Brukervilkår NHOs Digitale håndbøker INNLEDNING

Brukervilkår NHOs Digitale håndbøker INNLEDNING

Bedriften og NHO har på disse vilkår inngått en avtale om leveranse av digitale håndbøker. Ved å ta i bruk de digitale håndbøkene, aksepteres disse vilkår. Med bedriften forstås de organisasjonsnummer håndboken blir gjort gjeldende for (gjøres under opprettelse av håndboken).

1. ANSVAR FOR INNHOLD

1.1. Hva er NHOs ansvar

NHO utarbeider forslag til tekster i henhold til gjeldende regelverk. NHO foretar jevnlig oppdateringer for å holde tekstforslag à jour med gjeldende regelverk. NHO informerer bruker om oppdateringer og lovendringer når disse foreligger. Slik informasjon blir gitt per epost til den eller de som er oppgitt å være bedriftens redaktører under "Innstillinger" i håndboken. Dette er NHOs forslag, og bruker er selv ansvarlig for å godkjenne og tilpasse tekstene til egen virksomhet.

NHO etterstreber at innholdet i de digitale håndbøkene er korrekt og oppdatert, men påtar seg ikke ansvar for eventuelle tap eller problemer feil i innholdet måtte forårsake. Bedriften har selv ansvaret, se punkt 1.2 nedenfor, og må derfor kontrollere at innhold, dokumenter og materiale som benyttes er tilstrekkelig oppdatert og anvendes korrekt knyttet til den sammenheng som bruken skal skje.

Det kan ikke rettes krav mot NHO som følge av feil eller mangler i informasjon, dokumenter eller annet som er tilgjengelig gjennom digitale håndbøker.

Det presiseres at informasjon, dokumenter, resultat av automatiserte tjenester eller annet som er tilgjengelig i digitale håndbøker ikke erstatter juridisk rådgivning. Som medlem i NHO har du tilgang på juridisk rådgivning gjennom din landsforening, og dette anbefales benyttet.

NHO tar ikke ansvar for innhold på andres hjemmesider, som det enten er lenket til, vist til på fra digitale håndbøker eller som lenker eller henviser til digitale håndbøker.

1.2. Hva er bedriftens ansvar

Daglig leder/ bedriften har det overordnede ansvar for HMS og arbeidsmiljø. Bedriften velger selv hvem som skal ha redaktørtilgang. Bedriftens redaktør er ansvarlig for å godkjenne og tilpasse NHOs forslag til tekst til egen virksomhet. Når NHO varsler endringer i tekst eller innhold, er bedriftens redaktør ansvarlig for å implementere disse endringene i egen virksomhet.

Bedriften er ansvarlig for at informasjon om virksomheten er oppdatert

Bedriftens redaktør må påse at eventuelle endringer i tariffavtaler, organisasjonsnummer og organisasjonsnummer bedrift til enhver tid er korrekt og oppdatert i håndboken. Dette gjøres på siden "Innstillinger " i håndboken.

2. EIERSKAP OG BRUK

2.1. NHO

NHO eier og har opphavsrett til produktet, hvilket bl.a. innebærer produktets innhold, system, design, funksjonalitet og brukerdokumentasjon. NHO tilbyr brukerstøtte.

2.2. Bedrift

Ved avtaleinngåelse får man en begrenset, ikke overførbar bruksrett til systemet og tilhørende brukerinformasjon. Systemet kan kun benyttes til dokumentasjon i egen virksomhet, og må ikke kopieres til andre.

Produktet, herunder bl.a. produktets innhold, system, design, funksjonalitet og brukerdokumentasjon er beskyttet mot bl.a. kopiering i henhold til lov om opphavsrett til åndsverk mv. (åndsverkloven).

3. BEHANDLING AV PERSONOPPLYSNINGER

3.1. Behandling av personopplysninger

I felter hvor det fritt kan skrives inn informasjon («fritekstfelt») vil det være vanskelig å ha kontroll på personopplysninger. Det bør derfor ikke legges inn personopplysninger og andre sensitive opplysninger i slike felt.

Alle personopplysninger som lagres i NHO sine systemer relatert til digitale håndbøker er NHO behandlingsansvarlig for, og behandles etter NHOs rutiner for behandling av personopplysninger som bl.a beskrevet i NHOs personvernerklæring: xxxxx://xxx.xxx.xx/xxxx_xxxxxxxxxxxxxxxxxxx/

For opplysninger som legges inn i de digitale håndbøkene vil NHO være databehandler, og behandling vil gjøres etter inngått databehandleravtale med NHO. Vilkår for databehandleravtale finnes nedenfor.

4. VARIGHET, OPPSIGELSE OG AVSLUTNING AV AVTALEN

4.1 Bedrift

Avtale tegnes i form av abonnement. Et abonnement har minimum 1 år løpetid, og følger kalenderåret. Avtalen løper så lenge den ikke avsluttes av en av partene.

Oppsigelse av avtalen må gjøres innen 1. oktober, med virkning fra årsskiftet. Oppsigelse av avtalen meldes skriftlig på epost til xxxxxx@xxx.xx. Bedriften må sikre seg at NHO bekrefter mottakelse av oppsigelsen for at denne skal være gyldig. Bedriften skal motta en bekreftelse på at epost er mottatt.

4.2. NHO

NHO kan avslutte avtalen med øyeblikkelig virkning ved mislighold/ misbruk eller manglende overholdelse av vilkår.

Ved avslutning av medlemskap i NHO, vil abonnementet opphøre samtidig som medlemskapet opphører, med mindre abonnementet er sagt opp utenom, og således avsluttes tidligere.

Ved avslutning av avtalen avsluttes tilgang til systemet, og informasjon om bedriften vil ikke lengre være tilgjengelig.

5 PRIS, PRISJUSTERING OG BETALING

5.1. Prisstruktur

Oppgitt pris gjelder per håndbok eks. mva.

5.2. Prisjustering

Pris kan indeksjusteres ved årsskiftet uten forutgående varsel.

Andre prisendringer skal varsles senest 15. september, med virkning fra påfølgende år.

5.3. Betaling

Avtalen er en abonnementsordning, som faktureres 1 gang pr år, ved starten av året eller ved bestillingstidspunkt.

6. Demoløsning

6.1. Brukere av demoløsning

Tilgang til bruk av demoløsningen gjelder i den perioden som oppgis ved bestilling av tilgang, og med de begrensinger som ligger i demoløsning kontra fullversjon løsning.

Ut over dette gjelder vilkårene for øvrig.

7 FEIL/ MANGLER

7.1. NHO

Ved feil og mangler i systemet, vil under enhver omstendighet NHOs ansvar for eventuelle økonomiske tap begrenses til det bruker har betalt for systemet siste år.

7.2 Bedrift

Bedriftsredaktøren har plikt til å varsle NHO om feil eller mangler som oppdages i systemet.

8. OPPHØR

NHO plikter å varsle brukere av tjenesten minimum 6 måneder før et eventuelt opphør av tjenesten.

9. TVISTER

Alle tvister søkes løst i minnelighet. Alternativt i domstol eller voldgift dersom partene ønsker det. Ved søksmål for de alminnelige domstoler er Oslo tingrett rett verneting. Norsk rett legges til grunn.

* * * *

Databehandleravtale

AVTALENS FORMÅL

Denne databehandleravtalen er inngått mellom bruker av NHOs digitale håndbøker, som har tatt i bruk en eller flere av NHOs digitale håndbøker og derved akseptert vilkårene ovenfor (heretter kalt

«Behandlingsansvarlig») og NHO som behandler personopplysninger på vegne av Behandlingsansvarlig («Databehandler») under vilkårene ovenfor og denne databehandleravtale («Databehandleravtalen») som en følge av de tjenester som Databehandler leverer gjennom NHOs digitale håndbøker.

Databehandleravtalens formål

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn som følger ovenfor. Formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger nedenfor.

Databehandleravtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger, herunder bl.a. personopplysningsloven med

eventuelle tilhørende forskrifter, samt kravene etter Europaparlaments- og rådsforordning om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger og om oppheving av direktiv 95/46/EF (personvernforordningen/GDPR).

Databehandler skal behandle personopplysningene på den måte som er beskrevet i vilkårene ovenfor og Databehandleravtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.

Begreper og definisjoner benyttet i Databehandleravtalen skal forstås på samme måte som i personopplysningsloven.

Partenes rettigheter og plikter

Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under Databehandleravtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter nedenfor.

Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den Behandlingsansvarlige.

Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter etter personvernforordningens kapittel III hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, samt bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet og vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.

Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. Den Behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll.

Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punktet er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Den Behandlingsansvarlig har selv det direkte ansvaret overfor aktuelle tilsynsmyndigheter.

Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Databehandleravtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.

Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den Behandlingsansvarlige.

Henvendelser til Databehandleren skal Databehandleren videreformidle til den Behandlingsansvarlige så raskt som mulig.

Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernforordningen, personopplysningsloven, eller annen regulering av behandling av personopplysninger, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om dennes oppfatning.

Den Behandlingsansvarlig skal etterleve de forpliktelser som fremkommer av personopplysningsloven, personvernforordningen og annen særlovgivning, samt Databehandleravtalen.

Bruk av underleverandør

Databehandleren skal kun benytte underleverandører til behandling av personopplysninger (underdatabehandler) som er skriftlig godkjent av den Behandlingsansvarlige og som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under Databehandleravtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter.

Godkjente underdatabehandlere ved Databehandleravtalens inngåelse er spesifisert nedenfor.

Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter Databehandleravtalen. I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette den Behandlingsansvarlige om planene og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer.

Underdatabehandler skal være gjort kjent med Databehandlerens forpliktelser etter Databehandleravtalen og regelverket som regulerer behandling av Behandlingsansvarliges personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Databehandleravtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Databehandleravtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.

Sikkerhet og avvik

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven med forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.

I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde:

1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,

2. navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,

3. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,

4. beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.

Den Behandlingsansvarlige har ansvaret for at å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.

Overføring til utlandet

Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter instruks fra den Behandlingsansvarlige. Overføring kan likevel skje dersom det foreligger et lovlig grunnlag for overføring til tredjeland. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.

Databehandleravtalens varighet, pålegg om stans, plikter ved opphør/-oppsigelse Databehandleravtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av den Behandlingsansvarlige etter vilkårene ovenfor.

Ved brudd på Databehandleravtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.

Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er returnert eller slettet i henhold til den Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.

Øvrige plikter og rettigheter

Øvrige plikter og rettigheter følger av vilkårene ovenfor som gjelder mellom Databehandleren og Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og Databehandleravtalen.

Denne Databehandleravtalen skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for Databehandleren, utover det som følger av vilkårene ovenfor.

Spesifisering av behandlingen

Formålet med behandlingen

Formålet med behandlingen er å kunne tilby tjenester gjennom NHOs digitale håndbøker etter vilkårene ovenfor.

Varigheten av behandlingen

Behandlingen skal vare så lenge Databehandleren yter tjenestene vilkårene for tilgang til NHOs digitale håndbøker til Behandlingsansvarlig.

Behandlingens art

Lagring av personopplysninger eller annet som nødvendiggjør behandlingen som følge av vilkårene.

Typer personopplysninger som skal behandles

Personopplysninger som behandles er avhengig av de opplysninger som legges inn i NHOs digitale håndbøker, men vil være navn på ansatte, stilling/verv, og annet som legges inn i fritekstfelt i NHOs digitale håndbøker.

Kategorier av registrerte

Kategorier av registrerte vil være ansatte hos Behandlingsansvarlig.

Underdatabehandlere

Det benyttes ikke underdatabehandlere for databehandlingen.