Brukeravtale – alminnelige vilkår

Disse alminnelige vilkårene (Alminnelige vilkår) regulerer partenes rettigheter og plikter i forbindelse med levering av løpende tjenester over internett («as a service»-leveranser) Diginor til Diginor kunder (Kunden). Diginor og Kunden omtales hver for seg som Part, Diginor eller Kunde, samlet som Partene. Ved bestilling bekrefter kunden sin aksept av de alminnelige vilkårene og eventuelle Tilleggsavtaler. Avtalen trer i kraft på datoen for ordrebekreftelse, eller ved Kundens bruk av Tjenestene. Kunderepresentanten som opptrer på Kundens vegne, antas å ha gyldig bemyndigelse fra Kunden. Diginor holdes ikke ansvarlig hvis nødvendige fullmakter ikke foreligger. Diginor er en tjenesteyter hvor Brukeren kan få utført diverse tjenester i forbindelse med utstedelse og oppfølging av regninger. Eksempler på dette er registrering av regning, utsendelse av regning, utsendelse av kopier, oppfølging av sendte regninger. Brukeren er ansvarlig for at regninger som sendes gjelder lovlige krav. Diginor kan ikke bruke de registrerte opplysningene til andre ting enn å utføre de tjenester som Brukeren bestiller samt oppgaver som har med dette å gjøre. Diginor har rett til å stenge kontoen ved manglende betaling fra Brukeren eller Ved misbruk som for eksempel utstedelse av regninger i strid med gjeldende lover og regler. Tjenestene er nettbaserte og driftes og vedlikeholdes av Diginor. Kunden kjøper et abonnement på Tjenestene som gjøres tilgjengelig via skytjenester. Tjenestene skal være tilgjengelige for Kunden fra datoen for Oppstartsdagen. Tilleggstjenester kan gjøres tilgjengelige på et separat tidspunkt. Diginor gir Kunden en begrenset, oppsigelig, ikke-eksklusiv og ikke-overførbar bruksrett til å benytte Tjenestene for egne, interne, forretningsmessige forhold så lenge Avtalen gjelder. Kundens rett til å benytte Tjenestene er avhengig av Kundens rettidige betaling. Kunden er innforstått med at bruk av Tjenestene forutsetter kompatibel datamaskinprogramvare og maskinvare, samt tilkobling til internett (Systemkrav). Det er Kundens ansvar at Kundens systemer og driftsmiljø er operative og oppfyller de til enhver tid gjeldende Systemkrav. Kunden kan ikke overdra rettigheter og plikter etter Avtalen uten samtykke fra Diginor. Diginor har rett til å overdra eller på annen måte overføre til andre, rettigheter og forpliktelser mellom partene. Diginor yter support til Kunden på Tjenestene, forutsatt at Tjenestene er brukt i tråd med Avtalen. Det gis ikke support av juridisk og regnskapsmessig karakter. Diginor forbeholder seg retten til å gjennomføre nødvendig vedlikehold og oppgraderinger som medfører midlertidig utilgjengelighet på Tjenestene. Tjenestene leveres som de er, uten garantier for feilfrihet eller egnethet for bestemte formål. Tjenestene har ingen garantert tilgjengelighetsgrad, og Kunden har ikke rett til å kreve kompensasjon fra Diginor ved utilgjengelighet og driftsforstyrrelser. Dersom Diginor ved utførelsen av tjenesten skal behandle personopplysninger, skal Diginor sikre tilfredsstillende behandling i tråd med personopplysningsregelverket. Diginor skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger. Diginor skal dokumentere at informasjonssystemet og sikkerhetstiltakene er tilfredsstillende. Dokumentasjonen skal på forespørsel være tilgjengelig for Kunden og dennes revisorer, samt for Datatilsynet og Personvernnemnda. Diginor skal sørge for at eventuelle underleverandører Diginor benytter, og som behandler personopplysninger, påtar seg tilsvarende forpliktelser. Bruken av Tjenestene kan innebære at personopplysninger overføres fra Kunden til Diginor slik at Diginor behandler personopplysninger på vegne av Kunden. I et slikt tilfelle er Kunden behandlingsansvarlig og Diginor databehandler etter den norske personopplysningsloven og EUs forordning 679/2016 GDPR (personvernforordningen). Det må da inngås en databehandleravtale mellom Diginor og Kunden (Databehandleravtalen), og ved aksept av de Alminnelige vilkårene aksepteres også Databehandleravtalen som regulerer ansvar og forpliktelser ved behandling av personopplysninger i tråd med personopplysningsregelverket. Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til personvernforordningens art. 83. Diginor tar forbehold om ensidig endring av vilkårene i Avtalen, inkludert, men ikke begrenset til, endringer i tjenestenivået.

Databehandleravtale

Denne databehandleravtalen skal sikre at både behandlingsansvarlig (Bruker) og databehandler (Diginor.no) forstår sine forpliktelser og sitt ansvar ved behandling av personopplysninger. Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til den generelle brukeravtalen for Diginor-tjenestene mellom partene.

Bakgrunn

Databehandler behandler personopplysninger på vegne av behandlingsansvarlig på bakgrunn av det som er nevnt ovenfor. Avtalens hensikt er å regulere rettigheter og plikter i henhold til Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). I tillegg regulerer avtalen Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (i det følgende samlet omtalt som «personvernlovgivningen»). Databehandler skal behandle personopplysninger på den måten som er beskrevet i denne avtalen, samt på annen måte dersom dette er skriftlig avtalt mellom databehandler og behandlingsansvarlig. Begreper og definisjoner benyttet i avtalen skal forstås på samme måte som i personvernlovgivningen.

Formål, behandlingens art og typer opplysninger som behandles

Diginor er databehandler og leverer nettbaserte tjenester der brukere kan registrere personopplysninger. Hvilke opplysninger som registreres i tjenestene er overlatt til behandlingsansvarlig i den grad det er tilrettelagt for å registrere opplysningene i tjenesten. Noen felt er påkrevd for å kunne bruke tjenesten. Databehandler stiller tjenestene på https://app.diginor.no til rådighet for at behandlingsansvarlig skal kunne lagre personopplysninger om sine kunder inne i tjenestene. Personopplysninger som behandlingsansvarlig kan registrere inne i tjenesten består blant annet av navn, adresse, kontonummer, personnummer, e-postadresse og telefonnummer på privatkundene. Det er også felt for e-postadresse som eventuelt kan knyttes til en enkeltperson for bedriftskunder eller enkeltpersonforetak.

Behandlingsansvarliges rettigheter og plikter

Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24). Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme formål og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7). Den behandlingsansvarlige gir gjennom denne avtalen og hovedavtalen databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a). Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1

Databehandlers plikter

Databehandler bekrefter at det vil gjennomføres tekniske og organisatoriske tiltak som sikrer at all behandling under denne avtalen oppfyller kravene i personvernlovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandleren skal ikke behandle personopplysninger som det er tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandleren har for den Behandlingsansvarlige. Databehandler skal bistå i å svare på anmodninger fra registrerte, hensyntatt behandlingens art, og i den grad det er mulig, bistå ved hjelp av egnede tekniske og organisatoriske tiltak. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter samt bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder ved vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt den informasjonen som er tilgjengelig for databehandler. Databehandler skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den behandlingsansvarlige, som skal inneholde minimum den informasjonen som er pålagt etter personvernforordningen artikkel 30. Den behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll. Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i punkt 3 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Den behandlingsansvarlige har selv det direkte ansvaret overfor aktuelle tilsynsmyndigheter. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Databehandleren skal ikke utlevere opplysninger eller informasjon som behandles for den behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den behandlingsansvarlige. Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernlovgivningen eller annen lovgivning, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om dennes oppfatning.

5. Sikkerhet og avvik

Databehandler skal kunne vise til rutiner og andre tiltak for å oppfylle krav til sikkerhetstiltak som stilles etter personopplysningslovgivningen. Dokumentasjonen skal være tilgjengelig på den behandlingsansvarliges forespørsel Dersom det oppdages sikkerhets- eller personvernbrudd, skal databehandleren varsle den behandlingsansvarlige uten ugrunnet opphold. Det er behandlingsansvarlig som er ansvarlig for at avviksmelding sendes til Datatilsynet.

6. Overføring til utlandet

Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter instruks fra den behandlingsansvarlige. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personvernlovgivningen er ivaretatt.

7. Avtalens varighet

Behandlingen som er gjeldende i denne avtalen er ikke tidsbegrenset og varer inntil hovedavtalen sies opp av en av partene, eller ved brudd på til enhver tid gjeldende lov. Ved brudd på avtalen eller gjeldende lover kan behandlingsansvarlig stoppe den videre behandlingen av personopplysningene med umiddelbar virkning. Ved opphør av avtalen må behandlingsansvarlige selv hente ut nødvendige data for dokumentasjon før avtalen termineres. Data lagres da hos behandlingsansvarlige, som selv påtar seg det totale ansvar for datasikkerheten. Ved opphør av den generelle brukeravtale og databehandleravtalen plikter databehandler etter den behandlingsansvarliges instruksjon å slette alle personopplysninger som er registrert i https://app.diginor.no og også eventuelle sikkerhetskopier, med mindre det er et lovmesssig krav om at personopplysningene fortsatt skal lagres. Behandlingsansvarlig har det fulle ansvaret for å be om sletting og bekreftelse på at sletting er gjennomført. Ved oppsigelse gjelder hovedavtalen som en generell avtale for bruk av tjenestene

8. Lovvalg og verneting

Tvister om denne avtalen, samt tvister som angår de omtalte og derav følgende rettsforhold, hører inn under de ordinære domstoler, med databehandler til enhver tids gjeldende forretningsadresse som avgjørende for valg av verneting.

9. Personvernerklæring

Diginor forpliktet til å behandle personopplysninger på en forsvarlig måte og i henhold til Datatilsynet og GDPR.

10. Kommunikasjon

Behandlingsansvarlig og databehandler er enige om at kommunikasjon og utleveringer iht denne avtale gjøres elektronisk.