Lisensavtale for Sticos Likviditet
Lisensavtale for Sticos Likviditet
1. Avtalens omfang
Denne avtalen mellom Sticos AS (xxx.xx. 934 228 391) og Kunden gir kunden rett til bruk av produktet Sticos Likviditet i avtaleperioden for det oppgitte antall brukere i de virksomheter som omfattes av avtalen. Om ikke annet er avtalt løper avtaleperioden i 12 måneder, første gang fra det tidspunktet hvor produktet etter abonnementsavtalen første gang gjøres tilgjengelig for kunden og ellers fra tidspunktet for siste fornyelse av tidligere inngått avtale. Avtaleperioden fornyes automatisk i samsvar med bestemmelsene i punkt 13.
Bruk av Sticos Likviditet skal til enhver tid skje i henhold til de betingelser som fremgår av denne avtalen, brukervilkår, samt opplysninger oppgitt i tilbud og kundens bestilling.
Partene kan ikke overdra sine rettigheter og plikter etter denne avtalen uten skriftlig samtykke fra den andre parten. Samtykke kan ikke nektes uten saklig grunn.
2. Produktet
Sticos Likviditet er et verktøy for likviditetsstyring. Produktet gjør at brukeren for hver periodeavslutning får oversikt over forventet likviditet fremover i tid. Verktøyet er nettbasert, og fremtidige likviditetsprognoser bygger på historiske regnskapsdata hentet fra regnskapssystem eller via filimport.
Data som genereres ved bruk av Sticos Likviditet blir lagret hos Sticos AS. Det blir tatt sikkerhetskopi av alle data som kunden oppbevarer hos Sticos AS. Det oppbevares løpende sikkerhetskopi for de siste 30 dager. Kunden er selv ansvarlig for lagring og sikkerhetskopiering av data som kunden lagrer lokalt hos seg.
Lisensavtalen dekker brukerstøtte for Sticos Likviditet. Med brukerstøtte menes bistand i bruk av systemets funksjoner. Sticos AS forbeholder seg retten til å avgjøre hvorvidt brukerstøtten som ytes dekkes av lisensavtalen eller ikke.
Med mindre annet er avtalt dekkes følgende ikke av denne lisensavtalen:
a) kurs/opplæring
b) svar på faglige spørsmål
c) bistand med integrasjon av regnskapsdata for mer enn ett ERP-system
I tilfeller hvor brukerstøtten ikke dekkes av lisensavtalen vil Sticos AS kunne tilby konsulentbistand som faktureres etter gjeldende timepris.
Produktet inkluderer nødvendig teknisk kundestøtte i forbindelse med pålogging og bruk av produktet. Teknisk brukerstøtte gis via telefon eller fjernstyring. Med mindre annet er særskilt avtalt med kunden, har alle kundens brukere rett til å melde inn behov om teknisk brukerstøtte.
Sticos AS vil løpende oppdatere og vedlikeholde Sticos Likviditet, og kunden vil gis informasjon om større endringer i produktet. Kunden er selv ansvarlig for oppdatering av sine egne data i produktet.
3. Brukerbegrensninger
Med mindre annet er skriftlig avtalt er produktet lisensiert ut fra det antall brukere kunden har kjøpt lisenser for, og det er ikke adgang til å opprette tilgang for brukere utenfor kundens egen organisasjon.
Kunden plikter å sikre at produktet eller deler av dette, ikke skal kopieres eller på annen måte gjøres tilgjengelig for tredjeparter som ikke omfattes av avtalen.
4. Tilgjengelighet
Sticos Likviditet vil normalt være tilgjengelig alle dager i tidsrommet 00.00 til 24.00.
Sticos AS sitt sentralbord er åpent for mottak av supportsaker innenfor normal kontortid. Sentralbordets åpningstider publiseres på xxxxx://xxxxxx.xx/xxxxxxx. Supportsaker kan sendes til Sticos AS hele døgnet pr. epost eller via egen tilbakemeldingsfunksjon i produktet.
Dersom det oppstår feil utenfor normal arbeidstid, vil feilretting påbegynnes neste virkedag. Utilgjengelighet som følge av vedlikehold vil så langt det er mulig foretas utenfor normal arbeidstid.
5. Tekniske systemkrav
Produktene kan benyttes med operativsystemer og nettlesere som er mest vanlige i markedet til enhver tid. Fullstendig oversikt over systemkrav publiseres på xxxxx://xxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx.
Endringer i systemkrav som kan påvirke kundens bruk av systemet varsles med minimum 30 dagers varsel.
6. Priser og betalingsbetingelser
Om ikke annet er avtalt har produktet en etableringspris og en abonnementspris for bruk, vedlikehold og support.
I tillegg kommer pris for eventuell lagring av kundens data som overstiger 10 GB totalt for alle produkter kunden har fra Sticos AS. Kunden vil varsles når grensen for avtalt lagringsmengde er nær. Kunden må skriftlig bekrefte avtale om økt lagringsmengde.
Nødvendig teknisk brukerstøtte i forbindelse med pålogging og bruk av produktene inngår i abonnementet. Ved feilsituasjoner meldt til Sticos sin tekniske brukerstøtte som er forårsaket av kundens brukere, kundens infrastruktur eller tredjeparts leverandører som kunden benytter, kan Sticos AS fakturere kunden for den tid som går med til feilsøking og utbedring av feilen.
Gjeldende priser for datalagring og betalbar teknisk brukerstøtte publiseres på xxxxx://xxx.xxxxxx.xx/xxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxx.
Alle priser kan justeres ved inngangen til ny avtaleperiode.
Sticos AS fakturerer abonnementsprisen forskuddsvis for kommende avtaleperiode (12 måneder) om ikke annet er avtalt. Konsekvensene ved oppsigelse av avtalen i løpet av avtaleperioden er regulert i avtalens pkt. 13.
Eventuelle endringer i løpet av avtaleperioden som medfører krav om tilleggsbetaling, f.eks. økning i antall brukere eller økt lagringsmengde, faktureres fortløpende. En eventuell reduksjon i antall brukere i løpet av avtaleperioden får virkning fra utløpet av inneværende avtaleperiode.
Betalingsbetingelsene er pr 14 dager fra fakturadato. Ved forsinket betaling beregnes forsinkelsesrente i henhold til Xxx om renter ved forsinket betaling.
Bestemmelsene i dette punktet kan fravikes gjennom skriftlig avtale.
7. Eiendomsrett
Sticos AS og eventuelle underleverandører har opphavsrett og alle andre immaterielle rettigheter til alle deler av produktet og dets innhold. Dette gjelder ikke kundens egne data.
Kunden og kundens brukere har ikke rett til kopiering, massenedlasting eller automatisk nedlasting av hele eller deler av produktet utover det som er nødvendig for alminnelig bruk, uten etter skriftlig samtykke fra Sticos AS.
8. Personvern
Sticos AS lagrer følgende informasjon om sine kunder; informasjon som er avgitt i forbindelse med avtaleinngåelsen, samt senere informasjon om tjenester og produkter som kunden bestiller. Opplysningene benyttes som grunnlag for oppfyllelsen av avtalen, herunder fakturering og regnskapsførsel.
Sticos AS vil oppbevare opplysninger om Kunden også etter utløpet av Avtalen med tanke på senere fornyelse av abonnementsforholdet, og for utsendelse av informasjon om Sticos AS’ produkter og tjenester.
Sticos AS vil ved opprettelse av tilganger og ved bruk av produkt og tjenester registrere informasjon om brukeren. Sticos AS kan foreta endringer i behandling av opplysninger og informasjon innenfor rammene av de til enhver tid gjeldende avtaler eller samtykker.
Oppdatert informasjon er på et hvert tidspunkt tilgjengelig på xxxxx://xxx.xxxxxx.xx/xxxxxxxxxx.
Nærmere bestemmelser om databehandling er regulert i egen databehandleravtale som følger som vedlegg 1 til denne avtalen.
9. Databehandling
I den utstrekning systemet gjør det mulig for kunden å lagre egne opplysninger hos Sticos AS, vil dette innebære at Sticos AS ved oppbevaring av personopplysninger for kunden opptrer som en databehandler. Kunden er ansvarlig for at behandlingen av opplysningene er i henhold til gjeldende lovgivning.
Sticos AS skal behandle alle data i samsvar med kravene i den til enhver tid gjeldende lovgivning. Sticos AS kan ved særlig avtale med eier av regnskapsdata utlevere disse til tredjepart.
Nærmere bestemmelser om databehandling er regulert i egen databehandleravtale som følger som vedlegg 1 til denne avtalen.
Sticos kan dele opplysninger om Kunden og Kundens bruk av produktet med andre selskap i Visma-konsernet. Dette inkluderer ikke Kundens egne data og personopplysninger ut over det som er avtalt i Vedlegg 1 Databehandleravtale.
10. Konfidensialitet, innsyn og revisjon
Innenfor rammene av denne avtalen forplikter Sticos seg til å bevare absolutt taushet overfor uvedkommende om forhold og opplysninger selskapet kommer i befatning med som følge av kundeforholdet. Taushetsplikten gjelder også opplysninger om tredjepart som kommer Sticos til kjennskap som følge av kundeforholdet, som f.eks. klientopplysninger, regnskapsdata og opplysninger om ansatte.
Sticos vil sørge for at alle ansatte utviser aktsomhet ved behandling av sensitive opplysninger og at tekniske systemer er på plass for å sikre at ikke informasjon kommer på avveie
Taushetsplikten gjelder tilsvarende for Sticos sine eventuelle underleverandører. Taushetsplikten er tidsubegrenset og gjelder også etter at avtaleforholdet er opphørt.
Bestemmelsene i dette punktet er ikke til hinder for påkrevd utlevering av informasjon i henhold til gjeldende lovbestemmelser. Dersom Kundens virksomhet omfattes av Finanstilsynsloven og/eller IKT-forskriften gjelder dette også Finanstilsynets rett til tilgang til nødvendige opplysninger som ledd i tilsynet med Kunden og tilsyn med utkontraktert virksomhet (Sticos AS og deres underleverandører) uten begrensninger, jf. Finanstilsynsloven
§ 4c og IKT-forskriften § 12. Kunden har også selv krav på nødvendig informasjon og rapporter fra Sticos AS og deres underleverandører for at foretaket skal kunne følge opp sin utkontrakterte virksomhet og oppfylle foretakets egne rapporteringsplikter i den forbindelse.
For kunder som omfattes av IKT-forskriften har både Xxxxxx og Finanstilsynet rett til å utføre nødvendig revisjon av utkontraktert virksomhet hos Sticos AS og deres underleverandører..
I en beredskapssituasjon skal Sticos AS samarbeide med norske myndigheter i samsvar med lovpålagte krav i relevant sektorregelverk som Kunden omfattes av.
11. Ansvar
Til tross for omfattende kvalitetssikring av innhold og funksjoner i produktet er det umulig for Sticos å sikre seg mot alle mulige feil i innhold og funksjoner utviklet av Sticos eller levert av tredjeparter. Kunden plikter selv å kvalitetssikre informasjon som kan forårsake skade ved feil eller ufullstendigheter.
Kundens bruk av produktet erstatter ikke konkret rådgivning. Kunden er ansvarlig for egen tolkning og bruk av produktets innhold og funksjoner. Kunden må vurdere i den enkelte sak om og i hvilken utstrekning det aktuelle innholdet er oppdatert og passer formålet, herunder om innholdet bør tilpasses eller modifiseres for å ivareta kundens behov.
Sticos fraskriver seg ethvert ansvar som følge av Kundens bruk av produktet, herunder opplysninger gitt i forbindelse med fagsupport og brukerstøtte, med unntak for tilfeller som følger av grov uaktsomhet eller forsett. Sticos sitt samlede erstatningsansvar i avtaleperioden er i alle tilfeller begrenset oppad til et beløp som tilsvarer vederlaget som er fakturert for Sticos Likviditet de siste 12 månedene før mangelen oppstod. Indirekte tap dekkes ikke.
Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste av enhver art, tapte besparelser, tap av data, tilfeldige tap, eller krav fra tredjeparter.
Om produktet i vesentlig grad skulle være utilgjengelig for kunden hverdager mellom kl. 07:00 og kl. 19:00 grunnet forhold som Sticos AS er ansvarlig for, kan kunden kreve forholdsmessig prisavslag. Som vesentlig anses når produktet i sin helhet er utilgjengelig mer enn 0,5 % av garantert oppetid pr. kalendermåned.
For å sikre kvaliteten på systemet bør eventuelle feil som kunden blir oppmerksom på meldes til Sticos AS så snart som mulig.
12. Mislighold
Ved betalingsmislighold har Sticos AS rett til å sperre tilgangen til Sticos Likviditet og brukerstøtte uten nærmere forvarsel, frem til betaling har funnet sted.
Sticos AS har rett til umiddelbart å si opp avtalen eller begrense enkeltbrukeres tilgang til hele eller deler av produktet dersom kunden eller kundens brukere vesentlig misligholder abonnementsavtalen eller brukervilkårene for produktet. Opphør av avtalen medfører at tilgangen til Sticos Likviditet blir sperret. På samme tidspunkt opphører tilgangen til brukerstøtte.
Mislighold fra kundens side reduserer ikke kundens forpliktelse til å betale abonnementspris for avtaleperioden.
Ved vesentlig mislighold av avtalen fra Sticos AS sin side, og som Sticos AS ikke har klart å rette innen rimelig tid etter skriftlig varsel fra kunden, kan kunden heve avtalen med øyeblikkelig virkning. Vesentlig mislighold av avtalen fra Sticos AS sin side medfører forholdsmessig refusjon av betalt abonnementspris for avtaleperioden.
13. Varighet og oppsigelse
Avtalen trer i kraft fra det tidspunkt Kunden bestiller abonnement på Sticos Likviditet.
Ved utløpet av en avtaleperiode etter pkt. 1 fornyes avtalen automatisk for en ny avtaleperiode på 12 måneder med mindre avtalen sies opp skriftlig av en av partene. Oppsigelsen får virkning fra utløpet av inneværende avtaleperiode.
Konsekvensen av en oppsigelse er at tilgangen til produktet stenges og at Sticos sletter kundens data 6 måneder etter at avtalen har opphørt. Kunden er selv ansvarlig for å innhente rapporter, egne dokumenter og sine øvrige data fra produktet innen utløpet av avtaleperioden, og sørge for egen oppbevaring av disse i tiden etter.
Bestemmelsene i dette punktet kan fravikes gjennom skriftlig avtale.
14. Tvister
Avtalen er underlagt norsk lov.
Tvister mellom partene skal søkes løst ved forhandlinger. Dersom det ikke lykkes å oppnå en enighet i løpet av en periode på 60 dager, har hver av partene rett til å bringe tvisten inn for rettslig behandling.
For tvister som oppstår i forbindelse med denne avtalen benyttes den rettskrets hvor Sticos AS har sitt hovedkontor som verneting.
15. Vedlegg
Vedlegg 1: Databehandleravtale
Vedlegg 1 til Lisensavtale for Sticos Likviditet
Databehandleravtale
mellom Kunden og
Databehandler: | Sticos AS |
Organisasjonsnummer: | 934 228 391 |
Etablert i: | Norge |
Databehandlerens kontaktinformasjon for generelle henvendelser: | |
Databehandlerens kontaktinformasjon for henvendelser om uautorisert behandling av personopplysninger: | Sticos Kundesenter, Tlf.: 00 00 00 00 |
heretter betegnet som henholdsvis Behandlingsansvarlig, Databehandler eller Part, i fellesskap som Partene.
Innledning
Partene bekrefter herved at de har nødvendige fullmakter til å inngå denne databehandleravtalen (Databehandleravtalen). Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til avtale om levering av tjenester (Tjenesteavtale) mellom partene:
▪ Lisensavtale Sticos Likviditet
Definisjoner
Definisjonene av personopplysning, særlige kategorier av personopplysning, behandling av personopplysning, den registrerte, behandlingsansvarlig og databehandler skal forstås slik de brukes og tolkes i henhold til gjeldende personvernlovgivning, inkludert lov om behandling av personopplysninger av 15. juni 2018 nr. 38 og personvernforordningen Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR) av 27. april 2016.
Formål
Databehandleravtalen regulerer Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige, og beskriver hvordan Databehandleren gjennom tekniske og organisatoriske virkemidler skal bidra til å sikre den registrertes rettigheter på vegne av den Behandlingsansvarlige.
Formålet med Databehandlerens behandling av personopplysninger er å oppfylle Tjenesteavtalen og Databehandleravtalen.
Ved eventuell motstrid mellom bestemmelser om behandling av personopplysninger har Databehandleravtalen forrang over Tjenesteavtale eller tidligere avtaler inngått mellom Partene.
Databehandlerens plikter
Databehandler skal bare behandle personopplysninger på vegne av og i henhold til instruksjoner fra Behandlingsansvarlig. Ved å inngå denne Databehandleravtalen instruerer Behandlingsansvarlig Databehandler om å behandle personopplysninger på følgende måte: i) bare i henhold til gjeldende lovgivning, ii) for å oppfylle alle plikter i henhold til Tjenesteavtale, iii) som instruert via Behandlingsansvarlig sin bruk av Databehandlers ordinære tjenester og iv) som spesifisert i denne Databehandleravtalen.
Databehandleren har ved avtaleinngåelsen ingen grunn til å anta at det foreligger regulatoriske hindringer mot å følge instruksjonene fra Behandlingsansvarlige. Dersom Databehandleren ved et senere tidspunkt blir klar over at Behandlingsansvarliges instruksjoner eller behandling av personopplysninger strider mot gjeldende personvernlovgivning, skal Databehandleren melde dette til Behandlingsansvarlige.
Typen personopplysninger og kategorier av registrerte som er gjenstand for behandling under denne Databehandleravtalen er angitt i vedlegg A.
Databehandleren skal sikre konfidensialitet, integritet og tilgjengelighet til personopplysningene i henhold til de regulatoriske krav som gjelder for Databehandleren. Dette inkluderer å implementere systematiske, organisatoriske og tekniske virkemidler for å sikre et tilstrekkelig nivå for sikkerhet. Ved avgjørelsen av hva som er et tilstrekkelig nivå skal hensyn til den teknologiske utviklingen og kostnaden ved implementering av tiltak veies mot risikoen ved behandlingen og typen personopplysninger som behandles.
Databehandleren skal ved tekniske og organisatoriske virkemidler bistå Behandlingsansvarlig med å ivareta Behandlingsansvarliges plikter under GDPR artikkel 32 til 36, samt bistå i arbeidet med å behandle forespørsler fra registrerte i henhold til GDPR kapittel III. Pliktens omfang avgrenses av formen for behandling av personopplysninger og hvilken informasjon som er tilgjengelig for Databehandleren.
Behandlingsansvarlige kan kreve informasjon om de sikkerhetstiltak, dokumentasjon og annen informasjon om hvordan Databehandleren behandler personopplysninger. Dersom Behandlingsansvarlige ber om mer informasjon eller assistanse enn det som Databehandleren tilgjengeliggjør for å oppfylle kravene til rollen som Databehandler i henhold til gjeldende personvernlovgivning, kan Databehandleren kreve betaling for slike eventuelle tilleggstjenester.
Databehandleren og dennes ansatte skal sørge for konfidensialitet ved behandling av personopplysninger som behandles i henhold til denne databehandleravtalen. Denne plikten gjelder også etter at avtalen opphører.
Databehandleren vil gjennom å varsle Behandlingsansvarlig uten ugrunnet opphold om brudd på personopplysningssikkerheten, muliggjøre etterlevelse av gjeldende personvernlovgivning vedrørende varsling av tilsynsmyndigheter og registrerte.
Videre vil Databehandleren, i den utstrekning det er praktisk mulig og lovlig, varsle Behandlingsansvarlig om;
i) innsynsbegjæringer fra registrerte,
ii) innsynsbegjæringer fra offentlige myndigheter
Databehandleren vil kun besvare forespørsler fra registrerte i den grad Behandlingsansvarlig har gitt tillatelse til det. Databehandleren vil kun varsle Behandlingsansvarlig om innsynsbegjæringer fra offentlige myndigheter i den grad slikt varsel er lovlig, samt kun utlevere informasjon til offentlige myndigheter dersom rettslig pålegg foreligger.
Databehandleren har ikke eierskap til eller kontroll med hvorvidt og hvordan Behandlingsansvarlig velger å benytte seg av eventuelle tredjeparts integrasjoner via Databehandlers API, via direkte databasekobling eller lignende. Ansvaret for slike integrasjoner med tredjepart påhviler utelukkende Behandlingsansvarlig.
Behandlingsansvarliges plikter
Ved å signere Databehandleravtalen bekrefter Behandlingsansvarlig:
● Behandlingsansvarlig har rett til å behandle personopplysninger og til å gi Databehandleren og dennes underleverandører adgang til å behandle personopplysninger.
● Behandlingsansvarlig er ansvarlig for at personopplysningene som overlates til Databehandleren er lovlig innsamlet, korrekte og tilstrekkelige.
● Behandlingsansvarlig er ansvarlig for å gi relevant informasjon til registrerte eller myndigheter vedrørende behandlingen av personopplysninger.
● Særlige kategorier av personopplysninger vil bare bli behandlet som en del av Tjenesteavtalen der dette er uttrykkelig avtalt i Vedlegg A til Databehandleravtalen.
Bruk av underleverandører og overføring av personopplysninger
Som en del av leveransen under Tjenesteavtale vil Databehandleren bruke underleverandører og Behandlingsansvarlig gir sitt generelle samtykke til dette. Slike underleverandører kan være andre selskaper i konsernet eller eksterne tredjeparter. Databehandleren har plikt til å påse at underleverandører påtar seg tilsvarende forpliktelser som de som følger av denne Databehandleravtalen.
Oversikt over underleverandører med tilgang til personopplysninger fremgår på adressen xxxxx://xxx.xxxxxx.xx/xxxxxxxxxx/xxxxx. I tillegg kan Behandlingsansvarlig ta kontakt med Databehandler for mer detaljert informasjon om underleverandører.
Dersom underleverandøren er lokalisert utenfor EU/EØS gir Behandlingsansvarlig fullmakt til Databehandleren til å sikre lovlig overføringsgrunnlag for overføringen av personopplysninger ut av EU/EØS på vegne av Behandlingsansvarlig, herunder ved å gjøre bruk av EU standardavtaler.
Behandlingsansvarlig vil bli varslet før Databehandleren endrer underleverandør som behandler personopplysninger. Dersom Behandlingsansvarlig kommer med innsigelser til underleverandører i denne forbindelse skal partene tilgjengeliggjøre og gjennomgå informasjon og dokumentasjon om underleverandøren som påviser dens etterlevelse av personvernlovgivningen. Dersom behandlingsansvarlig motsetter seg ny bruk eller bytte av underleverandør har partene rett til å si opp avtalen med virkning fra dato for oppstart av behandling hos underleverandøren.
Sikkerhet
Databehandler skal sørge for et høyt sikkerhetsnivå i sine produkter og tjenester. Dette skal skje ved organisatoriske, tekniske og fysiske sikkerhetstiltak, i henhold til kravene til informasjonssikkerhet som fremgår av GDPR artikkel 32.
Visma-konsernets rammeverk for personvern skal sikre personopplysningenes konfidensialitet, integritet, robusthet og tilgjengelighet. Følgende tiltak er særlig viktig i denne forbindelse:
● Klassifisering av personopplysninger for å vurdere sikkerhetstiltakene på bakgrunn av risikovurderinger.
● Vurdere bruk av kryptering og pseudonymisering for å avhjelpe risiko.
● Begrense tilgang til personopplysninger til personell som trenger tilgang for å oppfylle plikter i henhold til denne Databehandleravtalen eller Tjenesteavtale.
● Systemer som avdekker, retter, forhindrer og rapporterer avvik.
● Benytte sikkerhetsrevisjoner til å analysere hvorvidt de til enhver tids gjeldende tekniske og organisatoriske tiltak for å beskytte personopplysninger er tilstrekkelig, sett i lys av gjeldende lovgivning.
Rett til tilsyn
Behandlingsansvarlig kan revidere Databehandler sin etterlevelse av denne Databehandleravtalen inntil en gang i året. Hvis lovgivning som Behandlingsansvarlig er underlagt krever det, kan Behandlingsansvarlig kreve flere revisjoner.
For å be om revisjon må Behandlingsansvarlig sende en detaljert tilsynsplan minimum 4 uker i forkant av ønsket tilsynsdato, med oversikt over forslagets omfang, varighet og oppstart. Hvis tredjeparter skal gjennomføre tilsynet, skal dette som hovedregel avtales mellom Partene. Hvis behandling av personopplysninger skjer i et “multitenant” miljø eller lignende, aksepterer Behandlingsansvarlig likevel at tilsynet gjennomføres av en tredjepart utpekt av Databehandler.
Hvis tilsynets omfang er behandlet i ISAE, ISO eller lignende rapport av kvalifisert tredjepart i løpet av de siste 12 månedene, og Databehandler bekrefter at det ikke finnes kjente endringer fra dette, skal Behandlingsansvarlig akseptere disse rapportene i stedet for å forespørre nytt tilsyn.
I alle tilfeller skal tilsyn utføres i samråd med virksomhetens ordinære åpningstider, i henhold til virksomhetens retningslinjer og ikke forstyrre den ordinære virksomheten. Behandlingsansvarlig er ansvarlig for kostnader forårsaket av sitt tilsyn. Dersom Behandlingsansvarlige ber om mer assistanse enn den som tilbys av Databehandleren for å oppfylle gjeldende personvernlovgivning, kan Databehandleren kreve betaling for denne tilleggstjenesten.
Varighet
Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i henhold til Tjenesteavtale.
Databehandleravtalen opphører i forbindelse med avslutning av Tjenesteavtale. Ved opphør av Databehandleravtalen, skal Databehandler slette eller returnere personopplysninger som er behandlet på vegne av Behandlingsansvarlig i tråd med Tjenesteavtale. Med mindre annet er avtalt mellom Partene, skal arbeidet forbundet med dette kompenseres basert på; i) kompleksiteten ved forespørselen og ii) betaling for medgått tid. Slik forespørsel må rettes Sticos innen 6 måneder etter avtalens opphør.
Databehandler kan beholde personopplysninger etter opphøret av Databehandleravtalen i henhold til gjeldende lovgivning, underlagt de samme typer tekniske og organisatoriske tiltak som skissert i denne Databehandleravtalen.
Endringer og ugyldighet
Endringer i Databehandleravtalen skal inkluderes i ny avtale eller i et eget endringsvedlegg og aksepteres av begge Parter for å være gyldig.
Hvis bestemmelser i Databehandleravtalen kjennes ugyldig, skal ikke dette påvirke de øvrige bestemmelsene i Databehandleravtalen. Partene skal erstatte den ugyldige bestemmelsen med en gyldig bestemmelse som reflekterer intensjonen til Partene bak bestemmelsen.
Mislighold
Begge parter har et individuelt ansvar etter gjeldende personvernlovgivning i forhold til de personopplysningene de behandler og skal holdes selvstendig ansvarlig for å betale alle bøter og erstatning direkte til registrerte som ilegges den respektive part av myndigheter eller domstoler i henhold til personvernlovgivningen. Ansvaret mellom partene reguleres av Tjenesteavtalen.
Gjeldende rett og verneting
Databehandleravtalen er underlagt norsk rett ved norske domstoler med Trondheim tingrett som avtalt verneting.
Vedlegg
Vedlegg A - Kategorier av registrerte og personopplysninger
Vedlegg A - Kategorier av registrerte og personopplysninger
1. Kategorier av registrerte og personopplysninger
a. Kategorier av registrerte
i. kundens sluttbruker
ii. ansatt hos kunde
iii. kontaktpersoner hos kunde
b. Kategorier av personopplysninger
i. kontaktinformasjon som navn, telefon, adresse, e-postadresse mv.
ii. jobbrelatert informasjon som tittel, arbeidsgiver, mv.
iii. økonomisk informasjon som kortnummer, faktura, konto etc.
iv. bruksdata og innloggingsinformasjon, som brukerID, innloggingstidspunkt, mv.
i. brukerens egen input som følge av bruk av tjenesten, som innhold i skjema, opplastede dokumenter, nødvendig identifikasjon for digital signering, mv.
v. opplysninger avgitt ved support, som beskrivelse av sak og eventuelle vedlegg, mv.
vi. feilsøkingslogger