EES). Eftersom Shopify arbetar med köpmän som betjänar köpare i EES, och tjänar köpare i EES direkt, är GDPR tillämplig på dessa delar av verksamheten.

Men eftersom Shopify tror starkt på dataskydd och integritetsskydd kommer det att ge alla sina handlare och partner möjlighet att erbjuda sina köpare de rättigheter som GDPR erbjuder för att kontrollera deras personuppgifter, var de än bor. Dessutom kommer Shopify att tillhandahålla verktyg och processer för sina merchants för att uppfylla GDPR-relaterade förfrågningar från köparna oavsett var köparens placering är.

Merchants och partner

Avskiljning från det sätt på vilket GDPR tillämpas på Shopify gäller förordningen även för shoptros köpmän och partner som är verksamma inom EES eller erbjuder varor eller tjänster till personer som är bosatta i EES.

Medan Shopify arbetar för att se till att dess egen verksamhet kommer att överensstämma med GDPR, och att tillhandahålla sina handelsföretag och partner med verktygen för att hjälpa sina handlare att följa GDPR, är varje köpman ytterst ansvarig för att se till att deras verksamhet överensstämmer med lagstiftningen i de jurisdiktioner där de är verksamma eller har köpare.

Att använda Shopify garanterar inte att en köpman eller partner uppfyller kraven i GDPR.

5

page6image1749408

Köpare

GDPR ger också vissa rättigheter till identifierade eller identifierbara personer (som det hänvisas till som ​dataobjekt)Inklusive butiker som besöker butiker som tillhör kryopiga köpmän. Dessa omfattar rätten att begära

  • ●  Borttagning (erasäker​) av deras personuppgifter

  • ●  Korrigering (dkektifiering)av deras uppgifter

  • ●  Tillgång till sina uppgifter

  • ●  En export av deras uppgifter i en gemensam (​bärbar)format

    Detta ämne diskuteras mer utförligt i ​Dataämnesrättigheter​ Avsnittet.Vilka data är GDPR-data tillämpliga på?

    GDPR tillämpas generellt på insamling och behandling av personuppgifter. Under GDPR, personuppgifter Information om ett datatämnesobjekt. En identifierbar person är en person som direkt eller indirekt kan identifieras, särskilt genom hänvisning till en identifierare, t.ex.

  • ●  NamnName

  • ●  Identifikationsnummer

  • ●  Placeringsdata

  • ●  Onlindentifierare (t.ex. IP-adress eller cookie-ID)1

    Styrenhet kontra processorstatus

    GDPR separerar uppgiftsskyddsuppgifter i två kategorier: styrenheter och processorer.

    Styrenhet:​ Den part som bestämmer för vilka ändamål och hur personliga data behandlas.2

    1 GFörordningen om skydd av personuppgifter, artikel 4.1.2 Allmänna dataskyddsförordningen, artikel 4.7.

page7image3739072

6

page7image1742688

Processor:​ Den part som behandlar personuppgifter för den registeransvariges räkning.3

Enligt GDPR samlar man i de flesta fall information från köparna som registeransvarig. Generellt sett fungerar Shopify som en processor för handlaren med avseende på sådana köparpersonuppgifter (eller, om handlaren fungerar som en processor, så att de fungerar som subprocessor):

Det enda undantaget är för köpare med vilka Shopify har ett direkt befintligt förhållande. Till exempel:

  • ●  Köpare som använder Shopify's Frenzy flash-sale-app för att komma åt en köpmans butik.

  • ●  Köpare som använder "Shopify Pay", som gör det möjligt för köparen att lagra deras betalningsinformation med Shopify för användning i olika butiker

  • ●  Köpare som använder sig av Shopify's Arrive-app för att spåra orderstatus från en handelsbutik.

    Även om handlaren i sådana fall också kan vara en styrenhet för köparens personuppgifter, behandlas dessa köparnas personuppgifter som en registeransvarig, enligt följande diagram:

    3 Allmän dataskyddsförordning, artikel 4.8.

page8image1766880page8image3757168

7

page8image1767104
page9image1733056

Processorskyldigheter

För att uppfylla kraven i GDPR kan processorn i allmänhet endast behandla personuppgifter när de har tillstånd att göra det av den registeransvarige.

Där Shopify är en processor för en köpman, bearbetar den personuppgifter om dokumenterade instruktioner från köpmän. Exempel: När ett handelsgem ​Uppfyllningsobjekt,De ger Shopify instruktionen att bearbeta de data som krävs för att utföra den åtgärden.4

På samma sätt, när en handlare väljer en viss betalningsprocessor, eller installerar en applikation via applikationen Shopify, ger de Shopify instruktionen att överföra data till den berörda parten.

GDPR placerar också flera andra ansvarsområden på bearbetningsföretaget, som diskuteras nedan:

4 Se avsnitt 2.2.1 i shopifis databehandling addendum:

https://www.shopify.com/legal/dpa.

page9image5818128page9image5815008

8

page9image1770912

Underbearbetning

Bearbetningsföretaget måste meddela och få tillstånd från sin registeransvarige när de överför personuppgifter till en subprocessor. Förena använder ett antal subprocessorer för att tillhandahålla tjänsten, bland annat följande:

  • ●  Butiksdata

  • ●  Operera forumen och andra delar av Shopify s webbplats

  • ●  Svara på och hantera supportfrågor

    När en köpman skriver upp sig för den skylta tjänsten samtycker de till att låta Shopify använda underprocessorer. En lista över subprocessorer är tillgängliga på begäran.

    Konsekvensbedömningar av uppgifter

    Opify är att formalisera processen för att genomföra konsekvensbedömningar av uppgiftsskyddskonsekvenser (DPIAs) när som helst en förändring i bearbetningsförfarandet inträffar som sannolikt leder till en hög risk för enskilda personers privatliv. Shopify kommer att hjälpa till att svara på rimliga frågor en köpman har om att göra sig av med Shopifis förädlingsverksamhet.

    Rapportering om personuppgiftsbrott

    Bearbetningsföretaget måste meddela den registeransvarige efter att ha blivit medveten om en personuppgiftsöverträdelse till följd av ett åsidosättande av processorns säkerhet.

    Shopify har åtagit sig att se till att dess incidentsvarsprogram uppfyller kraven i GDPR. Specifika uppgifter om överträdelser av överträdelser hanteras genom ett handlaravtal med Shopify.

9

page10image1775616

Utnämning av en uppgiftsskyddsombud

Bearbetningsföretaget måste utse en uppgiftsskyddsombud om de utför vissa typer av behandling av personuppgifter.

Shopify's Data Protection Officer kan nås på ​privacy@shopify.com.Merchants bör överväga om de också behöver utse en uppgiftsskyddsombud.5

Styrenhetskrav

I enlighet med GDPR har kontrollenheten följande ansvarsområden:

Underlätta begäran

Kontrollanter är skyldiga att hjälpa de registrerade att utöva sina rättigheter.6Shopifies köpmän kan göra detta genom att vidarebefordra köparbegäran till Shopify.

asdetailigiDatasubjektrikåer​avsnitt av detta dokument.Posta ett sekretessmeddelande

När personuppgifter samlas in från en person som omfattas av en databas måste flygledare tillhandahålla viss minimiinformation om den avsedda behandlingen av personuppgifter, samt information om hur man kontaktar och identifierar den registeransvarige.7

Merchants är ansvariga för att lämna denna information till sina köpare. Förvara den här informationen i den skärpning av integritetspolicyn där den är

5 Allmän dataskyddsförordning, artikel 37.
6 Allmän dataskyddsförordning, artikel 12.2.7 Allmän dataskyddsförordning, artikel 13.

page11image3727840page11image3767776

10

page11image1778304

en registeransvarig, och uppmuntrar köpmän att tillhandahålla denna information i sin egen sekretesspolitik.8

Klagomål med marknadsföring och kakbestämmelser

Kontrollanter är ansvariga för att se till att de uppfyller kraven för saluföring och kakförordning i de jurisdiktioner där de är verksamma.

Merchants med EU-köpare bör se till att de får ett lämpligt godkännande för användningen av cookies-direktivet om esekretessdirektiv kräver i allmänhet någon form av samtycke för att använda spårningsteknik.9

Alla köpmän bör på samma sätt se till att deras e-postmarknadsföringspraxis överensstämmer med tillämpliga e-marknadsförings-eller antispam-krav.

Att få tillstånd att behandla barndata

När de erbjuder varor eller tjänster som är direkt kopplade till barn under 16 år, ansvarar den registeransvarige för att erhålla ett kontrollerbart samtycke från barnets föräldrar för behandling av deras uppgifter.10

Merchants är ansvariga för att bedöma om de behöver få en högre grad av samtycke för vissa köpare.

Rättslig grund för bearbetning

Personuppgifter kan inte behandlas med undantag av en erkänd rättslig grund (såvida inte ett undantag gäller). I GDPR finns en förteckning över möjliga rättsliga åtgärder.

8 Shopify's Privacy Policy: https://www.shopify.com/legal/privacy​.
9 Europaparlamentets och rådets direktiv 2002 /58/EG av den 12 juli 2002 om behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation). Kommer att ersättas av esekretessförordningen.
10 Allmän dataskyddsförordning, artikel 8. De enskilda medlemsstaterna får sänka åldern för samtycke.

page12image3757584page12image1692880

11

page12image1768000

grundar sig på vilka personuppgifter som kan behandlas. Dessa skäl omfattar följande:

  • ●  Skickad

  • ●  Avtalskrav

  • ●  Rättsliga skyldigheter

  • ●  Allmänhetens intresse

  • ●  Den registeransvariges eller tredje parts legitima intressen, balanserade

    mot de rättigheter som omfattas av den registrerade11

    Skickad ​av de uppgifter som är föremål för den registrerade har gått med på behandlingen av sina personuppgifter med en tydlig och bekräftande åtgärd.12
    Detta avtal skall vara

  • ●  Fritt givet

  • ●  Specifikt

  • ●  Informad

  • ●  Unambiguous

    Merchants, som styrenheter av sina köpares personuppgifter, är ansvariga för att de har en korrekt rättslig grund för att göra detta, inklusive att ha bevis för samtycke när behandlingen grundar sig på samtycke.13

    Som dess förädlare "processor" är Shopify inte ansvarig för merchants rättsliga grunder, utan endast bearbetar köparnas personuppgifter för och på instruktionerna från köpmannen. I vissa fall kan dock lagen dessutom kräva samtycke för vissa typer av bearbetning (t.ex. vid placering eller hämtning av kakor på en anordning). I sådana fall är köpmannen också ansvarig för att erhålla ett lämpligt samtycke.

    11 Allmän dataskyddsförordning, artikel 6.
    12 Allmän dataskyddsförordning, artikel 4.11.13 Allmän dataskyddsförordning, artikel 7.1.

page13image3676048

12

page13image1771808

På begäran kommer Shopify att förse handlarna med all rimlig information som de behöver för att erhålla medgivande (till exempel information om de kategorier av kakor som har placerats när en köpare besöker en butik).

Dataöverföringar

Personuppgifter om personer som är bosatta i EES kan endast överföras till mottagare utanför EES om mottagaren har tillräckligt skydd. Dessa skydd kan omfatta följande:

  • ●  Antagande av inhemska lagar som Europeiska kommissionen har bedömt vara adekvata

  • ●  Förhandlingsavtal (t.ex. EU :s skyddshäd för skydd av personuppgifter)

  • ●  Kontraktsskydd

  • ●  Godkända uppsättningar av intern politik (bindande företagsregler)

  • ●  Godkända uppförandekoder eller certifieringar

    Shopify har skydd för personuppgifter i varje steg av dess dataflöde, enligt beskrivningen nedan. Följande diagram illustrerar shopifidys dataöverföringsstruktur:

page14image1768448

13

page14image1770688

Inom EES

EEA :s personuppgifter tas emot och initialt behandlas av Shopify's Irish entity, Shopify International Ltd.

EES till Kanada

Data exporteras från EES till den kanadensiska moderföretaget Shopify, Shopify Inc. Denna export sker inom Shopifies företagsstruktur.

Data inom Shopify Inc. är skyddade under PIPEDA, Kanada är privat

Sektorns sekretesslagstiftning, som anses lämplig enligt GDPR.14

Förenta staterna

Shopify Inc. använder en kombination av datacenter och molntjänstleverantörer för att lagra dessa personuppgifter i Förenta staterna och Kanada.

När personuppgifter överförs till Förenta staterna görs det antingen genom EUUS-och Swiss-U.S. Privacy Shield, för shopfy-s egen lagring, eller genom avtal om uppgiftsskydd med tredjepartsleverantörer. EU-US-och Swiss-U.S. Privacy Shields anses också vara adekvata inom ramen för GDPR. Shopify s sekretessintyg för integritetsskydd finns på PrivacyShield.gov.15

14 P Ursuant till Europeiska kommissionens beslut 2002 /2/EG om adekvat skyddsnivå för barn​.Kommissionens beslut av den 20 december 2001 i enlighet med Europaparlamentets och rådets direktiv 95 /46/EG om adekvat skydd av personuppgifter som tillhandahålls av Canadian Personal Information Protection and Electronic Documents Act (delgivet med nr K (2001) 4539), online på:http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32002D0002&qid=14 15699250815.
15 Se:​ https://www.privacyshield.gov/participant?id=a2zt0000000TNSNAA4​.

page15image3755088page15image3750096page15image3755296page15image5786512

14

page15image1783680

Dessutom håller Shopify på att ansöka om godkännande av bindande företagsregler (BCR) av den irländska dataskyddskommissionären. När de har godkänts förlitar sig Shopify på dessa BCR-regler för att skydda de personuppgifter som överförs mellan Shopifis företagsenheter över hela världen.

Upplysningar till tredje man

Opiga kommer aldrig att sälja personliga data för kommersiella syften. Shopify lämnar dock ut personuppgifter till tredje man eller gör det möjligt för tredje part att få tillgång till personuppgifter som hjälper till att tillhandahålla tjänster, t.ex. följande:

  • ●  Butiksdata

  • ●  Operera forumen och andra delar av Shopify s webbplats

  • ●  Svara på och hantera supportfrågor

    Dessutom får Shopify tillhandahålla personuppgifter, om så är tillåtet, för att förhindra, undersöka eller svara på

  • ●  Potentiella bedrägerier

  • ●  Olagligt beteende

  • ●  Fysiska hot

  • ●  Överträdelser av avtal med Shopify

    Shopify ger också information till tredje man när den är juridiskt skyldig att göra det. Om Shopify anser att det är juridiskt skyldigt att tillhandahålla information, och inte rättsligt förbud mot att upphöra med den rättsliga ordningen, kommer den att meddela den registrerade och ge de registrerade en möjlighet att söka en skyddsorder.

    Mer information om när Shopify upptäcker personliga data kommer snart att tillhandahållas på Shopify s webbplats under rubriken Guidelines for Legal Requests for Merchant or Buyer Data.

15

page16image1794880

Opiligekosystem

Om en handelsman går med på att använda en tredjepartsleverantör, t.ex. en betalningsprocessor, en försäljningskanal eller en app som inte kontrolleras av Shopify, kontrolleras respektive tjänsteleverantörens användning av personuppgifter av handlarens avtal med leverantören. Shopify ansvarar inte för dataförfarandena för dessa leverantörer av tredjepartsleverantörer, och köpmän bör noggrant utvärdera dessa tjänsteleverantörer eftersom de skulle ha någon tredje part.

Att erkänna att det skulle kunna vara svårt för vissa handlare att få tillräckligt med information från dessa tjänsteleverantörer för att göra en noggrann utvärdering. Shopify arbetar med dessa leverantörer för att se till att de gör information tillgänglig för köpmän om sin databehandling.

Upplysningar om App Store

På samma sätt kräver Shopify alla appar på Shopify App Store till att lämna information om hur appen hanterar personuppgifter, men att Shopify inte är ansvarig för någon appens datainsamling eller användning, eller för hur applikationen använder appen. Köpmannen ansvarar för att se över dessa upplysningar och se till att deras användning av appen överensstämmer med lagstiftningen i de jurisdiktioner där handlaren är verksam eller där den har köparverksamhet.

Dataämnesrättigheter

GDPR tillhandahåller registrerade personer (i detta fall köpare) med vissa rättigheter över sina personuppgifter. Generellt sett måste man ta itu med datafrågor inom en månad, om de inte är ovanligt komplexa eller otaliga.16 Följande rättigheter ges till de registrerade:

16 Allmän dataskyddsförordning, artikel 12.3.

page17image3763408

16

page17image1796000

Radera

De registrerade har rätt att begära att deras personuppgifter ska raderas under vissa omständigheter.

Om en handlare tar emot en begäran från en köpare om att ta bort deras personuppgifter, innan ansökan vidarebefordras till "Shopify", ska köpmannen

  • ●  Kontrollera att beställaren är samma som den registrerade (dvs. beställaren begär inte att någon annans personuppgifter ska raderas)

  • ●  Bekräfta att det inte finns någon rättslig grund för att bevara dessa uppgifter.

    Om båda villkoren är uppfyllda bör handlaren vidarebefordra begäran till Shopify, antingen genom Shopify s stödsystem, eller genom att skickaprivacy@shopify.com.

    När en begäran har tagits emot kommer Shopify att se till att relevanta personuppgifter raderas. Om det är omöjligt att radera det så låter Shopify ut veta i vilken grad det är omöjligt och varför.

    Förutom att kontakta Shopify bör handelsmannen också arbeta med alla berörda tredje parter för att se till att de raderar eller aviserar personuppgifterna.

    Tidpunkt

    Personuppgifter kan inte raderas från Shopify medan det är:

  • ●  Associerad med en väntande ordning

  • ●  Associerad med en order som har gjorts mindre än 180 dagar före

    begäran (det vanliga fönstret där en köpare kan göra en laddare).

page18image5785888

17

page18image1788160

Om köparens personuppgifter inte kan raderas av detta skäl bör handlaren på nytt lämna in borttagningsbegäran efter det att lämplig tid har passerat.

Omfattning

När du bearbetar en begäran om radering, kommer Shopify att avidentifiera köparens personuppgifter, men hålla icke-personuppgifter, t.ex. intäktsinformation och beställningsdetaljer. Beordningsinformation som behålls inkluderar den gateway som används för att behandla betalning, tid för avyttring, avlönad summa, valuta, delsumma, fraktkostnad, deklarerade skatter, leveransmetod, artikelkvantitet, objektnamn, SKU och betalningsmetod.

Om inga uppgifter om eradning av data tas emot, kommer Shopify att hålla data för hela livstidstiden och rensa personuppgifter inom 90 dagar efter det att en butik har stängts.

Tillgång

Kontrollanter ska på begäran förklara för de registrerade hur deras personuppgifter behandlas och ge tillgång till dessa personuppgifter.

Om köpmän inte kan exportera data som är tillräckliga för att uppfylla begäran från deras administratörer kan de vidarebefordra begäran till Shopify. På samma sätt som en begäran om radering, om en köpare begär tillgång till sina personuppgifter, bör handlaren först validera den beställarens identitet.

En handelsman kan sedan nå ut till Shopify, antingen genom Shopify s stödsystem, eller genom att sändaprivacy@shopify.com.

När Shopify tar emot begäran kommer den att göra följande:
Bekräfta om persondata om en köpare bearbetas

genom Shopify

page19image3761328

18

page19image1774944
  • ●  Bekräfta vilka kategorier av data som bearbetas av Shopify

  • ●  Ange köparen med relevant information från Shopify

    system

    Datapportabilitet

    Kontrollanter som processar data som använder automatisering måste under begränsade omständigheter förse de registrerade med sina personuppgifter på begäran. Dessa data måste anges i ett allmänt använt och maskinläsbart format.

    Merchants kan exportera vissa uppgifter direkt från deras butiks administrationssida. Många datatyper kan exporteras till vanliga format, t.ex. Excel eller CSV med ett klick:

  • ●  Transaktionshistorik

  • ●  Utbetalare

  • ●  Produktlistor

  • ●  Kundlistor

    Om en handlarskontakter kopierar till att begära kopior av bearbetade data, kommer dessutom Shopify att göra data tillgängliga i ett gemensamt format.

    Rättelse

    De registrerade har rätt att korrigera ofullständiga eller felaktiga personuppgifter som innehas eller behandlas av en registeransvarig.17

    Plattformens plattform gör det möjligt för en köpman att byta kundposter direkt från deras lageradministratör.18

    17 Allmän dataskyddsförordning, artikel 16.18 Aktuella order kan dock inte ändras.

page20image5774032

19

page20image1808544

Automatiserad beslutsprocess

De registrerade har rätt att invända mot bearbetning som enbart baseras på automatiserad beslutsprocess (som omfattar profilering), när detta beslut har en rättslig verkan på den registrerade eller på annat sätt väsentligt påverkar dem.19 Ett exempel på en rättslig effekt är ett beslut som påverkar en enskild persons rättsliga eller medborgerliga rättigheter eller deras rättigheter enligt ett avtal. Exempel på betydande effekter är beslut som har ekonomiska konsekvenser för enskilda personer eller påverkar deras sysselsättning.

Shopify deltar för närvarande inte i helt automatiserade beslut som har en rättslig eller annan betydande effekt med användning av köparuppgifter.

Tjänster som innehåller element av automatiserad beslutsprocess framhävs i tabellen nedan:

Delgivning

Genomförandedetaljer

Tillfällig svartlista med IP-adresser som är associerade med upprepade misslyckade transaktioner

Persister för ett litet antal timmar.

Tillfällig svart lista över kreditkort som är kopplade till svartlistade IP-adresser

Persister för ett litet antal dagar.

Uppgiftsskydd och säkerhet

Enligt GDPR ska registeransvariga och registerförare vidta lämpliga tekniska och organisatoriska åtgärder.20

19 Allmän dataskyddsförordning, artikel 21.
20 Allmän dataskyddsförordning, artikel 25, 32.

page21image5780688

20

page21image1822208

Opify har implementerat många av de kontroller och processer som identifierats i GDPR, inklusive följande:

  • ●  Anonymisera och kryptera personuppgifter

  • ●  Säkerheter av konfidentialitet, integritet, tillgänglighet och motståndskraft mot

    bearbetningssystem

  • ●  Begränsning av vilka som får komma åt personuppgifter

  • ●  Att säkerställa tillgänglighet och tillgång till personuppgifter i händelse av en

    fysisk eller teknisk incident

  • ●  Utföra regelbundna tester, bedömningar och utvärdering av

    Tekniska och organisatoriska säkerhetsåtgärder

    Organisatoriska åtgärder

    Opify har ett stabilt, tvärfunktionellt dataskyddsprogram som är integrerat med dess informationssäkerhetsprogram och innehåller flera team i hela organisationen. I synnerhet omfattar dataskyddsprogrammet en utsedd dataskyddsombud, som rapporterar till den högsta ledningen, samt personer från

  • ●  Intern säkerhet

  • ●  Juridisk

  • ●  Rättsliga åtgärder

  • ●  Produktionssäkerhet

  • ●  Bearbetar Integritet

    Tekniska åtgärderÖvervakning och loggning

    Kontrollanter-och i förekommande fall deras representant-skall föra register över den behandling av personuppgifter som de är ansvariga för.

21

page22image1828928

Shopify upprätthåller system-och applikationsloggar som rör händelser och tillgång till vissa system som används för behandling av personuppgifter. Dessa loggar lagras på loggservrar i ungefär en månad, och sedan flyttas till offsite backup platser, där de förblir tillgängliga i minst 12 månader.

Säkerhetskontroller

Shopify krypterar data som skickas till och från köpmän och köpare med hjälp av HTTPS-protokollet.

Shopify krypterar också känslig lagrad information, och salter och hashar köpman och köpare lösenord med bcrypt.

Köpmän kan också ställa in ytterligare säkerhetsfunktioner. En kontoinnehavare kan vidta följande åtgärder från sin Shopify admin:

  • ●  Aktivera multifaktorsautentisering för personal

  • ●  Definiera i viss utsträckning vilka personuppgifter som samlas in från

    köpare

  • ●  Visa vissa aktivitetsloggar, inklusive senaste inloggningsaktivitet av personal

  • ●  Ange rollbaserade behörigheter för personalkonton

    Säkerhetsnormer och certifieringar

    Shopify Shopify och alla nätbutiker som drivs av Shopify är Nivå 1 PCI-DSS-kompatibel.21

    Shopify använder tredjepartsdatacenter med branschstandard certifieringar. Exempel:

    21 Se: https:/ / www.shopify.ca / pci-kompatibel​.

page23image5783808page23image5783392

22

page23image1831168
  • ●  Nivå III

  • ●  ISO 27001PCI-DSS

    SOC-rapporter för alla anläggningar, som omfattar fysiskt skydd, kan lämnas till handlarna på begäran enligt en lämplig KÄRNAVVECKLINGSBYRÅ.

    Avtal och tillägg till databehandling

    Shopifys Användarvillkor, tillägg till databehandling, Sekretesspolicy och Policy för godtagbar användning finns online påhttps://www.shopify.com/legal.

    Shopify planer

    Shopify Shopify Shopify har automatiskt införlivat ett tillägg till databehandling som ska gälla för behandling av personuppgifter för handlare vars förhållande till Shopify styrs av Shopifys användarvillkor på nätet. Precis som Shopify inte kan förhandla om sina användarvillkor kan den inte förhandla om detta tillägg till databehandling.

    Shopify Plus planer

    Shopify Plus Shopify Plus-handlarna kommer deras förhandlade kontrakt att styra deras förhållande till Shopify. Merchants kan underteckna ett tillägg för databehandling för att tillgodose deras behov. Shopify Plus Shopify Plus-handlare som inte redan har undertecknat ett tillägg till databehandling med Shopify och skulle vilja göra det bör nå ut till sina Företagsledare. Shopify Plus-handlare som inte undertecknar ett tillägg till databehandling kommer att vara

page24image5786512

23

page24image1827584

styrs av Shopify s ​tillägg till databehandling Online (som införlivas genom hänvisning till våra online Användarvillkor).

Ansvarsskyldighet och öppenhet

Shopify sammanställer uppgifter för en öppenhetsrapport som ska publiceras i slutet av 2018.

page25image5783184

24

Kommer Shopify att underteckna standardavtalsklausuler?

Nej. Såsom beskrivs i ​Dataöverföring Shopify Shopify har strukturerat sina dataflöden så att handlarna överför data till Shopifys irländska dotterbolag inom Europa. Därför är standardavtalsklausuler inte lämpliga, eftersom de är godkända för överföringar mellan en europeisk part och en icke-europeisk part.

Dessutom gäller överföringar direkt till Shopify Inc., Shopify Shopify skulle i sådana fall förlita sig på Europeiska kommissionens beslut om adekvat skyddsnivå när det gäller Kanadas integritetslagstiftning, som sträcker sig till Shopify Inc. som ett kanadensiskt företag.

26

__________________________________

DOMARE.MIG RECENSIONER Sekretesspolicy för GDPR

Information om denna databehandling

Tillägg
Detta Databehandlingsaddendum (DPA) behandlar artikel 28 GDPR.

Vänligen ladda ner denna databehandling Addendum (DPA) om du behöver det som en del av din GDPR efterlevnad ansträngningar. DPA är förtecknad och kan undertecknas av dig som kundpart. Om du har några frågor eller kommentarer, vi är glada att hjälpa: support@judge.me.

Du kan skicka din signerade version direkt till: pj@judge.me

page1image1678944page1image1816832

DOMARE.MIG DATABEHANDLING TILLÄGG

Detta tillägg till dataskydd ("DPA") utgör en del av tjänstevillkoren mellan i) Judge.me LLC ("leverantör"), och

ii) __________________________________ ("kunden") agerar för egen räkning för att återspegla parternas avtal när det gäller behandling av personuppgifter.

I samband med tillhandahållandet av Tjänsterna till kunden i enlighet med avtalet, Judge.me kan behandla personuppgifter för Kundens räkning och parterna är överens om att följa följande bestämmelser med avseende på personuppgifter, var och en agerar rimligt och i god tro.

page2image1819072

Definition

I detta tillägg ska följande termer ha de betydelser som anges nedan och kognitiva termer ska tolkas i enlighet därmed:

"Tillämpliga Lagar"betyder (A) Europeiska unionens eller medlemsstaternas lagar med avseende på alla kunders personuppgifter som omfattas av EU: s dataskyddslagar, och (B) annan tillämplig lag med avseende på alla kunders personuppgifter som omfattas av andra dataskyddslagar;

"Klientens Personuppgifter"alla personuppgifter som behandlas av en kontrakterad registerförare för en kunds räkning i enlighet med eller i samband med användarvillkoren;

"Kontrakterad Processor"leverantör eller en underprocessor;
"
Dataskyddslagar"EU: s dataskyddslagar och, i den utsträckning det är tillämpligt,

dataskydd eller sekretesslagar i något annat land;

"EES"betyder Europeiska ekonomiska samarbetsområdet;

"EU: s dataskyddslagstiftning"betyder EU-direktiv 95/46 / EG, som har införlivats i varje medlemsstats nationella lagstiftning och som har ändrats, ersatts eller ersatts från tid till annan, bland annat genom den allmänna dataskyddsförordningen och lagar som genomför eller kompletterar den allmänna dataskyddsförordningen;

"Dataskyddsförordningen"betyder EU: s allmänna dataskyddsförordning 2016/679; "Begränsad Överföring"​ ​innebär:

en överföring av klientens personuppgifter till en kontrakterad registerförare, eller
en vidare överföring av klientens personuppgifter från en kontrakterad registerförare till en kontrakterad registerförare, eller mellan två inrättningar för en

Kontrakterad Processor,

i varje enskilt fall, om en sådan överföring skulle förbjudas av dataskyddslagar (eller av de villkor i avtal om dataöverföring som införts för att ta itu med dataöverföringsrestriktionerna i dataskyddslagar) i avsaknad av standardavtalsklausuler;

"Tjänst"de tjänster och andra aktiviteter som ska levereras till eller utföras av eller för leverantörens räkning för kunden i enlighet med användarvillkoren;

"Standard standardavtalsklausulerna"betyder det avtal mellan Kunden och Domare.mig LLC i enlighet med Europeiska Kommissionens beslut C(2010)593) om standardavtalsklausuler för överföring av personuppgifter till

page3image1813472

registerförare som är etablerade i tredjeländer och som inte säkerställer en adekvat uppgiftsskyddsnivå;

"Underentreprenör": varje person (inklusive tredje part och varje Leverantörsförbund, men exklusive en anställd hos kunden eller någon av dess underleverantörer) utsedd av eller för Kundens räkning att behandla personuppgifter för Kundens räkning i samband med användarvillkoren.

Term, "Kommissionen", "Domänkontrollant", "Registrerad", "medlemsstat", "personuppgifter", "Personuppgiftsbrott", "Bearbetning" och "tillsynsmyndighet"ska ha samma betydelse som i GDPR, och deras kognitiva termer ska tolkas i enlighet därmed.

Ord "ingå"ska tolkas som att inkludera utan begränsning, och kognitiva termer ska tolkas i enlighet därmed.

Myndighet

Rättslig Myndighet. Kundtecknaren representerar leverantören att han eller hon har den juridiska myndigheten att binda kunden och är lagligen kunna ingå avtal (t.ex. är inte en minderårig).

Uppsägning.Detta tillägg kommer att upphöra så snart som möjligt av: (i) uppsägning av avtalet enligt vad som tillåts härunder eller av leverantörens villkor (och utan att det påverkar överlevnaden av upplupna rättigheter och skulder hos parterna och eventuella skyldigheter för de parter som antingen uttryckligen eller underförstått överlever uppsägning); (ii) som tidigare sägs upp enligt villkoren i detta tillägg eller (iii) enligt överenskommelse mellan parterna skriftligen.

Behandling av personuppgifter

Parterna bekräftar och samtycker till att kunden är den personuppgiftsansvarige när det gäller behandlingen av personuppgifter, leverantören är ett personuppgiftsbiträde och leverantören kommer att anlita underentreprenörer i enlighet med kraven i avsnitt "underentreprenörer" nedan.

1.1 Leverantören ska:

  1. 1.1.1 följa alla tillämpliga dataskyddslagar vid behandling av klientens personuppgifter, och

  2. 1.1.2 behandla inte klientens personuppgifter annat än på kundens dokumenterade instruktioner om inte behandling krävs enligt tillämpliga lagar som den berörda kontrakterade personuppgiftsbiträdet är föremål för, i vilket fall leverantören ska

page4image1814592

i den utsträckning som tillåts enligt gällande lagar informera kunden om detta rättsliga krav innan den relevanta behandlingen av dessa personuppgifter.

1.2 Kunden Ska
1.2.1 instruerar leverantören och tillåter leverantören att instruera varje underprocessor att:

  1. 1.2.1.1 behandla klientens personuppgifter, och

  2. 1.2.1.2 i synnerhet överföra klientens personuppgifter till något land eller territorium,

som rimligen är nödvändigt för tillhandahållandet av Tjänsterna och i överensstämmelse med användarvillkoren, och

  1. 1.2.2 tecknar och intygar att det vid alla relevanta tidpunkter är vederbörligen och effektivt bemyndigat att ge den instruktion som anges i avsnitt 1.2.1.

  2. 1.2.3 dessutom ska kunden ha ensam ansvar för riktigheten, kvaliteten och lagligheten av personuppgifter och hur kunden förvärvade personuppgifter. Personuppgifter som tillhandahålls av kunden får inte innehålla information som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller fackligt medlemskap, genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexliv eller sexuell läggning ("särskilda kategorier av Data").

1.3 Leverantörens behandling av personuppgifter.

1.3.1

1.3.2

1.3.3

Leverantören ska endast behandla klientens personuppgifter i syfte att tillhandahålla Tjänsterna enligt avtalet och i enlighet med kundens dokumenterade instruktioner som är förenliga med villkoren i avtalet, såvida inte behandling krävs enligt dataskyddslagar som leverantören (eller den tillämpliga underentreprenören) är föremål för, i vilket fall leverantören ska i den utsträckning som tillåts av dataskyddslagarna informera kunden om detta rättsliga krav innan den relevanta behandlingen av klientens personuppgifter.

Detta tillägg och avtalet är kundens fullständiga och slutliga instruktioner till leverantören för behandling av klientens personuppgifter. Eventuella ytterligare eller alternativa instruktioner måste överenskommas separat.

Följande anses vara instruktioner från kunden till leverantören: behandling av klientens personuppgifter (i) i enlighet med avtalet och detta tillägg, inklusive utan begränsning med överföring av klientens personuppgifter till något land eller territorium; och (ii) att följa andra dokumenterade instruktioner som tillhandahålls av kunden om sådana instruktioner är förenliga med villkoren i avtalet.

i detta tillägg anges viss information om kontrakterade

1.4 Utställning A
Personuppgiftsbiträdets behandling av klientens personuppgifter i enlighet med artikel 28.3 i

page5image1828480

GDPR och eventuellt motsvarande krav i andra dataskyddslagar. Kunden kan göra rimliga ändringar för att visa ett skriftligt meddelande till leverantören från tid till annan som kunden rimligen anser nödvändigt för att uppfylla dessa krav. Ingenting i Bevisföremål A, inklusive i dess lydelse enligt detta avsnitt 1.3, ger någon rätt eller ålägger någon part i detta tillägg någon skyldighet.

Tjänsteleverantörens Personal

Leverantören ska vidta rimliga åtgärder för att säkerställa tillförlitligheten hos varje anställd, agent eller entreprenör hos en kontraktsanställd personuppgiftsbiträde som kan ha tillgång till klientens personuppgifter, och i varje enskilt fall se till att tillgången är strikt begränsad till de personer som behöver veta / få tillgång till de relevanta kundernas personuppgifter, som är absolut nödvändiga för det huvudsakliga avtalet, och att följa gällande lagar inom ramen för den enskildes skyldigheter gentemot den Kontraktsanställde personuppgiftsbiträdet, och se till att att alla sådana personer omfattas av sekretessföretag eller yrkesmässiga eller lagstadgade sekretesskrav.

Underentreprenörer

Utnämning av underentreprenörer.I syfte att utse underentreprenörer erkänner och samtycker kunden till att Leverantören får anlita underentreprenörer från tredje part i samband med tillhandahållandet av Tjänsterna, inklusive, utan begränsning, behandling av klientens personuppgifter.

Förteckning över nuvarande underentreprenörer och anmälan av nya underentreprenörer.På kundens begäran ska Leverantören göra en uppdaterad förteckning över alla underentreprenörer som används för behandling av klientens personuppgifter tillgänglig för kunden.

Invändning rätt för nya underentreprenörer.Leverantören ska skriftligen underrätta kunden om utnämningen av en ny underentreprenör, inklusive fullständiga uppgifter om den behandling som underentreprenören ska utföra. Om kunden inom 14 dagar efter mottagandet av detta meddelande skriftligen meddelar leverantören om eventuella invändningar (av rimliga skäl) mot den föreslagna utnämningen, ska Leverantören i) samarbeta med kunden i god tro för att tillhandahålla en kommersiellt rimlig förändring av tillhandahållandet av Tjänsterna som undviker användningen av det II) om en sådan ändring inte kan göras inom 14 dagar från leverantörens mottagande av kundens meddelande, trots vad som sägs i avtalet, kan kunden genom skriftligt meddelande till leverantören med omedelbar verkan säga upp avtalet i den mån det rör de tjänster som kräver användning av den föreslagna underentreprenören.

Underbehandlingsavtal; ansvar.Leverantören har eller ska ingå ett skriftligt avtal med varje underentreprenör ("Underentreprenörsavtalet") som innehåller uppgiftsskyddsskyldigheter som inte är mindre skyddande än de som anges i avtalet och/eller detta tillägg med avseende på skyddet av klientens personuppgifter i den utsträckning det är tillämpligt på tjänsternas Art

page6image1829152

tillhandahålls av en sådan underprocessor. Leverantören ska vara ansvarig för sina underentreprenörers handlingar och underlåtenhet i samma utsträckning som leverantören skulle vara ansvarig om de utför varje underentreprenörs tjänster direkt enligt villkoren i detta tillägg.

Kopior av Underentreprenörsavtal. Leverantören ska tillhandahålla Kunden för granskning kopior av underentreprenörsavtalen, eftersom kunden rimligen kan begära från tid till annan. Parterna är överens om att all kommersiell information kan tas bort av leverantören i förväg.

Säkerhet

Med beaktande av den senaste utvecklingen, kostnaderna för genomförandet och arten, omfattningen, sammanhanget och ändamålen med behandlingen samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, skall leverantören i förhållande till kundens personuppgifter genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för denna risk, inklusive, i förekommande fall, de åtgärder som avses i artikel 32.1 i GDPR.

Vid bedömningen av lämplig säkerhetsnivå ska tjänsteleverantören särskilt beakta de risker som behandlingen innebär, särskilt på grund av personuppgiftsbrott.

Den Registrerades Rättigheter

Med hänsyn till behandlingens art ska Leverantören bistå kunden genom att genomföra lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, för att fullgöra kundens skyldigheter att svara på förfrågningar om att utöva den registrerades rättigheter enligt dataskyddslagarna.

Leverantören ska:

  • ●  omedelbart meddela kunden om någon kontrakterad registerförare mottar en begäran från en registrerad enligt någon dataskyddslagstiftning avseende klientens personuppgifter, och

  • ●  se till att den kontrakterade personuppgiftsbiträdet inte svarar på denna begäran utom på de dokumenterade instruktionerna från kunden eller i enlighet med tillämpliga lagar som den kontrakterade personuppgiftsbiträdet omfattas av, i vilket fall leverantören ska i den utsträckning som tillåts enligt tillämpliga lagar informera kunden om detta rättsliga krav innan den kontrakterade personuppgiftsbiträdet svarar på begäran.

    Personuppgiftsbrott

    Anmälan om personuppgiftsbrott. Leverantören ska utan onödigt dröjsmål underrätta kunden om att leverantören eller underentreprenören blir medveten om ett personuppgiftsbrott som påverkar kunden

page7image3802432

Personuppgifter, som ger kunden tillräcklig information för att kunden ska kunna uppfylla alla skyldigheter att rapportera eller informera registrerade om Personuppgiftsbrottet enligt dataskyddslagarna.

Personuppgiftsincidenter. Leverantören ska samarbeta med kunden och vidta rimliga kommersiella åtgärder enligt kundens anvisningar för att bistå vid utredning, begränsning och sanering av varje sådant personuppgiftsbrott.

Konsekvensbedömning av uppgiftsskydd och föregående samråd

Leverantören ska ge kunden rimlig hjälp med eventuella konsekvensbedömningar av dataskydd och förhandssamråd med tillsynsmyndigheter eller andra behöriga datasekretessmyndigheter, som kunden rimligen anser krävs enligt artikel 35 eller 36 i GDPR eller motsvarande bestämmelser i någon annan dataskyddslagstiftning, i varje enskilt fall endast i samband med behandling av klientens personuppgifter genom, och med hänsyn till arten av den behandling och information som är tillgänglig för, den Kontrakterade Processorer.

Återvändande eller förstöring av personuppgifter

Retur eller radering.Om inte annat följer av bestämmelserna i avsnittet nedan, vid kundens val, genom skriftligt meddelande till leverantören efter 30 dagar från dagen för upphörande av tjänster som involverar behandling av klientens personuppgifter ("upphörande datum"), skall leverantören, och skall upphandla att alla underentreprenörer: (a) returnera en fullständig kopia av alla klientens personuppgifter till kunden i det format och på det sätt som kunden begär och som rimligen är godtagbart för leverantören, och (b) Radera och upphandla radering av alla andra kopior av klientens personuppgifter som behandlas av leverantören eller någon underentreprenör. Leverantören ska efterkomma en sådan skriftlig begäran inom 30 dagar efter det att tidsfristen löpt ut.

Lagring av kopior.Leverantören och varje underentreprenör får behålla kundernas personuppgifter i den utsträckning som krävs enligt tillämplig unionsrätt eller en EU-medlemsstats lagstiftning och endast i den utsträckning och under den tid som krävs enligt sådana lagar och alltid under förutsättning att Leverantören ska säkerställa sekretessen för alla sådana kunders personuppgifter och ska se till att sådana kunders personuppgifter endast behandlas vid behov för de ändamål som anges i sådan lag som kräver lagring och för något annat ändamål.

Anmälan.Leverantören ska tillhandahålla Kunden skriftlig certifiering av att den och varje underentreprenör har uppfyllt detta avsnitt fullt ut inom 14 dagar efter det att datumet för upphörandet har löpt ut.

page8image1819968

Revision rättigheter

  1. 1.1 om inte annat följer av punkterna 1.2-1.4 ska leverantören på begäran tillhandahålla kunden all information som är nödvändig för att visa att detta tillägg efterlevs, och ska möjliggöra och bidra till revisioner, inklusive inspektioner, av kunden eller en revisor med uppdrag att behandla kundens personuppgifter av de kontrakterade Personuppgiftsbiträdena.

  2. 1.2 information och revisionsrättigheter för kunden uppstår endast enligt detta avsnitt i den mån det huvudsakliga avtalet inte på annat sätt ger dem information och revisionsrättigheter som uppfyller relevanta krav i dataskyddslagstiftningen (inklusive, i förekommande fall, artikel 28.3 h i GDPR).

  3. 1.3 Klientföretaget ska göra en revision som ger leverantörerna rimlig information om varje revision eller inspektion som ska utföras i enlighet med punkt 1.1 och ska göra (och se till att var och en av dess bemyndigade revisorer gör) rimliga ansträngningar för att undvika att orsaka (eller, om det inte kan undvika, minimera) skador, skada eller störande av de kontraktsprocesserade processorernas lokaler, utrustning, personal och företag, medan personalen befinner sig i dessa lokaler under en sådan revision eller inspektion. En avtalad processorenlighet behöver inte ge tillträde till sina lokaler för en sådan revision eller inspektion

    1. 1.3.1 till varje enskild person om han eller hon inte ger tillräckliga bevis för identitet och myndighet.

    2. 1.3.2 utanför normala affärstider i dessa lokaler, om inte revisionen eller inspektionen behöver utföras på en nödsituation och ett kundföretag som utför en revision har underrättat leverantören om att detta är fallet innan det är fråga om närvaro utanför dessa timmar, eller

    3. 1.3.3 vid mer än en revision eller inspektion, med avseende på varje kontraktsprocessor, under ett kalenderår, med undantag av eventuella ytterligare granskningar eller inspektioner som

      1. 1.3.3.1 Klient som utför en revision på ett rimligt sätt anser att det är nödvändigt på grund av en verklig oro för leverantörens efterlevnad av detta tillägg, eller

      2. 1.3.3.2 Klienten är skyldig eller ombeds att utföra en dataskyddslagstiftning, en tillsynsmyndighet eller en liknande tillsynsmyndighet som är ansvarig för tillämpningen av uppgiftsskyddsombudet i ett land eller territorium.

    När ett företag som utför en revision har konstaterat att det rör sig om en revision eller ett relevant krav eller en begäran i dess meddelande till leverantören av revisionen eller inspektionen.

page9image3803552

Begränsade överföringar

  1. 1.1 Om inte annat följer av avsnitt 1.3, ska kunden (som "uppgiftsutförare") och varje Avtalad bearbetare (som "uppgiftsinimportör") ingå i standardavtalssatserna (artikel 26.2 i direktiv 95 /46/EG) med avseende på någon begränsad överföring från kunden till den kontraktsprocessorn.

  2. 1.2 Standardavtalssatserna skall träda i kraft i enlighet med avsnitt 1.1 om senare av

    1. 1.2.1 Den uppgiftsutförande exportören håller på att bli part i dem.

    2. 1.2.2 att uppgiftsinföraren håller på att bli part i dem, och

    3. 1.2.3 Inledning av den relevanta begränsade överföringen.

  3. 1.3 Avsnitt 1.1 ska inte tillämpas på en begränsad överföring, såvida inte dess verkan, tillsammans med andra rimliga genomförbara åtgärder (som, för undvikande av tvivel, inte omfattar erhållande av konsenter från Data Subjekt), så att den relevanta begränsade överföringen kan äga rum utan att den tillämpliga lagstiftningen om uppgiftsskydd åsidosatts.

Allmänna villkor

Tillämplig lag och behörighet. Utan att det påverkar tillämpningen av klausuler om medling och domstols behörighet och i enlighet med standardavtalsklausulerna

  • ●  Parterna i detta tillägg skall underkasta sig det val av jurisdiktion som föreskrivs i huvudavtalet med avseende på eventuella tvister eller fordringar som följer av detta tillägg, inbegripet tvister om dess existens, giltighet eller uppsägning eller följderna av dess nullitet, och

  • ●  Detta tillägg och alla utomobligatoriska eller andra förpliktelser som härrör från eller i samband med detta regleras av lagstiftningen i det land eller territorium som föreskrivs för detta ändamål i Tjänstestjänsten.

    Rangordning. Inget i detta tillägg minskar leverantörens skyldigheter enligt tjänstevillkoren när det gäller skydd av personuppgifter eller tillstånd att bearbeta (eller tillåta Bearbetning av) Personuppgifter på ett sätt som är förbjudet enligt tjänstens villkor. I händelse av konflikt eller inkonsekvens mellan detta tillägg och standardavtalssatserna, ska standardavtalssatserna ha företräde.

    Om inte annat följer av detta tillägg, i händelse av inkonsekvenser mellan bestämmelserna i detta addendum och andra avtal mellan parterna, inklusive tjänstevillkoren och även (om inte annat uttryckligen överenskommes på parternas vägnar, undertecknad på parternas vägnar), som ingåtts eller föreskrevs efter datumet för detta tillägg, ska bestämmelserna i detta tillägg ha företräde.

page10image3806688

Allvarlighetsgrad

Om någon bestämmelse i detta tillägg är ogiltig eller ogenomförbar, skall återstoden av detta tillägg förbli giltigt och vara i kraft. Den ogiltiga eller overkställbara bestämmelsen ska antingen i) ändras på det sätt som krävs för att säkerställa dess giltighet och verkställbarhet, samtidigt som parternas avsikter så nära som möjligt bevaras eller, om detta inte är möjligt, ii) tolkas på ett sätt som om den ogiltiga eller icke verkställbara delen aldrig hade funnits i den.

Förnekning-Begränsning av ansvar

Om en part hålls ansvarig för en överträdelse av detta tillägg eller, i förekommande fall, alla bestämmelser i standardavtalssatserna, som den andra parten har begått, kommer den senare att, i den utsträckning det är ansvarigt, oinskränkt den första parten för varje pris, avgift, skadestånd, utgifter eller förlust som den har ådragit sig i enlighet med bestämmelserna i avsnittet "Införnifiering" i avtalet. Varje parts ansvar, som tas tillsammans i aggregatet, som härrör från eller har samband med detta addendum och / eller standardavtalssatserna, oavsett om de är i avtal, tort eller enligt någon annan teoretisk ansvarsförsäkring, omfattas av avsnittet "Begränsning av ansvarighetsavsnittet" i avtalet. För att undvika tvivel ska leverantörens totala skadeståndsansvar för alla fordringar från kunden eller tredje part som härrör från eller är relaterade till avtalet och detta tillägg tillämpas i aggregatet för alla fordringar enligt både avtalet och detta tillägg.

EXEKT och på uppdrag av:
Leverantörsnamn: Peter-Jan Celis: Founder & CEO

 

EXHIBIT A: UPPGIFTER OM

BEARBETNING

Denna utställning A innehåller uppgifter om bearbetningen av den personliga data som krävs enligt artikel 28.3 GDPR.

1. BEARBETNING AV LEVERANTÖREN
TILLÄMPNINGSOMRÅDE
Omfattningen av databehandlingens personuppgifter är information som rör inköp och översyn. Dessutom tar vi fram personliga data om klienten för att aktivera vissa funktioner eller funktioner.

1.2 NATUREN
Vi behandlar registrerades personuppgifter som tillhandahålls av din plattform, webbplats eller dig direkt. Vi använder underprocessorer för att underlätta våra tjänster. Vi behandlar inte särskilda kategorier av personuppgifter.

1.3 SYFTE
Syftet med behandlingen av de registrerade personuppgifterna är att underlätta tillhandahållandet av tjänsteleverantörens tjänster.

VARAKTIGHET
Bearbetningens varaktighet för kundens personuppgifter anges i tjänstevillkoren och detta tillägg.

2. KATEGORIER AV UPPGIFTER
Personuppgifter för följande kategorier av registrerade personer behandlas:

  • ●  Klientkunder och andra kundens slutanvändare (webbplatsbesökare)

  • ●  Klient-och klientombud

    3. TYPER AV PERSONUPPGIFTER
    Följande typer av personuppgifter behandlas:

  • ●  Klientkunder

    • ○  Namn, e-postadress

    • ○  Granska innehåll

    • ○  Beställning, uppfyllande av uppfyllande

    • ○  E-postinformation

    • ○  IP-adress för platsinformation

  • ●  Klient-och klientombud

page12image1825568
  • ○  Namn, e-postadress och telefonnummer (för kundsupport)

  • ○  Admin-postadress (för att skicka aviseringar)

  • ○  Mejlinfo, det är avsändarnamn, e-postadress (för att skicka e-post på uppdrag av dig)

  • ○  Element på Facebook-användaråtkomst (för social push)

page13image1828032

UTVANDRING B: SÄKERHETSÅTGÄRDER

  1. Personalavdelningen. Data Importters personal kommer inte att bearbeta kunddata utan behörighet. Personal är förpliktigad att upprätthålla sekretessen för alla kunduppgifter och denna skyldighet fortsätter även efter det att de har förlovats.

  2. Kontakt för datasekretessJudge.me LLC

    Attn: Peter-Jan Celis
    PO Box 7403
    Jackson, WY 83002 (U.S.A.)

  3. Tekniska åtgärder och företagsåtgärder. Dataimportören har genomfört och kommer att upprätthålla lämpliga tekniska och organisatoriska åtgärder, interna kontroller och informationssäkersrutiner som är avsedda att skydda kunddata mot oavsiktlig förlust, förstörelse eller ändring, obehörig åtkomst eller otillåten tillgång eller olaglig förstörelse enligt följande:

    1. 3.1.  Organisationen för informationssäkerhet.
      A. Säkerhetsroller och ansvar. Dataimportören har utsett Linh Dam till den säkerhetsansvarige som ansvarar för samordning och övervakning av säkerhetsbestämmelser och säkerhetsförfaranden.
      B. Tystnadsplikt. Data Importters personal med tillgång till kunduppgifter omfattas av sekretesskrav.

    2. 3.2.  Riskhantering. Dataimportören genomför regelbundna tester och övervakning av effektiviteten i sina skyddsåtgärder, kontroller, system. Dataimportören genomför de åtgärder som krävs för att hantera sårbarheter som upptäckts i tid.

    3. 3.3.  Förvaring. Databasserverns databasservrar finns i ett datacenter som drivs av en tredjepartsleverantör, som har kvalificerats per leverantörshanteringsprocedur för dataimportfunktionen. Dataimportfunktionen har fullständig administrativ kontroll över de virtuella servrarna, och inga tredjepartsleverantörer har logisk åtkomst till kunddata.

    4. 3.4.  Asset Management. I Dataimportfunktionen finns en inventering av alla medier där kunddata lagras. Tillgången till inventeringen av sådana medier är begränsad till behörig personal.

    5. 3.5.  Programutveckling och förvärvandling: För den programvara som utvecklats av Data Importer följer Data Importer säkra kodningsstandarder och -procedurer.

    6. 3.6.  Hantering av tredjepartsleverantör: För att välja ut tredjepartsleverantörer som kan få tillgång till, lagra, överföra eller använda kunddata, utför dataimportören en kvalitets-och säkerhetsbedömning i enlighet med bestämmelserna i dess standardriktningsförfaranden.

    7. 3.7.  Human Resources Security. Dataimportören informerar sin personal om relevanta säkerhetsrutiner och deras respektive roller, samt om möjligt

page14image3808032

Följderna av att bryta mot säkerhetsreglerna och säkerhetsförfarandena. Sådana

Följderna är disciplinära och / eller rättsliga åtgärder.

  1. 3.8.  Dataåterställningsprocedurer.

    På löpande basis upprätthåller uppgiftsimportören flera kopior av kunddata från vilka den kan återställas.

    ii. uppgiftsinföraren lagrar kopior av kunddata och ett förfarande för dataåterställning på en annan plats än där den primära datorutrustning som behandlar kunddata finns.

    iii. uppgiftsinföraren har rutiner för tillgång till kopior av kunduppgifter.

    iv. Dataimportören har anti-malware kontroller för att undvika skadlig programvara få obehörig åtkomst till kunddata.

  2. 3.9.  Hantering Av Incidenter Med Informationssäkerhet.
    a. register över överträdelser. Uppgiftsinföraren för ett register över säkerhet

    överträdelser med en beskrivning av överträdelsen, tidsperioden, konsekvenserna av överträdelsen, namnet på reportern och till vilken överträdelsen rapporterades och förfarandet för att återvinna data.

    B. registrering av avslöjande. Uppgiftsinföraren spårar information om kunduppgifter, inklusive vilka uppgifter som har lämnats ut, till vem och vid vilken tidpunkt.

page15image3811168
_______________________________

UNIFAUN / posti OY: s integritetspolicy (på finska)

HENKILÖTIETOJEN KÄSITTELIJÄSOPIMUS
Asiakas: Rekisterinpitäjä – Unifaun: Henkilötietojen käsittelijä tai Asiakas: Henkilötietojen käsittelijä – Unifaun: Henkilötietojen alikäsittelijä
1 TARKOITUS JA VOIMASSAOLOAIKA
1.1 Tämä Henkilötietojen käsittelijäsopimus på kiinteä osa sopimusta, täydennettynä tarvittaessa Unifaunin yleisillä ehdoilla ("Palvelusopimus"), joka på allekirjoitettu yhtäältä Unifaun AB:n, Ruotsin Y-tunnus 556546-3717, tai jonkin sen tytäryhtiön kuten Unifaun Oy:n, Suomen Y-tunnus 2304024-0, Unifaun ApS:n, Tanskan Y-tunnus 34708584, Unifaun SOM:n, Norjan Y-tunnus 816269032 tai Unifaun Sp.z.o.o:n, Puolan Y-tunnus 7010419247, ("Unifaun"), sekä toisaalta sellaisen osapuolen ("Asiakas") välillä, joka på ostanut tai tilannut, tai jonka odotetaan ostavan tai tilaavan Unifaunin kehittämiä ja/tai tarjoamia kuljetusjärjestelmäpalveluja, online-palveluja, ohjelmistoja, aputoimintoja ja ohjausta ("Palvelu").
1.2 Mikäli Palvelusopimuksen voimassaoloaika päättyy, myös tämän Henkilötietojen käsittelysopimuksen voimassaolo päättyy ilman erillistä irtisanomista.
1.3 "Rekisterinpitäjä-", "Henkilötietojen käsittelijä-", "Rekisteröity-", "Käsittely-", "Henkilötieto-", "Valvontaviranomainen-" ja "Henkilötietojen tietoturvaloukkaus" -käsitteillä på tässä Henkilötietojen käsittelysopimuksessa sama määritelmä kuin Euroopan parlamentin ja neuvoston tietosuoja-asetuksessa (EU) 2016/679 ("GDPR").
1.4 Palvelua tarjotessaan Unifaun voi käsitellä Asiakkaan puolesta tietoja, jotka voivat suoraan tai epäsuoraan viitata luonnolliseen henkilöön. Tällaiset tiedot katsotaan Henkilötiedoiksi, joilla on erityinen lakisääteinen suoja. Päätöksen Henkilötietojen Käsittelyn tarkoituksesta ja välineistä tekee Asiakas. Tässä yhteydessä Asiakas toimii Rekisterinpitäjänä ja Unifaun Henkilötietojen käsittelijänä. Sovellettava lainsäädäntö vaatii kirjallisen sopimuksen laatimista Henkilötietojen käsittelijän käsitellessä Henkilötietoja Rekisterinpitäjän puolesta. Osapuolet x tätä taustaa vasten sopineet solmivansa tämän Henkilötietojen käsittelysopimuksen.
1.5 Mikäli Asiakas toimii Henkilötietojen käsittelijänä ja Unifaun tämän alihankkijana ("Henkilötietojen alikäsittelijä"), sovelletaan luvussa 6 mainitut asiat.
2 KÄSITTELYN LUONNE JA TARKOITUS
2.1 Pystyäkseen tarjoamaan Palvelua ja säilyttämään Palvelusopimuksen mukaisen palvelutason, joidenkin Henkilötietojen siirtäminen Unifaunille på välttämätöntä, kuten myös Unifaunille kyseisten tietojen käsitteleminen tämän Henkilötietojen käsittelysopimuksen mukaisesti. Pystyäkseen suorittamaan Palvelun Unifaunin tulee voida siirtää Henkilötiedot tarvittaessa ulkopuoliselle (mm. kuljettajille).
2.2 Mikäli Asiakas ei kirjallisesti anna andra ohjeita Unifaunille, Unifaun käsittelee tämän Henkilötietojen käsittelysopimuksen mukaisesti seuraavia Rekisteröityjen ja Henkilötietojen kategorioita alla mainittua tarkoitusta varten.
2.3 Rekisteröidyt: palvelun käyttäjä, lähettäjä, vastaanottaja, mahdolliset muut lähetyksen osalliset, Asiakkaiden ja toimittajien kuljetus - ja hallintohenkilöstö.
2.4 Henkilötiedot: nimi, osoite, puhelinnumero, sähköpostiosoite, henkilötunnus (jos sitä erityisesti vaaditaan).
2.5 Tarkoitus: Palvelun tarjoaminen Asiakkaalle.
3 UNIFAUNIN OIKEUS ALIKÄSITTELIJÄN KÄYTTÖÖN
3.1 Asiakas antaa täten Unifaunille oikeuden käyttää Asiakkaan Henkilötietojen käsittelyssä toista Henkilötietojen käsittelijää ("Alikäsittelijä") Palvelun suorittamiseksi. Tällöin Unifaun tulee varmistaa Alikäsittelijän kanssa tekemässään kirjallisessa sopimuksessa ("Alikäsittelijän sopimus"), että tämän Henkilötietojen käsittelysopimuksen mukaiset Unifaun velvollisuudet siirretään Alikäsittelijälle kuin kyseinen Alikäsittelijä olisi tämän Henkilötietojen käsittelysopimuksen osapuoli. Unifaun vastaa Asiakkaalle Alikäsittelijän suorittamasta Asiakkaan Henkilötietojen Käsittelystä Alikäsittelijän sopimuksen mukaisesti.
3.2 Unifaun tulee tiedottaa asiakkaalle kirjallisesti etukäteen, mikäli se aikoo käyttää Alikäsittelijää. Asiakkaan på siinä tapauksessa ilmoitettava kahdenkymmenen (20) työpäivän kuluessa kirjallisesti Unifaunille, jos Asiakas vastustaa Alikäsittelijän käyttöä. Mikäli Asiakas vastustaa Alikäsittelijän käyttöä, osapuolten på kaikin mahdollisin tavoin pyrittävä löytämään yhteinen ratkaisu tilanteeseen. Mikäli Alikäsittelijän käyttöä ei vastusteta, Unifaunilla på oikeus käyttää Alikäsittelijää ilman Asiakkaan lisähyväksyntää.
3.3 Mikäli Asiakkaan näkemyksestä Alikäsittelijä käsittelee Henkilötietoja puutteellisesti, tai mikäli Alikäsittelijä ei jollain muulla tavoin täytä Alikäsittelijän sopimuksen mukaisia velvoitteitaan, Asiakkaalla på oikeus kirjallisesti vaatia Unifaunia välittömästi ja omalla kustannuksellaan purkamaan Alikäsittelijän kanssa tekemänsä sopimuksen sekä varmistamaan, ettei Alikäsittelijällä ole enää hallussaan kyseisiä Henkilötietoja. Mikäli Unifaun ei ole samaa mieltä Asiakkaan esittämistä puutteista, osapuolten på toimittava yhdessä järjestääkseen pikaisesti neuvottelu Valvontaviranomaisen kanssa. Alikäsittelijän sopimus säilyy voimassa siihen saakka, kunnes Valvontaviranomainen på antanut päätöksensä. Valvontaviranomaisen ratkaisu toimii ohjeena kysymyksen jatkokäsittelyssä osapuolten kesken.
4 UNIFAUNIN OIKEUDET JA VELVOLLISUUDET
4.1 Unifaun sitoutuu pysymään ajan tasalla ja noudattamaan lakeja, asetuksia ja määräyksiä, jotka x kulloinkin voimassa sopimuskumppanina olevan Unifaun-yhtiön valtiossa, mukaan lukien asianomaisten Valvontaviranomaisten antamat määräykset luonnollisten henkilöiden perusoikeuksien ja vapauksien suojasta sekä erityisesti Rekisterinpitäjiin ja Henkilötietojen käsittelijöihin sovellettavasta luonnollisten henkilöiden Henkilötietojen suojasta Henkilötietojen Käsittelyssä, mukaan lukien direktiivin 95/46/EY ja 25. toukokuuta 2018 voimaan tulevan GDPR:n täytäntöönpanosta johtuva lainsäädäntö, asetukset ja määräykset.
4.2 Unifaun ja sen johdolla työskentelevät henkilöt saavat käsitellä Henkilötietoja ainoastaan Asiakkaan antamien ohjeiden mukaan.
4.3 Edellyttäen, ettei Rekisteröidyn koskemattomuutta vaaranneta, eikä Unifaun määrittele uusia tarkoituksia tai keinoja Käsittelylle, Unifaunilla på oikeus kehittää ja parantaa palvelujaan ilman, että niiden katsotaan olevan Asiakkaan ohjeiden vastaisia. Unifaunilla på aina oikeus ilman Asiakkaan lupaa kehittää ja parantaa palvelujaan tunnistamattomien tietojen avulla.
4.4 Mikäli Asiakkaan antama ohje på Unifaunin mukaan ristiriidassa GDPR:n, muun EU-oikeuden tai EU:n jäsenvaltion kansallisen lainsäädännön kanssa, Unifaunin på välittömästi informoitava siitä Asiakkaalle. Osapuolten på jommankumman vaatimuksesta toimittava yhdessä järjestääkseen pikaisesti ohjetta koskeva neuvottelu Valvontaviranomaisen kanssa. Valvontaviranomaisen ratkaisu toimii ohjeena kysymyksen jatkokäsittelyssä osapuolten kesken. Unifaunilla på oikeus pidättäytyä Käsittelystä Valvontaviranomaisen lausuntoa odottaessaan.
4.5 Mikäli Unifaun velvoitetaan pakottavan lainsäädännön perusteella käsittelemään Henkilötietoja muulla kuin Asiakkaan ohjeistamalla tavalla, Unifaunin på ilmoitettava tästä velvoitteesta Asiakkaalle ennen Käsittelyä.

4.6 Osapuolet sitoutuvat 7. kohdan mukaiseen salassapitovelvollisuuteen, joka koskee Unifaunin Palvelua suorittaessaan saamia Henkilötietoja ja niiden Käsittelyä.
4.7 Unifaun sitoutuu ryhtymään tarpeellisiin suojatoimiin GDPR:n 32 artiklan mukaisesti. Unifaun ryhtyy tarpeellisiin teknisiin ja organisatorisiin toimenpiteisiin Henkilötietojen suojaamiseksi luvattomalta pääsyltä, tuhoamiselta ja muuttamiselta noudattaen GDPR:n 28 (3) artiklaa. Unifaunin på Asiakkaan pyynnöstä informoitava Asiakasta tehdyistä teknisistä ja organisatorisista toimenpiteistä.
4.8 Tässä Henkilötietojen käsittelysopimuksessa esitetyn lisäksi Unifaun sitoutuu käsittelyn luonteen huomioiden auttamaan Asiakasta mahdollisuuksiensa mukaan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä siten, että Asiakas pystyy täyttämään velvollisuutensa ja vastaamaan Rekisteröidyn pyyntöön käyttää GDPR:n III luvun mukaisia oikeuksiaan. Asiakkaan på korvattava työ Unifaunille kyseisenä ajankohtana voimassa olevan Unifaun hinnaston mukaan.
4.9 Unifaun sitoutuu Asiakkaan pyynnöstä, Käsittelyn luonne ja Unifaunin saatavilla olevat tiedot huomioiden, auttamaan Asiakasta täyttämään GDPR:n 32-36 artiklojen mukaiset velvollisuutensa. Asiakkaan på korvattava työ Unifaunille kyseisenä ajankohtana voimassa olevan Unifaun hinnaston mukaan.
4.10 Unifaun sitoutuu Asiakkaan valinnasta riippuen joko poistamaan tai palauttamaan Asiakkaalle kaikki Henkilötiedot 90 päivän kuluessa siitä, kun käsittelypalvelujen tarjoaminen på päättynyt, sekä poistamaan olemassa olevat kopiot, ellei EU:n tai EU:n jäsenvaltion kansallinen lainsäädäntö vaadi Henkilötietojen säilyttämistä. Jos Asiakkaalla på jo Henkilötiedot hallussaan, palauttaminen på mahdotonta tai vaatii suhteettoman suuren panostuksen, tai Henkilötietojen på pysyttävä luottamuksellisina lakisääteisistä tai sovituista salassapitovelvoitteista johtuen, tiedot på sen sijaan poistettava samassa määräajassa.
4.11 Unifaunin tulee antaa Asiakkaalle kaikki tarpeelliset tiedot, jotka osoittavat, että GDPR:n 28 artiklan mukaiset velvollisuudet på täytetty, sekä mahdollistaa ja tukea tarkastuksia, mukaan lukien Asiakkaan itsensä tai tämän valtuuttaman tilintarkastajan suorittamat tarkastukset.
4.12 Unifaunin på tarvittaessa autettava Asiakasta luovuttamaan Valvontaviranomaisen, muun viranomaisen tai Rekisteröidyn Asiakkaalta pyytämiä tietoja. Asiakkaan på korvattava työ Unifaunille kyseisenä ajankohtana voimassa olevan Unifaun hinnaston mukaan.
4.13 Unifaun sitoutuu ilmoittamaan Asiakkaalle Valvontaviranomaisen jokaisesta Henkilötietojen Käsittelyä koskevasta pyynnöstä tai määräyksestä, paitsi jos ilmoittaminen på nimenomaan kielletty laissa, kuten esimerkiksi käynnissä olevan rikostutkimuksen vaatiman salassapidon johdosta. Mikäli Rekisteröity, Valvontaviranomainen tai muu ulkopuolinen taho pyytää Unifaunilta Asiakkaan Henkilötietojen Käsittelyä koskevia tietoja, Unifaunin på ilmoitettava pyynnöstä kirjallisesti Asiakkaalle.
4.14 Unifaunin på mahdollisimman pian, mutta viimeistään 24 tunnin sisällä mahdollisen tietoturvaloukkauksen havaitsemisesta, ilmoitettava Asiakkaalle loukkauksesta. Asiakkaalle annettavan ilmoituksen yhteydessä Unifaunin på toimitettava Asiakkaalle kaikki tarvittavat tiedot, jotka mahdollistavat loukkauksen raportoinnin Valvontaviranomaiselle, sekä autettava loukkauksen tutkimisessa niin pitkälle kuin Asiakas kohtuudella voi vaatia, sekä yhteistuumin Asiakkaan kanssa ryhdyttävä kohtuullisiin toimenpiteisiin uusien loukkauksien ehkäisemiseksi.
4.15 Asiakkaalla på oikeus omalla kustannuksellaan tai ulkopuolisen tahon kautta tarkastaa, että Unifaun noudattaa tätä Henkilötietojen käsittelijäsopimusta. Tällaiset tarkastukset på tehtävä tavalla aikana ja, mikä ei häiritse Unifaunin muuta toimintaa enemmän kuin på välttämätöntä. Unifaunilla på oikeus vaatia, että tarkastuksen suorittavat ennalta nimetyt henkilöt, joilla on tarvittava osaaminen tarkastuksen suorittamiseen, sekä jotka pystyvät tarkoituksenmukaisesti hyödyntämään sen tuloksia. Unifaunilla på oikeus vastustaa kolmannen osapuolen suorittamaa tarkastusta, jos se voi johtaa liikesalaisuuksien vaarantumiseen, tai jos kyseistä osapuolta voidaan muusta kohtuullisesta syystä pitää sopimattomana. Mikäli Asiakas havaitsee olennaisia puutteita Unifaunin Asiakkaan lukuun tehtävässä Henkilötietojen Käsittelyssä, eikä Unifaun korjaa puutetta 30 päivän kuluessa Asiakkaan kirjallisesta kehotuksesta, Asiakkaalla på oikeus päättää Palvelusopimus ja tämä Henkilötietojen käsittelijäsopimus välittömin vaikutuksin. Jos suoritettu tarkastus ei osoita muuta kuin pienehköjä puutteita

Unifaunin tämän Henkilötietojen käsittelysopimuksen mukaisten velvollisuuksien täyttämisessä, Unifaunilla på oikeus saada kohtuullinen korvaus tarkastuksen aiheuttamista kuluista.
4.16 Unifaunin på korvattava Asiakkaalle vahingot tai kulut, jotka aiheutuvat Unifaunin tai tämän käyttämän Alikäsittelijän suorittamasta Käsittelystä. Palvelusopimuksen ja Unifaunin yleisten ehtojen sisältämiä vastuurajoituksia sovelletaan myös tähän Henkilötietojen käsittelysopimukseen.
4.17 Unifaun ei tämän Henkilötietojen käsittelysopimuksen puitteissa ole velvollinen käsittelemään arkaluontoisia Henkilötietoja, kuten rotua, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, ammattiyhdistyksen jäsenyyttä, taikka geneettisiä tietoja tai biometrisia tietoja luonnollisen henkilön yksiselitteiseksi tunnistamiseksi, terveystietoja tai luonnollisen henkilön sukupuolielämää tai seksuaalista suuntautumista koskevia tietoja.
5 ASIAKKAAN VASTUU, OIKEUDET JA VELVOITTEET
5.1 Asiakas sitoutuu pysymään ajan tasalla ja noudattamaan kulloinkin voimassa olevaa Henkilötietoja koskevaa lainsäädäntöä ja seuraamaan sen päivityksiä sopimuskumppanina olevan Unifaun-yhtiön valtiossa.
5.2 Asiakkaan vastuulla på muun muassa informoida Rekisteröityjä Unifaunin Asiakkaan ohjeistuksen mukaan suorittamasta Käsittelystä, hankkia tarvittaessa Rekisteröityjen suostumus, arvioida Käsittelyn laillisuutta ja luvallisuutta, sekä tarvittaessa ilmoitettava Käsittelystä Valvontaviranomaiselle.
5.3 Asiakkaan på viipymättä informoitava Unifaunille Käsittelyssä tapahtuvista muutoksista, jotka vaikuttavat Unifaunin tämän Henkilötietojen käsittelysopimuksen mukaisiin velvollisuuksiin ja oikeuksiin. Asiakkaan på samoin informoitava Unifaunille ulkopuolisen tahon, mukaan lukien Valvontaviranomaisen, Rekisteröidyn, tai Kolmannen Osapuolen (määritelty kohdassa 6.1) ryhtymisestä toimenpiteisiin Käsittelyn johdosta.
5.4 Asiakkaalla på oikeus päivittää tätä Henkilötietojen käsittelijäsopimusta tarpeellisin osin 5.3 kohdan mukaisten muutosten johdosta. Mikäli muutoksesta aiheutuu Unifaunille lisäkuluja, Asiakkaan på korvattava Unifaunin lisäkulut.
5.5 Asiakkaan på korvattava Unifaunille lisäkulut, jotka johtuvat muutoksista tai lisäyksistä Unifaunin Käsittelyn ohjeistukseen.
5.6 Asiakas vastaa siitä, että Unifauniin ei Käsittelyn johdosta aiheudu vahinkoa tai kuluja, jotka johtuvat Asiakkaan, Kolmannen Osapuolen (määritelty kohdassa 6.) tai muun Asiakkaan puolella olevan tahon toimenpiteestä.
6 HENKILÖTIETOJEN ALIKÄSITTELIJÄ
6.1 Mikäli ulkopuolinen taho ("Kolmas Osapuoli") toimii Rekisterinpitäjänä, Asiakas toimii Kolmannen Osapuolen Henkilötietojen käsittelijänä ja Unifaun toimii Asiakkaan alikäsittelijänä ("Henkilötietojen alikäsittelijä"), tulee Unifaunin Käsitellä Henkilötietoja förgäves sellaisten ohjeiden mukaisesti, jotka Asiakas on saanut Kolmannelta Osapuolelta ja jotka x Unifaunin saatavilla, sekä Asiakkaan aika ajoin Kolmannen Osapuolen lukuun antamien dokumentoitujen lisäohjeiden mukaisesti. Muilta osin Henkilötietojen käsittelijäsopimusta sovelletaan Asiakkaan ja Unifaunin välillä.
7 SIIRROT KOLMANTEEN MAAHAN
7.1 Mikäli Unifaunin tämän Henkilötietojen käsittelysopimuksen mukainen Asiakkaan luovuttamien Henkilötietojen Käsittely aiheuttaa Unifaunille velvollisuuden siirtää Henkilötiedot kolmanteen maahan (EU:n ja/tai ETA:n ulkopuolella) tai kansainväliseen organisaatioon, jossa ei sovelleta riittävää suojatasoa, Asiakkaan tehtävänä på jokaisen siirron yhteydessä huolehtia GDPR:n 46 artiklan mukaisiin asianmukaisiin toimenpiteisiin ryhtymisestä.

Unifaunilla ei ole milloinkaan velvollisuutta siirtää Henkilötietoja kolmanteen maahan, mikäli tällaisiin asianmukaisiin suojatoimenpiteisiin ei ole ryhdytty ennen siirtoa.
8 SALASSAPITO
8.1 Unifaun sitoutuu olemaan luovuttamatta Henkilötietoja ulkopuoliselle taholle tai muulla tavoin olemaan asiattomasti paljastamatta tämän Henkilötietojen käsittelysopimuksen mukaisia Henkilötietojen Käsittelyä koskevia tietoja.
8.2 Unifaunin tulee varmistaa, että Henkilötietoja luvanvaraisesti käsittelevät henkilöt x sitoutuneet noudattamaan vastaavaa salassapitoa kuin Unifaun tämän Henkilötietojen käsittelysopimuksen mukaan noudattaa.
8.3 Unifaunin tämän kohdan 8 mukainen salassapitovelvoite ei koske tietoja, joita Unifaun luovuttaa Valvontaviranomaisen, muun viranomaisen tai tuomioistuimen määräyksestä, tai Rekisteröityä koskevia tietoja, joiden luovuttamiselle Unifaun on saanut Rekisteröidyn suostumuksen.
8.4 Tämän kohdan 8 mukainen salassapitovelvoite säilyy voimassa myös tämän Henkilötietojen käsittelysopimuksen päättymisen jälkeen.