Dette dokumentet ble oppdatert 1. mai 2025

Innhold

Del 1 – Generelle bruksvilkår

Avsnitt 2 - Databehandleravtale

Introduksjon

Disse vilkårene og betingelsene («Avtalen») regulerer din tilgang til og bruk av Spriis nettsted og tjenester (samlet referert til som «Tjenesten» eller «Sprii»). Ved å få tilgang til eller bruke Tjenesten, godtar du å være bundet av denne Avtalen. Hvis du har inngått en separat Hovedabonnementsavtale (MSA) med Sprii, vil vilkårene overstyre eventuelle motstridende klausuler heri.

Våre tjenester inkluderer følgende:

• Shop.Sprii.io (Sprii-basert kasse)

• Sprii.io (nettstedet)

• App.Sprii.io (nettapplikasjonen)

• Sprii Onsite (innebygd spiller med innebygd utsjekking)

• Sprii HOST-app (videostrømmingsapplikasjon for mobilenheter)

• Marketplace.Sprii.io (Markedsplass for direktesendt shopping)

Generell informasjon

Sprii Aps
Sommervej 31e
8210 Aarhus V
Danmark
MVA-nummer: DK42084476
Telefon: +4535154033
E-post: hey@sprii.io

Konfidensialitet

Begge parter samtykker i å behandle all informasjon knyttet til hverandres forretningsaktiviteter konfidensiell. Dette inkluderer, men er ikke begrenset til, forretningshemmeligheter, forretningsplaner, kundedata og annen proprietær informasjon. Utlevering av slik konfidensiell informasjon til tredjeparter er forbudt uten skriftlig samtykke på forhånd, med unntak av det som kreves av loven.

Behandling av personopplysninger 

Ved å bruke tjenestene våre godtar du vår personvernerklæring og databehandleravtale (DPA) som er tilgjengelig på Sprii.io. Brukeren er behandlingsansvarlig for alle personopplysninger som behandles via tjenesten. Sprii ApS fungerer som databehandler. Databehandlingsforholdet er regulert av DPA-en i avsnitt 2.

Avgifter og tjenester

Sprii tilbyr en rekke abonnementer og en gratis, begrenset prøveperiode. Ved utløpet av en gratis, begrenset prøveperiode samtykker du i å enten betale gjeldende avgifter eller slutte å bruke Tjenesten. 

Alle Sprii-priser er oppført eksklusive mva.

Gebyrer ved kassen

Når bruksavtalen er transaksjonsbasert, gjelder følgende for beregning av utsjekkingsgebyrer:

• Gebyrene for betaling ved betaling er basert på en prosentandel av inntektene.

• Transaksjonskostnaden kan sees på abonnementsfanen på Sprii-plattformen

Hvordan vi beregner inntekter

Når Sprii Hosted checkout- og betalingsintegrasjon brukes, er inntekten det betalte beløpet.

Hvis Sprii-betalingen brukes uten betalingsintegrasjon

Inntektene vil være basert på verdien av handlekurvene der betalingen nådde det siste betalingsvinduet. Det betyr at sluttforbrukeren har sett handlekurven, lagt til personopplysninger og bekreftet handelsbetingelsene.

Når nettbutikkintegrasjon og nettbutikkbetaling brukes

Transaksjonsgebyret er basert på det faktisk betalte beløpet, men aldri mer enn beløpet som ble reservert av kunden gjennom Sprii. Hvis flere produkter legges til i handlekurven under betaling i nettbutikken, vil vi ikke belaste et gebyr for beløpet utover beløpet som ble reservert av kunden gjennom Sprii. Hvis et eller flere produkter fjernes fra handlekurven og et eller flere legges til i handlekurven under betaling i nettbutikken, vil vi fortsatt legge til et transaksjonsgebyr for det nye produktet, selv om det ikke ble solgt under den Sprii-støttede kampanjen. Vi forbeholder oss retten til å kreve transaksjonsgebyret også for dette salget, ettersom det ble initiert på grunn av bruk av Sprii, men vi vil ikke belaste et gebyr for det potensielle beløpet utover beløpet som opprinnelig ble reservert av kunden gjennom Sprii-kampanjer.

Hvis nettbutikkintegrasjonen ikke støtter betalingsbekreftelse til Sprii-tjenesten

Vi vil estimere inntektene for beregning av transaksjonskostnader. Inntektene vil bli redusert med 25 % av alle kampanjereservasjoner for de forbrukerne som har mottatt lenken til betaling og klikket på den. Transaksjonsgebyret vil være basert på denne estimerte inntekten.

Returer

Transaksjonsgebyrer refunderes ikke, selv ikke ved retur fra sluttkunder. Transaksjonsgebyret gjelder kun for det første salget.

Frakt

Transaksjonsgebyrer belastes fraktkostnader i følgende scenarier:

• Sprii Hosted Checkout brukes.

Transaksjonsgebyr - Gebyrer for potensielle kunder

Når bruksavtalen er transaksjonsbasert, gjelder følgende for beregning av gebyrer for potensielle kunder.

Kostnaden for leads kan sees på abonnementsfanen på Sprii-plattformen. Når ingen kassefunksjon brukes, er transaksjonsgebyret basert på unike forbrukere som har mottatt én eller flere lenker/meldinger per Sprii-kampanje.  

Blanding av kasseprodukter og potensielle produkter i samme kampanje

• En bestilling som kun inneholder leadprodukter vil utløse et gebyr for leadtransaksjoner. Uansett hvor mange meldinger eller lenker som sendes til den personen.  

• En bestilling som kun inneholder produkter ved betaling vil utløse et gebyr for betaling ved betaling hvis den fullføres.

• En bestilling som kun inneholder produkter fra kassen vil ikke utløse gebyr hvis bestillingen ikke fullføres.

• En bestilling som inneholder både produkter i kassen og potensielle produkter vil utløse et gebyr for kassetransaksjonen hvis bestillingen fullføres

• En bestilling som inneholder både produkter fra kassen og lead-produkter vil utløse et gebyr for lead-transaksjoner hvis bestillingen ikke fullføres. Uansett hvor mange meldinger eller lenker som sendes til den personen.

Tilleggstjenester

Gamification

Med mindre det er avtalt fast kostnad, beregnes bruksgebyret som beskrevet nedenfor:

• Brukeravgiften for gamification er basert på antall deltakere per spill. 
• Hvis en person blir med i en kamp med flere billetter, legges avgiften kun til én gang.
• Hvis en person deltar i flere kamper i samme arrangement, legges avgiften til for hvert spill.

Sprii strømmetjeneste

8 timer innspilt strømming per måned er inkludert i abonnementsavgiften. Ekstra timer kan legges til abonnementet mot et gebyr.

Sprii videospiller på nettsiden (på stedet)

Avtalen vil være basert på forventet seertid. Seertiden er resultatet av «antall seere» x «strømmet tid».

Sprii Marketplace

Strømming på Sprii.live (live shopping-markedsplass) er gratis, men transaksjoner legges til salget som alle andre kanaler som brukes med Sprii.

Sprii Host-appen

Mobilapplikasjonen er gratis, men strømmetiden er begrenset via Sprii Studio som beskrevet ovenfor.

IT-utvikling

Ved ekstraordinære forespørsler fra kunden angående IT-integrasjoner, utviklingsoppgaver og teknisk support, som ligger utenfor SPRIIs generelle kompetanse, må det avtales en egen pris mellom partene for dette.

Lysintegrasjoner

Er små integrasjoner gjort mot brukerens nettbutikk. Disse kan gjøres til en avtalt pris og vil bli testet og vist funksjonelle ved ferdigstillelse av utviklingen. Etterfølgende endringer i nettbutikkoppsettet kan påvirke den utviklede integrasjonen, og integrasjonsjusteringer vil bli gjort til en ekstra avtalt pris hvis forespurt. 

Fakturering og betaling

• Abonnementer faktureres på forhånd.
• Transaksjonsbaserte gebyrer faktureres månedlig, basert på faktisk eller estimert bruk.
• Det er brukerens ansvar å holde betalingsinformasjonen oppdatert.

Administrasjonsgebyrer

Ved utsendelse av faktura via e-post legges det ikke til noe administrasjonsgebyr. 

Når betalingsmåten er kredittkort, legges det ikke til noe administrasjonsgebyr.

Hvis en faktura skal sendes via EAN eller papirpost, legges det til et administrasjonsgebyr på 18 EUR ekskl. mva. til fakturaen. 

Ved betaling via «Betalingsservice» (en dansk betalingstjeneste) legges det til et administrasjonsgebyr på 15 EUR ekskl. mva.

Hvis bankoverføring er forespurt som betalingsmåte, legges et administrasjonsgebyr på 6 EUR eksklusive mva. til fakturaen. 

Fornyelsesvilkår

Abonnementet ditt fornyes automatisk ved slutten av hver fornyelsesperiode. Du forlenger tilgangen din med en ny fornyelsesperiode med mindre du kansellerer det før kanselleringsfristen.

Avbestillingsfrist

Siste dato du må varsle oss om din intensjon om å kansellere for å unngå automatisk fornyelse.

Forpliktelsesperiode

Den første perioden abonnementet ditt er bindende.

Opphør av bindingstid avslutter ikke abonnementet per standard.

Brukerens ansvar

For å registrere deg for Tjenesten må du fullføre registreringsprosessen ved å gi Sprii oppdatert, fullstendig og nøyaktig informasjon som kreves i registreringsskjemaet. Du er eneansvarlig for all bruk og alle aktiviteter som skjer under kontoen din.

Du er ansvarlig for å beskytte konfidensialiteten til passordet/passordene dine og brukernavnet/brukerne dine, og for all bruk eller misbruk av kontoen din som følge av at tredjeparter bruker passordet eller brukernavnet ditt. Du samtykker i å umiddelbart varsle Sprii om all uautorisert bruk av kontoen din eller andre sikkerhetsbrudd du kjenner til. Du samtykker i å la Sprii bruke organisasjonens logo i brukerlisten, andre steder på nettstedet og som en del av en generell liste over Sprii-brukere for bruk og referanse i bedrifts-, reklame- og markedsføringsmateriell.

Ikke bruk tjenesten vår til å bryte loven. Du samtykker i at du ikke vil bryte noen lover i forbindelse med din bruk av tjenesten. Dette inkluderer lokale, statlige, føderale og internasjonale lover som kan gjelde for deg. Det er ditt ansvar å innhente eventuelle tillatelser, lisenser eller skatteregistreringer og ha bevis på eierskap eller kvitteringer om nødvendig. Du kan ikke bruke tjenesten til å liste opp eller selge varer som bryter med lover, inkludert, uten begrensning, lover om kjøp, transport og levering av alkoholholdige drikker.

Brukeren plikter å overholde god praksis ved bruk av Sprii-tjenester. God praksis betyr i vid forstand at brukeren ikke kan bruke Sprii-tjenester til å bryte loven eller på noen måte forstyrre andre selskaper eller enkeltpersoner. Hvis brukeren er usikker på om en handling er tillatt, er det brukerens ansvar å kontakte Sprii og be om instruksjoner.

Brukeren er forpliktet til å holde sine stamdata oppdatert hos Sprii, slik at adresseinformasjon, kontaktinformasjon og faktureringsinformasjon alltid er gyldig.

Brukeren samtykker i å overholde alle gjeldende lover og forskrifter i forbindelse med brukerens virksomhet og bruk av tjenesten. 

Brukeren samtykker også i at Sprii ikke utøver noen kontroll over innholdet i informasjonen som Brukeren oppgir fra Sprii-tjenester, og at det utelukkende er Brukerens ansvar å sørge for at dataene som Brukeren sender og mottar når han bruker Sprii, overholder alle gjeldende lover og forskrifter.

Brukeren må oppgi vilkår og betingelser til sluttforbrukeren før betaling av produkter.

Dette kan settes opp for Sprii-betaling eller leveres i den integrerte nettbutikkbetalingen.

Ansvar for innholdet ditt

Du er eneansvarlig for innholdet ditt. Du erklærer at du har alle nødvendige rettigheter til innholdet ditt, og at du ikke krenker eller bryter noen tredjeparts rettigheter ved å legge det ut.

Upassende, falskt eller villedende innhold. Du samtykker i at du ikke skal legge ut innhold som er fornærmende, truende, ærekrenkende, obskønt, vulgært eller på annen måte støtende, eller som bryter med våre vilkår. Du samtykker også i å ikke legge ut innhold som er falskt, villedende eller bruker tjenesten på en måte som er bedragersk eller villedende.

Kunden gir Sprii en ikke-eksklusiv, royaltyfri lisens til å bruke sin immaterielle eiendom med det formål å levere tjenester til kunden og til å bygge anonym bruksstatistikk for Sprii. Ingen immateriell eiendom vil noen gang bli delt med ^tredjeparter med mindre annet er spesifikt avtalt i hvert enkelt tilfelle.

Immaterielle rettigheter

Kunden gir Sprii en ikke-eksklusiv, royaltyfri lisens til å bruke sin immaterielle eiendom med det formål å levere tjenester til kunden og til å bygge anonym bruksstatistikk for Sprii. Ingen immateriell eiendom vil noen gang bli delt med ^tredjeparter med mindre annet er spesifikt avtalt i hvert enkelt tilfelle.

Integrasjon med andre markedsplasser

Når du bruker tjenestene våre, kan innholdet og tilbudene dine gjøres tilgjengelige for andre markedsplasser. Du kan kontrollere dette alternativet i sideinnstillingene dine og ved hver kampanjestart på app.Sprii.io.

Sprii-rettigheter 

Sprii har rett til å vurdere om Brukeren bruker Sprii-produkter som tiltenkt. Dersom Brukeren overbelaster den tilbudte tjenesten i en slik grad at det påvirker Sprii-plattformen på en upassende måte, kan Sprii når som helst midlertidig stenge tilgangen til den tjenesten uten varsel. 

Sprii bestreber seg alltid på å kontakte Brukeren for å justere Brukerens forbruk eller tilby Brukeren en annen løsning. Dersom Brukeren ikke ønsker å justere forbruket eller akseptere en alternativ Løsning, har Sprii rett til å si opp Brukerens Løsning med én måneds varsel. I tilfeller der Brukeren har forhåndsbetalt for en periode som er avbrutt av Sprii-oppsigelse på grunn av ovennevnte omstendigheter, har Brukeren rett til refusjon av det forhåndsbetalte beløpet for den delen av den forhåndsbetalte perioden der produktet er sagt opp.

Hvis en av Sprii sine tjenester, f.eks. en «kommentarrobot», brukes til å sende ulovlig innhold, f.eks. spam, phishing eller lignende, forbeholder Sprii seg retten til midlertidig å stenge tilgangen til tjenestene uten varsel inntil problemet er rettet. Dette gjelder også selv om brukeren ikke er klar over nevnte misbruk eller er direkte ansvarlig for det.

Sprii forbeholder seg retten til å si opp en brukers pågående tjenester på fornyelsesdatoen med 30 dagers skriftlig varsel.

Ved endringer i loven eller regler og tillatelser gitt i henhold til denne loven, og ved pålegg om endringer fra en myndighet, kan Sprii uten varsel endre Brukerens rettigheter og plikter i henhold til vilkårene, uten at Brukeren har rett til noen kompensasjon.

Din rett til å forlate oss hvis vi forandrer oss for mye

Sprii kan forbedre, endre eller avvikle deler av Tjenesten, inkludert funksjoner, integrasjoner, priser eller vilkår. Men hvis vi foretar en endring som vesentlig reduserer kjernefunksjonaliteten, påvirker bruken din betydelig eller senker den totale verdien av Tjenesten for deg (en «vesentlig negativ endring»), har du rett til å si opp abonnementet ditt uten gebyr.

For å utøve denne retten må du varsle oss skriftlig innen 30 dager etter at du har blitt informert om endringen. Hvis du kansellerer i henhold til disse vilkårene, vil du motta en forholdsmessig refusjon for den ubrukte delen av det forhåndsbetalte abonnementet ditt.

Endringer regnes ikke som «vesentlige negative endringer» dersom de:

• Er påkrevd ved lov eller forskrift,

• Forbedre sikkerhet eller databeskyttelse,

• Legg til valgfrie funksjoner eller ytelsesforbedringer,

• Påvirke beta- eller testfunksjoner du har valgt å bruke.

Vi vil gi minst 30 dagers varsel om enhver vesentlig negativ endring, med mindre presserende juridiske eller driftsmessige årsaker forhindrer dette. Vi vil varsle deg via din registrerte e-postadresse eller direkte i Sprii-kontoen din.

Gjensidig skadesløsholdelse

Hver part («Skadesløsholdende part») samtykker i å holde den andre parten («Skadesløsholdende part»), inkludert dens tilknyttede selskaper, ledere, direktører, ansatte, agenter og lisensgivere, skadesløs fra og mot ethvert krav, ansvar, skader, tap, kostnader, utgifter eller gebyrer (inkludert rimelige advokatsalærer) som oppstår som følge av:

• Den skadesløsholdende parts brudd på denne avtalen eller gjeldende lov.

• Den skadesløsholdende parts uaktsomhet eller forsettlige mislighold.

• Eventuelle krav knyttet til brudd på immaterielle rettigheter forårsaket av den skadesløsholdende parts innhold eller handlinger.

Erstatningens omfang

Erstatningsforpliktelser skal utelukke:

• Indirekte, tilfeldige eller følgeskader, inkludert, men ikke begrenset til, tap av fortjeneste, inntekter eller forretningsmuligheter.

• Skader som følge av force majeure-hendelser eller handlinger utenfor den skadesløsholdende parts rimelige kontroll.

Ansvarsgrense

Den skadesløsholdende parts totale ansvar i henhold til denne skadesløsholdelsesklausulen skal ikke overstige de totale gebyrene som den skadesløsholdende parten har betalt til den skadesløsholdende parten i henhold til denne avtalen i løpet av de foregående 12 månedene, med mindre annet er påkrevd ved lov.

Garantiansvarsfraskrivelse

 Tjenesten leveres «som den er»

Tjenesten vår leveres «som den er» uten noen form for garantier, verken uttrykte eller underforståtte, inkludert, uten begrensning, garantier om salgbarhet, egnethet for et bestemt formål og ikke-krenkelse. Vi garanterer ikke at tjenesten eller nettstedet vil være feilfritt, fritt for virus eller andre skadelige komponenter, eller at tilgangen vil være kontinuerlig eller uavbrutt. Bruk av tjenesten skjer etter eget skjønn og på egen risiko.

Støttede nettlesere

Tjenesten er utviklet for bruk på nettlesere på digitale enheter, inkludert Google Chrome, Safari, Microsoft Edge og Firefox. Det er brukerens ansvar å bruke de nyeste versjonene av disse nettleserne.

Servicenivåavtale (SLA)

Vårt mål om oppetid er 99,5 %. Vi kan imidlertid avbryte driften når vedlikehold eller andre tekniske forhold krever det. Slike driftsavbrudd vil bli varslet så tidlig som mulig og vil finne sted utenom rushtiden.

Unntak

SLA-en gjelder ikke for:

• Nedetid som følge av tredjepartstjenester eller API-er integrert i plattformen.

• Problemer forårsaket av internettforbindelse, kundens maskinvare eller tredjepartsprogramvare.

• Hendelser som følge av misbruk av plattformen eller uautoriserte modifikasjoner fra kundens side.

Ansvarsbegrensning

Intet ansvar for tredjepartstjenester

Programvaren vår integreres med tredjepartstjenester som Facebook, Instagram, nettsteder, nettbutikker, betalingsportaler og fraktleverandører. Vi kontrollerer ikke disse tredjepartstjenestene og er ikke ansvarlige for deres ytelse, pålitelighet eller eventuelle problemer som oppstår ved bruk av dem.

Tjenestetilgjengelighet og datasikkerhet

Selv om vi er forpliktet til å tilby et høyt nivå av tjenestetilgjengelighet og har implementert robuste datasikkerhetstiltak, kan ikke uavbrutt tilgang og absolutt sikkerhet garanteres. Vi fraskriver oss ansvar for eventuelle skader eller tap som følge av tjenesteavbrudd, datainnbrudd eller uautorisert tilgang, med mindre de er forårsaket av vår uaktsomhet eller manglende implementering av passende sikkerhetstiltak. Videre er vi ikke ansvarlige for noen innvirkning på integrerte tjenester som følge av deres kompatibilitet eller konfigurasjon. For ytterligere informasjon om hvordan Sprii håndterer sikkerhet for personopplysninger, se personvernavtalen.

Utelukkelse av indirekte skader og følgeskader

Vi skal ikke under noen omstendigheter være ansvarlige for indirekte, tilfeldige, følgeskader, spesielle eller eksemplariske skader, inkludert, men ikke begrenset til, tap av fortjeneste, inntekter, data, bruk eller omdømme, som påføres deg eller noen tredjepart, enten i en kontraktsmessig eller erstatningsrettslig handling, som følge av din tilgang til eller bruk av våre tjenester.

Begrensning av direkte ansvar

Vårt totale ansvar overfor deg for eventuelle krav som oppstår som følge av eller i forbindelse med disse vilkårene eller din bruk av tjenestene, uavhengig av søksmålsårsak (enten det er i kontrakt, erstatningsansvar, garantibrudd eller annet), skal ikke overstige beløpet du betalte oss for bruk av tjenestene i de tolv (12) månedene umiddelbart før kravet.

Merknad om eiendomsrettigheter

Tjenesten, inkludert alt innhold på Tjenesten og all underliggende teknologi (inkludert alle immaterielle rettigheter som er nedfelt deri), er og skal forbli Spriis eneste eiendom og skal være beskyttet av gjeldende lover om opphavsrett og annen lovgivning. Ingen lisens til noen underliggende teknologi gis. Du skal ikke tillate noen tredjepart å reversere og/eller lage derivater av Tjenesten ved hjelp av noen som helst mulig metode. Du skal ikke, og skal heller ikke tillate noen tredjepart å endre Tjenesten på noen måte. Du skal utelukkende bruke Tjenesten til kommersiell bruk og skal ikke gjøre Tjenesten tilgjengelig for noen form for ekstern tjeneste, for eksempel, men ikke begrenset til, en applikasjonstjenesteleverandør.

Hvis du gir tilbakemeldinger, ideer eller forslag angående Tjenesten, står Sprii fritt til å utnytte slik tilbakemelding fullt ut.

Avslutning

Selv om denne avtalen kan opphøre mellom Tjenesten og deg, skal enkelte bestemmelser i denne avtalen fortsatt gjelde, inkludert, uten begrensning, garantifraskrivelser, skadesløsholdelse, ansvarsbegrensninger og eiendomsrettigheter.

En abonnementsavtale fornyes automatisk med mindre Brukeren sier opp Abonnementsavtalen før oppsigelsesfristen.

Oppsigelse skal skje skriftlig til finance@sprii.io.

Dersom du kansellerer abonnementet ditt, vil du ikke motta refusjon eller bytte for ubrukt tid på et abonnement, lisens- eller abonnementsavgifter for noen del av Tjenesten, innhold eller data knyttet til kontoen din, eller for noe annet.

Diverse

 Sprii skal være fritatt for å oppfylle denne avtalen i den grad oppfyllelsen forhindres, forsinkes eller hindres av årsaker utenfor Sprii sin rimelige kontroll. Denne avtalen representerer den fullstendige avtalen mellom deg og Sprii angående dens innhold og erstatter alle tidligere uttalelser, avtaler og fremstillinger mellom partene.

Du kan ikke overdra eller på annen måte overføre noen av dine rettigheter i henhold til avtalen uten Sprii sitt forutgående skriftlige samtykke, og ethvert slikt forsøk er ugyldig.

Sprii har rett til å overdra og/eller overføre sine rettigheter eller forpliktelser i henhold til avtalen til en tredjepart. Sprii skal varsle deg om en slik overføring.

Forholdet mellom Sprii og deg er ikke et juridisk partnerskapsforhold, men et forhold mellom en av de uavhengige kontraktørene. Denne avtalen skal være bindende for og gjelde til fordel for partene, deres etterfølgere og partenes stedfortredere.

Delbarhet

Dersom noen bestemmelse i denne avtalen av en eller annen grunn anses å være ugjennomførlig, skal en slik bestemmelse endres i den grad det er nødvendig for å gjøre den håndhevbar i størst mulig grad for å påvirke partenes intensjoner, og resten av denne avtalen skal fortsatt ha full kraft og virkning.

Endringer i vilkår og betingelser

Sprii kan oppdatere eller endre disse vilkårene fra tid til annen for å gjenspeile endringer i tjenestene våre, juridiske krav eller forretningspraksis. Når vi gjør det, vil vi publisere de oppdaterte vilkårene på nettstedet vårt, og der endringene er vesentlige, varsle deg via e-post eller gjennom Sprii-dashbordet ditt minst 30 dager før de trer i kraft.

Fortsatt bruk av Tjenesten etter at de oppdaterte Vilkårene trer i kraft, vil utgjøre din aksept av endringene. Hvis du ikke godtar de reviderte Vilkårene, har du rett til å slutte å bruke Tjenesten før endringene blir bindende. I tilfeller der endringene vesentlig reduserer dine rettigheter eller øker dine forpliktelser på en betydelig måte, kan du også utøve din rett til tidlig oppsigelse som beskrevet i avsnittet «Din rett til å slutte hvis vi endrer for mye».

Prisendringer

Prisene våre kan endre seg over tid.

Vi forbeholder oss retten til å gjøre dette med 3 måneders varsel før oppsigelsesfristen.

Brukeren er forpliktet til å betale den regulerte prisen fra påfølgende fornyelsesdato, men kan velge å si opp avtalen skriftlig i henhold til gjeldende oppsigelsesfrister.

Gjeldende lov og verneting

Denne avtalen skal reguleres av og tolkes i henhold til lovene i den danske staten, og tvister skal være underlagt domstolenes eksklusive jurisdiksjon i Aarhus, Danmark.

For kunder i Storbritannia skal imidlertid denne avtalen reguleres av og tolkes i samsvar med lovene i England og Wales, og partene samtykker i å underkaste seg den eksklusive jurisdiksjonen til domstolene i England og Wales.

Klager

Hvis du ønsker å sende inn en klage til Sprii, kan dette gjøres ved å sende en e-post til hey@sprii.io.

‍

Seksjon 2

‍

Databehandleravtale 

I henhold til artikkel 28(3) i forordning 2016/679 (GDPR) 

mellom

Bruker av Sprii Aps-tjenester
(den behandlingsansvarlige)

og

Sprii ApS
Skatte-ID: DK42084476
Sommervej 31E, 8210 Aarhus V
Danmark

(databehandleren)

hver en 'part'; sammen 'partene'

HAR BLITT ENIGE om følgende kontraktsbestemmelser (bestemmelsene) for å oppfylle kravene i GDPR og for å sikre beskyttelse av den registrertes rettigheter. 

Innhold

2. Innledning

3. Rettigheter og plikter for den behandlingsansvarlige

4. Databehandleren handler i henhold til instruksjoner

5. Konfidensialitet

6. Behandlingssikkerhet

7. Bruk av underdatabehandlere

8. Overføring av data til tredjeland eller internasjonale organisasjoner

9. Bistand til den behandlingsansvarlige

10. Varsling om brudd på personopplysninger

11. Sletting og tilbakelevering av data

12. Revisjon og inspeksjon

13. Partenes avtale om andre vilkår

14. Oppstart og opphør

15. Kontaktpunkter for behandlingsansvarlig og databehandler 1

Vedlegg A Informasjon om behandlingen

Tillegg B Autoriserte underdatabehandlere

Vedlegg C Instruksjoner om bruk av personopplysninger

Tillegg D Tillegg for Storbritannia  

2. Innledning

1. Disse kontraktsbestemmelsene (bestemmelsene) angir rettighetene og pliktene til den behandlingsansvarlige og databehandleren når de behandler personopplysninger på vegne av den behandlingsansvarlige.

2. Klausulene er utformet for å sikre partenes overholdelse av artikkel 28(3) i Europaparlaments- og rådsforordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om oppheving av direktiv 95/46/EF (generell personvernforordning).

3. I forbindelse med levering av Sprii skal databehandleren behandle personopplysninger på vegne av den behandlingsansvarlige i samsvar med klausulene.

4. Klausulene skal ha prioritet foran lignende bestemmelser i andre avtaler mellom partene.

5. Fire tillegg er vedlagt klausulene og utgjør en integrert del av klausulene.

6. Vedlegg A inneholder detaljer om behandling av personopplysninger, inkludert formålet med og arten av behandlingen, typen personopplysninger, kategorier av registrerte og behandlingens varighet.

7. Vedlegg B inneholder den behandlingsansvarliges vilkår for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som er autorisert av den behandlingsansvarlige.

8. Vedlegg C inneholder den behandlingsansvarliges instruksjoner om behandling av personopplysninger, minimum sikkerhetstiltak som databehandleren skal implementere og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.

9. Klausulene sammen med vedlegg skal oppbevares skriftlig, inkludert elektronisk, av begge parter.

10. Klausulene skal ikke frita databehandleren fra forpliktelser som databehandleren er underlagt i henhold til personvernforordningen (GDPR) eller annen lovgivning.

3. Rettigheter og plikter for den behandlingsansvarlige

1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i samsvar med GDPR (se artikkel 24 i GDPR), gjeldende personvernbestemmelser i EU eller medlemsstatene samt klausulene.

2. Den behandlingsansvarlige har rett og plikt til å ta avgjørelser om formålene og midlene for behandling av personopplysninger.

3. Den behandlingsansvarlige skal blant annet være ansvarlig for å sikre at behandlingen av personopplysninger som databehandleren er pålagt å utføre, har et rettslig grunnlag. 

4. Databehandleren handler i henhold til instruksjoner

1. Databehandleren skal behandle personopplysninger kun etter dokumenterte instruksjoner fra den behandlingsansvarlige, med mindre det er påkrevd i henhold til unionsrett eller medlemsstatsrett som databehandleren er underlagt. Slike instruksjoner skal spesifiseres i tillegg A og C. Etterfølgende instruksjoner kan også gis av den behandlingsansvarlige gjennom hele behandlingen av personopplysninger, men slike instruksjoner skal alltid dokumenteres og oppbevares skriftlig, inkludert elektronisk, i forbindelse med klausulene. 

2. Databehandleren skal umiddelbart informere den behandlingsansvarlige dersom instruksjoner gitt av den behandlingsansvarlige etter databehandlerens oppfatning er i strid med GDPR eller gjeldende personvernbestemmelser i EU eller medlemsstatene.

5. Konfidensialitet

1. Databehandleren skal kun gi tilgang til personopplysninger som behandles på vegne av den behandlingsansvarlige til personer under databehandlerens myndighet som har forpliktet seg til taushetsplikt eller er underlagt en passende lovbestemt taushetsplikt, og kun dersom de trenger tilgang. Listen over personer som har fått tilgang, skal gjennomgås regelmessig. På grunnlag av denne gjennomgangen kan slik tilgang til personopplysninger trekkes tilbake dersom tilgang ikke lenger er nødvendig, og personopplysninger skal derfor ikke lenger være tilgjengelige for disse personene.

2. Databehandleren skal på anmodning fra den behandlingsansvarlige vise at de berørte personene under databehandlerens myndighet er underlagt ovennevnte taushetsplikt.

6. Behandlingssikkerhet 

1. Artikkel 32 i GDPR fastsetter at den behandlingsansvarlige og databehandleren, under hensyntagen til det nåværende tekniske nivået, implementeringskostnadene og behandlingens art, omfang, kontekst og formål, samt risikoen av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen.

Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som er forbundet med behandlingen, og iverksette tiltak for å redusere disse risikoene. Avhengig av relevansen kan tiltakene omfatte følgende:

a. Pseudonymisering og kryptering av personopplysninger;

b. evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og robusthet for behandlingssystemer og -tjenester;

c. muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger på en rettidig måte i tilfelle en fysisk eller teknisk hendelse;

d. en prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten ved behandlingen.

2. I henhold til artikkel 32 i GDPR skal databehandleren også – uavhengig av den behandlingsansvarlige – vurdere risikoene for fysiske personers rettigheter og friheter som er forbundet med behandlingen, og iverksette tiltak for å redusere disse risikoene. For dette formålet skal den behandlingsansvarlige gi databehandleren all nødvendig informasjon for å identifisere og vurdere slike risikoer.

3. Videre skal databehandleren bistå den behandlingsansvarlige med å sikre samsvar med den behandlingsansvarliges forpliktelser i henhold til artikkel 32 i GDPR, blant annet ved å gi den behandlingsansvarlige informasjon om de tekniske og organisatoriske tiltakene som allerede er implementert av databehandleren i henhold til artikkel 32 i GDPR, sammen med all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sin forpliktelse i henhold til artikkel 32 i GDPR.

Dersom – etter den behandlingsansvarliges vurdering – reduksjon av de identifiserte risikoene krever at databehandleren iverksetter ytterligere tiltak utover de som allerede er iverksatt av databehandleren i henhold til artikkel 32 i GDPR, skal den behandlingsansvarlige spesifisere disse tilleggstiltakene som skal iverksettes i tillegg C.

7. Bruk av underdatabehandlere

1. Databehandleren skal oppfylle kravene angitt i artikkel 28(2) og (4) i GDPR for å kunne engasjere en annen databehandler (en underdatabehandler).

2. Databehandleren skal derfor ikke engasjere en annen databehandler (underdatabehandler) for oppfyllelse av klausulene uten forutgående generell skriftlig tillatelse fra den behandlingsansvarlige.

3. Databehandleren har den behandlingsansvarliges generelle autorisasjon for bruk av underdatabehandlere. Databehandleren skal skriftlig informere den behandlingsansvarlige om eventuelle planlagte endringer knyttet til tillegg eller erstatning av underdatabehandlere minst 1 måned i forveien, slik at den behandlingsansvarlige får mulighet til å protestere mot slike endringer før bruk av den/de berørte underdatabehandleren(e). Lengre varslingsperioder for spesifikke underdatabehandlertjenester finnes i tillegg B. Listen over underdatabehandlere som allerede er autorisert av den behandlingsansvarlige finnes i tillegg B.

4. Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal de samme personvernforpliktelsene som er angitt i klausulene pålegges underdatabehandleren gjennom en kontrakt eller annen rettshandling i henhold til EU-retten eller medlemsstatsretten, særlig ved å gi tilstrekkelige garantier for å implementere passende tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i klausulene og GDPR.

Databehandleren skal derfor være ansvarlig for å kreve at underdatabehandleren minst oppfyller de forpliktelsene som databehandleren er underlagt i henhold til klausulene og GDPR.

5. En kopi av en slik underdatabehandleravtale og senere endringer skal – på den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, slik at den behandlingsansvarlige får mulighet til å sikre at underdatabehandleren pålegges de samme personvernforpliktelsene som angitt i klausulene. Klausuler om forretningsrelaterte spørsmål som ikke påvirker det juridiske personverninnholdet i underdatabehandleravtalen, skal ikke sendes til den behandlingsansvarlige.  

6. Databehandleren skal avtale en tredjepartsbegunstigelsesklausul med underdatabehandleren der – i tilfelle databehandlerens konkurs – den behandlingsansvarlige skal være tredjepartsbegunstiget i underdatabehandleravtalen og ha rett til å håndheve avtalen mot underdatabehandleren som er engasjert av databehandleren, f.eks. gi den behandlingsansvarlige rett til å instruere underdatabehandleren om å slette eller returnere personopplysningene.

7. Dersom underdatabehandleren ikke oppfyller sine personvernforpliktelser, skal databehandleren fortsatt være fullt ansvarlig overfor den behandlingsansvarlige med hensyn til oppfyllelsen av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter i henhold til GDPR – særlig de som er fastsatt i artikkel 79 og 82 i GDPR – overfor den behandlingsansvarlige og databehandleren, inkludert underdatabehandleren.

8. Overføring av data til tredjeland eller internasjonale organisasjoner

1. Enhver overføring av personopplysninger til tredjeland eller internasjonale organisasjoner fra databehandleren skal kun skje på grunnlag av dokumenterte instruksjoner fra den behandlingsansvarlige og skal alltid skje i samsvar med kapittel V i GDPR. 

2. Dersom overføringer til tredjeland eller internasjonale organisasjoner, som databehandleren ikke har blitt instruert til å utføre av den behandlingsansvarlige, er påkrevd i henhold til EU-rett eller medlemsstatsrett som databehandleren er underlagt, skal databehandleren informere den behandlingsansvarlige om dette rettslige kravet før behandling, med mindre nevnte lov forbyr slik informasjon av viktige grunner i offentlig interesse.

3. Uten dokumenterte instruksjoner fra den behandlingsansvarlige kan databehandleren derfor ikke innenfor rammen av klausulene:

a. overføre personopplysninger til en behandlingsansvarlig eller en databehandler i et tredjeland eller i en internasjonal organisasjon

b. overføre behandlingen av personopplysninger til en underdatabehandler i et tredjeland 

c. få personopplysningene behandlet av databehandler i et tredjeland

4. Den behandlingsansvarliges instruksjoner angående overføring av personopplysninger til et tredjeland, inkludert, hvis aktuelt, overføringsverktøyet i henhold til kapittel V i GDPR som de er basert på, skal angis i tillegg C.6.

5. Klausulene skal ikke forveksles med standard databeskyttelsesklausuler i henhold til artikkel 46(2)(c) og (d) i GDPR, og klausulene kan ikke påberopes av partene som et overføringsverktøy i henhold til kapittel V i GDPR.

9. Bistand til den behandlingsansvarlige

1. Databehandleren skal, i den grad det er mulig, bistå den behandlingsansvarlige med passende tekniske og organisatoriske tiltak med å oppfylle sine forpliktelser til å svare på forespørsler om å utøve den registrertes rettigheter fastsatt i kapittel III i GDPR, i den grad dette er mulig.

Dette innebærer at databehandleren, så langt det er mulig, skal bistå den behandlingsansvarlige med at den behandlingsansvarlige overholder:

a. retten til å bli informert når personopplysninger samles inn fra den registrerte

b. retten til å bli informert når personopplysninger ikke er innhentet fra den registrerte

c. den registrertes rett til innsyn

d. retten til retting

e. retten til sletting («retten til å bli glemt»)

f. retten til begrensning av behandling

g. varslingsplikt om retting eller sletting av personopplysninger eller begrensning av behandling

h. retten til dataportabilitet

i. retten til å protestere 

j. retten til ikke å bli underlagt en avgjørelse basert utelukkende på automatisert behandling, inkludert profilering

2. I tillegg til databehandlerens plikt til å bistå den behandlingsansvarlige i henhold til punkt 6.3., skal databehandleren videre, tatt i betraktning behandlingens art og informasjonen som er tilgjengelig for databehandleren, bistå den behandlingsansvarlige med å sikre samsvar med:

a. Den behandlingsansvarliges plikt til uten unødig forsinkelse og, der det er mulig, senest 72 timer etter at vedkommende ble oppmerksom på bruddet, å varsle den kompetente tilsynsmyndigheten om bruddet på personopplysningene, med mindre bruddet sannsynligvis ikke vil føre til en risiko for fysiske personers rettigheter og friheter;

b. den behandlingsansvarliges plikt til uten unødig opphold å varsle den registrerte om bruddet på personopplysningene, når bruddet på personopplysningene sannsynligvis vil føre til en høy risiko for fysiske personers rettigheter og friheter;

c. den behandlingsansvarliges plikt til å foreta en vurdering av virkningen av de planlagte behandlingsoperasjonene på vernet av personopplysninger (en konsekvensvurdering av personvern);

d. den behandlingsansvarliges plikt til å konsultere den kompetente tilsynsmyndigheten før behandling dersom en konsekvensanalyse av personvern viser at behandlingen ville føre til høy risiko dersom den behandlingsansvarlige ikke iverksetter tiltak for å redusere risikoen.

3. Partene skal i tillegg C definere de nødvendige tekniske og organisatoriske tiltakene som databehandleren er pålagt å bruke for å bistå den behandlingsansvarlige, samt omfanget og omfanget av den nødvendige bistanden. Dette gjelder forpliktelsene som er angitt i punkt 9.1 og 9.2.

10. Varsling om brudd på personopplysninger

1. Ved brudd på personopplysninger skal databehandleren, uten unødig forsinkelse etter å ha blitt oppmerksom på det, varsle den behandlingsansvarlige om bruddet på personopplysningene.

2. Databehandlerens varsling til den behandlingsansvarlige skal, om mulig, skje innen 24 timer etter at databehandleren har blitt oppmerksom på personopplysningsbruddet, slik at den behandlingsansvarlige kan oppfylle sin plikt til å varsle personopplysningsbruddet til den kompetente tilsynsmyndigheten, jf. artikkel 33 i GDPR.

3. I samsvar med punkt 9(2)(a) skal databehandleren bistå den behandlingsansvarlige med å varsle personopplysningsbruddet til den kompetente tilsynsmyndigheten, noe som betyr at databehandleren er pålagt å bistå med å innhente informasjonen som er oppført nedenfor, som i henhold til artikkel 33(3) i GDPR skal angis i den behandlingsansvarliges melding til den kompetente tilsynsmyndigheten:  

a. Personopplysningenes art, inkludert der det er mulig, kategoriene og det omtrentlige antallet berørte registrerte, og kategoriene og det omtrentlige antallet berørte personopplysningsposter; 

b. de sannsynlige konsekvensene av personopplysningsbruddet;

c. tiltakene som er truffet eller foreslått å iverksettes av den behandlingsansvarlige for å håndtere bruddet på personopplysninger, herunder, der det er relevant, tiltak for å redusere mulige negative virkninger. 

4. Partene skal i tillegg C definere alle elementene som databehandleren skal fremlegge når vedkommende bistår den behandlingsansvarlige med å varsle den kompetente tilsynsmyndigheten om et brudd på personopplysninger.

11. Sletting og tilbakelevering av data

1. Databehandleren skal, på forespørsel eller i forbindelse med opphør av tjeneste, slette alle personopplysninger som behandles på vegne av den behandlingsansvarlige som angitt i tillegg C.4

12. Revisjon og inspeksjon

1. Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å vise samsvar med forpliktelsene fastsatt i artikkel 28 og klausulene, og tillate og bidra til revisjoner, herunder inspeksjoner, utført av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.

2. Prosedyrer som gjelder for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av databehandleren og underdatabehandlerne er spesifisert i tillegg C.7. og C.8.    

3. Databehandleren skal være pålagt å gi tilsynsmyndighetene, som i henhold til gjeldende lovgivning har tilgang til den behandlingsansvarliges og databehandlerens anlegg, eller representanter som opptrer på vegne av slike tilsynsmyndigheter, tilgang til databehandlerens fysiske anlegg mot fremvisning av gyldig legitimasjon. 

13. Partenes avtale om andre vilkår 

1. Partene kan avtale andre klausuler om levering av tjenesten for behandling av personopplysninger, som f.eks. spesifiserer ansvar, så lenge de ikke direkte eller indirekte er i strid med klausulene eller berører den registrertes grunnleggende rettigheter eller friheter og beskyttelsen som GDPR gir.

14. Oppstart og opphør

1. Klausulene trer i kraft fra datoen begge parter undertegner.

2. Begge parter har rett til å kreve reforhandling av klausulene dersom endringer i loven eller klausulenes uhensiktsmessighet skulle føre til slik reforhandling. 

3. Klausulene skal gjelde så lenge tjenestene for behandling av personopplysninger varer. Så lenge tjenestene for behandling av personopplysninger varer, kan ikke klausulene sies opp med mindre andre klausuler som regulerer tjenestene for behandling av personopplysninger er avtalt mellom partene.

4. Dersom leveringen av behandlingstjenester for personopplysninger opphører, og personopplysningene slettes eller returneres til den behandlingsansvarlige i henhold til punkt 11.1. og tillegg C.4., kan punktene opphøre ved skriftlig varsel fra en av partene.

Vedlegg A – Informasjon om behandlingen 

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:

Data behandles med følgende formål:

a) For å kunne formidle salg mellom brukere av Sprii (databehandler) og sluttkunden

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal i hovedsak gjelde (behandlingens art):

Generell bruk:

• Sende lenker til produkter og tjenester som forbrukerne har etterspurt

• Sende varsler til forbrukere som har gitt sitt samtykke

• Sporing av vinnere og deltakere i konkurranser

Hvis Sprii Hosted Checkout brukes:

• Ordrehåndtering og kommunikasjon heromkring

A.3. Behandlingen omfatter følgende typer personopplysninger:

Generelle personopplysninger som behandles:

• Plattformprofilnavn (f.eks. Facebook, Instagram)

Hvis Sprii Hosted Checkout brukes:

• Navn

• E-postadresse

• Telefonnummer

• Adresse

Alle personopplysninger behandles konfidensielt.

A.4. Behandling omfatter følgende kategorier av registrerte:

Informasjon behandles om følgende kategorier av registrerte:

a) Sluttbrukere som samhandler i Sprii-assisterte aktiviteter av den behandlingsansvarlige. 

A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan utføres når klausulene trer i kraft. Behandlingen har følgende varighet:

Denne avtalen gjelder så lenge Sprii ApS behandler personopplysninger for den behandlingsansvarlige i samsvar med partenes separate avtale om system, tjenester, betaling osv. Ved opphør av tjenestene knyttet til behandling av personopplysninger, vil Sprii, på anmodning fra den behandlingsansvarlige, anonymisere alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at informasjonen er anonymisert, med mindre EU-retten eller medlemsstatenes nasjonale rett foreskriver lagring av personopplysningene. 

Tillegg B – Autoriserte underdatabehandlere

B.1. Godkjente underdatabehandlere

Ved ikrafttredelse av klausulene autoriserer den behandlingsansvarlige engasjementet til følgende underdatabehandlere:

1. Navn: Google Firebase, Alphabeat Inc.

Adresse: Hovedkvarter: 1600 Amphitheatre Parkway Mountain View, CA 94043 (hovedkvarter)

Servere brukt av Sprii: St. Ghislain, Belgia.

Beskrivelse av behandling:

Firebase er en plattform for utvikling av mobil- og nettapplikasjoner. Spriis programvare og database driftes av Google Firebase. Behandlingen inkluderer behandling av kjøpsdata, produkter og kommentardata fra plattformer.

Firebase-vilkår for databehandling og sikkerhet finner du her:

https://firebase.google.com/terms/data-processing-terms

2. 

Navn: Elasticsearch

Adresse: Hovedkontor: 8000 West El Camino Real, Suite 350, Mountain View, CA USA (hovedkontor)

Servere brukt av Sprii: Frankfurt, Tyskland.

Beskrivelse av behandling:

Elasticsearch er en søkemotor som gjør det mulig å utføre effektive søk i store mengder data. Den brukes for eksempel til å finne alle bestillinger knyttet til en bestemt kunde. ElasticSearch har servere i Frankfurt, Tyskland, som Sprii bruker.

Behandlingen omfatter behandling av kundeordrer og produkter.

https://www.elastic.co/legal/product-privacy-statement

Den behandlingsansvarlige skal ved ikrafttredelsen av klausulene gi tillatelse til bruk av ovennevnte underdatabehandlere for behandlingen beskrevet for vedkommende part. Databehandleren skal ikke ha rett – uten den behandlingsansvarliges uttrykkelige skriftlige samtykke – til å engasjere en underdatabehandler for en «annen» behandling enn den som er avtalt, eller la en annen underdatabehandler utføre den beskrevne behandlingen.

Vedlegg C – Instruksjoner for bruk av personopplysninger 

C.1. Gjenstanden for/instruksjonen for behandlingen

Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal utføres ved at databehandleren utfører følgende:

Generell bruk:

Databehandleren samler inn plattformbrukernavn om sluttbrukeren, samt hvilke varer sluttkunden har forespurt/bestilt/kjøpt.

Hvis Sprii Hosted Checkout brukes:

Databehandleren samler inn generelle personopplysninger (navn, adresse, e-post og telefonnummer) om sluttbrukeren, samt hvilke varer sluttkunden har forespurt/bestilt/kjøpt.

C.2. Sikkerhet ved behandling

Sikkerhetsnivået må gjenspeile et rimelig og passende sikkerhetsnivå.

Databehandleren har da rett og plikt til å ta avgjørelser om hvilke tekniske og organisatoriske sikkerhetstiltak som må brukes for å skape det nødvendige sikkerhetsnivået rundt informasjonen.

Behandlingen omfatter personopplysninger, og derfor må databehandleren iverksette følgende tiltak:

Tekniske tiltak:

• Relevant antivirusbeskyttelse er på plass og brukes

• Tofaktorvalidering for pålogging i systemer der det er mulig

• Sikkerhetskopiering av systemer som behandler personopplysninger

Organisatoriske tiltak:

• Alle ansatte er instruert i beskyttelse av personopplysninger

• Ansattinstruksene oppdateres og gjennomgås minst én gang i året

• Ansattinstruksene gjennomgås alltid med nyansatte i forbindelse med ansettelse

• Alle ansatte er pålagt å opprettholde taushetsplikt under og etter ansettelsen

• Tilgang og pålogging er rollebasert eller personbasert, og ansatte og systemer har ikke tilgang til mer enn det som er nødvendig for å utføre sine oppgaver.

Fysiske tiltak:

• Arbeidsfasiliteter og kontorer er beskyttet av passende adgangskontroller for å sikre at kun autorisert personell har tilgang

• Alle fysiske medier (papir, USB-stasjon osv.) destrueres på en forsvarlig måte dersom de har blitt brukt til å lagre personopplysninger.

Databehandleren har rett til å ta ytterligere avgjørelser om nødvendige tekniske og organisatoriske sikkerhetstiltak som skal iverksettes for å sikre et tilstrekkelig sikkerhetsnivå for personopplysningene.

Sprii ApS og behandlingen av personopplysninger kan helt eller delvis skje ved bruk av hjemmearbeidsplasser, som alle oppfyller sikkerhetskravene som dekkes av denne databehandleravtalen.

C.3. Bistand til den behandlingsansvarlige

Databehandleren skal så langt det er mulig – innenfor rimelig omfang – bistå den behandlingsansvarlige i samsvar med bestemmelse 9.1 og 9.2 ved å implementere de tekniske og organisatoriske tiltakene som er oppført under C.2.

Databehandleren, med tanke på behandlingens art, bistår den behandlingsansvarlige så langt det er mulig ved hjelp av de nevnte passende tekniske og organisatoriske tiltakene med å oppfylle den behandlingsansvarliges plikt til å svare på forespørsler om utøvelse av de registrertes rettigheter.

C.4. Lagringsperiode/sletteprosedyrer 

Personopplysninger lagres av databehandleren i følgende tidsperioder:

• Kampanjeinteraksjoner – Personopplysninger anonymiseres i 2 år etter siste interaksjon.

• Abonnementslister – Personopplysninger anonymiseres i 2 år etter avmeldingsdatoen.

• Innhold i kommentarer lagres vanligvis i 30 dager og slettes den ^30. dagen.  

Ved opphør av tjenestene knyttet til behandling av personopplysninger, vil databehandleren, på anmodning fra den behandlingsansvarlige, anonymisere eller slette alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at informasjonen er anonymisert eller slettet, med mindre EU-retten eller medlemsstatenes nasjonale rett foreskriver lagring av personopplysningene.  

Hvis den behandlingsansvarlige ikke ber om noe, vil personopplysningene bli anonymisert etter 2 år.

C.5. Behandlingssted

Behandling av personopplysninger som omfattes av forskriften kan ikke skje uten den behandlingsansvarliges skriftlige forhåndsgodkjenning på andre steder enn følgende:

• Sprii ApS (CVR 42084476), Søvej 46, 2791 Dragør, Danmark

• Sprii ApS (CVR 42084476), Sommervej 31E, 8210 Aarhus V, Danmark

• Ansattes hjemmearbeidsplasser, som alle oppfyller sikkerhetskravene som dekkes av denne databehandleravtalen

Plasseringen av underdatabehandlerne kan sees under punkt B.1.

C.6. Instruksjoner om overføring av personopplysninger til tredjeland 

Dersom den behandlingsansvarlige ikke i denne forskriften eller senere gir en dokumentert instruks om overføring av personopplysninger til et tredjeland, har databehandleren ikke rett til å foreta slike overføringer innenfor rammen av denne forskriften.

C.7. Prosedyrer for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av databehandleren

Databehandleren skal, på anmodning fra den behandlingsansvarlige og for den behandlingsansvarliges regning, innhente en revisjonsuttalelse eller inspeksjonsrapport fra en uavhengig tredjepart vedrørende databehandlerens overholdelse av personvernforordningen, personvernforskrifter i annen EU-rett eller nasjonal rett i medlemsstatene og denne forskriften.

Revisjonsuttalelsen/inspeksjonsrapporten sendes uten ugrunnet opphold til den behandlingsansvarlige til orientering. Den behandlingsansvarlige kan bestride rammeverket for og/eller metoden i revisjonsuttalelsen/inspeksjonsrapporten, og kan i slike tilfeller be om en ny revisjonsuttalelse/inspeksjonsrapport under et annet rammeverk og/eller ved bruk av en annen metode.

Basert på resultatene har den behandlingsansvarlige rett til å be om iverksettelse av ytterligere tiltak for å sikre samsvar med personvernforordningen, personvernbestemmelser i annen EU-lovgivning eller medlemsstatenes nasjonale lovgivning og disse forskriftene.

Den behandlingsansvarlige eller en representant for den behandlingsansvarlige har også tilgang til å gjennomføre inspeksjoner, herunder fysiske inspeksjoner, av stedene hvor databehandleren behandler personopplysninger, herunder fysiske steder og systemer som brukes til eller i forbindelse med behandlingen. Slike inspeksjoner kan gjennomføres når den behandlingsansvarlige anser det som nødvendig. Vurderingen må være basert på fakta og ikke på følelse. Fysisk inspeksjon krever forhåndsavtale med databehandleren og med et forhåndsvarsel på 4 uker, slik at databehandleren er forberedt på å kunne sette av nødvendige ressurser til det.

Den behandlingsansvarliges eventuelle utgifter i forbindelse med en fysisk inspeksjon bæres av den behandlingsansvarlige selv. Databehandleren er imidlertid forpliktet til å avsette de ressursene (hovedsakelig tiden) som er nødvendige for at den behandlingsansvarlige skal kunne gjennomføre sin inspeksjon.

Databehandleren forplikter seg til å delta i den behandlingsansvarliges årlige skriftlige revisjon.

C.8. Prosedyrer for revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av underdatabehandlere

Som databehandler oppdaterer vi oss i sikkerhetspolicyene til våre underdatabehandlere for å sikre at underdatabehandlerne til enhver tid overholder nødvendige sikkerhetstiltak. Dette betyr at vi årlig samler inn informasjon om våre underdatabehandleres organisatoriske og tekniske sikkerhetstiltak. Underdatabehandlerne er nevnt i punkt B.1.

Eventuelle utgifter som databehandleren og underdatabehandleren pådrar seg i forbindelse med en revisjon av underdatabehandlerens lokaler, er den behandlingsansvarliges ansvar.

Tillegg D - Tillegg for Storbritannia

Dette Storbritannia-spesifikke tillegget («Britisk tillegg») inngås av partene og er en del av databehandleravtalen («DPA») mellom den Storbritannia-baserte databehandleren og Sprii ApS. Dette britiske tillegget sikrer samsvar med den britiske personvernforordningen («UK GDPR») og databeskyttelsesloven av 2018 («DPA 2018»).

D.1. Omfang og anvendelse
Dette tillegget gjelder der databehandleren behandler personopplysninger som er underlagt den britiske GDPR og DPA 2018, i tillegg til EUs GDPR.

‍
D.2. Tilsynsmyndighet
For registrerte personer basert i Storbritannia er den relevante tilsynsmyndigheten UK Information Commissioner's Office (ICO).
‍

D.3. Dataoverføringer i Storbritannia
– Enhver overføring av personopplysninger fra Storbritannia til et tredjeland må være i samsvar med kapittel V i den britiske GDPR.
– Hvis standard kontraktsklausuler (SCC-er) i henhold til EUs GDPR brukes, må **UK International Data Transfer Addendum** innlemmes.
– Overføringer fra Storbritannia til EU anses for tiden som tilstrekkelige i henhold til britisk lov, med mindre det skjer regelendringer.
‍

D.4. Varsel om datainnbrudd
- Dersom et datainnbrudd involverer britiske datasubjekter, skal databehandleren varsle den behandlingsansvarlige i samsvar med den britiske GDPR.
– Den behandlingsansvarlige må vurdere om det skal varsles til det britiske informasjonskommissærkontoret (ICO).
‍

D.5. Underbehandling i Storbritannia
- Der databehandleren engasjerer en underdatabehandler for behandling av personopplysninger i Storbritannia, må underdatabehandleren overholde britiske GDPR-standarder.
– Underdatabehandlere utenfor Storbritannia må anvende det britiske tillegget for internasjonal dataoverføring, der det er nødvendig.
‍

D.6. Gjeldende lov
- Dette tillegget for Storbritannia skal reguleres av og tolkes i samsvar med lovene i England og Wales.

‍