ProfraktE2: Personvernerklæring

Logistra Cargonizer

Med Logistra Cargonizer kan du knytte sammen èn eller flere fraktløsning fra flere leverandører

DirectPrint

Det anbefales på det sterkeste å bestille en DirectPrint-boks fra Logistra, for å kunne skrive ut automatisk.

Shopify

Med Shopify-appen kan du velge hvilke fraktløsninger du vil tilby dine kunder, og sette din egen pris

1. Avtalens bakgrunn

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig som følge av det

kundeforhold som er opprettet ved Hovedavtalen. Avtalen skal sikre at personopplysninger

behandles i samsvar med de til ethvert gjeldende krav til behandling av personopplysninger.


2. Formålet med behandlingen

Formålet med Databehandlers behandling av personopplysningene er å sette Behandlingsansvarlig i stand til å gjennomføre handlinger knyttet til de transportforsendelser og transportadministrasjon som omfattes av Hovedavtalen. Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.


Databehandler skal legge til rette for at Behandlingsansvarlig, som har bruksrett til systemet, selv

skal kunne utføre databehandling ved hjelp av systemet. Databehandler skal ikke utføre

databehandling på eget initiativ ut over standard funksjonalitet som er bygget inn i systemet, jf. pkt

4.


Systemet har funksjonalitet, avhengig av modul, for lagring av følgende data:


  • Parter på sendingen (f.eks. avsender og mottaker) – Navn, adresse, telefonnummer, epost,

[org.nr](http://org.nr/). og navn på kontaktperson.


I forbindelse med etablering og bruk av systemet, vil personopplysninger bli registrert i systemet.

Med personopplysninger menes opplysninger som kan knyttes til en enkeltperson.


Behandlingsansvarlig er innforstått med at følgende data skal videreformidles til den transportøren

som Behandlingsansvarlig har valgt som befrakter på sendingen:


  • Parter på sendingen (f.eks. avsender og mottaker) – Navn, adresse, telefonnummer, epost, [org.nr](http://org.nr/). og navn på kontaktperson.
  • Annen sendingsinformasjon som databehandler oppgir, som blant annet avsenders- og mottakers referanse, mål og vekt på sendingen, elding til mottaker og melding til transportør og hvilket transportprodukt og transporttjenester som er valgt.


Databehandler skal ikke behandle personopplysningene på annen måte enn den som er beskrevet

i Avtalen, med mindre dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.


3. Partenes plikter og rettigheter

3.1 Databehandlers plikter

Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som

sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern

av den registrertes rettigheter.


Databehandler skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til


  • Konfidensialitet, dvs. at opplysningene ikke blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene
  • Integritet, dvs. at opplysningene ikke endres på uautorisert eller utilsiktet måte
  • Tilgjengelighet, dvs. at opplysningene er tilgjengelige og operative for lovlig og autorisert bruk


Databehandler plikter på forespørsel å gi Behandlingsansvarlig tilgang til sin

sikkerhetsdokumentasjon, og bistå slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter

lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn

i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler

plikter å gi nødvendig bistand til dette.


Partene har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får

tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.


Personopplysningene skal ikke utleveres til eksterne parter med mindre annet er skriftlig avtalt,

med de unntak som følger av punkt 4 om databehandlers bruk av underleverandører.


Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen

måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den

Behandlingsansvarlige.


Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger som den

registrerte inngir med henblikk på å utøve sine rettigheter etter personvernforordningens kapittel III

hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og

organisatoriske tiltak, samt bistå den Behandlingsansvarlige med å sikre overholdelse av

forpliktelsene knyttet til personopplysningssikkerhet og vurdering av personvernkonsekvenser og

forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og

den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente

adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter

artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter

Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.


Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av

den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter

personvernforordningen artikkel 30 nr. 2.


Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er

nødvendig for å påvise at forpliktelsene fastsatt i dette punkt 3.1 er oppfylt, samt muliggjøre og

bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller

en annen inspektør på fullmakt fra den Behandlingsansvarlige. Den Behandlingsansvarlige har

selv det direkte ansvaret for kontakt og kommunikasjon med aktuelle tilsynsmyndigheter, herunder

Datatilsynet.


3.2 Behandlingsansvarliges plikter

Behandlingsansvarlig er forpliktet til kun å lagre og bruke opplysninger i den utstrekning og på slik

måte som er overensstemmende med norsk lov.


Behandlingsansvarlig er ansvarlig for at egendefinerte datafelter verken i seg selv eller med dets

innhold bryter med de til enhver tid gjeldende lover og regler, herunder vedrørende

personopplysninger. Det samme gjelder bruk av kombinasjoner av datafelter i for eksempel

rapporter mv.


Der hvor systemet inneholder tekster, data eller annen informasjon mv. som eies/disponeres av

Behandlingsansvarlig, innestår Behandlingsansvarlig for at han har full eiendoms- eller

disposisjonsrett til slike tekster, data, informasjon mv. og at verken lagring eller den aktuelle bruken

av dette materialet innebærer en krenkelse av tredjemanns rettigheter eller strider mot lov, forskrift

eller andre rettsregler.


Behandlingsansvarlig skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til


  • Konfidensialitet, dvs. at opplysningene ikke blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene,
  • Integritet, dvs. at opplysningene ikke endres på uautorisert eller utilsiktet måte
  • Tilgjengelighet, dvs. at opplysningene er tilgjengelige og operative for lovlig og autorisert bruk


Navn på bruker og passord for tilgang til systemet administreres av Behandlingsansvarlig.

Behandlingsansvarlig plikter å påse at passord oppbevares og håndteres på en slik måte at bare

personer med rett iht. avtalen med Databehandler og som er autoriserte hos Behandlingsansvarlig,

har tilgang til systemet.


Behandlingsansvarlig er ansvarlig for at egne medarbeidere kun bruker personopplysningene i

systemet for å utføre pålagte/tillatte oppgaver.


Behandlingsansvarlig håndterer og behandler henvendelser fra de registrerte om innsyn, retting og

sletting med videre.


4. Systemfunksjoner og særskilte tekniske løsninger

De ulike funksjoner i systemet er spesifisert i vedlegg 1 til Avtalen.


5. Bruk av underleverandører

Databehandler bruker underleverandører til å oppfylle deler av sine ulike forpliktelser, herunder til

fysisk sikring av systemet, lagring på ekstern server og verifisering av adresser.


Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for

behandling av personopplysninger etter Avtalen. I tilfelle Databehandleren har planer om å benytte

andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette

den Behandlingsansvarlige om dette og dermed gi den Behandlingsansvarlige muligheten til å

motsette seg slike endringer.


Oversikt over underdatabehandlere ved Avtalens inngåelse er spesifisert i vedlegg 2 til Avtalen.


Underdatabehandler skal pålegges de samme forpliktelsene med hensyn til hvern av

personopplysninger som er fastsatt i Avtalen i bindende avtale hvor underdatabehandler skal gi

tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at

behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine

forpliktelser med hensyn til vern av personopplysninger og kravene i Avtalen, skal

Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler

oppfyller sine forpliktelser.


I tillegg til underleverandører omhandlet ovenfor er Behandlingsansvarlig innforstått med at

Databehandleren vil overføre personopplysninger til den transportøren som Behandlingsansvarlig

har valgt som befrakter på sendingen, jf. ovenfor under pkt. 2.


6. Sikkerhet og avvik

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven

med forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle

disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges

forespørsel.


I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige

uten ugrunnet opphold. Melding om brudd skal minimum inneholde:


  1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt
  2. Navn på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes
  3. Beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten
  4. Beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet


Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart

de foreligger.


Den Behandlingsansvarlige har ansvaret for å sende melding til tilsynsmyndighet, og

Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den

Behandlingsansvarlige har gitt instruks om dette.


7. Overføring til tredjeland

Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter instruks fra den Behandlingsansvarlige, med mindre det gjelder selskapet Shopify Inc. i USA. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til, med unntak av Shopify Inc. i USA. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.


8. Avtalens varighet, pålegg om stans, plikter ved opphør/oppsigelse

Avtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på

vegne av Behandlingsansvarlige etter Hovedavtalen. Ved brudd på denne Avtalen,

personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlig pålegge

Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.


Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle

personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er

levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at

personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men

hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.


Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle

personopplysninger er returnert eller slettet i henhold til den Behandlingsansvarliges instruksjoner

og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i

noen form.


9. Øvrige plikter og rettigheter

Øvrige plikter og rettigheter følger av Hovedavtalen som gjelder mellom Databehandleren og

Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og

denne Avtale. De samme kontaktpersoner gjelder for Avtalen som etter Hovedavtalen.


Denne avtalen skal ikke utvide Partenes sanksjonsmuligheter, herunder erstatningsansvar, utover

det som følger av Hovedavtalen.


Ved eventuell overdragelse av Hovedavtalen til andre parter, skal denne Avtale overdras

tilsvarende.


10. Lovvalg og verneting

Avtalen er underlagt norsk rett. Enhver tvist som måtte oppstå i forbindelse med avtalen skal søkes

løst ved forhandlinger. Fører forhandling ikke frem, skal saken løses ved de ordinære domstoler

med sete på det sted i Norge hvor databehandler har sitt hovedkontor.


Dersom noen bestemmelser i denne avtalen eller oppfyllelsen av den anses ugyldig i henhold til

lovgivningen, skal dette ikke få noen betydning for gyldigheten av de øvrige bestemmelsene i

avtalen.


VEDLEGG 1 – OVERSIKT OVER FUNKSJONER I SYSTEMET

“Profrakt” viser til Logistikkgruppen AS sitt frakt/EDI-system som fungerer som integrasjon mot transportører.


“Shopify” viser til Shopify, Inc. sitt nettbutikk-system.


“appen” viser til “ProfraktE2”, E2 Solutions sin Shopify-applikasjon som fungerer som integrasjon mellom Shopify og Profrakt.


“app-loggen” viser til en logg som roteres ukentlig og lagres 12 uker tilbake i tid. Logger eldre enn 12 uker tilbake i tid slettes automatisk.


“CarrierService” viser til Shopify sin løsning for å tilby en liste over fraktalternativer i handlekurven til en nettbutikk.


“butikk” viser til en nettbutikk bygget med Shopify.


“lokasjon” viser til en av butikkens fysiske lokaler eller varehus/lager.


“sluttkunde” viser til en kunde av butikkene.


“transportør” viser til en fraktleverandør som har avtale med butikken og integrasjon med Profrakt.


Henter og lagrer grunnleggende informasjon om butikk fra Shopify (Shopify Shop ID, adresse, e-postadresse, valuta, tidssone, butikknavn, Shopify plan).


Henter butikk sine fraktavtaler fra Logistikkgruppen AS sitt system, lagrer info om fraktavtalene som konfigureres i appen (Profrakt Transport Agreement ID, avtalenummer, aktiverte tjenester, krav/begrensninger fra transportør).


Henter butikk sine printere fra Profrakt og lagrer info om printere som tilordnes en lokasjon i appen (Profrakt Printer ID).


Henter butikk sine lokasjoner og adresser fra Shopify og Profrakt, lagrer info om lokasjonene som konfigureres i appen (Shopify Location ID, Profrakt Sender ID, adresse, navn).


Lagrer også informasjon om åpningstider for hver lokasjon, som direkte skrives inn i appen.


Mottar CarrierService-forespørsler fra Shopify. Inkluderer navn, adresse, e-postadresse og telefonnummer for både lokasjonen og sluttkunden. Inkluderer liste over varer som sluttkunden har i handlekurven som er planlagt sendt fra lokasjonen, med antall, pris, vekt, Shopify Product ID, Shopify ProductVariant ID. Lagrer ikke denne informasjonen permanent, bare i app-loggen. Svarer på CarrierService-forespørsler med liste over mulige fraktalternativer og fraktpris.


Oppretter sendinger for frakt og retur via Profrakt. I forbindelse med dette, sendes informasjon til Profrakt, der det lagres permanent i forbindelse med sendingshistorikk og kunderegister.


Informasjon om sendinger inkluderer avsender og mottaker (adresse, navn, telefonnummer for både lokasjon og sluttkunde), fraktprodukt og tilhørende tjenester konfigurert i appen, liste over varer i ordren (kun dersom butikken har valgt at dette skal være synlig på fraktlappen), lokasjonens åpningstider, tolldeklarasjon for sendingen inkl. varenavn/beskrivelser, kostnader/tollverdi, harmoniserte systemkoder og opprinnelsesland (kun ved eksport til utlandet og kun ved bruk av enkelte fraktprodukter som støtter denne informasjonen).


Informasjon om sendinger videresendes fra Profrakt til transportør for sendingen.


Appen lagrer ikke informasjon om sendinger permanent, bare i Shopify og i app-loggen. Henter i stedet informasjon direkte fra Shopify ved behov.


Mottar forespørsler om retur av varer fra sluttkunde sendt inn på et nett-skjema. For tilgang til liste over varer i ordren kreves bekreftelse av ordrenummer og e-postadresse (via link som sendes ut på e-post til kundens e-postadresse i ordren). Oppretter retur-sending via Profrakt. Sender fraktlapp for retur til sluttkunde på e-post. Videresender informasjonen sluttkunden legger inn på skjema via e-post til butikken.


VEDLEGG 2 – OVERSIKT OVER UNDERLEVERANDØRER

Logistikkgruppen AS


Dekningssjekk av adresser, samt videreformidling av fraktinformasjon som inneholder persondata blir videreformidlet til Logistikkgruppen AS.


Konsept-IT AS


IT-driftsleverandør av servere ProfraktE2 kjøres på. Samt innleie av utviklere.


Shopify Inc.


Nettbutikk-leverandør, der ProfraktE2 app blir installert.