Databehandlingsvedlegg

Dette Shoprocket Databehandlingsvedlegget ("Vedlegget") endrer Shoprocket Vilkår & Betingelser ("Avtalen") mellom deg ("Du") og Shoprocket LTD (firma nr. 12656598, registrert i England & Wales på 20-22 Wenlock Road, London, NG 17U). Hvis du har en separat SLA med Shoprocket, betyr henvisninger til Avtalen denne SLA. Dette Vedlegget er underlagt og integrert i Avtalen. Eventuelle kapitaliserte begreper som ikke er definert her har den betydningen som er gitt i Avtalen.

---

Definisjoner

• Kontoinnstillinger: Konfigurasjoner for din Shoprocket-konto (inkludert sikkerhet) som lar deg administrere hvordan Shoprocket behandler Personopplysninger.

• Forretningsformål: Tjenestene definert i Avtalen.

• Kunde Kontodata: Personopplysninger om ditt forhold til Shoprocket (f.eks. autoriserte kontakter, fakturadetaljer), pluss info Shoprocket samler for kontoadministrasjon, identitetskontroller, eller juridiske krav.

• Kunde Bruksdata: Bruksdata behandlet av Shoprocket i forbindelse med din bruk av Tjenestene (f.eks. logger, ytelsesmål, data för misbrukforebygging).

• Databeskyttelseslovgivning: Inkluderer CCPA, EU GDPR, Sveitsisk føderal lov om databeskyttelse, UK GDPR, DPA 2018, og PECR 2003, hver som oppdatert. Vilkår (f.eks. "Dataansvarlig," "Databehandler") følger EU GDPR.

• EEA: Det europeiske økonomiske området.

• EU SCCs: De standardkontraktuelle klausulene per Kommisjonsvedtak 2021/914.

• Ex-EEA Overføring: En overføring av Personopplysninger (under EU GDPR) utenfor EEA uten en tilstrekkelig beslutning i henhold til artikkel 45 EU GDPR.

• Ex-UK Overføring: En overføring av Personopplysninger (under UK GDPR) utenfor UK uten en tilstrekkelig beslutning fra UKs statsråd.

• Tjenesteleverandør: Som definert i CCPA.

• Tjenester: Shoprockets verktøy for å opprette/administrere nettbutikker ("Shoprocket Store"), håndtere produkter, betalinger, frakt, markedsføring, og ethvert verktøy eller tjeneste som Shoprocket måtte tilby.

• Shoprocket Konto: Din konto som gir tilgang til Tjenestene, inkludert Kontoinnstillinger, på https://www.shoprocket.io.

• Shoprocket Personvernerklæring: Varslet på https://shoprocket.io/privacy, som oppdatert.

• Shoprocket Store: Din netthandelside som er vert for eller tilrettelagt av Shoprocket.

• Spesiell kategoridata: Som definert i artiklene 4(13), 4(14), 4(15), og 9 av EU/UK GDPR (som gjelder).

• Standardkontraktklausuler (SCCs): EU SCCs og UK SCCs, etter relevant.

• UK SCCs: EU SCCs slik de er endret av UK ICOs IDTA-vedlegg.

• Vi/Os/Å våre: Shoprocket LTD (inkludert "Shoprocket" og "Shoprocket.io").

• Du/Ditt: Den kontraktsmessige parten som er navngitt i Avtalen.

---

Kundeinstruksjoner

Dette Vedlegget og Avtalen (inkludert instruksjoner i dine Kontoinnstillinger) utgjør de Dokumenterte Instruksjoner for hvordan Shoprocket behandler Personopplysninger. Shoprocket vil bare behandle Personopplysninger som instruert. Ytterligere instruksjoner utenfor disse vilkårene krever skriftlig forhåndig godkjenning (og kan medføre ekstra kostnader).

Shoprocket kan avslutte dette Vedlegget og Avtalen hvis instruksjonene dine strider mot Databeskyttelseslovgivning eller avviker fra avtalte instruksjoner. Gitt arten av behandlingen kan Shoprocket generelt ikke vurdere om instruksjonene dine krenker loven; hvis de danner en slik oppfatning, vil de informere deg, og du kan endre eller trekke tilbake instruksjonene.

---

Databehandling

1. Shoprockets Behandling

   • Databehandler/Tjenesteleverandør: Unntatt for Kunde Kontodata og Kunde Bruksdata, behandler Shoprocket Personopplysninger (under EU/UK GDPR) eller personlig informasjon (under CCPA) på dine vegne.

   • Uavhengig Dataansvarlig: Shoprocket er en Dataansvarlig for Personopplysninger samlet direkte fra butikkens kunder og for Kunde Kontodata eller Kunde Bruksdata.

2. Lagring

   • Personopplysninger lagres på:

     1. AWS-servere i Irland (eller andre EEA-regioner),

     2. Hetzner-servere i Nuremberg/Falkenstein (Tyskland).

3. Omfang og Formål

   • Shoprocket behandler kun Personopplysninger som nødvendig for de Forretningsformål du spesifiserer (i samsvar med de kjøpte Tjenestene) og i overensstemmelse med Databeskyttelseslovgivning.

   • Dersom loven krever en annen behandling, vil Shoprocket varsle deg med mindre det er forbudt av lov.

   • Shoprocket følger raskt dine skriftlige instruksjoner for å endre, overføre eller slette Personopplysninger, eller for å stoppe uautorisert behandling.

   • Shoprocket opprettholder konfidensialiteten til Personopplysninger med mindre utlevering er autorisert eller juridisk pålagt.

   • Shoprocket bistår med dine overholdelsesforpliktelser (f.eks. forespørsel fra registrerte personer, DPIA) uten ekstra kostnad.

   • Shoprocket varsler deg om juridiske endringer som kan påvirke Avtalen eller dette Vedlegget.

4. Shoprocket som Uavhengig Dataansvarlig

   • For Kunde Kontodata og Kunde Bruksdata er Shoprocket ikke en felles ansvarlig, men behandler de dataene for å administrere sitt forhold til deg, forhindre svindel/sikkerhetshendelser, oppfylle lovpålagte forpliktelser, osv., i samsvar med Shoprocket Personvernerklæring.

5. CCPA

   • Unntatt for Kunde Kontodata og Kunde Bruksdata, er Shoprocket din Tjenesteleverandør under CCPA; det vil ikke "selle" slik personlig informasjon og bruker den kun for å utføre Tjenestene eller som ellers tillatt av lov.

6. Tilleggsfunksjoner

   • Du kan integrere tredjeparts tilleggsfunksjoner ("Tillegg") under separate EULAer med hver utgiver. Shoprocket overfører nødvendige Personopplysninger til Tillegg Utgiveren, men er ikke ansvarlig for deres behandling. Nåværende Tillegg markedsført av Shoprocket inkluderer:

     • Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Multikanal oppfyllelse og synkronisering.

     • Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Betalingsintegrasjoner som støtter ulike metoder/valutaer.

     • Zapier: Automatiserer dataoverføringer/arbeidsflyter mellom Shoprocket og andre applikasjoner.

   • Hvis Shoprocket og du har SCCs, er din instruksjon om å integrere Tillegg et samtykke til å overføre Personopplysninger til de Tillegg Utgiverne hvis det er nødvendig i henhold til SCCs.

7. Dine Ansvar

   • Du er Dataansvarlig for alle Personopplysninger samlet inn eller behandlet av Shoprocket på dine vegne.

   • Du er ansvarlig for å oppfylle varslings-/samtykkekrav og sikre overholdelse av Databeskyttelseslovgivning.

---

Typer Personopplysninger og Behandlingsformål

• Emne: Personopplysninger du laster opp til Tjenestene, inkludert din Shoprocket-konto eller Butikk.

• Varighet: Bestemt av deg (inntil du suspenderer/terminerer ditt Shoprocket-abonnement eller relevante integrasjoner).

• Formål: Å levere Tjenestene på din instruksjon (f.eks. drifte din Shoprocket Store/Konto).

• Behandlings natur: Shoprockets netthandelsplattform (og eventuelle Underbehandlere/Tilleggsutgivere) kan lagre eller behandle Personopplysninger.

• Typer Personopplysninger: Data du laster opp (f.eks. kontaktinfo, kundedetaljer, transaksjonsregistre).

• Datasubjekter: Du, dine kunder, ansatte, entreprenører, agenter, leverandører, eller leverandører.

---

Sikkerhet ved Databehandling

Shoprocket vil opprettholde passende tekniske og organisatoriske tiltak for å beskytte Personopplysninger mot uautorisert eller ulovlig behandling, utilsiktet tap, eller ødeleggelse i samsvar med Artikkel 32 av EU/UK GDPR. Tiltak inkluderer (om relevant):

• Pseudonymisering/kryptering av data;

• Sikre konfidensialitet, integritet, tilgjengelighet og motstandskraft av systemer;

• Gjenopprette data tilgjengelighet på en rettidig måte etter hendelser;

• Regelmessig teste, vurdere og evaluere disse tiltakene.

Shoprockets Ansatte

• Shoprocket sikrer at ansatte, entreprenører og agenter som håndterer Personopplysninger er opplært, bundet av konfidensialitet, og fullt klar over sine databeskyttelsesforpliktelser.

Sikkerhet (Uttalelse)

• Shoprocket oppdaterer kontinuerlig tekniske/organisatoriske beskyttelsestiltak for å hindre uautorisert behandling, inkludert kryptering, systemmotstandskraft, gjenopprettbarhet, og effektivitets testing.

---

Brott på Personopplysninger

1. Varsling

   • Shoprocket varsler deg innen 72 timer (og uten unødig forsinkelse) hvis det blir oppmerksom på:

     1. Tap/ødeleggelse av Personopplysninger;

     2. Enhver utilsiktet, uautorisert eller ulovlig behandling;

     3. Et brudd på Personopplysninger.

2. Informasjon

   • Shoprocket gir en beskrivelse av hendelsen, berørte datakategorier/numre, og tiltak som er iverksatt eller foreslått for å redusere virkningen.

3. Samarbeid

   • Shoprocket samarbeider med deg om etterforskningen og vil ikke informere tredjeparter uten skriftlig samtykke med mindre det er juridisk påkrevd.

4. Kostnader

   • Shoprocket dekker rimelige utgifter for disse forpliktelsene med mindre hendelsen oppstår fra dine instruksjoner, forsømmelse, eller brudd, i så fall dekker du Shoprockets rimelige utgifter (inkludert profesjonelle rådgivere).

---

Underbehandlere

Shoprocket bruker for tiden disse Underbehandlerne for hosting/prosessorering av data, infrastruktur/nettverkstjenester, eller andre tjenestefunksjoner:

Navn	Beskrivelse	Plassering
200OK LLC (Profitwell)	Abonnementsrapportering/analyse.	MA, USA
Amazon Web Services EMEA SARL	Cloud hosting, databehandling, lagring.	Luxembourg, EU
Automattic, Inc. (Gravatar)	Lar brukere laste opp profilbilder til Shoprocket-kontoer.	CA, USA
Cloudflare, Inc.	Nettverkssikkerhet og tilkobling.	CA, USA
Crisp IM SAS	Live chat og kundemeldingsapp for brukerstøtte.	Frankrike, EU
Facebook Technologies Ireland	Facebook Pixels for konverteringer, annonseoptimalisering, publikum bygging.	Irland, EU
Google Ireland Limited	Google Analytics (atferdsanalyse), Adwords (annonseplassering/muligheter).	Irland, EU
GmbH	Cloud hosting, databehandling, og lagring.	Tyskland, EU
TPS Unlimited, Inc. (Taxjar)	Skatteautomatisering for EU MVA & US sales tax på Shoprocket Stores.	CA, USA
Twilio, Inc. (Sendgrid)	Multikanal melding (e-post, SMS, WhatsApp).	Irland, EU
Twitter, Inc.	Twitter Pixel for konverteringssporing og annonse ytelses tiltak.	CA, USA

Du autoriserer Shoprocket til å bruke ovennevnte Underbehandlere og gir generell autorisasjon for Shoprocket til å legge til andre ("Autoriserte Underbehandlere"). Shoprocket vil gi minst 30 dagers varsel (via nettside, e-post, eller kontovarsel) før det bruker en ny Underbehandler. Du kan protestere innen 10 dager fra varsel, skriftlig, på rimelige databeskyttelsesgrunner. Hvis en nødvendig Underbehandler er involvert og ingen alternativ blir funnet innen 90 dager, kan du avbryte eller avslutte de relevante Tjenestene (men fortsatt betale gebyrer som er forfalt).

Hvis du ikke protesterer innen 10 dager, anses den nye Underbehandleren som godkjent. Når Shoprocket engasjerer en Underbehandler,:

• Begrenser tilgangen til kun det som er nødvendig for å levere eller forbedre Tjenestene;

• Pålegger de samme databeskyttelsesforpliktelsene på dem;

• Forblir ansvarlig for deres overholdelse.

Hvis SCCer gjelder, regnes din autorisasjon som forhåndsskreven samtykke i henhold til Klausul 9(c) eller relevante UK SCC-klausuler. Shoprocket kan redigere ikke-essensielle kommersielle detaljer før de deler underbehandlingskontrakter med deg.

---

Overføringer av Personopplysninger

Shoprocket kan overføre Personopplysninger utenfor EEA, UK eller Sveits for å levere Tjenestene (f.eks. noen Tillegg Utgivere/Underbehandlere i USA). Hvor ingen tilstrekkelig beslutning gjelder, vil Shoprocket sikre passende beskyttelser i henhold til Databeskyttelseslovgivning.

• Ex-EEA Overføringer: Dekket av EU SCCs (Modul én for Shoprocket som ansvarlig, Modul to for Shoprocket som databehandler). Visse klausuler (f.eks. Klausul 7's docking) gjelder ikke; tvister er under irsk lov/retter.

• Ex-UK Overføringer: Dekket av IDTA Vedlegget.

• Overføringer fra Sveits: Ligner på EU SCCs, med modifikasjoner for sveitsisk FADP.

• Supplerende tiltak:

  • Ingen formelle forespørseler om datatilgang eksisterer per datoen for dette Vedlegget.

  • Hvis de tvinges til å avsløre dataene dine, vil Shoprocket varsle deg (med mindre det er forbudt) og hjelpe deg å søke beskyttelsestiltak.

  • Shoprocket og du vil regelmessig diskutere om lover i det importerende landet tilbyr tilsvarende beskyttelse eller krever tilleggstiltak.

  • Hvis en hvilken som helst overføringsmekanisme slutter å være gyldig eller en tilsynsmyndighet suspenderer den, kan Shoprocket implementere alternative ordninger eller suspendere overførsler.

Hvor du godkjenner en Underbehandler/Tillegg utenfor EEA, autoriserer du også Shoprocket til å signere SCCs på dine vegne.

---

Klager, Forespørsel fra Datasubjekter, og Tredjepartsrettigheter

Shoprocket vil raskt gi deg all informasjon eller assistanse du trenger for:

1. Oppfylle rettighetene til Datasubjekter (tilgang, retting, sletting, portabilitet, innvendinger, osv.).

2. Adresse eller overholde informasjon/vurderingsvarsel fra regulatorer.

Shoprocket varsler deg umiddelbart hvis det mottar klager eller kommunikasjon om behandlingen, og innen 14 dager hvis det får en forespørsel fra et Datasubjekt. Shoprocket bistår i svaret, og vil ikke avsløre Personopplysninger til tredjeparter med mindre det er pålagt ved lov eller dine instruksjoner.

---

Varighet og Oppsigelse

Dette Vedlegget forblir effektivt så lenge Avtalen gjør det, eller Shoprocket oppbevarer noen relaterte Personopplysninger. Bestemmelser som må overleve for databeskyttelse forblir i kraft. Ethvert vesentlig brudd på denne DPA er et vesentlig brudd på Avtalen, som gir deg rett til å avslutte umiddelbart uten videre ansvar.

Hvis endringer i Databeskyttelseslovgivningen hindrer en part fra å oppfylle sine forpliktelser, kan partene suspendere behandlingen til overholdelse er oppnådd. Hvis det ikke løses innen 90 dager, kan hvilken som helst part terminere med umiddelbar virkning etter varsel.

---

Dataretur og Ødeleggelse

• Ved forespørsel, gir Shoprocket deg (eller en tredjepart du nominerer skriftlig) kopier eller tilgang til Personopplysninger i et format du spesifiserer (der det er rimelig).

• Ved oppsigelse, returnerer eller sletter Shoprocket Personopplysninger med mindre fortsatt lagring er juridisk pålagt. Hvis sletting er uhensiktsmessig eller ulovlig, blokkerer Shoprocket videre behandling og fortsetter å beskytte dataene.

• SCC Sertifiseringer: Hvis SCCs gjelder, vil Shoprocket sertifisere sletting under Klausul 8.1(d) av EU SCCs (eller UK SCCs) på din skriftlige forespørsel.

• Hvis noen lov/regelverk krever at Shoprocket beholder visse data, vil den varsle deg om grunnlaget, tidslinjen, og deretter slette når det ikke lenger er nødvendig.

• Shoprocket sertifiserer sletting innen 30 dager etter fullføring.

---

Opptegnelser

Shoprocket fører detaljerte, nøyaktige, oppdaterte opptegnelser over all behandling av Personopplysninger (f.eks. sikkerhetstiltak, underbehandlere, behandlingsformål, eventuelle internasjonale overføringer). Disse opptegnelsene må la deg verifisere Shoprockets overholdelse. Kopier gis på forespørsel.

---

Garanti

Shoprocket garanterer at:

1. Dets ansatte, underleverandører, eller agenter med tilgang til Personopplysninger er pålitelige, troverdige, og tilstrekkelig opplært.

2. Det vil behandle Personopplysninger i full overensstemmelse med Databeskyttelseslovgivning og relatert lov.

3. Det har ingen grunn til å tro at loven hindrer levering av de avtalte Tjenestene.

4. Med tanke på teknologi og kostnader, vil det ta passende tiltak for å hindre uautorisert behandling eller utilsiktet skade/tap, sikre sikkerhet proporsjonal med risikoen og datanafølsomhet.

---

Utførelse og Endringer

Ved å signere Avtalen, godtar du og er bundet av dette Vedlegget. Shoprocket kan oppdatere dette Vedlegget med 30 dagers skriftlig varsel hvis det er nødvendig av juridiske eller regulatoriske grunner. Hvis du protesterer og ingen gjensidig løsning oppnås, kan du terminere de berørte Tjenestene med skriftlig varsel innen denne perioden (og må betale eventuelle kostnader påløpt). Ingen ytterligere krav oppstår fra slik oppsigelse.

Vedlegg A

Shoprocket Sikkerhetsstandarder

(Kapitaliserte vilkår som ikke er definert her har betydningen tildelt i Vedlegget.)

Dette Vedlegget skisserer Shoprockets tekniske og organisatoriske tiltak for å:

1. Sikre Personopplysninger mot utilsiktet eller ulovlig tap, tilgang, eller avsløring;

2. Identifisere forutsigbare sikkerhetsrisikoer og forhindre uautorisert tilgang til Tjenestene (inkludert din Shoprocket-konto);

3. Minimere sikkerhetsrisikoer via risikovurdering og testing.

Shoprocket utpeker en eller flere ansatte til å overvåke disse informasjonssikkerhetspraksisene og svare på relaterte forespørsel.

---

1. Delt Ansvarsmodell

Shoprocket er en skybasert, SaaS applikasjon vert av:

• Amazon Web Services (AWS) i eu-west-1 regionen (Irland)

• Hetzner Online i Falkenstein, Tyskland

AWS driver hoved Shoprocket plattformen, infrastruktur, og datalagring. Hetzner Online gir ekstra dedikert serverplass for bilder, digitale nedlastinger, logger, og fakturaer. Under denne modellen:

• Shoprocket administrerer applikasjonsnivå sikkerhet (f.eks. bruker tilgang, applikasjonsoppdateringer).

• AWS / Hetzner administrerer fysisk sikkerhet og det underliggende sky-miljøet.

For mer informasjon om AWS's og Hetzner's sikkerhet, vennligst se deres respektive dokumentasjon.

---

2. AWS og Hetzner Online Servere

AWS

Shoprocket valgte AWS etter nøye vurdering under artiklene 28(3)(c) og 32 av UK GDPR. AWS er sertifisert under en rekke standarder (f.eks. SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) og gir omfattende overholdelsesdokumentasjon. Shoprocket konfigurerer AWS til å lagre Personopplysninger kun i EU/EEA.

Hetzner Online

Hetzner Online, sertifisert under DIN ISO/IEC 27001, gir dedikert serverplass for visse databeslag og logger. Hetzner Onlines datasentre i Nuremberg og Falkenstein er revidert og sertifisert av tredjepart, med implementering av et informasjonssikkerhetsledelsessystem (ISMS).

---

3. Design, Integritet, og Tilgjengelighet av Shoprocket Applikasjonen

• Arkitektur: Bygget med et JavaScript-rammeverk, avhenger Shoprocket-applikasjonen av Amazons relasjonsdatabase-tjeneste (Amazon RDS) for MySQL.

• Høy ytelse og redundans: AWS håndterer automatisk lastbalansering, og Shoprocket opprettholder daglige sikkerhetskopier på Amazon S3. Sikkerhetskopier lagres i forskjellige AWS-regioner for motstandskraft. I tillegg lagres sikkerhetskopier på Hetzner Onlines dedikerte servere (med RAID-1 disk systemer).

• Sikkerhet ved design: Shoprocket sjekker regelmessig for kjente nettverksvulnérabiliteter (f.eks. OWASP Top Ten) og implementerer XSS-beskyttelse og rensing. En spesialist tredjepart tester årlig koden og infrastrukturen for sårbarheter, supplert av en tredjepart sårbarhetsskanningstjeneste.

---

4. Kryptering

• Ved hvile: Personopplysninger på AWS/Hetzner er kryptert med AES-256 eller høyere.

• Nøkkelhåndtering: AWS Key Management Service (KMS) sørger for at ingen (inkludert AWS-ansatte) kan få tilgang til klartekstnøkler; nøkler roterer årlig. Hetzner implementerer full disk AES-256-kryptering pluss obligatorisk autentisering.

• Under transport: Alle eksterne dataoverføringer bruker TLS 1.2+. API-er og nettgrensesnitt krever HTTPS (ingen ukrypterte tilkoblinger).

---

5. Begrensning av serverlokasjoner til EEA/EU

Shoprocket lagrer data utelukkende i EEA (AWS i Irland, Hetzner i Tyskland), og minimerer risikoer knyttet til ikke-EEA dataoverføringer (f.eks. overholdelse av Schrems II beslutningen).

---

6. Tilgjengelighetssoner

Shoprockets front-end/bak-end systemer er redundant fordelt på flere tilgjengelighetssoner (både AWS og Hetzner). Hver sone har flere ISP-er, strømkilder, og høyhastighetsforbindelser, noe som sikrer høy tilgjengelighet og optimal ytelse.

---

7. Inbruddsdeteksjon

Shoprocket bruker et Inbruddsdeteksjonssystem (IDS) for å overvåke:

• Loggfiler for uvanlige oppføringer,

• Filintegritetsendringer,

• Nettverkstrafikk (forfalskning, kjente utnyttelser, rootkits),

• Portendringer, og

• AWS-konto hendelser (f.eks. endringer i konfigurasjon).

Kritiske anomalier utløser automatiske forebyggende tiltak. IDS støtter også PCI DSS 3.0 krav.

---

8. Logging / Revisjonslogg

Shoprocket logger:

• Systemhendelser,

• Feil,

• Brukeraktivitet,

• Database pålogginger/forespørsel,

• Andre sikkerhetsrelaterte hendelser.

Ved å bruke AWS CloudTrail logger Shoprocket alle hendelser i sine skyløsninger for å sikre transparens og forensikk.

---

9. Overvåking

Shoprocket benytter seg av flere overvåkingsverktøy for å sikre tilgjengelighet og ytelse, og sporer:

• Tilgjengelighet: Applikasjonens tilgjengelighet, backend/systemhelse;

• Ressurser: CPU, nettverksgrensesnitt, lagringsbruk;

• Ytelse: Applikasjons-/database responstider;

• Sikkerhet: IDS-status, system oppdateringer, feil/tilgangslogger.

Shoprocket-ansatte overvåker også sikkerhetsoppdateringer, sårbarhetsrapporter, og relevante sikkerhetsblogger (som OWASP).

---

10. Sikkerhetsrevisjoner og penetrasjonstester

Shoprocket gjennomfører interne og eksterne sikkerhetstester jevnlig. Eksterne leverandører sjekker for sårbarheter, mens interne revisjoner vurderer tekniske og organisatoriske tiltak for effektivitet.

---

11. Endringsledelse

Shoprocket opprettholder versjonskontrollerte arkiver for kodeendringer, med et staging-miljø som speiler produksjon. Endringer testes før distribusjon, og sikrer sporbarhet av tid/innhold.

---

12. Tilgangskontroll

• Need-to-Know prinsipp: Bare ansatte hvis roller krever systemtilgang, får det.

• IAM-systemer: Tilgangskontroll bruker AWS/Hetzner identitetsstyring.

• Sikkerhet: Backend-systemer er kun tilgjengelige via sikre, autentiserte tilkoblinger. Et svært begrenset antall personale har direkte tilgang til data for diagnostiske formål; slik tilgang loggføres og overvåkes.

Vedlegg B

Grenseoverskridende overføringer

DEL 1 - ex-EEA Overføringer

1. Vedlegg I.A av de Standardkontraktuelle Klausulene (SCCs)

   • Dataeksportør: Du (i henhold til Avtalen).

     • Kontaktopplysninger: Som i Avtalen.

     • Rolle: Dataansvarlig.

     • Modul én: Dataimportøren er en Dataansvarlig (for Kunde Kontodata & Kunde Bruksdata).

     • Modul to: Dataimportøren er en Databehandler (for alle andre Personopplysninger).

     • Signatur/Dato: Ved å inngå Avtalen & DPA, anses Dataeksportøren å ha signert SCC-ene fra og med ikrafttredelsesdatoen.

   • Dataimportør: Shoprocket.

     • Kontaktopplysninger: Som i Avtalen.

     • Signatur/Dato: Ved å inngå Avtalen & DPA, anses Dataimportøren å ha signert SCC-ene fra og med ikrafttredelsesdatoen.

2. Vedlegg I.B av SCC-ene

   • Datasubjekter: Beskrevet i Vedleggs klausul 4.6.

   • Personopplysninger kategorier: Beskrevet i Vedleggs klausul 4.5.

   • Ingen Spesiell Kategoridata er ment for overføring.

   • Frekvens: Kontinuerlig basis for Avtalens varighet.

   • Natur: Se Vedleggs klausul 4.4.

   • Formål: Se Vedleggs klausul 4.3.

   • Bevaring: Varigheten av Avtalen med mindre annet er oppgitt.

   • Underbehandleroverføringer: Emne, natur, og varighet per Vedleggs klausul 9.

3. Vedlegg I.C av SCC-ene

   • Kompetent Tilsynsmyndighet: Som i klausul 10(e) av Vedlegget.

   • Shoprocket Sikkerhetsstandarder (Vedlegg A) oppfyller Vedlegg II SCCs krav.

4. Konflikt

   • Dersom det oppstår en konflikt mellom SCC-ene og DPA eller Avtalen, har SCC-ene forrang.

---

DEL 2 - ex-UK Overføringer

1. IDTA Vedlegget gjelder for ex-UK Overføringer, gyldig fra 21. mars 2022.

2. Vilkår som ikke er definert i Avtalen eller DPA følger betydningen i DEL 2 av Vedlegg 2 (Obligatoriske Klausuler).

Del 1: Tabeller

Tabell 1 av IDTA Vedlegget

1. Tabell 1

   • Dataeksportør: Du (i henhold til Avtalen).

     • Kontaktopplysninger: Som i Avtalen.

     • Signatur/Dato: Ved å inngå Avtalen & Vedlegg, anses Eksportøren å ha signert IDTA Vedlegget fra og med ikrafttredelsesdatoen.

   • Dataimportør: Shoprocket.

     • Kontaktopplysninger: Som i Avtalen.

     • Signatur/Dato: Ved å inngå Avtalen & DPA, anses Importøren å ha signert IDTA Vedlegget fra og med ikrafttredelsesdatoen.

Tabell 2 av IDTA Vedlegget

1. Godkjente EU SCCs: Klausulene/modulene fra de Godkjente EU SCCene i kraft for dette Vedlegget.

2. Moduler/klausuler brukt:

   • Modul 1 og Modul 2, Klausul 7 og Klausul 11 (alternativ) gjelder ikke, Klausul 9a er Generell Autorisering med en 30-dagers varslingsperiode (Vedlegg klausul 9.2).

   • Ingen kombinasjon av Personopplysninger fra Importøren med Eksportørens data.

Tabell 3 av IDTA Vedlegget

1. Vedlegg I.A

   • Dataeksportør: Du (ansvarlig).

   • Dataimportør: Shoprocket (ansvarlig for Kunde Kontodata/Bruksdata; databehandler for andre Personopplysninger).

   • Signatur/Dato: Ansatt signert ved inngangen til Avtalen & DPA.

2. Vedlegg I.B

   • Datasubjekter, datakategorier, fravær av Spesiell Kategoridata, kontinuerlige overføringer, natur/formål med behandling, og bevaring samsvarer med klausulene 4.4, 4.3, 4.5, 4.6 av Vedlegget.

   • Underbehandlerinformasjon per Vedleggs klausul 9.

   • Vedlegg III (liste over Underbehandlere) gjelder ikke, ettersom Shoprocket bruker generell autorisasjon.

Tabell 4 av IDTA Vedlegget

1. Importøren kan avslutte dette IDTA Vedlegget under klausul 26 av dette IDTA Vedlegget.

Del 2: Obligatoriske Klausuler

1. Hver Part er bundet av disse IDTA Vedleggets vilkår i bytte for den andre Partens avtale, som muliggjør datasubjekter å håndheve rettigheter som angitt.

2. Inngåelse av dette IDTA Vedlegget tilsvarer signering av de Godkjente EU SCC-ene (inkludert eventuelle nødvendige signaturer per Vedlegg 1A/Klausul 7).

Tolkning

1. Beggene fra de Godkjente EU SCC-ene bærer samme betydning her; tilleggs relevante termer (f.eks. "Vedlegg EU SCCs," "Godkjent Vedlegg," "UK Databeskyttelseslover") er definert innen dette IDTA Vedlegget.

2. Dette IDTA Vedlegget må tolkes i samsvar med UK Databeskyttelseslover og må møte "Passende Sikkerhetsforanstaltninger."

3. Enhver endring til de Godkjente EU SCC-ene som ikke tillates under dem eller det Godkjente Vedlegget er ugyldig. Motstridende bestemmelser tilbakestilles til de uendrede SCC vilkårene.

4. Hvis det er en konflikt med UK Databeskyttelseslover, gjelder sistnevnte.

5. Enhver tvetydighet blir løst for best å justere med UK Databeskyttelseslover.

6. Henvisninger til lovgivning inkluderer eventuelle reviderte eller konsoliderte versjoner.

Hierarki

1. Klausul 5 av de Godkjente EU SCC-ene sier at de har forrang over andre avtaler, men for Begrensede Overføringer, gjelder hierarkiet i Seksjon 17 nedenfor.

2. Hvis inkonsistent eller konflikt med de Godkjente EU SCC-ene, overstyrer de Godkjente Vedleggene unntatt der SCC-ene gir større beskyttelse til datasubjekter, i hvilket tilfelle SCC vilkårene overstyrer.

3. Ingenting her påvirker noen SCC-er partene bruker for EU GDPR overholdelse.

Inkorporering og Endringer til EU SCC-ene

1. IDTA Vedlegget inkorporerer de Godkjente EU SCC-ene med nødvendige modifikasjoner slik at de fungerer for UK-relaterte overføringer, overstyrer Hierarkiet av Klausul 5, og sikrer at de styres av Engelsk lov/retter (med mindre annet velges for Skottland eller Nord-Irland).

2. Hvis ingen spesifikk alternativ er avtalt, gjelder Seksjon 22.

3. Ingen ytterligere endringer til de Godkjente EU SCC-ene tillates utover det som er nødvendig i Seksjon 19.

4. Endringer til de Godkjente EU SCC-ene inkluderer avklaringer angående henvisninger til UK Databeskyttelseslover, og erstatter referanser til forordning (EU) 2016/679 med "UK Databeskyttelseslover," fjerner referanser til forordning (EU) 2018/1725, justerer Klausul 17/18 til Engelsk lov/retter, osv. Fotnoter utgjør ikke en del av IDTA bortsett fra fotnoter 8, 9, 10, 11.

Endringer til dette IDTA

1. Partene kan endre Klausulene 17 eller 18 for å referere til skotske eller nordirske domstoler.

2. Partene kan også justere tabellformatering ved gjensidig skriftlig avtale, og sikre at samme beskyttelsesnivå blir opprettholdt.

3. ICO kan utstede et revidert Godkjent Vedlegg fra tid til annen, som automatisk endrer dette IDTA Vedlegget fra ikrafttredelsesdatoen, noe som kan kreve en vurdering av partene.

4. Hvis ICOs endringer betydelig og uforholdsmessig øker en parts kostnader eller risiko, og ingen reduksjon av de kostnadene/risikoene er gjennomførbart, kan den parten avslutte dette IDTA med rimelig varsel til den andre før det reviderte Vedlegget trer i kraft.

5. Ingen tredjeparts samtykke kreves for endringer, men endringer må oppfylle betingelsene i dette IDTA Vedlegget.