1. INNGÅELSE AV AVTALE
1.1. Denne hjemmesiden eies og drives av Visma Plandisc A/S, Søren Frichs Vej 44D, DK-8230 Åbyhøj, Danmark, CVR No 37204854, (heretter “Plandisc”).
1.2. Disse vilkårene for bruk (heretter “vilkårene”) godtas ved å krysse av for “Jeg har lest og godtar vilkårene for bruk” på bestillingsformularet, ved å bruke applikasjonen eller tjenestene, eller ved på annen måte å tilkjennegi aksept av dem, og gjelder mellom Plandisc og kunden (heretter “kunden”). Hvis kunden er en juridisk person, godtas disse vilkårene på vegne av kunden.
2. DRIFTSSTABILITET
2.1. Plandisc tilstreber høyest mulig driftsstabilitet, men er uten ansvar for nedetider eller driftsforstyrrelser, inkludert for driftsforstyrrelser forårsaket av faktorer utenfor Plandiscs kontroll. Med dette forstås bl.a. strømbrudd, feil på utstyr, internettforbindelser, telekommunikasjonsforbindelser eller lignende. Plandisc leveres slik den er og foreligger, og Plandisc fraskriver seg all garanti og enhver forsikring, erstatning, krav eller andre vilkår, både direkte og indirekte.
2.2. Ved nedetid eller forstyrrelser tilstreber Plandisc å gjenopprette normal drift så raskt som mulig.
2.3. Planlagte avbrudd vil fortrinnsvis finne sted i tidsrommet kl. 21.00-06.00 CET. Dersom det skulle bli nødvendig å avbryte tilgangen til Plandisc utenom det anførte tidsrommet, vil dette bli varslet på forhånd i den grad det er mulig.
3. IMMATERIELLE RETTIGHETER
3.1. Programmet og informasjonen som avgis fra Plandisc, unntatt kundens data, er beskyttet av opphavsrett og andre immaterielle rettigheter, og tilhører eller er lisensiert til Visma Plandisc.
3.2. Ingen immaterielle rettigheter avgis til kunden.
4. PLANDISC ANSVAR
4.1. Plandisc fraskriver seg ethvert ansvar med hensyn til disse vilkårene, tjenestene eller bruken av programmet, uansett om dette finner sted i kontrakt eller utenfor kontrakt, herunder for driftstap, følgeskader eller andre indirekte tap, tap av data, tap begrunnet i produktansvar eller tap som er oppstått som følge av simpel uaktsomhet.
4.2. Uansett type tap eller ansvarsgrunnlag er Plandiscs samlede ansvar beløpsmessig begrenset til kundens betaling i 12 måneder før det ansvarsforpliktende forholdet fant sted.
4.3. Kunden godtar å holde Visma Plandisc skadesløs mot ethvert krav eller tap som skyldes produktansvar, tap hos tredjeparter eller ansvar for tredjepart i det omfang det skyldes kundens bruk av programmet.
5. KUNDENS BRUK OG FORPLIKTELSER
5.1. Kunden får tilgang til Plandisc avhengig av omfanget av abonnementet som er valgt.
5.2. Adgangen er personlig og gjelder utelukkende kunden. Programmet skal ikke brukes av andre enn kunden, og hver person som jobber med Plandisc skal ha sin egen personlige konto.
5.3. Kunden skal sikre at programmet ikke blir brukt på en måte som kan skade Plandiscs navn, omdømme eller goodwill, eller som er i strid med relevant lovgivning eller annen regulering.
5.4. Dersom kunden legger inn personinformasjon (f.eks. navn, kontaktinformasjon) i Plandisc-programmet, har kunden det fulle ansvaret for lovligheten av dette. Plandisc oppfordrer til at bruk av de spesielle personopplysningskategoriene (følsomme personopplysninger) ikke forekommer eller begrenses mest mulig.
Databehandleravtale
Innledning
1.1. Partene bekrefter herved at de har nødvendige fullmakter til å inngå denne databehandleravtalen (Databehandleravtalen). Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til avtaler om levering av tjenester (Tjenesteavtale) mellom partene:
- Avtale om Plandisc fra dato DD-MM-YYYY
1.2. Dersom Behandlingsansvarlig endrer kontaktpersonen(e) nevnt i tabellen ovenfor må Databehandler informeres om dette skriftlig.
- Definisjoner
2.1. Definisjonene av personopplysning, særlige kategorier av personopplysning, behandling av personopplysning, den registrerte, behandlingsansvarlig og databehandler skal forstås slik de brukes og tolkes i henhold til gjeldende personvernlovgivning, inkludert lov om behandling av personopplysninger av 15. juni 2018 nr. 38 og personvernforordningen Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR) av 27. april 2016.
- Formål
3.1. Databehandleravtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig, og beskriver hvordan Databehandleren gjennom tekniske og organisatoriske virkemidler skal bidra til å sikre den registrertes rettigheter på vegne av Behandlingsansvarlig.
3.2. Formålet med Databehandlerens behandling av personopplysninger er å oppfylle formålet listet i Vedlegg A.
3.3 Ved eventuell motstrid mellom bestemmelser om behandling av personopplysninger har Databehandleravtalen forrang over Tjenesteavtale eller tidligere avtaler eller skriftlig kommunikasjon mellom Partene. Databehandleravtalen er gjeldende for perioden som er avtalt i Vedlegg A.
- Databehandlerens rettigheter og plikter
4.1 Databehandler skal bare behandle personopplysninger på vegne av og i henhold til skriftlige instruksjoner fra Behandlingsansvarlig. Ved å inngå denne Databehandleravtalen instruerer Behandlingsansvarlig Databehandler om å behandle personopplysninger på følgende måte: i) bare i henhold til gjeldende lovgivning, ii) for å oppfylle alle plikter i henhold til Tjenesteavtale, iii) som instruert via Behandlingsansvarlig sin bruk av Databehandlers ordinære tjenester og iv) som spesifisert i denne Databehandleravtalen.
4.2 Databehandleren har ved avtaleinngåelsen ingen grunn til å anta at det foreligger regulatoriske hindringer mot å følge instruksjonene fra Behandlingsansvarlig. Dersom Databehandleren ved et senere tidspunkt blir klar over at Behandlingsansvarliges instruksjoner eller behandling av personopplysninger strider mot gjeldende personvernlovgivning, skal Databehandleren melde dette til Behandlingsansvarlig.
4.3 Typen personopplysninger og kategorier av registrerte som er gjenstand for behandling under denne Databehandleravtalen er angitt i Vedlegg A.
4.4 Databehandleren skal sikre konfidensialitet, integritet og tilgjengelighet til personopplysningene i henhold til de regulatoriske krav som gjelder for Databehandleren. Dette inkluderer å implementere systematiske, organisatoriske og tekniske sikkerhetstiltakfor å sikre et tilstrekkelig nivå for sikkerhet. Ved avgjørelsen av hva som er et tilstrekkelig nivå skal hensyn til den teknologiske utviklingen og kostnaden ved implementering av tiltak veies mot risikoen ved behandlingen og typen personopplysninger som behandles.
4.5 Databehandleren skal ved tekniske og organisatoriske sikkerhetstiltak bistå Behandlingsansvarlig med å ivareta Behandlingsansvarliges plikter under GDPR artikkel 32 til 36, samt bistå i arbeidet med å behandle forespørsler fra registrerte i henhold til GDPR kapittel III. Pliktens omfang avgrenses av formen for behandling av personopplysninger og hvilken informasjon som er tilgjengelig for Databehandleren.
4.6 Behandlingsansvarlig kan kreve informasjon om sikkerhetstiltak, dokumentasjon og annen informasjon om hvordan Databehandleren behandler personopplysninger. Dersom Behandlingsansvarlig ber om mer informasjon eller assistanse enn det som Databehandleren tilgjengeliggjør for å oppfylle kravene til rollen som Databehandler i henhold til gjeldende personvernlovgivning, kan Databehandleren kreve betaling for slike eventuelle tilleggstjenester.
4.7 Databehandleren og dens ansatte skal sørge for konfidensialitet ved behandling av personopplysninger som behandles i henhold til denne databehandleravtalen. Denne plikten gjelder også etter at avtalen opphører.
4.8. Databehandler skal sikre at ansatte som skal behandle personopplysninger på vegne av den Behandlingsansvarlige har forpliktet seg til konfidensialitet eller er underlagt en lovbestemt taushetsplikt.
4.9. Databehandleren vil gjennom å varsle Behandlingsansvarlig uten ugrunnet opphold om brudd på personopplysningssikkerheten, muliggjøre etterlevelse av gjeldende personvernlovgivning vedrørende varsling av tilsynsmyndigheter og registrerte.
Videre vil Databehandleren, i den utstrekning det er praktisk mulig og lovlig, varsle Behandlingsansvarlig om;
- i) innsynsbegjæringer fra registrerte,
- ii) innsynsbegjæringer fra offentlige myndigheter
4.10. Databehandleren vil kun besvare forespørsler fra registrerte i den grad Behandlingsansvarlig har gitt tillatelse til det. Databehandleren vil kun varsle Behandlingsansvarlig om innsynsbegjæringer fra offentlige myndigheter i den grad slikt varsel er lovlig, samt kun utlevere informasjon til offentlige myndigheter dersom rettslig pålegg foreligger.
4.11 Databehandleren har ikke eierskap til eller kontroll med hvorvidt og hvordan Behandlingsansvarlig velger å benytte seg av eventuelle tredjeparts integrasjoner via Databehandlers API, via direkte databasekobling eller lignende. Ansvaret for slike integrasjoner med tredjepart påhviler utelukkende Behandlingsansvarlig.
4.12. Databehandler kan behandle personopplysninger om brukere og Behandlingsansvarliges bruk av Tjenesten for å innhente tilbakemeldinger og forbedre tjenesten. Behandlingsansvarlig gir Databehandler rett til å bruke og analysere aggregert aktivitetsdata knyttet til bruken av Tjenesten for formål som optimalisering og forbedring av hvordan Databehandler leverer sine tjenester, samt for å muliggjøre utvikling av nye funksjoner og funksjonalitet knyttet til tjenestene. Visma skal anses som Behandlingsansvarlig for denne behandlingen, og behandlingen er derfor ikke underlagt denne Databehandleravtalen.
4.13. Ved å bruke tjenesten vil Behandlingsansvarlig laste opp data i tjenesten (“Kundedata”). Behandlingsansvarlig er kjent med og motsetter seg ikke at Databehandler kan bruke Kundedata i et aggregert og anonymisert format for å forbedre tjenestene som leveres til kunder, research, opplæring og/eller statistiske formål.
- Behandlingsansvarliges rettigheter og plikter
5.1 Ved å signere Databehandleravtalen bekrefter Behandlingsansvarlig at:
- Behandlingsansvarlig har rett til å behandle personopplysninger og til å gi Databehandleren og dens underdatabehandlere adgang til å behandle personopplysninger.
- Behandlingsansvarlig er ansvarlig for at personopplysningene som overlates til Databehandleren er lovlig innsamlet, korrekte og tilstrekkelige.
- Behandlingsansvarlig er ansvarlig for å gi relevant informasjon til registrerte eller myndigheter vedrørende behandlingen av personopplysninger.
- Særlige kategorier av personopplysninger vil bare bli behandlet som en del av Tjenesteavtalen der dette er uttrykkelig avtalt i Vedlegg A til Databehandleravtalen.
- Bruk av underdatabehandlere og overføring av personopplysninger
6.1 Som en del av leveransen under Tjenesteavtale vil Databehandleren bruke underdatabehandlere og Behandlingsansvarlig gir sitt generelle samtykke til dette. Slike underdatabehandlere kan være andre selskaper i Visma-konsernet eller eksterne tredjeparter. Alle underdatabehandlere er inkludert i Vedlegg B. Databehandleren har plikt til å påse at underdatabehandlere påtar seg tilsvarende forpliktelser som de som følger av denne Databehandleravtalen.
6.2 Oversikt over underdatabehandlere fremgår på Visma Trust Center med besøksadresse: https://www.visma.com/trust-centre/transparency/. Databehandleren kan engasjere andre selskaper i Visma-konsernet lokalisert innenfor EU/EØS som underdatabehandler uten at Visma selskapet listes på Visma Trust Center og uten å varsle Behandlingsansvarlig om dette i forkant. Dette gjelder som regel til formål som utvikling, support, drift etc. Behandlingsansvarlig kan ta kontakt med Databehandler for mer detaljert informasjon om underdatabehandlere.
6.3 Dersom underdatabehandleren er lokalisert utenfor EU/EØS gir Behandlingsansvarlig fullmakt til Databehandleren til å sikre lovlig overføringsgrunnlag for overføringen av personopplysninger ut av EU/EØS på vegne av Behandlingsansvarlig, herunder ved å gjøre bruk av EU standard kontraktsbestemmelser (SCC) .
6.4 Behandlingsansvarlig vil bli varslet før Databehandleren endrer underdatabehandler. Dersom Behandlingsansvarlig kommer med innsigelser mot en underdatabehandler innen 30 dager etter å ha blitt varslet, skal partene tilgjengeliggjøre og gjennomgå informasjon og dokumentasjon om underdatabehandleren som påviser dens etterlevelse av personvernlovgivningen. Dersom Behandlingsansvarlig fremdeles motsetter seg underdatabehandleren og har rimelig grunn til dette, vil ikke Behandlingsansvarlig kunne reservere seg mot bruk av underdatabehandleren (grunnet at tjenesten som leveres er et nettbasert standard software produkt). I slike tilfeller vil Behandlingsansvarlig ha mulighet til å si opp den delen av Tjenesteavtalen der den nye underleverandøren er tenkt brukt.
- Sikkerhet
7.1 Databehandler skal sørge for et høyt sikkerhetsnivå i sine produkter og tjenester. Dette skal skje ved organisatoriske, tekniske og fysiske sikkerhetstiltak, i henhold kravene til informasjonssikkerhet som fremgår av GDPR artikkel 32.
7.2. Tjenesteavtalen angir tiltakene eller andre datasikkerhetsprosedyrer som Databehandleren implementerer i behandlingen av personopplysningene. Behandlingsansvarlig skal være ansvarlig for hensiktsmessig og tilstrekkelig sikkerhet for utstyret og IT-miljøet som er under den Behandlingsansvarliges ansvar.
- Rett til revisjon
8.1 Behandlingsansvarlig kan revidere Databehandler sin etterlevelse av denne Databehandleravtalen inntil en gang i året. Hvis lovgivning som Behandlingsansvarlig er underlagt krever det, kan Behandlingsansvarlig kreve flere revisjoner. For å be om revisjon må Behandlingsansvarlig sende en detaljert revisjonsplan minimum 4 uker i forkant av ønsket revisjonsdato, med oversikt over forslagets omfang, varighet og oppstart. Hvis tredjeparter skal gjennomføre revisjonen, skal dette som hovedregel avtales mellom Partene. Hvis behandling av personopplysninger skjer i et “multitenant” miljø eller lignende, aksepterer Behandlingsansvarlig likevel at revisjonen gjennomføres av en tredjepart utpekt av Databehandler.
8.2 Hvis revisjonensomfang er behandlet i ISAE, ISO eller lignende rapport av kvalifisert tredjepart i løpet av de siste 12 månedene, og Databehandler bekrefter at det ikke finnes kjente endringer fra dette, skal Behandlingsansvarlig akseptere disse rapportene i stedet for å forespørre ny revisjon.
8.3 I alle tilfeller skal revisjon utføres i samråd med virksomhetens ordinære åpningstider, i henhold til virksomhetens retningslinjer og ikke forstyrre den ordinære virksomheten.
8.4 Behandlingsansvarlig er ansvarlig for kostnader forårsaket av sin revisjon. Dersom Behandlingsansvarlige ber om mer assistanse enn den som tilbys av Databehandleren for å oppfylle gjeldende personvernlovgivning, kan Databehandleren kreve betaling for denne tilleggstjenesten.
- Varighet
9.1 Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i henhold til Tjenesteavtale.
9.2 Databehandleravtalen opphører i forbindelse med avslutning av Tjenesteavtale. Ved opphør av Databehandleravtalen, skal Databehandler slette eller returnere personopplysninger som er behandlet på vegne av Behandlingsansvarlig i tråd med Tjenesteavtale. En slik sletting vil skje så snart det er praktisk mulig, med mindre EU lovgivning eller annen lokal lovgivning krever lengre lagringstid. Med mindre annet er avtalt mellom Partene, skal arbeidet forbundet med dette kompenseres basert på; i) kompleksiteten ved forespørselen og ii) betaling for medgått tid.
- Endringer og ugyldighet
10.1 Endringer i Databehandleravtalen skal inkluderes i et eget endringsvedlegg og signeres av begge Parter for å være gyldig.
10.2 Hvis bestemmelser i Databehandleravtalen kjennes ugyldig, skal ikke dette påvirke de øvrige bestemmelsene i Databehandleravtalen. Partene skal erstatte den ugyldige bestemmelsen med en gyldig bestemmelse som reflekterer intensjonen til Partene bak bestemmelsen.
- Mislighold
11.1 Begge parter har et individuelt ansvar etter gjeldende personvernlovgivning i forhold til de personopplysningene de behandler og skal holdes selvstendig ansvarlig for å betale alle bøter og erstatning direkte til registrerte som ilegges den respektive part av myndigheter eller domstoler i henhold til personvernlovgivningen. Ansvaret mellom partene reguleres av Tjenesteavtalen.
- Gjeldende rett og verneting
12.1 Databehandleravtalen er underlagt norsk rett ved norske domstoler med Oslo tingrett som avtalt verneting.
Vedlegg A
Kategorier av registrerte, Kategorier av personopplysninger, Formål,Behandlingens art, Varighet
A.1 Kategorier av registrerte
- kundens sluttbruker
A.2 Kategorier av personopplysninger
- kontaktinformasjon som navn, telefon, adresse, e-postadresse mv.
A.3 Særlige kategorier av personopplysninger (sensitive personopplysninger)
- Ingen
A.4 Behandlingens formål
Behandlingen av den dataasvarliges personopplysninger skjer med sikte på å oppfylle den avtalen som er inngått mellom databehandleren og den dataansvarlige om databehandlerens levering av sin digitale løsning.
A.5 Behandlingens art
Som eier og leverandør av den digitale løsningen behandler databehandleren personopplysninger i normal drift, inkludert hosting, visning, organisering, mottak, videresending, strukturering, tilpasning, implementering, søking, behandling, lagring, gjendannelse, sletting, vedlikehold, utvikling, loggføring, support, feilsøking og andre it-ytelser forbundet med databehandlerens levering av den digitale løsningen til den dataansvarlige i henhold til avtalen inngått mellom partene.
A.6 Behandlingens varighet
Varighet for behandlingen av personopplysninger er så lenge som Tjenesteavtalen er gjeldende.