Vilkår for kjøp fra Geodata
- Om vilkårene. Inngåelse av avtale
Følgende vilkår («Vilkårene») gjelder ved kjøp av programvare («Programvaren») og tjenester som leveres online («Tjenester») av fysiske eller juridiske personer («Kunden») i fra Geodata AS enten direkte eller via nettbutikk. Programvare og Tjenester er i det følgende omtalt som «Produkter».
Ved å foreta kjøp i aksepteres Vilkårene, som da anses som en avtale inngått mellom Kunden og Geodata AS («Geodata»). Vilkårene kan også være del av avtale inngått mellom Kunden og Geodata. Ved bruk av «Vilkårene» nedenfor menes også avtalen som anses inngått som følge av aksept av Vilkårene som nevnt over. Avtalen gjelder fra det tidspunkt som kommer først av Vilkårene aksepteres, Produktene kjøpes, eller Produktene tas i bruk.
Ved aksept som nevnt ovenfor bekrefter den som anskaffer eller tar i bruk Produktene at denne har rett til og er bemyndiget til å akseptere Vilkårene og – dersom Kunden er juridisk person – inngå avtale på vegne av Kunden. Hvis den som aksepterer Vilkårene eller tar i bruk Produktene ikke har slik rett eller myndighet, vil vedkommende bli personlig ansvarlig for eventuelt tap eller kostnader som Geodata påføres som følge av den urettmessige bruken av Produktene.
Gjøres det forbrukerkjøp, dvs. at Produktene anskaffes av person som ikke hovedsakelig handler som ledd i næringsvirksomhet, så reguleres det spesifikt nedenfor, se punkt 8.
Det vil kunne gjelde egne vilkår for Produktene som følger med Produktene, eller som er tilgjengelig fra Geodata på forespørsel, se kontaktinformasjon nedenfor, som Kunden må sette seg inn i før bruk. Slike vilkår kan være fra leverandører av Produktene som Geodata videreformidler og selger gjennom nettbutikk, se spesielt om Esri i punkt 7 nedenfor.
Eventuell tilleggsinformasjon eller vilkår oppgitt i en bestilling eller annen standarddokumentasjon fra Kunden er ikke bindende for Geodata uten at dette er skriftlig akseptert av Geodata.
- Bestilling i nettbutikk. Kundekonto
For å foreta bestillinger og kjøp i nettbutikk, må det registreres kundekonto.
Etter bestilling vil det sendes ut bestillingsbekreftelse til den oppgitte epostadresse om de bestilte Produktene er tilgjengelige. Det er Kundens ansvar å gi Geodata beskjed om endringer i kontaktopplysninger, eller eventuelt endre dette i Kundens konto.
Produkter fra Esri kan returneres innen tretti (30) dager etter kjøpet. Se informasjon om hvordan dette håndteres i hjelpesidene til Esri.
Kunden bekrefter at denne er ansvarlig for å opprettholde konfidensialiteten til kontoen og passordet, samt for alle aktiviteter under et slikt passord og konto. Kunden skal umiddelbart varsle Geodata om mistanke om eventuell uautorisert bruk av kontoen eller passordet som Kunden er klar over eller mistenker på geodata@geodata.no.
Geodata AS er ikke være ansvarlig, direkte eller indirekte, på noen måte for tap eller skade av noen art som pådras som et resultat av, eller i forbindelse med, manglende overholdelse av dette punktet, eller for eventuell forsinkelse i å stenge kontoen etter at brudd på sikkerheten er blitt kjent.
- Vederlag og betaling
Vederlag for Produktene fremkommer enten i informasjon fra Geodata, herunder Geodatas nettsider, eller i nettbutikk, samt vilkår for kjøpet som betalingstidspunkt, avtaleperiode, bindingstid mv. Alle priser er oppgitt i norske kroner og eksklusiv merverdiavgift. For forbrukere vil priser oppgis inklusive merverdiavgift ved betaling.
For kjøp i nettbutikk kan det betales med bruk av betalings- eller kredittkort. Blir ikke vederlag betalt ved bruk av betalings- eller kredittkort, vil Geodata kunne ettersende faktura for selskapskunder eventuelt at det er avtalt innkjøpsordre. Forbrukere kan kun betale med kort. Kun norske selskap kan betale ved faktura eller innkjøpsordre, og kontoen må være autorisert av Geodata. Er Kunden kvalifisert for betaling via faktura eller innkjøpsordre, vil denne muligheten komme frem på nettbutikkens side for «Ordreinformasjon». Muligheten til å betale via faktura eller innkjøpsordre er kun tilgjengelig for visse Produkter fra leverandører, herunder Esri.
Ved å sende inn bestillingen ved bruk av kortbetaling i nettbutikk, bekrefter den som foretar bestillingen at denne er autorisert til å bruke det angitte kortet, og gir Geodata tillatelse til å belaste bestillingen med kortet. Det må oppgis samme fakturaadressen som er knyttet til kortet. Kortet vil bli belastet når bestillingen er fullført.
All betaling vil skje forskuddsvis, med unntak av vederlag basert på omfang av bruk, antall brukere eller annet er avtalt.
Geodata har rett til å endre vederlag for Produktene med tre måneders varsel eller ved fornyelse av avtaleperioden i henhold til generell prisstigning, endringer i priser fra leverandører, endringer i offentlige avgifter eller av andre grunner etter skriftlig varsel.
Vederlag som er fakturert eller betalt, blir ikke kreditert/tilbakebetalt ved oppsigelse av ett eller flere Produkter eller Avtalen eller ved opphør av bruk av Produktene uavhengig av grunn, og heller ikke ved reduksjon i antall brukere i inneværende avtaleperiode.
Vederlaget er oppgitt eksklusiv merverdiavgift og andre skatter. Ved forsinket betaling, belastes forsinkelsesrente, se punkt 11.
Foreligger det feil ved fakturering fra Geodatas side, må Kunden informere om feilen og hva Kunden mener er riktig vederlag innen tre måneder etter fakturadato. Ellers anses faktura som akseptert.
- Automatisk fornyelse
Er det kjøpt Produkter hvor avtaleperioden skal fornyes automatisk, løper avtaletiden for ett år av gangen, og kan gjensidig sies opp skriftlig innen 90 dager før årsdagen for fornyelse om ikke annet er oppgitt fra Geodata, herunder i nettbutikken, eller regulert i egen avtale.
For bestillinger som betales med innkjøpsordre eller faktura vil avtaletiden automatisk fornyes og faktureres av Geodata i god tid før fornyelsesdato.
For bestillinger som betales med betalings- eller kredittkort vil Geodata kontakte Kunden for å avklare hvordan fornyelse av Produktene skal gjennomføres.
For automatisk fornyelse for forbrukere, se punkt 8 nedenfor.
- Geodatas rettigheter og plikter. Leveranse av Produktene
Produktene leveres «som de er» og vil derfor ikke være feilfritt eller tilgjengelig til enhver tid, men vil i det vesentlige fungerer i henhold til beskrivelsen på nettsider, i nettbutikk, annen informasjon som er gitt, som fra leverandører av Produktene, og i Vilkårene.
Geodata tar ikke ansvar for unøyaktigheter eller utelatelse i informasjon, og tar ikke ansvar for tap eller ødeleggelser som følge av tilgang til eller bruk av Produkter eller dets innhold. Geodata forutsetter at Produktene brukes av personer med nødvendig kompetanse, og som forstår de begrensninger og forutsetninger som er lagt til grunn, og tar ikke ansvar for feil tolkning og bruk av Produktene.
Tjenestene skal holdes tilgjengelig i så stor grad som mulig utenfor planlagt eller nødvendig vedlikehold som ikke kan varsles, men er ikke ansvarlig for manglende tilgjengelighet som skyldes underleverandører eller forhold utenfor Geodatas kontroll. Enkelte Produkter leveres av leverandører som ikke er innenfor Geodatas kontroll, hvor Geodata kun videreselger/formidler Tjenestene. I slike tilfeller må da leverandøren kontaktes om forhold knyttet til Tjenestene.
Geodata eller leverandører vil kunne gjøre endringer og forbedringer av Produktene som kan endre funksjonalitet, tilgjengelighet og andre forhold knyttet til Produktene. Ved vesentlige endringer som påvirker bruk av Produkter som er laget av Geodata, vil Geodata varsle Kunden i rimelig tid om mulig. Varsel fra andre leverandører følger disse leverandørenes varslingsrutiner.
Geodata har rett til å suspendere tilgang til Produktene uten varsel og med umiddelbar virkning dersom Kundens bruk av Produktene eller andre forhold knyttet til Kunden medfører en negativ innvirkning på Geodatas eller leverandørs nettverk, infrastruktur, tjenesteplattform, ytelser og tjenester til andre kunder eller lignende. Tilsvarende gjelder om Geodata har rimelig grunn til å mistenke at Kunden bryter Vilkårene eller bruker Produktene på en ulovlig eller uredelig måte. Geodata skal så snart som mulig varsle Kunden om slik suspensjon, bakgrunnen for denne, sannsynlig varighet og annen informasjon som Kunden med rimelighet kan kreve. Suspensjon som skyldes Kundens forhold, fritar ikke Kunden fra forpliktelsen til å betale alle vederlag knyttet til Produktene.
Geodata yter vedlikehold og teknisk support for produkter som er bestilt fra Geodata i henhold til vilkår for vedlikehold og support eller i lisensbetingelser for enkelte produkter.
Andre rettigheter og plikter for Geodata kan følge av de øvrige deler av Vilkårene.
- Kundens rettigheter og plikter
For å kunne ta Produktene i bruk, må det registreres kundekonto for visse produkter.
Kundens bruk av Produktene skal være i overensstemmelse med Vilkårene og eventuelle vilkår fra produsent av Produktene.
Tilgang til Produktene vil kunne være sikret gjennom passord og eventuelle andre sikkerhetsmekanismer. Kunden er selv ansvarlig for at uvedkommende ikke får tilgang til passord og/eller Produktene. I tilfelle Kunden administrerer selv hvilke brukere som skal ha tilgang til Produktene, se punkt 9.2, er Kunden er ansvarlig for alle tilganger som er gitt brukere, samt at brukerne er kjent med Vilkårene og vilkår fra leverandører og følger disse.
Kunden skal iverksette alle rimelige tiltak for å forhindre uautorisert tilgang til eller bruk av Produktene, umiddelbart varsle Geodata om uautorisert tilgang eller bruk samt samarbeide med Geodata om å avdekke hva som har skjedd og gjenopprette sikring av Produktene og annet som Geodata kan ha behov for i en slik situasjon.
Kunden skal ikke undersøke kode, funksjonalitet, grensesnitt, tekniske løsninger, infrastruktur, koblinger mot andre løsninger (API), dekompilere mv. i større grad enn nødvendig for å bruke Produktene i overensstemmelse med Vilkårene. Kunden skal ikke selv eller gjennom andre utnytte Produktene på annen måte enn beskrevet, informert og skriftlig akseptert av Geodata, herunder sende data i store menger eller teste Produktene (som stresstest, portskanning mv.), skrape data, informasjon, bilder og annet. Se også punkt 9 om rettigheter til Produktene.
Kunden skal kun bruke Geodatas eller leverandørs foretaksnavn, logo, varemerke, produktmerker eller annet som kan knyttes til Geodata etter skriftlig forhåndssamtykke fra Geodata, og følge retningslinjer for markedsføring og design for Produktene.
Det kan også følge andre rettigheter og plikter for Kunden i andre deler av Vilkårene.
- Spesielt om kjøp av produkter fra Esri
Esri er leverandør av Esri-produkter som er tilgjengelige for kjøp fra Geodata, herunder i Geodatas nettbutikk.
Med mindre det er avtalt en separat lisensavtale med Esri, skal alle bestilte Esri-produkter brukes i henhold til Esris standard lisensvilkår og betingelser, som er tilgjengelige på Esris nettsider, og som oppdateres her. Se også generelle vilkår for Esris produkter på norsk her.
- Forbrukerkjøp
Om Kunden er forbruker, dvs. anskaffer Produktene til eget bruk og som ikke hovedsakelig handler som ledd i næringsvirksomhet, så gjelder forbrukerkjøpsloven, lov om levering av digitale ytelser til forbrukere (digitalytelsesloven) og angrerettloven. Det vises til disse lovene for Kundens rettigheter som forbruker, og disse lovene går foran Vilkårene i den grad lovene er ufravikelige.
Før kjøp i nettbutikken, kan Kunden velge alternativet for automatisk fornyelse av lisens eller abonnementsperioden. Ved å velge alternativet for automatisk fornyelse, aksepterer Kunden automatisk fornyelse av lisensen eller abonnementsperioden for de kjøpte Produktene for etterfølgende perioder som er like lange som den opprinnelige lisens- eller abonnementsperiode.
Prisen for fornyelsen av Produktene vil være som oppgitt ved kjøp, og før fornyelsesdatoen vil Geodata sende minst én e-post for å minne om den kommende fornyelsen og prisen for fornyelsen.
Kortinformasjonen oppgitt for opprinnelige bestilling vil bli brukt om dette kortet er fremdeles gyldig, og vederlag for fornyelse samt gjeldende avgifter vil bli belastet dette kortet inntil Kunden kansellerer eller endrer betalingsmetoden for det angitte kortet.
Kunden kan kansellere automatisk fornyelse når som helst før fornyelsen, og retten til bruk av Produktene vil da gjelde ut gjeldende avtaleperiode.
Du har også som forbruker angrerett ved kjøp av Produkter fra Geodata. Angreretten utøves ved å sende melding til Geodata innen 14 dager etter du mottok Produktet (som link til nedlastning av Programvare eller tilgang til Tjeneste) ved å ta kontakt med Geodata, se kontaktopplysninger nedenfor. Dersom fristen går ut på en helligdag, forlenges fristen til neste hverdag.
Ved å inngå denne Avtalen samtykker du til at oppstart av bruk av Produkter begynner før angrefristen utløper, og at du må betale for den bruk du har hatt frem du bruker angreretten. Du samtykker også til at du får tilgang til Produkter umiddelbart og at din angrerett bortfaller så snart bruken av Produktene starter jf. angrerettloven § 22 bokstav n. Angreretten gjelder ikke ved endring eller fornyelse av eksisterende avtale.
- Rettigheter til Produktene, innhold og data
- Geodatas og leverandørers rettigheter
Geodata, leverandører av Produkter og underleverandører som leverer funksjonalitet og løsninger til Produktene, beholder alle immaterielle rettigheter og andre rettigheter knyttet til Produktene, andre tjenester og eventuelle leveranser som måtte leveres til Kunden, herunder rettigheter til teknologi, all kode, design og grensesnitt, maler, dokumentasjon, hjelpefiler og opplæringer. Kunden har kun den bruksrett som følger av punkt 9.2.
Dersom Kunden, ansatte hos Kunden eller brukere Kunden har gitt tilgang gir innspill til endringer eller forbedringer i Produktene eller andre ytelser fra Geodata, kan Geodata bruke slike tilbakemeldinger eller forslag uten begrensning eller forpliktelse.
For rettigheter til Esri-produkter, se punkt 7 ovenfor.
- Rett til å bruke Produktene
Kunden får en ikke-eksklusiv, gjenkallelig, begrenset rett til å bruke Produktene i egen virksomhet («bruksrett»), eller for eget bruk som forbruker, som regulert i Vilkårene såfremt Kunden har betalt det til enhver tid gjeldende vederlag for bruk av Produktene.
Bruksretten kan ikke overdras eller overføres, herunder ved videresalg eller å yte tjenester for andre, med mindre noe annet eksplisitt fremgår av Vilkårene. Den enkelte brukers konto er personlig og skal knyttes til brukerens reelle e-postadresse. Det er ikke tillatt å videreselge, gi bort eller spre brukerinformasjon.
Bruksretten er knyttet til det antall brukere eller det omfang i bruk som Kunden har betalt vederlag for om det er slike begrensinger i bruk av Produktene. Kunden fordeler selv tilganger til sine aktuelle brukere og kan over tid endre hvilke personer som skal ha tilgang. Samme tilgang skal ikke benyttes av flere personer.
Produktene kan kun brukes i den juridiske enhet som anses som Kunde, se punkt 1 i Vilkårene. Foreninger, nettverk, medlemsorganisasjoner og andre sammenslutninger av virksomheter kan ikke tegne abonnement og distribuere brukertilganger til medlemsbedrifter eller ansatte i andre virksomheter. Geodata skal ha et direkte kundeforhold til hver enkelt juridisk enhet.
Det kan følge andre vilkår fra leverandører av Produkter som Geodata er forhandler av og videreselger. Kunden må sette seg inn i disse vilkårene. For rettigheter til Esri-produkter, se punkt 7 ovenfor.
- Rettigheter til data og informasjon
Geodata eller leverandørene har alle rettigheter til informasjon som gjøres tilgjengelig i Produktene, herunder tekst, bilder, tegninger, illustrasjoner, data, informasjon, tabeller mv. Kunden skal på ingen måte lagre, samle inn, organisere, bruke eller endre dette på annen måte enn det som er nødvendig for å bruke Produktene.
Kunden har retten til de data og innhold som denne legger inn i Produktene, og slike data og innhold vil slettes fra det tidspunkt Avtalen eller retten til bruk av Produktene opphører. Kunden er selv ansvarlig for å sikre data i Produktene før slik sletting.
Geodata kan generere informasjon som tekniske logger, data og statistikk samt personopplysninger om Kundens og brukeres bruk av Produktene og innholdet som behandles som en følge av Produktene. Geodata kan bruke slike data til å analysere, forbedre og støtte Produktene, herunder maskinlæring og kunstig intelligens, sikkerhet, funksjonalitet og andre formål.
Det kan følge andre vilkår fra leverandører av Produkter som Geodata er forhandler av og videreselger. Kunden må sette seg inn i disse vilkårene. For rettigheter til Esri-produkter, se punkt 7 ovenfor.
- Behandling av personopplysninger og informasjonsutsendelse
For personopplysninger som Geodata eller annen leverandør behandler på vegne av Kunden som følge av Kundens bruk av Produktene, er Geodata eller den enkelte leverandør databehandler. Behandling av personopplysninger reguleres av databehandleravtalen som er vedlagt Vilkårene eller den databehandleravtale som den enkelte leverandør har gjort tilgjengelig.
Geodata er behandlingsansvarlig for all behandling hvor Geodata bestemmer formålet med behandlingen og hvordan behandlingen skal skje. Det omfatter blant annet informasjon om Kunden, tekniske data, logger mv. knyttet til Produktene. Se for øvrig Geodatas personvernerklæring på Geodatas nettsider.
Kunden aksepterer at det sendes ut informasjon om Produktene og tilknyttet informasjon, herunder endringer i Produktene. Slik informasjon sendes basert på de kontaktopplysninger som Kunden har oppgitt samt til brukere av Produktene, om Geodata har disse opplysningene.
Geodata lagrer ikke kortinformasjon i våre systemer, og informasjon vil bli samlet inn av tredjepartsløsningen som brukes til håndtering av kredittkorttransaksjoner, Stripe Inc., se mer i Stripes personvernerklæring.
- Mislighold og ansvar
Foreligger det mislighold fra en av partene, skal den andre part varsle skriftlig om misligholdet innen rimelig tid fra misligholdet ble oppdaget eller burde vært oppdaget. Den misligholdende part skal da bringe forholdet i orden så snart som mulig.
Bringes ikke forholdet i orden, og dette kan anses som vesentlig mislighold, kan Vilkårene heves helt eller delvis for det forhold som misligholdet gjelder. Heving kan i slike tilfelle skje med øyeblikkelig virkning.
Ved forsinket betaling kan Geodata kreve forsinkelsesrenter etter forsinkelsesrenteloven. Ved forsinket betaling fra Kunden kan Geodata holde tilbake en forholdsmessig del av sin ytelse, for eksempel stenge Kundens tilgang til Produktene midlertidig. Manglende betaling utover 30 dager etter betalingsvarsel anses å være vesentlig mislighold.
Ved mislighold kan det kreves prisavslag eller erstatning for å dekke tap eller kostnader som er påført med de begrensninger som følger av Vilkårene.
Partene er ikke ansvarlig for indirekte tap som den andre part påføres. Som indirekte tap regnes blant annet tap på grunn av driftsavbrudd eller andre grunner til at Produktene ikke er tilgjengelig, tap av data, tapt fortjeneste og krav fra tredjepart.
Samlet erstatning er uansett begrenset til det vederlag Kunden har betalt for det Produkt forholdet gjelder de foregående 12 månedene før eventuelt skadevoldende forhold oppsto, inkludert eventuelt krav om tilbakeføring av vederlag ved heving.
Disse begrensningene gjelder imidlertid ikke hvis den misligholdende part eller noen denne svarer for, har utvist grov uaktsomhet eller forsett.
Partene er heller ikke ansvarlige dersom deres ytelse eller plikter etter Vilkårene forhindres eller vanskeliggjøres av omstendigheter som parten ikke med rimelighet kunne ha forutsett eller råde over (fritakelsesgrunner eller force majeure). Slike omstendigheter omfatter blant annet det som regnes som fritakelsesgrunner etter norsk rett, herunder/samt brann, arbeidskonflikter, leveranse fra underleverandører eller tilgangsnettoperatør (blant annet til telenett og internett), mangel på energi, pandemi, terrorisme, naturkatastrofer, og endringer i lov- og regelverk.
Merk at her kan det gjelde andre regler for forbrukere, se punkt 8 ovenfor.
- Konfidensialitet
Partene skal ikke utnytte, gis tilgang til eller utlevere informasjon mv. som etter en forsiktig vurdering må anses som konfidensiell for den andre part, blant annet informasjon om partene, informasjon i Produktene eller annen informasjon om forretningsmessige forhold, teknologi, funksjonalitet, brukergrensesnitt, tilganger og data. Partene skal behandle informasjonen med tilstrekkelig grad av konfidensialitet for å opprettholde, beholde og beskytte informasjonen. Konfidensialitetskravet gjelder både mens Vilkårene gjelder og etter dette. Er en part i tvil om informasjon er konfidensiell, skal den andre part forespørres før informasjon utnyttes, utleveres, gis tilgang mv.
Kunden kan ikke selv eller bidra til at andre utvikler samme eller lignende funksjonalitet eller produkter som Produktene.
Konfidensialiteten omfatter ikke informasjon som er nødvendig for utøvelsen av rettigheter og plikter etter Vilkårene for å administrere forholdet til Vilkårene eller utlevering som er pålagt etter lov.
- Overdragelse
Kunden kan ikke overdra sine rettigheter og forpliktelser etter Vilkårene uten forutgående skriftlig samtykke fra Geodata. Geodata kan fritt overdra rettigheter og forpliktelser etter Vilkårene.
- Endringer av Vilkårene
Geodata kan endre Vilkårene med én måneds skriftlig varsel til den e-postadresse som er oppgitt av Kunden.
- Lovvalg og tvister
Partenes rettigheter og plikter etter Vilkårene reguleres av norsk rett.
Oppstår det tvist mellom partene om tolkningen eller rettsvirkningene av Vilkårene, skal tvisten søkes løst ved forhandlinger. Hvis slike forhandlinger ikke fører frem innen én måned, kan hver av partene bringe tvisten inn for norske domstoler for endelig avgjørelse.
Oslo avtales som eksklusivt verneting.
- Kontaktopplysninger
Informasjon og kontaktopplysninger om Geodata:
Geodata AS
Foretaksnr.: 893 136 932
Tlf: +47 23 24 90 00
Epost: geodata@geodata.no
Du kan kontakte oss også her: https://www.geodata.no/kontakt.
--------------
Sist oppdatert: 03.2025
Databehandleravtale
- Inngåelse
Denne databehandleravtale er inngått mellom Kunde som angitt i avtalen (Hovedavtalen) som databehandleravtalen er en del av («Behandlingsansvarlig») og Netto i samme avtale («Databehandler»).
- Innledning
- Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.
- Disse Vilkårene er utformet med for å sikre partenes etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).
- I forbindelse med avtale mellom behandlingsansvarlig og databehandler om leveranse (Hovedavtalen) som disse Vilkårene er knyttet til behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene.
- Vilkårene har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.
- Det er fire vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene.
- Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen av personopplysninger, kategoriene av registrerte og behandlingens varighet.
- Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent.
- Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.
- Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av Vilkårene.
- Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.
- Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.
3 Den behandlingsansvarliges rettigheter og plikter
- Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes1 nasjonale rett og disse Vilkårene.
- Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
- Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.
4 Databehandleren handler etter instrukser
- Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.
- Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett.
5 Konfidensialitet
- Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.
- Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.
6 Sikkerhet ved behandlingen
- Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.
Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:
- pseudonymisering og kryptering av personopplysninger
- evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene
- evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
- en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
- Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.
- Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.
Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.
- Bruk av underdatabehandlere
- Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).
- Databehandleren må således ikke bruke en underdatabehandler for å oppfylle Vilkårene uten på forhånd å ha innhentet en generell skriftlig godkjennelse fra den behandlingsansvarlige.
- Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med minst fire ukers varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Lengre varslingsfrister for spesifikke underdatabehandlertjenester kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent fremgår av vedlegg B.
- Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning.
Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordningen.
- En kopi av slik underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.
- Databehandleren skal i underdatabehandleravtalen inkludere den behandlingsansvarlige som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at den behandlingsansvarlige kan tre inn i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandler, hvilket for eksempel setter den behandlingsansvarlige i stand til å instruere underdatabehandleren om å slette eller tilbakeføre personopplysningene.
- Hvis underdatabehandleren ikke oppfyller sine personopplysningsvernforpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen – særlig de nedfestet i personvernforordningen artikkel 79 og 82 – overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren.
- Overføring til tredjeland eller internasjonale organisasjoner
- Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.
- Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert av den behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning.
- Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren innenfor rammene av disse Vilkårene således ikke:
- overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon
- overlate behandling av personopplysninger til en underdatabehandler i et tredjeland
- behandle personopplysningene i et tredjeland
- Den behandlingsansvarliges instruks når det gjelder overføring av personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, skal angis i vedlegg C.6.
- Disse Vilkårene skal ikke forveksles med standard personvernbestemmelser som omhandlet i personvernforordningen artikkel 46 nummer 2 bokstav c og d, og disse Vilkårene kan ikke utgjøre et grunnlag for overføring av personopplysninger under personvernforordningen kapittel V.
- Bistand til den behandlingsansvarlige
- Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.
Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:
- opplysningsplikten ved innsamling av personopplysninger fra den registrerte
- opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
- den registrertes rett til innsyn
- retten til retting
- retten til sletting («retten til å bli glemt»)
- retten til begrensning av behandling
- underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
- retten til dataportabilitet
- retten til å protestere
- retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering
- I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Vilkårene 6.3, bistår databehandleren også, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, den behandlingsansvarlige med:
- den behandlingsansvarliges forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, i Norge (Datatilsynet), med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter
- den behandlingsansvarliges forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter
- den behandlingsansvarliges forpliktelse til før behandlingen å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (vurdering av personvernkonsekvenser)
- den behandlingsansvarliges forpliktelse til å rådføre seg med den kompetente tilsynsmyndigheten, i Norge (Datatilsynet), før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.
- Partene skal i vedlegg C oppgi de egnede tekniske og organisatoriske tiltakene gjennom hvilke databehandleren skal bistå den behandlingsansvarlige, samt omfanget og utstrekningen av den påkrevde bistanden. Dette gjelder for forpliktelsene som følger av Vilkårene 9.1. og 9.2.
- Underretning om brudd på personopplysningssikkerheten
- Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det.
- Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje innen 24 timer etter at databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten, jf. personvernforordningen artikkel 33.
- I overensstemmelse med Vilkår 9 nummer 2 bokstav a skal databehandleren bistå den behandlingsansvarlige med å melde bruddet til den kompetente tilsynsmyndigheten. Det innebærer at databehandleren skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsynsmyndigheten:
- arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt
- de sannsynlige konsekvenser av bruddet på personopplysningssikkerheten
- de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
- Partene skal i vedlegg C oppgi all informasjon som databehandleren skal fremskaffe når vedkommende bistår den behandlingsansvarlige med å melde brudd på personopplysningssikkerheten til den kompetente tilsynsmyndigheten.
- Sletting og returnering av opplysninger
Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet eller levere tilbake alle personopplysningene og slette eksisterende kopier, etter behandlingsansvarliges valg, med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.
- Revisjon, herunder inspeksjon
- Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandleren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.
- Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.7 og C.8.
- Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til den behandlingsansvarliges eller databehandlerens lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon.
- Partenes avtale om andre forhold
- Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunnleggende rettigheter og friheter og beskyttelsen som følger av personvernforordningen.
- Ikrafttredelse og opphør
- Vilkårene trer i kraft samtidig med Hovedavtalen.
- Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhensiktsmessigheter i Vilkårene gir grunn til dette.
- Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.
- Hvis leveringen av databehandlertjenestene opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i overensstemmelse med Vilkårene 11.1 og vedlegg C.4, kan Vilkårene sies opp med skriftlig varsel av begge partene.
- Kontaktpersoner hos den behandlingsansvarlige og databehandleren
- Partene kan kontakte hverandre via kontaktpersoner som oppgis til hverandre.
- Partene forplikter seg til å orientere hverandre løpende om endringer som gjelder kontaktpersoner.
Vedlegg A Opplysninger om behandlingen
A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
Formålet med behandlingen er å oppfylle Hovedavtalen og levere Tjenestene.
A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal primært dreier seg om (behandlingens art):
For å få tilgang til Tjenesten, må Behandlingsansvarlig gi visse opplysninger til Databehandler, som navn og e-postadresse, herunder til brukere. I tillegg vil Databehandler behandle de personopplysninger som gjelder de Produkter (etter Hovedavtalen) som Behandlingsansvarlig (Kunden) bestiller. Hvilken behandling dette er, er avhengig av hvilke Produkter Kunden bestiller og bruker.
A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte:
Navn og epostadresse til brukere. Databehandler vil behandle de personopplysninger som gjelder de Produkter (etter Hovedavtalen) som Behandlingsansvarlig (Kunden) bestiller. Hvilken behandling dette er, er avhengig av hvilke Produkter Kunden bestiller og bruker.
A.4. Behandlingen omfatter følgende kategorier av registrerte:
Brukere hos Behandlingsansvarlig.
A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynne etter at Vilkårene har trådt i kraft. Behandlingen har følgende varighet:
Behandlingen skal skje etter behandlingsansvarliges instruks, og behandlingen skjer inntil bruken av Produktene Behandlingsansvarlig har bestilt og bruker opphører.
Ved opphør av databehandlertjenestene vil databehandleren slette personopplysningene i overensstemmelse med Vilkårene 11.1.
Vedlegg B Underdatabehandlere
B.1. Godkjente underdatabehandlere
Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken de databehandlere som er knyttet til de Produkter som Behandlingsansvarlig har bestilt og bruker. Hvilke dette er kan Behandlingsansvarlig få oppgitt ved å kontakte Databehandleren.
Vedlegg C Instruks for behandling av personopplysninger
C.1. Behandlingens gjenstand/instruks for behandlingen
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved å oppfylle Hovedavtalen og denne databehandleravtalen.
C.2. Informasjonssikkerhet
Databehandleren skal sikre personopplysningene at det gjennomføres egnede tekniske og organisatoriske tiltak for å sikre personopplysning som behandles etter avtalen hensyntatt hva som er teknisk mulig, kostnader ved sikringen, og behandlingen av personopplysning som skal gjøres og risikoen ved slik behandling knyttet til personvernet til de som personopplysningene er knyttet til. Herunder, avhengig av hva som er nødvendig og egnet for sikringen:
- pseudonymisering og kryptering av personopplysningene
- sikring av konfidensialitet, integritet, tilgjengelighet og robusthet i systemene som behandler personopplysninger
- mulighet til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
- en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
Det skal gjøres tiltak for å sikre at de som har tilgang til personopplysninger behandler disse bare etter instruks fra den behandlingsansvarlige og denne avtalen, med mindre det foreligger unntak etter lovgivningen.
C.3 Bistand til den behandlingsansvarlige
Databehandleren skal i den grad det er mulig – i det nedenfor beskrevne omfang og utstrekning – bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2 ved å gjennomføre følgende tekniske og organisatoriske tiltak:
Bistand til behandlingsansvarlig av databehandler skal følge den bistandsplikt som er pålagt etter personvernregelverket, herunder personvernforordningen og personopplysningsloven.
Bistand fra databehandleren til behandlingsansvarlig ut over det som følger av denne avtalen og som er plikter som tilligger databehandleren etter personvernregelverket, vil måtte utføres etter databehandlerens til enhver tid gjeldende timesatser som bistand. Dette gjelder oppgaver som å slette personopplysninger utenfor det som gjøres automatisk eller behandlingsansvarlig kan gjøre gjennom løsningen, gi innsyn i personopplysning ut over det som kan gjøres gjennom løsningen, bistå behandlingsansvarlig med risikovurderinger og dokumentasjon, mv.
C.4 Oppbevaringsperiode/sletteprosedyrer
Se punkt A.5 ovenfor.
C.5 Lokasjon for behandling
Behandling av personopplysninger som omfattes av Vilkårene kan ikke, uten den behandlingsansvarliges skriftlige godkjennelse etter Vilkårenes punkt 8, finne sted på andre lokasjoner enn de lokasjon som gjelder for underdatabehandlere etter punkt B.1.
C.6 Instruks for overføring av personopplysninger til tredjeland
Databehandleren kan kun overføre personopplysninger til tredjeland dersom behandlingsansvarlig har skriftlig samtykket til slik overføring, og det foreligger et lovlig grunnlag for overføring.
Hvis ikke den behandlingsansvarlige i Vilkårene eller etterfølgende gir en dokumentert instruks som gjelder overføring av personopplysninger til et tredjeland eller internasjonal organisasjon, kan ikke databehandleren, innen rammene av Vilkårene, gjennomføre slike overføringer.
C.7 Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av behandlingen av personopplysninger som er overlatt til databehandleren
Ingen utover det som er regulert i personvernforordningen (GDPR) artikkel 28.
Vedlegg D Partenes regulering av andre forhold
Følgende endringer skal gjøres i Vilkårene:
Punkt 7.6 skal utgå.
I punkt 9.2.a slettes «og når det er mulig, senest 72 timer».
I punkt 10.2 skal «om mulig skje innen 24 timer» erstattes med «uten ugrunnet opphold».