1. AFTALEINDGÅELSE
1.1. Denne hjemmeside ejes og drives af Visma Plandisc A/S, Søren Frichs Vej 44D, DK-8230 Åbyhøj, Danmark, CVR 37204854 (herefter “Plandisc”).
1.2. Nærværende betingelser for brug (herefter “Betingelser”) accepteres ved at afkrydse “Jeg har læst og accepterer betingelser for brug” på bestillingsformularen, ved at anvende applikationen eller services eller ved på anden måde at tilkendegive accept heraf, og gælder mellem Plandisc og kunden (herefter “Kunden”). Hvis Kunden er en juridisk person accepteres disse vilkår på vegne af Kunden.
2. DRIFTSSTABILITET
2.1. Plandisc tilstræber højst mulig driftsstabilitet, men er uden ansvar for nedbrud eller driftsforstyrrelser, herunder for driftsforstyrrelser forårsaget af faktorer uden for Plandisc kontrol. Herved forstås bl.a. strømsvigt, fejl på udstyr, internetforbindelser, telekommunikationsforbindelser eller lignende. Plandisc leveres, som den er og forefindes, og Plandisc fraskriver sig enhver garanti, tilsikring, indeståelse, anprisning eller andre vilkår, uanset direkte eller indirekte.
2.2. I tilfælde af nedbrud eller forstyrrelser tilstræber Plandisc at genskabe normal drift hurtigst muligt.
2.3. Planlagte afbrydelser vil fortrinsvis blive placeret i tidsrummet kl. 21.00-06.00 CET. Skulle det blive nødvendigt at afbryde adgangen til Plandisc uden for det anførte tidsrum, vil dette blive varslet forinden i muligt omfang.
3. IMMATERIELLE RETTIGHEDER
3.1. Programmet og information, der afgives fra Plandisc, undtagen Kundens data, er beskyttet af ophavsret og andre immaterielle rettigheder og tilhører eller er licenseret til Visma Plandisc A/S.
3.2. Der sker ingen overdragelse af immaterielle rettigheder til Kunden.
4. PLANDISC ANSVAR
4.1. Plandisc fraskriver sig ethvert ansvar i relation til disse Vilkår, services eller brug af programmet, uanset om dette opstår i kontrakt eller udenfor kontrakt, herunder for driftstab, følgeskader eller andre indirekte tab, tab af data, tab begrundet i produktansvar eller tab, der er opstået som følge af simpel uagtsomhed.
4.2. Uanset typen af tab eller ansvarsgrundlaget er Plandiscs samlede ansvar beløbsmæssigt begrænset til Kundens betaling i 12 måneder før det ansvarspådragende forholds indtræden.
4.3. Kunden accepterer at skadesløsholde Visma Plandisc A/S mod ethvert krav eller tab, der skyldes produktansvar, tab hos tredjeparter eller ansvar for tredjeparter, i det omfang det hidrører fra Kundens brug af programmet.
5. KUNDENS BRUG OG FORPLIGTELSER
5.1. Kunden får adgang til Plandisc afhængig af omfanget af det valgte abonnement.
5.2. Adgangen er personlig og gælder udelukkende Kunden. Programmet må ikke benyttes af andre end Kunden, og hver person, der arbejder med Plandisc, skal have sin egen personlige konto.
5.3. Kunden skal sikre, at programmet ikke bliver anvendt på en måde, som kan skade Plandisc navn, omdømme eller goodwill, eller som er i strid med relevant lovgivning eller anden regulering.
5.4. Hvis Kunden indfører persondata (fx navne, kontaktoplysninger) i Plandisc programmet, har Kunden det fulde ansvar for, at dette lovligt kan ske. Plandisc opfordrer til, at anvendelsen af de særlige kategorier af personoplysninger (følsomme personoplysninger) ikke forekommer eller begrænses mest muligt.
DATABEHANDLERAFTALE
1.0. Introduktion og baggrund
1.1. Begge Parter bekræfter, at undertegnede har fuldmagt til at indgå denne databehandlingsaftale (“Aftalen”). Nærværende Aftale indgår i og regulerer bestemmelserne om behandling af persondata, som følger af de mellem parterne indgåede serviceaftaler (“Serviceaftaler”):
- Aftale om Plandisc af dato DD-MM-YYYY
1.2. Hvis den Dataansvarlige ændrer kontaktperson(er) nævnt i tabellen ovenfor, skal Databehandleren oplyses skriftligt herom.
- Definitioner
2.1. Persondata, Særlige kategorier af persondata (Følsomme persondata), Behandling af persondata, den Registrerede, den Dataansvarlige og Databehandler skal have den betydning, som følger af gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen (EU) 2016/679 (GDPR) af den 27. april 2016.
- Baggrund
3.1. Aftalen vedrører Databehandlers behandling af personoplysninger på vegne af den Dataansvarlige og beskriver, hvordan Databehandler skal bidrage til at sikre beskyttelse af personoplysninger på vegne af den Dataansvarlige og dennes Registrerede ved hjælp af tekniske og organisatoriske foranstaltninger i henhold til gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen.
3.2. Formålet med Databehandlers behandling af personoplysninger på vegne af den Dataansvarlige er at opfylde Serviceaftalerne.
3.3. Denne Aftale har forrang for eventuelle modstridende bestemmelser om Behandling af personoplysninger i Serviceaftalerne eller andre mellem Parterne indgåede aftaler eller skriftlig kommunikation mellem Parterne. Denne Aftale gælder, så længe som aftalt i Bilag A.
- Databehandlers rettigheder og forpligtelser
4.1. Databehandler forpligter sig til alene at behandle personoplysninger på vegne af og på baggrund af skrevne instrukser fra den Dataansvarlige. Ved indgåelse af denne Aftale giver den Dataansvarlige instrukser til Databehandler om, at behandling af personoplysninger skal ske på følgende måde: i) alene i overensstemmelse med gældende lovgivning, ii) for at opfylde alle forpligtelser i henhold til bestemmelserne i Serviceaftalen, iii) som nærmere angivet via den Dataansvarliges almindelige brug af Databehandlers tjenester, og iv) som angivet i denne Aftale.
4.2. Databehandler har ingen grund til at tro, at gældende lovgivning forhindrer Databehandler i at opfylde ovennævnte instrukser. Databehandler skal, hvis Databehandler bliver bekendt dermed, give den Dataansvarlige meddelelse om instrukser eller andre behandlingsrelaterede forhold fra den Dataansvarliges side, som efter Databehandlers mening er i strid med gældende lovgivning om behandling af personoplysninger.
4.3. Kategorier af Registreredes og personoplysninger, der er underlagt behandling i henhold til denne Aftale, fremgår af Bilag A.
4.4. Databehandler skal sikre, at personoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til gældende lovgivning om behandling af personoplysninger. Databehandler skal indføre systematiske, organisatoriske og tekniske foranstaltninger til sikring af et passende sikkerhedsniveau under hensyntagen til teknologien og omkostningerne til indførelse i forhold til de risici som behandlingen indebærer, samt arten af de personoplysninger der skal beskyttes.
4.5. Databehandler skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt og under hensyntagen til arten af behandlingen og de oplysninger der er til rådighed for Databehandler, for opfyldelse af den Dataansvarliges forpligtelser i henhold til gældende lovgivning om behandling af personoplysninger til at svare på anmodninger fra Registrerede og om generel udøvelse af Registreredes rettigheder i henhold til Databeskyttelsesforordningens Artikel 32 til 36.
4.6. Hvis den Dataansvarlige anmoder om oplysninger om sikkerhedsforanstaltninger, dokumentation eller andre former for oplysninger omkring, hvordan Databehandler behandler personoplysninger, og sådanne overskrider de standardoplysninger som Databehandler har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger som Databehandler, er Databehandler berettiget til at opkræve den Dataansvarlige betaling for sådan anmodet ekstra arbejde.
4.7. Databehandler og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Personoplysninger i henhold til Aftalen. Denne bestemmelse gælder også efter Aftalens ophør.
4.8. Databehandleren skal sikre, at personer, der har ret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.9. Databehandler giver, uden unødig forsinkelse, meddelelse til den Dataansvarlige om hændelser som den Dataansvarlige i henhold til lovgivningen er forpligtet til at meddele til Datatilsynet eller Registrerede.
Desuden giver Databehandler i det omfang det er hensigtsmæssigt og lovligt den Dataansvarlige meddelelse om:
- i) anmodninger om videregivelse af personoplysninger modtaget fra en Registreret.
- ii) anmodninger om videregivelse af personoplysninger fra offentlige myndigheder, såsom politiet.
4.10. Databehandler besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige. Databehandler videregiver ikke oplysninger personoplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag.
4.11. Databehandler har ikke ejerskab over eller kontrol med hvorvidt eller hvordan den Dataansvarlige vælger at benytte sig af eventuelle tredjeparts integrationer via Databehandler API, via direkte tilslutning til database eller lignende. Ansvaret for sådanne integrationer med tredjepart påhviler udelukkende den Dataansvarlige.
4.12. Databehandler kan behandle personoplysninger om brugeres og Dataansvarliges brug af tjenesten, når det er nødvendigt for at få feedback og forbedre tjenesten. Den Dataansvarlige giver Databehandleren ret til at bruge og analysere aggregerede systemaktivitetsdata forbundet med brugen af tjenesterne med det formål at optimere eller forbedre den måde Databehandleren leverer tjenesterne og for at sætte Databehandler i stand til at skabe nye funktioner og funktionalitet i forbindelse med tjenesterne. Visma skal betragtes som den Dataansvarlige for en sådan behandling, og behandlingen er derfor ikke underlagt denne Aftale.
4.13. Ved brug af tjenesterne vil den Dataansvarlige tilføje data til Softwaren (“kundedata”). Den Dataansvarlige anerkender og gør ikke indsigelse mod, at Databehandleren bruger kundedata i et aggregeret og anonymiseret format til at forbedre de tjenester, der leveres til kunder, forskning, træning, uddannelse og/eller statistiske formål.
- Den Dataansvarliges rettigheder og forpligtelser
5.1. Den Dataansvarlige bekræfter ved underskrivelsen af denne Aftale, at:
- Den Dataansvarlige har ret til at behandle og videregive de pågældende personoplysninger til Databehandler (herunder alle underdatabehandlere, som benyttes af Databehandler).
- Den Dataansvarlige har alene ansvaret for at sikre nøjagtigheden, integriteten, indholdet, pålideligheden og lovligheden af de personoplysninger, der videregives til Databehandler.
- Den Dataansvarlige har opfyldt alle obligatoriske krav og forpligtelser til at give oplysninger, meddelelse til eller indhente tilladelse fra de relevante tilsynsmyndigheder eller Registrerede i forbindelse med behandling af Personoplysningerne.
- Den Dataansvarlige er ved brug af de tjenester, som Databehandler stiller til rådighed i henhold til Serviceaftalen, forpligtet til ikke at videregive Følsomme persondata, medmindre dette udtrykkeligt er aftalt i Bilag A til nærværende Aftale.
- Brug af underdatabehandlere og overførsel af data
6.1. Som en del af leveringen af tjenester til den Dataansvarlige i henhold til Serviceaftalerne og denne Aftale har Databehandler generelt ret til at gøre brug af underdatabehandlere. Disse underdatabehandlere kan være andre selskaber i Visma-koncernen eller eksterne tredjepartsleverandører. Databehandler skal sikre, at underdatabehandlere pålægges de samme forpligtelser, som fastsat i denne Aftale.
6.2. En oversigt over underleverandører med adgang til personlige oplysninger findes på Visma Trust Center med besøgsadresse: https://www.visma.com/trust-centre/product-search/ . Databehandleren kan involvere andre EU/EEA lokaliserede selskaber i Visma Group som underleverandører uden, at selskabet Visma skal være listet i Trust Center og uden forudgående godkendelse eller meddelelse til den Dataansvarlige. Det er sædvanligt med henblik på udvikling, support, drift osv. Derudover kan den Dataansvarlige kontakte Databehandler for mere detaljerede oplysninger om underleverandører.
6.3. Hvis underdatabehandlerne befinder sig uden for EU, giver den Dataansvarlige samtykke til, at Databehandler sikrer korrekt juridisk grundlag for overførsel af personoplysninger uden for EU på vegne af den Dataansvarlige, herunder ved indgåelse af EU-Kommissionens Standardkontrakter (SCCs).
6.4. Den Dataansvarlige skal på forhånd underrettes om eventuel udskiftning af underdatabehandlere, som behandler personoplysninger. Såfremt den Dataansvarlige har indsigelser mod nye underdatabehandlere inden for 30 dage efter en meddelelse er givet herom, skal Databehandleren og den Dataansvarlige fremskaffe og gennemgå information og dokumentation om underdatabehandleren som påviser dens efterlevelse af Databeskyttelsesforordningen. Hvis Databehandleren fortsat gør indsigelse og har rimelig grund hertil, vil den Dataansvarlige, efter eget skøn, enten ikke anvende den omtvistede underdatabehandler, eller lade Kunden opsige den berørte Serviceaftale i overensstemmelse med ophørsbestemmelserne i Aftalen.
- Sikkerhed
7.1. Databehandler er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Databehandler yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i henhold til kravene til informationssikkerhedsforanstaltninger, som fremgår af Databeskyttelsesforordningens Artikel 32.
7.2. Serviceaftalen sætter foranstaltningerne eller andre datasikkerhedsprocedurer som Databehandleren implementerer i Behandlingen af Personoplysninger. Den Dataansvarlige skal være ansvarlig for den passende og tilstrækkelige sikkerhed for udstyret og it-miljøet under dennes ansvar.
- Kontrol
8.1. Den Dataansvarlige kan foretage kontrol for at påse, at Databehandler overholder denne Aftale, op til 1 gang om året. Hvis det er et lovkrav gældende for den Dataansvarlige, kan den Dataansvarlige anmode om hyppigere kontrol.
For at anmode om at foretage en kontrol skal den Dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til Databehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Hvis tredjeparter skal foretage kontrollen, skal det som hovedregel aftales mellem Parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den Dataansvarlige Databehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepart efter Databehandlers valg.
8.2. Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport, varetaget af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Databehandler bekræfter, at der ikke er foretaget nogle væsentlige ændringer i de kontrollerede foranstaltninger, bekræfter den Dataansvarlige, at sådanne resultater accepteres i stedet for at anmode om en ny kontrol af de foranstaltninger, der er omfattet af rapporten.
8.3. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af Databehandlers politikker, og må ikke på urimelig måde gribe forstyrrende ind i Databehandlers forretningsdrift.
8.4. Den Dataansvarlige afholder alle omkostninger i forbindelse med den Dataansvarliges anmodede kontroller. Bistand fra Databehandler, som overstiger den standardydelse, som Databehandler eller Visma-koncernen stiller til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger, vil blive pålagt et gebyr.
- Varighed og ophør
9.1. Denne Aftale er gældende så længe Databehandler behandler personoplysninger på vegne af den Dataansvarlige i henhold til Serviceaftalerne eller som andet er aftalt i Bilag A.
9.2. Aftalen ophører automatisk ved opsigelse af Serviceaftalen. Ved denne Aftales ophør sletter eller returnerer Databehandler, de på vegne af den Dataansvarlige behandlede personoplysninger i henhold til de gældende bestemmelser i Serviceaftalen. Denne sletning bliver foretaget så snart det er praktisk muligt, medmindre gældende Love kræver yderligere opbevaring. Medmindre andet er skriftligt aftalt, tager omkostninger til sådanne foranstaltninger udgangspunkt i: i) timetakst for den tid Databehandler har brugt, og ii) sværhedsgraden af den anmodede behandling.
- Ændringer og tilføjelser
10.1. Ændringer til Aftalen skal udfærdiges i et nyt tillæg til denne Aftale og underskrives af begge Parter for at være gyldige.
10.2. Hvis nogen bestemmelse i denne Aftale bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der afspejler formålet med den ugyldige bestemmelse.
- Ansvar
11.1. Begge Parter har et individuelt ansvar og skal holdes selvstændig ansvarlig for at betale alle administrative bøder og erstatning direkte til Registrerede som pålægges den respektive Part af myndighederne eller domstol i henhold til GDPR. Ansvaret mellem parterne reguleres af Serviceaftalen.
- Lovvalg og værneting
12.1. Denne Aftale er underlagt gældende ret og værneting, som anført i den mellem parterne indgåede Serviceaftale.
Bilag A – Registrerede, Typer af personoplysninger, Formål
A.1 Kategorier af registrerede
- Kundens slutbrugere
A.2 Kategorier af personoplysninger
- Almindelige personoplysninger såsom navn, telefonnummer, e-mail, IP adresse
A.3 Særlige kategorier af personoplysninger (følsomme personoplysninger)
- Ingen
A.4 Behandlingens formål
Behandlingen af den dataansvarliges personoplysninger sker med det formål at opfylde den indgåede aftale mellem databehandleren og den dataansvarlige om databehandlerens levering af dennes digital løsning.
A.5 Behandlings art
Som ejer og leverandør af den digitale løsning behandler databehandleren personoplysninger ved sædvanlig drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukturering, tilpasning, implementering, søgning, processering, lagring, gendannelse, sletning, vedligeholdelse, udvikling, logning, support, fejlfinding og andre it-ydelser forbundet med databehandlerens levering af den digitale løsning til den dataansvarlige i henhold til aftalen indgået mellem parterne.
A.6 Behandlingens varighed
Behandlingen er ikke tidsbegrænset og varer indtil aftalen mellem parterne om levering af databehandlerens digitale løsning til den dataansvarlige opsiges eller ophæves af parterne.