Användarvillkor + DPA

Användarvillkor

1. INGÅENDE AV AVTAL

1.1. Denna webbplats ägs och drivs av Visma Plandisc A/S, Søren Frichs Vej 44D, DK-8230 Åbyhøj, Danmark, CVR-nr 37204854 (nedan ”Plandisc”).

1.2. Dessa användarvillkor (nedan kallade ”Villkor”) godkänns genom att kryssa för ”Jag har läst och godkänner användarvillkoren” på beställningsformuläret, genom att använda applikationen eller tjänsten eller genom att på annat sätt tillkännage godkännande härav och gäller mellan Plandisc och kunden (nedan kallad ”Kunden”). Om Kunden är en juridisk person accepteras dessa villkor på Kundens vägnar.

2. DRIFTSTABILITET

2.1. Plandisc eftersträvar högsta möjliga driftstabilitet, men är utan ansvar för avbrott eller driftstörningar, inklusive driftstörningar orsakade av faktorer utom Plandiscs kontroll. Sådana faktorer kan vara bl.a. strömavbrott, fel på utrustning, internetanslutning, telekommunikationsförbindelse eller liknande. Plandisc levereras som den är och fungerar och Plandisc frånskriver sig varje garanti, säkerställande, garanti, fordringar eller andra villkor, oavsett om de är direkta eller indirekta.

2.2. I tillfälle av avbrott eller driftstörningar eftersträvar Plandisc att så snabbt som möjligt återgå till normal drift.

2.3. Planlagda avbrott kommer företrädesvis att göras i tidsspannet kl. 21.00–06.00 CET. Skulle det bli nödvändigt att avbryta tillgången till Plandisc utöver de angivna tiderna, kommer detta meddelas i förväg om möjligt.

3. IMMATERIELLA RÄTTIGHETER

3.1. Programmet och information som skapats i Plandisc, Kundens data undantagen, är skyddat av upphovsrätt och andra immateriella rättigheter och tillhör eller är licensierat till Plandisc.

3.2. Det sker ingen överlåtelse av immateriella rättigheter till Kunden.

4. PLANDISCS ANSVAR

4.1. Plandisc frånskriver sig allt ansvar i relation till dessa Villkor, tjänster eller användande av programmet, oavsett om detta uppstår med anknytning till avtalet eller utanför avtalet, inklusive rörelseförlust, följdskador eller andra indirekta förluster, förlust av data, förlust på grund av produktansvar eller förlust som har uppstått till följd av oaktsamhet.

4.2. Oavsett typen av förlust eller rättslig grund för ansvaret är Plandiscs samlade ansvar beloppsmässigt begränsat till Kundens betalning under 12 månader före det ansvarspådragande förhållandets tillträde.

4.3. Kunden accepterar att hålla Plandisc skadeslöst mot eventuella krav eller förluster orsakat av produktansvar, förlust hos tredje part eller ansvar för tredje part, i den utsträckning som följer av Kundens användning av programmet.

5. KUNDENS ANVÄNDNING OCH SKYLDIGHETER

5.1. Kunden får tillgång till Plandisc beroende på omfattningen av det valda abonnemanget.

5.2. Inloggningen är personlig och gäller uteslutande kunden. Programmet skall inte användas av andra än kunden, och varje person som jobbar med Plandisc, skall ha sitt eget personliga konto.

5.3. Kunden ska säkerställa att programmet inte används på ett sätt som kan skada Plandiscs namn, anseende eller goodwill, eller på ett sätt som är i strid med relevant lagstiftning eller annan bestämmelse.

5.4. Om Kunden uppger personuppgifter (t.ex. namn, kontaktuppgifter) i Plandisc-programmet påtar sig Kunden fullt ansvar för att det kan utföras lagligt. Plandisc uppmanar till att användningen av särskilda kategorier av personuppgifter (känsliga personuppgifter) inte förekommer eller att den begränsas i största möjliga utsträckning.

PERSONUPPGIFTSBITRÄDESAVTAL

1.0. Inledning och bakgrund

  • Inledning

1.1 Båda Parterna bekräftar att de undertecknade har fullmakt att ingå detta personuppgiftsbiträdesavtal (”Avtal”). Detta Avtal kommer att ingå i och reglera Behandlingen av Personuppgifter i följande tjänsteavtal (”Tjänsteavtal”) mellan Parterna:

  •  Skriftlig avtale – DD-MM-YYYY

1.2  Om Personuppgiftsansvarig byter kontaktperson(er) som nämns i tabellen ovan, ska Personuppgiftsbiträde informeras om detta skriftligen.

  • Definitioner

2.1 Definitionen av Personuppgifter, Särskilda kategorier av Personuppgifter (Känsliga Personuppgifter), Behandling av Personuppgifter, Registrerad, Personuppgiftsansvarig och Personuppgiftsbiträde är densamma som används i gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen EU 2016/679 (“GDPR”).

  • Omfattning

3.1 Avtalet reglerar Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig och beskriver hur Personuppgiftsbiträdet ska säkerställa dataskydd, genom tekniska och organisatoriska åtgärder enligt gällande dataskyddslagstiftning, inklusive dataskyddsförordningen.

3.2 Syftet med Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig är att uppfylla Tjänsteavtal.

3.3 Detta Avtal har företräde framför eventuella motstridiga bestämmelser om Behandling av Personuppgifter i Tjänsteavtal eller i andra tidigare avtal eller skriftlig kommunikation  mellan Parterna. Detta Avtal är giltigt så länge som överenskommits i Appendix A.

  • Personuppgiftsbiträdets rättigheter och skyldigheter

4.1 Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs skriftliga instruktioner. Genom att ingå detta Avtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Avtal.

4.2 Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning.

4.3 De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Avtal framgår av Bilaga A.

4.4 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas.

4.5 Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den informationen som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36.

4.6 Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information eller bistånd än den standard som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster.

4.7 Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Avtal. Detta villkor gäller även efter att Avtalet upphört att gälla.

4.8 Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig,  göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter.

Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;

  1. i) förfrågningar om utlämnande av Personuppgifter som erhållits från en Registrerad
  2. ii) förfrågningar från myndigheter, exempelvis Polisen, om utlämnande av Personuppgifter

4.9 Personuppgiftsbiträdet får inte svara direkt på förfrågningar från Registrerade utan medgivande från Personuppgiftsansvarig.  Personuppgiftsbiträdet får inte delge innehåll som berörs av detta Avtal eller Tjänsteavtalet till myndigheter som Polisen, inklusive Personuppgifter, med undantag för vad som är lagstadgat, exempelvis genom domstolsbeslut eller liknande beslut.

4.10 Personuppgiftsbiträdet har inte ägarskap till eller kontroll över huruvida och hur  Personuppgiftsansvarig väljer att använda sig av eventuella tredjepartsintegrationer via Personuppgiftsbiträdets API, via direkt databaskoppling eller liknande. Ansvaret för sådana integrationer med tredje part åligger uteslutande Personuppgiftsansvarig.

4.11 Personuppgiftsbiträdet kan komma att Behandla Personuppgifter om användare och Personuppgiftsansvarigs användning av tjänsten när det är nödvändigt för att få feedback och förbättra tjänsten. Personuppgiftsansvarig ger Personuppgiftsbiträdet rätt att använda och analysera aggregerad användningsdata kopplade till Personuppgiftsansvarigs användning av tjänsterna i syfte att optimera, förbättra eller förbättra sättet Personuppgiftsbiträdet tillhandahåller tjänster på och för att göra det möjligt för Personuppgiftsbiträdet att skapa nya funktioner och funktionalitet i samband med tjänsterna. Personuppgiftsbiträdet ska anses personuppgiftsansvarig för sådan behandling och behandlingen omfattas därför inte av detta Avtal.

4.12 Vid användning av tjänsten kommer Personuppgiftsansvarig att lägga till data till programvaran (“Kunddata”). Personuppgiftsansvarig medger och motsätter sig inte att Personuppgiftsbiträdet använder Kunddata i ett aggregerat och anonymiserat format för att förbättra de tjänster som levereras till kunder, forskning, utbildning och/eller statistiska ändamål.

  • Personuppgiftsansvarigs rättigheter och skyldigheter

5.1   Genom att underteckna detta Avtal bekräftar Personuppgiftsansvarig att:

  • Personuppgiftsansvarig har rättslig grund att Behandla och utlämna de aktuella Personuppgifterna till Personuppgiftsbiträdet (inklusive eventuella underbiträden som Personuppgiftsbiträdet använder).
  • Personuppgiftsansvarig är ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de Personuppgifter som lämnats till Personuppgiftsbiträdet.
  • Personuppgiftsansvarig har uppfyllt alla obligatoriska krav och skyldigheter att anmäla hos eller få tillstånd från relevanta myndigheter för Behandlingen av Personuppgifter.
  • Personuppgiftsansvarig har fullgjort sina skyldigheter att tillhandahålla relevant information till Registrerade avseende Behandling av Personuppgifter enligt obligatorisk dataskyddslagstiftning.
  • Vid användning av de tjänster som tillhandahålls av Personuppgiftsbiträdet under Tjänsteavtal får Personuppgiftsansvarig inte överföra några Känsliga Personuppgifter till Personuppgiftsbiträdet utan uttrycklig överenskommelse om detta i Bilaga A till detta Avtal.
  • Användande av underbiträden och överföring av data

6.1 Som en del av leveransen av tjänster till Personuppgiftsansvarig, enligt Tjänsteavtal och detta Avtal, kan Personuppgiftsbiträdet använda sig av underbiträden och Personuppgiftsansvarig lämnar ger ett generellt samtycke till användandet av underbiträden. Sådana underbiträden kan vara andra företag inom Visma-koncernen eller externa underbiträden (tredje part) inom eller utanför EU. Alla underbiträden med åtkomst till Personuppgifter är inkluderade i Bilaga B. Personuppgiftsbiträdet ska säkerställa att underbiträden genom avtal samtycker till att åta sig ansvar som motsvarar de skyldigheter som anges i detta Avtal.

6.2 En översikt över underbiträden med tillgång till Personuppgifter finns på Visma Trust Center med besökadress: https://www.visma.com/trust-centre/product-search/. Personuppgiftsbiträdet får anlita andra företag inom Visma-koncernen som är belägna inom EU/EES, som underbiträden utan att Visma-företaget är listat på Trust Center och utan föregående godkännande eller anmälan till Personuppgiftsansvarig. Detta är vanligtvis för utveckling, support, drift etc.  Personuppgiftsansvarig kan begära mer detaljerad information om underbiträden.

6.3 Om underbiträdena finns utanför EU ger Personuppgiftsansvarig behörighet till Personuppgiftsbiträdet för att säkerställa lämpliga rättsliga grunder för överföring av Personuppgifter utanför EU på Personuppgiftsansvarigs uppdrag, genom att införa EU-standardavtalsklausuler (SCC).

6.4 Personuppgiftsansvarig ska underrättas innan ändringar sker rörande underbiträden som Behandlar Personuppgifter så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. Om Personuppgiftsansvarig gör invändningar mot nytt underbiträde inom 30 dagar från det att meddelande har lämnats, ska Personuppgiftsbiträdet och Personuppgiftsansvarig granska dokumentationen för underbiträdenas efterlevnad av GDPR för att säkerställa uppfyllandet av gällande dataskyddslagstiftning. Om Personuppgiftsansvarig fortfarande motsätter sig och har rimliga skäl för detta, kan Personuppgiftsansvarig inte reservera sig mot användningen av sådant underbiträde (i synnerhet med beaktande av karaktären av online standardprogramvara), men Personuppgiftsansvarig kan säga upp det Tjänsteavtal för vilket det tvistiga underbiträdet används.

  • Säkerhet

7.1   Personuppgiftsbiträdet har åtagit sig att tillhandahålla en hög säkerhetsnivå i sina produkter och tjänster. Personuppgiftsbiträdet tillhandahåller säkerhetsnivån genom organisatoriska, tekniska och fysiska säkerhetsåtgärder, i enlighet med kraven på informationssäkerhet som beskrivs i dataskyddsförordningen artikel 32.

7.2  Tjänsteavtalet anger de åtgärder eller andra datasäkerhetsprocedurer som Personuppgiftsbiträdet implementerar vid Behandlingen av Personuppgifter. Personuppgiftsansvarig ska ansvara för lämplig och adekvat säkerhet för den utrustning och IT-miljö som Personuppgiftsansvarig ansvarar för.

  • Revisionsrättigheter

8.1 Personuppgiftsansvarig har rätt att genomföra årlig revision av Personuppgiftsbiträdets uppfyllande av villkoren i Avtalet. Om lagstiftningen kräver det kan Personuppgiftsansvarig begära revisioner oftare.

För att begära en revision måste Personuppgiftsansvarig lämna in en detaljerad revisionsplan till Personuppgiftsbiträdet minst fyra veckor före det föreslagna revisionsdatumet med en beskrivning av revisionens omfattning, varaktighet och startdatum. Om tredje part ska utföra revisionen, måste båda Parterna godkänna tredje part. Om Behandlingen sker i ett “multitenant” miljö, ger Personuppgiftsansvarig Personuppgiftsbiträdet befogenhet, att av säkerhetsskäl, bestämma att revisioner ska utföras av en neutral tredjepartsrevisor som Personuppgiftsbiträdet väljer.

8.2 Om det begärda revisionsområdet är upptaget i en ISAE-, ISO- eller liknande granskningsrapport som utförts av en kvalificerad tredjepartsrevisor inom de föregående tolv månaderna, och Personuppgiftsbiträdet bekräftar att det inte finns några kända väsentliga förändringar i de åtgärder som granskats, accepterar Personuppgiftsansvarig denna granskningsrapport istället för att begära en ny revision av åtgärder som redan granskats.

8.3 Under alla omständigheter måste revisioner utföras under vanliga öppettider vid den aktuella anläggningen, med förbehåll för Personuppgiftsbiträdets regler, och får inte störa Personuppgiftsbiträdets affärsverksamhet i väsentlig grad.

8.4 Personuppgiftsansvarig står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från Personuppgiftsbiträdet som överstiger standardtjänsten som tillhandahålls av Personuppgiftsbiträdet och/eller Visma-koncernen för att följa gällande dataskyddslagstiftning, kommer att debiteras.

  • Varaktighet och uppsägning

9.1 Detta Avtal är giltigt så länge som Personuppgiftsbiträdet Behandlar Personuppgifter på uppdrag av Personuppgiftsansvarig enligt gällande Tjänsteavtal.

9.2 Avtalet upphör automatiskt när Tjänsteavtal upphör att gälla. När Avtalet upphör kommer Personuppgiftsbiträdet att radera eller återlämna Personuppgifter som Behandlas på uppdrag av Personuppgiftsansvarig, i enlighet med gällande klausuler i respektive Tjänsteavtal. Sådan radering kommer att ske så snart det är praktiskt möjligt, såvida inte EU eller lokal lag kräver ytterligare lagring. Om inte annat avtalats skriftligen ska kostnaden för sådana åtgärder baseras på; i) timtaxa för Personuppgiftsbiträdets tid och ii) komplexiteten i den begärda processen.

  • Ändringar och tillägg

10.1 Ändringar i Avtalet ska inkluderas i en ny bilaga till detta Avtal och undertecknas av båda Parter för att vara giltigt.

10.2 Om några villkor i detta Avtal blir ogiltiga, ska detta inte påverka återstående villkor. Parterna ska ersätta eventuella ogiltiga villkor med villkor som återspeglar syftet med ogiltiga villkor.

  • Ansvar

11.1 Parterna är överens om och erkänner att vardera Parten är skyldig att själv ansvara för och betala sådan administrativ sanktionsavgift som ålagts Parten enligt dataskyddsförordningen. Part är vidare skyldig att erlägga sådant skadestånd till Registrerade som Part av behörig domstol ålagts att betala direkt till Registrerade. Ansvaret mellan Parterna regleras av ansvarsbestämmelser i respektive Tjänsteavtal.

  • Tillämplig lag och jurisdiktion

12.1 Detta Avtal är underkastat tillämplig lag och den jurisdiktion som anges i respektive Tjänsteavtal mellan Parterna.

Bilaga 1

Kategorier av Personuppgifter, Registrerad, syfte, art och varaktighet

A.1 Kategorier av Registrerade

  • kunds slutanvändare

A.2 Kategorier av Personuppgifter

  • Kontaktuppgifter såsom namn, telefonnummer, gatuadress, e-postadress, etc.

A.3 Kategorier av Känsliga Personuppgifter (särskilda kategorier av personuppgifter)

  • Ingen

A.4 Syfte med Behandlingen

Behandlingen af den dataansvarliges personoplysninger sker med det formål at opfylde den indgåede aftale mellem databehandleren og den dataansvarlige om databehandlerens levering af dennes digital løsning.

A.5 Behandlingens art

Som ejer og leverandør af den digitale løsning behandler databehandleren personoplysninger ved sædvanlig drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukturering, tilpasning, implementering, søgning, processering, lagring, gendannelse, sletning, vedligeholdelse, udvikling, logning, support, fejlfinding og andre it-ydelser forbundet med databehandlerens levering af den digitale løsning til den dataansvarlige i henhold til aftalen indgået mellem parterne.

A.6 Behandlingens varaktighet

Varaktigheten av Behandlingen av Personuppgifter är: så länge som Tjänsteavtalet är gällande.