Behandlingsansvarlig: Kunde som definert i hovedkontrakten for lade- og betalingstjenesten
Databehandler: ChargeNode Europé AB
Organisasjonsnr: 559188-1130
Adresse: Neongatan 4B, 431 53 Mölndal
E-post: info@chargenode.eu
Dato for avtalens ikrafttredelse: Avtalen trer i kraft ved undertegnelse av hovedkontrakten for lading og betalingstjeneste
Vanligvis kan chargenode.eu besøkes uten at personopplysninger samles inn. Vi samler bare inn informasjon som brukes til statistiske formål, og den besøkende forblir anonym. Eksempler på slik informasjon inkluderer tidspunktet for besøket, varigheten av besøket og sidene som besøkes. Charge Node Europé AB bruker også såkalte «cookies» (cookies) for å sikre at funksjoner og tjenester på nettstedet fungerer som de skal.
Kategoriene av personopplysninger som vi vanligvis samler inn inkluderer:
Datakontrollør: en fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som alene eller sammen med andre bestemmer formålene og midlene for behandlingen av personopplysninger.
Behandler av personopplysninger: Fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som behandler personopplysninger på vegne av behandlingsansvarlig
Personopplysningerenhver informasjon om en identifisert eller identifiserbar fysisk person, der en identifiserbar fysisk person er en person som kan identifiseres direkte eller indirekte, særlig ved henvisning til en identifikator som navn, identifikasjonsnummer, stedsdata eller elektroniske identifikatorer eller en eller flere faktorer som er spesifikke for den fysiske personens fysiske, fysiologiske, genetiske, psykologiske, økonomiske, kulturelle eller sosiale identitet.
Behandling: en handling eller kombinasjon av handlinger knyttet til personopplysninger eller sett med personopplysninger, enten de utføres automatisk eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, behandling eller endring, produksjon, lesing, bruk, utlevering ved overføring, formidling eller annen bestemmelse, justering eller aggregering, begrensning, sletting eller ødeleggelse
Lovgivning om databeskyttelseHenviser til alle personvern- og personopplysningslover, samt andre lover, forskrifter og forskrifter som gjelder for behandlingen i henhold til denne PUB-avtalen, inkludert slike nasjonale lover og EU-lover
LoggingLogging er kontinuerlig innsamling av data knyttet til behandling av personopplysninger utført i henhold til denne PUB-avtalen og som kan knyttes til en individuell fysisk person.
Hendelse med personopplysninger: en sikkerhetshendelse som resulterer i utilsiktet eller ulovlig ødeleggelse, tap eller endring, eller uautorisert avsløring eller uautorisert tilgang til personopplysningene som overføres, lagres eller på annen måte behandles.
Registrert: Fysisk person hvis personopplysninger behandles.
Når personopplysninger blir gitt til oss, mottar personen som oppgir sine personopplysninger informasjon om: Hvilket Charge Node Europé AB-selskap som er ansvarlig for behandlingen av personopplysningene, For hvilket formål og på hvilket rettslig grunnlag personopplysningene samles inn, Kontaktinformasjon til behandlingsansvarlig og databeskyttelsesansvarlig og hvilke rettigheter du har som kunde Hvor lenge dataene lagres. Hvis du føler at informasjonen er uklar eller ufullstendig, vennligst kontakt Charge Node Europé AB for å få fullstendig informasjon.
Med denne databehandleravtalen (heretter samlet kalt «PUB-avtalen») styrer behandlingsansvarlig behandlingen av personopplysninger av personopplysningsbehandleren på vegne av behandlingsansvarlig. Formålet med PUB-avtalen er å sikre den registrertes rettigheter og friheter i behandlingen, som angitt i artikkel 28 (3) i den generelle databeskyttelsesforordningen EU 2016/679 («databeskyttelsesforordningen»).
3.2 Behandling av personopplysninger
Behandlingsansvarlig utnevner herved persondatabehandleren til å utføre behandlingen på vegne av behandlingsansvarlig i samsvar med denne PUB-avtalen. Behandlingsansvarlig skal gi skriftlige instruksjoner til databehandleren om hvordan behandlingen skal utføres. Databehandleren kan kun utføre behandlingen i samsvar med PUB-avtalen og gjeldende instruksjoner til enhver tid.
Vi samler kun inn personopplysninger for formål som støttes av gjeldende personvernforordning. Det vanligste er at dataene samles inn for behandling på grunnlag av rettsgrunnlaget for utførelse av kontrakter. Formålene er for eksempel markedsføring og profilering, det vil si å formidle relevante tilbud til våre kunder.
4.2 Behandlingsansvarlig skal uten unødig forsinkelse informere Databehandleren om endringer i behandlingen som påvirker Databehandlerens forpliktelser i henhold til personvernlovgivningen.
4.3 Behandlingsansvarlig er ansvarlig for å informere den registrerte om behandlingen og for å utøve den registrertes rettigheter i henhold til databeskyttelseslovgivningen og iverksette andre tiltak som påhviler behandlingsansvarlig i henhold til databeskyttelseslovgivningen.
Siden Charge Node Europé AB har datterselskaper med konsernfunksjoner, kan dine personopplysninger bli utlevert til andre selskaper i konsernet. Slike selskaper kan også behandle dataene dine med det formål å tilby tilbud og markedsføring om produkter og tjenester som kan være av interesse for deg.
5.2 Databehandleren skal iverksette tiltak for å beskytte personopplysningene mot alle typer behandling som ikke er i samsvar med PUB-avtalen, instruksjonene og databeskyttelseslovgivningen.
5.3 Databehandleren forplikter seg til å sikre at alle fysiske personer som arbeider under dens ledelse overholder PUB-avtalen og instruksjonene, og at de fysiske personene blir informert om relevant lovgivning.
5.4 Databehandleren skal, på anmodning fra behandlingsansvarlig, bistå den behandlingsansvarlige med å sikre at forpliktelsene i henhold til artikkel 32 til 36 i GDPR blir oppfylt og svare på forespørsler om utøvelse av den registrertes rettigheter i samsvar med personvernforordningen, kapittel 5. III, tar hensyn til typen behandling og informasjonen som er tilgjengelig for databehandleren.
5.5 Dersom Databehandleren finner at Instruksjonene er uklare, i strid med personvernlovgivningen eller mangler, og Persondatabehandleren anser at nye eller supplerende instruksjoner er nødvendige for å gjennomføre sine forpliktelser, skal databehandleren omgående informere behandlingsansvarlig, midlertidig stoppe behandlingen og avvente nye instruksjoner, med mindre partene er enige om noe annet.
5.6 I tilfelle den behandlingsansvarlige gir persondatabehandleren nye eller endrede instruksjoner, skal databehandleren, uten unødig forsinkelse fra mottak, varsle behandlingsansvarlig om implementeringen av de nye instruksjonene fører til endring av kostnadene som påløper persondatabehandleren.
Bare de som trenger tilgang til personopplysningene for å utføre den avtalte tjenesten, er autorisert til å få tilgang til og administrere dem. Vi har flere underleverandører som håndterer personopplysninger i ulik grad, og de har de samme behandlingskravene som Charge Node Europé AB har internt.
6.2 Databehandleren skal kontinuerlig sikre at den tekniske og organisatoriske sikkerheten knyttet til behandlingen gir et passende nivå av konfidensialitet, integritet, tilgjengelighet og motstandsdyktighet.
6.3 Eventuelle ytterligere eller modifiserte krav til beskyttelsestiltak fra Behandlingsansvarlig, etter at partene har signert PUB-avtalen, skal betraktes som nye instruksjoner under PUB-avtalen.
6.4 Databehandleren skal gjennom autorisasjonskontrollsystemer gi tilgang til personopplysningene bare til fysiske personer som arbeider under ledelse av persondatabehandleren og som trenger tilgang for å utføre sine oppgaver.
6.5 Persondatabehandleren forplikter seg til kontinuerlig å logge tilgang til personopplysningene i henhold til PUB-avtalen i den grad det kreves av Instruksjonen. Logger kan ikke slettes før fem (5) år etter loggingsdatoen med mindre annet er spesifisert i instruksjonen. Logger skal være underlagt de nødvendige sikkerhetstiltakene, i samsvar med databeskyttelseslovgivningen.
6.6 Databehandleren skal systematisk teste, undersøke, evaluere og sikre effektiviteten av de tekniske og organisatoriske tiltakene for å sikre sikkerheten ved behandlingen.
Vi lagrer ikke personopplysninger lenger enn nødvendig. Når kontrakten avsluttes og du ikke lenger er kunde hos oss, beholder vi dataene dine i 36 måneder. Det samme gjelder kontaktinformasjon for våre bedriftskunder. Noen data kan imidlertid måtte lagres lenger for å oppfylle andre lovkrav, for eksempel regnskapsloven der vi trenger å lagre data i 7 år. Det er også grunner til å lagre dataene i en lengre periode hvis det er en etterforskning eller tvist, selv om kundeforholdet allerede er avsluttet, eller i tilfeller der du har kjøpt et produkt fra oss der vi trenger å lagre dataene for å oppfylle garantiforpliktelsen vår.
7.2 Databehandleren skal sikre at alle fysiske personer som arbeider under dennes tilsyn og som deltar i behandlingen, er bundet av en taushetsplikt angående behandlingen. Dette er imidlertid ikke nødvendig hvis de allerede er underlagt en straffeplikt til taushetsplikt pålagt ved lov. Databehandleren forplikter seg også til å sikre at det foreligger konfidensialitetsavtaler med underdatabehandleren og konfidensialitetsforhold mellom underdatabehandleren og alle fysiske personer som arbeider under dennes ledelse og som deltar i behandlingen.
7.3 Databehandleren skal straks informere Behandlingsansvarlig om eventuelle kontakter med tilsynsmyndigheten angående behandlingen. Databehandleren har ikke rett til å representere behandlingsansvarlig eller handle på vegne av behandlingsansvarlig overfor tilsynsmyndigheter i forhold til behandlingen.
7.4 Hvis den registrerte, tilsynsmyndigheten eller tredjepart ber om informasjon fra databehandleren om behandlingen, skal databehandleren informere behandlingsansvarlig om saken. Informasjon om behandlingen kan ikke utleveres til den registrerte, tilsynsmyndighet eller tredjepart uten skriftlig samtykke fra Behandlingsansvarlig, med mindre det er fastsatt av ufravikelig lov at informasjon må gis. Databehandleren skal bistå i overføring av informasjon med forbehold om samtykke eller juridiske krav.
Vi tar spesielle fysiske, tekniske og organisatoriske tiltak for å beskytte personopplysningene som behandles, slik at dataene ikke går tapt, ødelegges, manipuleres eller gjøres tilgjengelig for uautoriserte personer. Målet med disse tiltakene er å oppnå et tilstrekkelig høyt sikkerhetsnivå under hensyntagen til de tekniske mulighetene som er tilgjengelige. Endringer i personopplysningene registreres kontinuerlig for å sikre sporbarhet av alle endringer som skjer i informasjonen. Hendelser angående personopplysninger rapporteres internt og av våre underleverandører. Disse håndteres i en intern prosess og varsles i relevante saker (hvis det er stor risiko for den enkeltes rettigheter og friheter) til Datatilsynet innen 72 timer og til den som har mistet sine opplysninger i samsvar med reglene som er foreskrevet i personvernloven. Datainnbrudd rapporteres også til politiet.
8.2 Databehandleren skal minst en gang (1) årlig gjennomgå sikkerheten ved behandlingen ved hjelp av en egenkontroll for å sikre at behandlingen er i samsvar med PUB-avtalen. Resultatene av slik egenundersøkelse skal kommuniseres i løpet av regelmessig kontraktsoppfølging med behandlingsansvarlig.
8.3 Databehandleren har rett til å følge opp, av seg selv eller gjennom en annen tredjepart utpekt av ham (som kanskje ikke er en konkurrent til Persondatabehandleren), at Persondatabehandleren overholder kravene i PUB-avtalen, instruksjonene og databeskyttelseslovgivningen. I en slik revisjon skal Databehandleren bistå Behandlingsansvarlig, eller personen som utfører revisjonen i stedet for Behandlingsansvarlig, med dokumentasjon, tilgang til lokaler, IT-systemer og andre eiendeler som er nødvendige for å kunne gjennomgå databehandlerens overholdelse av PUB-avtalen, instruksjonene og databeskyttelseslovgivningen. Den behandlingsansvarlige skal sikre at personell som utfører revisjonen er underlagt taushetsplikt eller taushetsplikt i henhold til lov eller kontrakt.
8.4 Alternativt til det som er fastsatt i punkt 9.2 til 9.3, har databehandleren rett til å tilby andre metoder for gjennomgang av behandlingen, for eksempel gjennomgang av uavhengige tredjeparter. I slike tilfeller skal behandlingsansvarlig ha rett, men ikke plikt, til å anvende denne alternative revisjonsmetoden. I tilfelle en slik revisjon skal databehandleren gi den behandlingsansvarlige eller en tredjepart den assistanse som er nødvendig for å utføre revisjonen.
8.5 Databehandleren skal forberede tilsynsmyndigheten, eller enhver annen myndighet som har lovlig rett til å gjøre det, til å utføre tilsyn på myndighetens anmodning i samsvar med gjeldende lovgivning til enhver tid, selv om slik tilsyn ellers ville være i strid med bestemmelsene i PUB-avtalen.
8.6 Databehandleren skal forsikre den behandlingsansvarliges rettigheter overfor underdatabehandleren som tilsvarer alle rettighetene til den behandlingsansvarlige overfor Persondatabehandleren i henhold til punkt 9 i PUB-avtalen.
9.1 I tilfelle Behandlingsansvarlig ber om utbedring eller sletting på grunn av databehandlerens feilaktige behandling, skal databehandleren treffe passende tiltak uten unødig forsinkelse, senest innen tretti (30) dager, fra datoen Databehandleren har mottatt den nødvendige informasjonen fra behandlingsansvarlig. Når behandlingsansvarlig har bedt om sletting, kan databehandleren bare utføre behandlingen av de aktuelle personopplysningene som en del av prosessen med korrigering eller sletting.
9.2 Hvis databehandleren iverksetter tekniske og organisatoriske tiltak (f.eks. oppgraderinger eller feilsøking) i behandlingen, som kan påvirke behandlingen, skal databehandleren informere Behandlingsansvarlig skriftlig i samsvar med bestemmelsene i merknadene i punkt 18 i PUB-avtalen. Informasjonen skal gis i god tid før tiltaket iverksettes.
Personvernansvarlig for Charge Node Europé AB kan nås på e-post på kontakt@chargenode.eu eller på telefon 0707 — 16 40 84. Spørsmål angående Charge Node Europé ABs og konsernets behandling av personopplysninger kan rettes til en av våre personvernansvarlige eller via det generelle kontaktskjemaet på nettstedet.
10.2 Databehandleren forplikter seg til, under hensyntagen til arten av behandlingen og informasjonen som er tilgjengelig for persondatabehandleren, å bistå behandlingsansvarlig med å oppfylle sine forpliktelser i tilfelle en personopplysningshendelse i forbindelse med behandlingen. På forespørsel fra behandlingsansvarlig skal databehandleren også bistå med å undersøke mistanker om uautorisert behandling og/eller tilgang til personopplysningene.
10.3 I tilfelle en personopplysningshendelse som databehandleren har fått kjennskap til, skal databehandleren uten unødig forsinkelse underrette den behandlingsansvarlige skriftlig om hendelsen. Databehandleren skal, under hensyntagen til typen behandling og informasjonen som er tilgjengelig for databehandleren, gi den behandlingsansvarlige en skriftlig beskrivelse av personopplysningshendelsen.
10.4 Beskrivelsen skal redegjøre for:
arten av personopplysningsbruddet og, der det er mulig, kategoriene og antallet berørte registrerte og kategoriene og antallet berørte personopplysninger;
... de sannsynlige konsekvensene av persondatainnbruddet, og
Tiltak som er iverksatt eller foreslått og tiltak for å redusere de potensielle negative effektene av personopplysningshendelsen.
10.5 Hvis det ikke er mulig for databehandleren å gi den fullstendige beskrivelsen samtidig, i samsvar med punkt 11.3 i PUB-avtalen, kan beskrivelsen gis i avdrag uten unødig ytterligere forsinkelse.
11.1. Databehandleren er forpliktet til å informere behandlingsansvarlig når nye underdatabehandlere ansettes. Databehandleren forplikter seg til å inngå kontrakter og sørge for at alle underdatabehandlere er underlagt de samme vilkårene som gjelder for persondatabehandleren. Persondatabehandleren er fullt ansvarlig for underdatabehandlerne som er ansatt i forhold til behandlingsansvarlig.
11.2 Hvis databehandleren har til hensikt å ansette underdatabehandlere, skal den gi informasjon om typen data og kategorier av registrerte en gitt underbehandler skal håndtere, samt dennes kapasitet og evne til å overholde sine forpliktelser i henhold til databeskyttelseslovgivningen og annen relevant lovgivning med hensyn til behandling av personopplysninger.
11.3 Databehandleren skal, på forespørsel fra den behandlingsansvarlige, sende en kopi av avtalen om behandling av personopplysninger med underdatabehandleren.
11.4 Databehandleren forplikter seg også til å informere behandlingsansvarlig om eventuelle planer om å slutte å bruke en godkjent underbehandler.
12.1 Databehandleren skal sørge for at personopplysningene blir (håndtert og) lagret innenfor EU/EØS, med mindre partene er enige om noe annet.
12.2 Databehandleren har rett til å overføre personopplysninger til tredjeland, for eksempel for service, støtte, vedlikehold, utvikling, drift eller lignende behandling, hvis behandlingsansvarlig har autorisert slik overføring og gitt spesifikke instruksjoner (vedlegg 1).
12.3 Overføringer til tredjeland kan bare finne sted hvis databeskyttelse og annen relevant lovgivning og denne avtalen og tilhørende instruksjoner overholdes.
13.1 I tilfelle erstatning for skade forårsaket av en dom eller annen avgjørelse til den registrerte på grunn av brudd på noen bestemmelse i denne avtalen, instruksjon fra behandlingsansvarlig eller gjeldende databeskyttelsesbestemmelse, skal artikkel 82 GDPR gjelde.
13.2 Straffegebyrer i henhold til artikkel 83 i personvernforordningen eller kapittel 6 § 2 i loven (2018:218) og tilleggsbestemmelser til EUs personvernforordning skal bæres av den part som er pålagt et slikt gebyr.
13.3 Hvis behandlingsansvarlig blir oppmerksom på en omstendighet som kan føre til skade eller betalingsansvar for Persondatabehandleren, skal behandlingsansvarlig umiddelbart informere Persondatabehandleren om forholdet og aktivt samarbeide med Databehandleren for å forhindre og minimere slike skader eller betalingsansvar.
13.4 Til tross for bestemmelsene i Hovedavtalen og dens vedlegg, gjelder 13.1 og 13.2 før andre regler om fordelingen av krav mellom partene med hensyn til behandling av personopplysninger.
14.1 PUB-avtalen skal gjelde fra datoen PUB-avtalen er undertegnet av begge parter og inntil videre. Partene har gjensidig rett til å si opp PUB-avtalen med tretti (30) dagers varsel.
15.1 Oppsigelse av PUB-avtalen vil resultere i et kontraktsbrudd som kan utgjøre grunnlag for oppsigelse av hovedkontrakten.
15.2 Ved opphør av PUB-avtalen skal databehandleren, uten unødig forsinkelse, avhengig av hvilken behandlingsansvarlig velger, enten slette og bekrefte overfor Behandlingsansvarlig at den er utført, eller returnere
... alle personopplysninger som behandles på vegne av behandlingsansvarlig og
... all relatert informasjon som logger, instruksjoner, systemløsninger, beskrivelser og andre dokumenter innhentet av databehandleren gjennom utveksling av informasjon under PUB-avtalen.
15.3 I forbindelse med returen skal Databehandleren også slette eksisterende kopier av Personopplysninger og tilhørende informasjon.
15.4 Plikten til å slette eller returnere personopplysninger eller relatert informasjon gjelder ikke der lagring av personopplysningene eller informasjonen kreves av EU eller relevant nasjonal lovgivning der behandling kan utføres i henhold til PUB-avtalen.
15.5 Retur av personopplysninger eller relatert informasjon skal skje i et vanlig brukt og standardisert format, med mindre annet er avtalt mellom partene.
15.6 Inntil dataene slettes eller returneres, skal databehandleren sørge for overholdelse av PUB-avtalen.
15.7 Retur eller sletting i henhold til PUB-avtalen skal skje senest tretti (30) kalenderdager fra datoen for opphør av Pub-avtalen, med mindre annet er spesifisert i Instruksjonen. Behandling av personopplysninger som Persondatabehandleren utfører deretter, anses som uautorisert behandling.
15.8 Avsnitt/konfidensialitetsbestemmelser i § 8 skal fortsette å gjelde selv om Pub-avtalen ellers bortfaller.
16.1 Ved tolkning og anvendelse av PUB-avtalen gjelder svensk lov med unntak av lovvalgsreglene. Tvister som følger av Pub-avtalen skal avgjøres av den kompetente svenske domstolen.
17.1 Denne PUB-avtalen leveres i digitalt format som et vedlegg til ChargeNode Charge- og Betalingstjeneste-avtalen, og anses å være signert på tidspunktet for signeringen av nevnte avtale.
1. Formål med behandlingen
ChargeNode behandler personopplysninger for å levere belastede og betalte tjenester, inkludert:
administrasjon av brukerkontoer og medlemsinformasjon
styring av ladeøkter og fakturering
støtte, feilsøking og drift
sikkerhetslogging og hendelseshåndtering
2. Kategorier av registrerte
Medlemmer/brukere som bruker ladetjenestene
3. Kategorier av personopplysninger
Kontaktinformasjon (navn, e-post, telefon)
Bruker/medlems-ID
Ladehistorikk
Faktureringsdetaljer
Tekniske logger
4. Behandlinger som ChargeNode kan utføre
ChargeNode kan utføre følgende operasjoner for å oppfylle sine forpliktelser:
oppbevaring
visning
registrering og oppdatering
feilsøking og logging
sletting/tynning i henhold til oppbevaringspolitikken
Overføring til underleverandører i henhold til kontrakt
5. Tynning og lagringstid
Data vil bli behandlet så lenge kundeavtalen er gyldig og 12 måneder deretter.
6. Underassistenter
ChargeNode kan bruke underprosessorene som er angitt i gjeldende liste, som oppdateres fortløpende.
7. Avvik
Hvis kunden ber om behandling i tillegg til disse instruksjonene, må kunden gi skriftlige tilleggsinstruksjoner, som anses som nye instruksjoner i PUB-avtalen.
Charge Node Europe AB
Neongatan 4B
431 53 Molndal
