Data Processing Agreement
Databehandleravtale i henhold til artikkel 28, nr. 3, i forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger mellom brukeren av IPA People Suite og IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J heretter "databehandleren" som hver for seg er en "part" og sammen utgjør "parter" Har avtalt følgende standardkontraktsbestemmelser (Bestemmelsene) med henblikk på å overholde personvernforordningen og sikre beskyttelse av privatlivet og fysiske personers grunnleggende rettigheter og friheter 2. Preamble Disse Bestemmelsene fastsetter databehandlerens rettigheter og plikter når denne utfører behandling av personopplysninger på vegne av den behandlingsansvarlige. Disse bestemmelsene er utformet med henblikk på parternes etterlevelse av artikkel 28, nr. 3, i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om opphevelse av direktiv 95/46/EF (personvernforordningen). I forbindelse med databehandlerens levering av tjenester til den behandlingsansvarlige, behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i henhold til disse Bestemmelsene. Bestemmelsene skal ha forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom parter. Det hører fire vedlegg til disse Bestemmelsene, og vedleggene utgjør en integrert del av Bestemmelsene. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, inkludert behandlingsformål og karakter, type personopplysninger, kategorier av registrerte, og varighet av behandlingen. Vedlegg B inneholder den behandlingsansvarliges vilkår for databehandlerens bruk av underleverandører og en liste over underleverandører som den behandlingsansvarlige har godkjent. Vedlegg C inneholder den behandlingsansvarliges instrukser vedrørende databehandlerens behandling av personopplysninger, en beskrivelse av sikkerhetstiltak som databehandleren minst skal gjennomføre, og hvordan det føres tilsyn med databehandleren og eventuelle underleverandører. Vedlegg D inneholder bestemmelser angående andre aktiviteter som ikke er dekket av Bestemmelsene. Bestemmelsene med tilhørende vedlegg skal oppbevares skriftlig, inkludert elektronisk, av begge parter. Disse Bestemmelsene fritar ikke databehandleren fra forpliktelser som databehandleren er pålagt etter personvernforordningen eller annen lovgivning. 3. Den behandlingsansvarliges rettigheter og plikter Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i samsvar med personvernforordningen (se forordningens artikkel 24), personvernregler i annen EU-rett eller medlemsstatenes[1] nasjonal rett og disse Bestemmelsene. Den behandlingsansvarlige har rett og plikt til å treffe beslutninger om til hvilket(t) formål og med hvilke virkemidler behandling av personopplysninger skal finne sted. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det finnes et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres i å utføre. 4. Databehandleren handler etter instruks Databehandleren må kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til EU-rett eller medlemsstatenes nasjonal rett som databehandleren er underlagt. Denne instruksen skal være spesifisert i vedlegg A og C. Etterfølgende instruks kan også gis av den behandlingsansvarlige mens behandling av personopplysninger pågår, men instruksen må alltid være dokumentert og oppbevares skriftlig, inkludert elektronisk, sammen med disse Bestemmelsene. Databehandleren underretter omgående den behandlingsansvarlige hvis en instruks etter databehandlerens mening er i strid med denne forordningen eller personvernregler i annen EU-rett eller medlemsstatenes nasjonal rett. 5. Konfidensialitet Databehandleren må kun gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer som er underlagt databehandlerens instruksjonsmyndighet, som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og kun i den nødvendige utstrekning. Listen over personer som har fått tildelt tilgang, skal gjennomgås jevnlig. Basert på denne gjennomgangen kan tilgang til personopplysninger stenges hvis tilgangen ikke lenger er nødvendig, og personopplysningene skal heretter ikke være tilgjengelige for disse personene. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne demonstrere at de berørte personene som er underlagt databehandlerens instruksjonsmyndighet er underlagt den nevnte taushetsplikt. 6. Behandlingssikkerhet Personvernforordningens artikkel 32 fastslår at den behandlingsansvarlige og databehandleren, med hensyn til det aktuelle teknologiske nivå, implementeringskostnader og den aktuelle behandlings karakter, omfang, sammenheng og formål samt risikoene av varierende sannsynlighet og alvor for fysiske personers rettigheter og friheter, implementerer passende tekniske og organisatoriske tiltak for å sikre et beskyttelsesnivå som er passende i forhold til disse risikoene. Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og frihet som behandlingen medfører og gjennomføre tiltak for å imøtekomme disse risikoene. Avhengig av deres relevans kan det omfatte: Pseudonymisering og kryptering av personopplysninger Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet, og robusthet av behandlingssystemer og tjenester Evne til å rettidig gjenopprette tilgjengeligheten av og tilgangen til personopplysninger i tilfelle av en fysisk eller teknisk hendelse En prosedyre for regelmessig testing, vurdering, og evaluering av effektiviteten av de tekniske og organisatoriske tiltakene for å sikre behandlingssikkerhet. I henhold til forordningens artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter som behandlingen medfører og gjennomføre tiltak for å imøtekomme disse risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille nødvendig informasjon til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer. Dessuten skal databehandleren bistå den behandlingsansvarlige med overholdelse av den behandlingsansvarliges forpliktelser etter forordningens artikkel 32, blant annet ved å stille nødvendig informasjon til rådighet for den behandlingsansvarlige vedrørende tekniske og organisatoriske sikkerhetstiltak som databehandleren allerede har gjennomført i henhold til forordningens artikkel 32, og all annen informasjon som er nødvendig for den behandlingsansvarliges overholdelse av sin forpliktelse etter forordningens artikkel 32. Hvis imøtekommelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever gjennomføring av flere tiltak enn de som databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi de ekstra tiltakene som skal gjennomføres i vedlegg C. 7. Bruk av underdatabehandlere Databehandleren skal oppfylle vilkårene som er nevnt i personvernforordningens artikkel 28, nr. 2, og nr. 4, for å bruke en annen databehandler (en underdatabehandler). Databehandleren skal således ikke bruke en underdatabehandler for å oppfylle uten forutgående generell skriftlig godkjenning fra den behandlingsansvarlige. Databehandleren har den behandlingsansvarliges generelle godkjenning til å bruke underdatabehandlere. Databehandleren skal skriftlig informere den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tillegg eller utskiftning av underdatabehandlere med minst 1 måneds varsel og dermed gi den behandlingsansvarlige mulighet for å motsette seg slike endringer før bruk av den omtalte underdatabehandler(e). Lengre varsel for underretning i forbindelse med spesifikke behandlingsaktiviteter kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent, fremgår av vedlegg B. Når databehandleren bruker en underdatabehandler i forbindelse med utførelse av spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal databehandleren, gjennom en kontrakt eller annet rettslig dokument i henhold til EU-retten eller medlemsstatenes nasjonal rett, pålegge underdatabehandleren de samme personvernforpliktelsene som de som fremgår av disse Bestemmelsene, hvorved det særlig stilles de nødvendig garantier for at underdatabehandleren vil gjennomføre tekniske og organisatoriske tiltak på en slik måte at behandlingen overholder kravene i disse Bestemmelsene og personvernforordningen. Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Bestemmelsene og personvernforordningen. Underdatabehandleravtale(r) og eventuelle senere endringer hertil sendes – etter den behandlingsansvarliges anmodning herom – i kopi til den behandlingsansvarlige, som dermed har mulighet til å sikre seg at tilsvarende personvernforpliktelser som følger av disse Bestemmelsene er pålagt underdatabehandleren. Bestemmelser om kommersielle vilkår som ikke påvirker det personvernmessige innholdet i underdatabehandleravtalen skal ikke sendes til den behandlingsansvarlige. Hvis underdatabehandleren ikke oppfyller sine personvernforpliktelser, forblir databehandleren fullt ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter som følger av personvernforordningen, inkludert særlig forordningens artikkel 79 og 82, overfor den behandlingsansvarlige og databehandleren, inkludert underdatabehandleren. 8. Overføring til tredjeland eller internasjonale organisasjoner Enhver overføring av personopplysninger til tredjeland eller internasjonale organisasjoner må kun utføres av databehandleren på grunnlag av dokumentert instruks derom fra den behandlingsansvarlige og skal alltid skje i samsvar med personvernforordningens kapittel V. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner som databehandleren ikke er blitt instruert i å utføre av den behandlingsansvarlige, kreves i henhold til EU-rett eller medlemsstatenes nasjonal rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om dette juridiske kravet før behandling, med mindre den aktuelle retten forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser. Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren således ikke innen rammene av disse Bestemmelsene: overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon overlate behandling av personopplysninger til en underdatabehandler i et tredjeland behandle personopplysningene i et tredjeland Den behandlingsansvarliges instruks vedrørende overføring av personopplysninger til et tredjeland, inkludert eventuelt overføringsgrunnlag i personvernforordningens kapittel V som overføringen er basert på, skal angis i vedlegg C.6. Disse Bestemmelsene skal ikke forveksles med standardkontraktsbestemmelser som nevnt i personvernforordningens artikkel 46, nr. 2, bokstav c og d, og disse Bestemmelsene kan ikke utgjøre et grunnlag for overføring av personopplysninger som nevnt i personvernforordningens kapittel V. 9. Bistand til den behandlingsansvarlige Databehandleren bistår, med hensyn til behandlingens karakter, så langt som mulig den behandlingsansvarlige ved hjelp av passende tekniske og organisatoriske tiltak med oppfyllelse av den behandlingsansvarliges forpliktelse til å besvare forespørsler om utøvelsen av de registrertes rettigheter som fastlagt i personvernforordningens kapittel III. Dette innebærer at databehandleren så langt som mulig skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre etterlevelse av: informasjonspåbud ved innsamling av personopplysninger hos den registrerte informasjonspåbud hvis personopplysninger ikke er innsamlet hos den registrerte innsynsrett retten til retting retten til sletting ("retten til å bli glemt") retten til begrensning av behandling underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandlingen retten til dataportabilitet retten til innsigelse retten til å ikke være gjenstand for en beslutning basert utelukkende på automatisk behandling, inkludert profilering I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren også, med hensyn til behandlingens karakter og de opplysninger som er tilgjengelige for databehandleren, den behandlingsansvarlige med: den behandlingsansvarliges forpliktelse til uten unødvendig forsinkelse og om mulig senest 72 timer etter at den er blitt kjent med det, å varsle brudd på persondatasikkerheten til den kompetente tilsynsmyndigheten (Danmark: Datatilsynet), med mindre det er usannsynlig at bruddet på persondatasikkerheten medfører risiko for fysiske personers rettigheter eller friheter den behandlingsansvarliges forpliktelse til uten unødvendig forsinkelse å underrette den registrerte om bruddet på persondatasikkerheten når bruddet sannsynligvis vil medføre høy risiko for fysiske personers rettigheter og friheter den behandlingsansvarliges forpliktelse til før behandling å utføre en analyse av de tiltenkte behandlingsaktivitetenes konsekvenser for beskyttelse av personopplysninger (en konsekvensanalyse) den behandlingsansvarliges forpliktelse til å konsultere den kompetente tilsynsmyndigheten (Danmark: Datatilsynet), før behandling hvis en konsekvensanalyse om personvern viser at behandlingen vil føre til høy risiko i mangel av tiltak truffet av den behandlingsansvarlige for å begrense risikoen. 10. Underretning om brudd på persondatasikkerheten Databehandleren underretter uten unødvendig forsinkelse den behandlingsansvarlige etter å ha blitt oppmerksom på at det har skjedd et brudd på persondatasikkerheten. Databehandlerens underretning til den behandlingsansvarlige skal skje uten unødvendig forsinkelse og, om mulig, innen 24 timer etter at den er blitt kjent med bruddet, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å varsle bruddet på persondatasikkerheten til den kompetente tilsynsmyndigheten, jf. personvernforordningens artikkel 33. I henhold til Bestemmelse 9.2.a skal databehandleren bistå den behandlingsansvarlige med å anmelde bruddet til den kompetente tilsynsmyndigheten. Det betyr at databehandleren skal bistå med å tilveiebringe nedenstående informasjon, som ifølge artikkel 33, nr. 3, skal fremgå av den behandlingsansvarliges anmeldelse av bruddet til den kompetente tilsynsmyndigheten: karakteren av bruddet på persondatasikkerheten, inkludert, hvis mulig, kategoriene og det omtrentlige antallet berørte registrerte samt kategoriene og det omtrentlige antallet berørte registreringer av personopplysninger de sannsynlige konsekvensene av bruddet på persondatasikkerheten de tiltak som den behandlingsansvarlige har iverksatt eller foreslått å iverksette for å håndtere bruddet på persondatasikkerheten, inkludert hvis relevant, tiltak for å begrense potensielle skadelige effekter. Parter skal i vedlegg C angi den informasjon som databehandleren skal tilveiebringe i forbindelse med sin bistand til den behandlingsansvarlige i dennes forpliktelse til å varsle bruddet på persondatasikkerheten til den kompetente tilsynsmyndigheten. 11. Sletting og retur av opplysninger Ved opphør av levering av tjenester relatert til behandling av personopplysninger er databehandleren forpliktet til å slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet, med mindre EU-retten eller medlemsstatenes nasjonal rett foreskriver oppbevaring av personopplysningene. 12. Revisjon, inkludert inspeksjon Databehandleren stiller alle opplysninger som er nødvendige for å påvise overholdelse av personvernforordningens artikkel 28 og disse Bestemmelsene til rådighet for den behandlingsansvarlige og gir mulighet for og bidrar til revisjoner, inkludert inspeksjoner, som den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige, utfører. Prosedyrene for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, med databehandleren og underdatabehandlere er nærmere angitt i Vedlegg C. Databehandleren er forpliktet til å gi tilgang til tilsynsmyndigheter som etter gjeldende lovgivning har adgang til den behandlingsansvarliges eller databehandlerens fasiliteter, eller representanter som opptrer på tilsynsmyndighetens vegne, til databehandlerens fysiske fasiliteter mot behørig legitimasjon. 13. Ikrafttredelse og opphør Bestemmelsene trer i kraft på datoen for begge parters underskrift herav. Begge parter kan kreve Bestemmelsene gjenforhandlet hvis lovendringer eller uhensiktsmessigheter i Bestemmelsene gir grunn til det. Bestemmelsene er gyldige så lenge databehandleren leverer tjenester i forbindelse med behandling av personopplysninger. I denne perioden kan Bestemmelsene ikke sies opp, med mindre andre bestemmelser som regulerer levering av tjenester relatert til behandling av personopplysninger avtales mellom parter. Hvis leveringen av tjenester relatert til behandling av personopplysninger opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i samsvar med Bestemmelse 11.1 og Vedlegg C.4, kan Bestemmelsene sies opp skriftlig av begge parter. Vedlegg A Opplysninger om behandlingen A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige Formålet med behandling av personopplysninger er avvikling av databehandlerens Tjeneste, som i henhold til avtale stilles til rådighet for den behandlingsansvarlige. I Tjenesten kan det på grunnlag av de opplysninger som den behandlingsansvarlige har lagt inn og brukernes besvarelse av spørsmål, utarbeides personlighetsanalyser, teamledere, og rollestilanalyser, samt variasjoner av disse. A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige dreier seg primært om (karakteren av behandlingen) Utføre personlighetsanalyse og oppbevaring av disse. Bruk av ikke-personhenførbare og anonymiserte opplysninger til statistikk og forbedring av Tjenesten A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte Navn, (potensiell) tittel, fødselsdato, kontaktopplysninger (bl.a. e-postadresse) Besvarelse av spørsmål med henblikk på personlighetsanalyse. Personlighetsanalyse A.4. Behandlingen omfatter følgende kategorier av registrerte Den behandlingsansvarliges administratorer Brukere, som kan være ansatte hos den behandlingsansvarlige eller kandidater til en stilling hos den behandlingsansvarlige eller kandidater til en stilling hos en kunde hos den behandlingsansvarlige. A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynnes etter disse Bestemmelsenes ikrafttredelse. Behandlingen har følgende varighet Behandlingen av personopplysninger utføres så lenge den behandlingsansvarlige bruker databehandlerens tjeneste. Vedlegg B Underdatabehandlere B.1. Godkjente underdatabehandlere Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av følgende underdatabehandlere NAVN CVR ADRESSE BESKRIVELSE AV BEHANDLING skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting og teknisk drift av Tjenesten. Behandlingsland: Danmark, Tyskland. Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uten den behandlingsansvarliges skriftlige godkjennelse – bruke en underdatabehandler til en annen behandlingsaktivitet enn den beskrevne og avtalte, eller bruke en annen underdatabehandler til denne behandlingsaktiviteten. Vedlegg C Instruks vedrørende behandling av personopplysninger C.1. Behandlingens gjenstand/instruks Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende: Databehandleren skal, basert på den behandlingsansvarliges bruk av den tjeneste, som etter avtale mellom den behandlingsansvarlige og databehandlere er inngått, til rådighetstilt sende, samle opplysninger om den behandlingsansvarlige eller den behandlingsansvarliges brukere når disse opplysningene tastes inn i Tjenesten, og på den bakgrunn utarbeide personlighetsanalyser til bruk for den behandlingsansvarlige, samt at disse også skal oppbevares av den behandlingsansvarlige. C.2. Behandlingssikkerhet Sikkerhetsnivået skal reflektere: At, det ikke dreier seg om sensitive personopplysninger, men dog opplysninger som datasubjektene kan oppfatte som havende en viss sensitivitet. Databehandleren er dermed berettiget og forpliktet til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal utføres for å etablere det nødvendige sikkerhetsnivået. Hvis den behandlingsansvarlige ønsker andre eller ytterligere sikkerhetstiltak utført, inkludert hvor dette måtte være på grunnlag av revisjon/inspeksjon, er den behandlingsansvarlige ansvarlig for eventuelle ekstra kostnader som dette måtte medføre for databehandleren. C.3 Bistand til den behandlingsansvarlige Hvor databehandleren yter den behandlingsansvarlige bistand med oppfyllelse av den behandlingsansvarliges forpliktelser, er databehandleren berettiget til å kreve vederlag for slikt arbeid, med sin til enhver tid gjeldende timesats for dette. C.6 Instruks vedrørende overføring av personopplysninger til tredjeland Hvis den behandlingsansvarlige ikke i disse Bestemmelsene eller etterfølgende gir en dokumentert instruks vedrørende overføring av personopplysninger til et tredjeland, er databehandleren ikke berettiget til innen rammene av disse Bestemmelsene å utføre slike overføringer. C.7 Prosedyrene for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, med behandlingen av personopplysninger som er overlatt til databehandleren/underdatabehandlere Etter forespørsel fra den behandlingsansvarlige skal databehandleren, for den behandlingsansvarliges regning, innhente en revisjonsuttalelse fra en uavhengig tredjepart vedrørende databehandlerens/underdatabehandlerens overholdelse av personvernforordningen, personvernregler i annen EU-rett eller medlemsstatenes nasjonal rett, og disse Bestemmelsene. Det er enighet mellom parter om at følgende typer revisjonsuttalelser kan brukes i samsvar med disse Bestemmelsene: ISAE 3000 revisjonsuttalelse eller annen lignende uttalelsestype. Den behandlingsansvarlige eller en representant for den behandlingsansvarlige har dessuten adgang til å utføre inspeksjoner, inkludert fysiske inspeksjoner, på lokalene hvor databehandleren/underdatabehandleren utfører behandling av personopplysninger, inkludert fysiske lokaliteter og systemer som brukes til eller i forbindelse med behandlingen. Slike inspeksjoner kan utføres når den behandlingsansvarlige finner det nødvendig. Databehandlerens og underdatabehandlerens eventuelle utgifter i forbindelse med tilsyn med persondatabehandlingen hos databehandleren eller underdatabehandlere eller fysiske inspeksjoner av databehandlerens eller underdatabehandlerens lokaler skal dekkes av den behandlingsansvarlige. [1] Henvisninger til "medlemsstat" i disse bestemmelsene skal forstås som en henvisning til "EØS-medlemsstater".
Conditions
IPA'S VILKÅR Disse vilkår gjelder i forhold til IPA Nordic ApS' ("IPA") tjenester til Kunden. 1. Bruksrett 1.1 Ved inngåelse av avtale om dette med IPA, oppnår Kunden bruksrett i samsvar med disse vilkårene til å bruke IPA's tjeneste i den avtalte utgaven ("Tjenesten"). Kunden har rett til – med mindre annet er spesielt avtalt – å bruke Tjenesten internt i sin virksomhet, inkludert hvor Kunden utfører rekrutteringsarbeid for tredjepart, forutsatt at Kunden kan gi brukere utenfor sin virksomhet, som er kandidater til ansettelse i Kundens virksomhet eller den virksomheten Kunden utfører rekrutteringsarbeid for, tilgang til å benytte Tjenesten i sammenheng med besvarelse av spørsmål, jf. pkt. 1.2. 1.2 Kunden har rett til å bruke Tjenesten som forutsatt og er herunder berettiget til å gi ansatte og andre ("Kundens Brukere") tilgang til å benytte Tjenesten, og tilhørende analyser, som forutsatt. Brukere kan være vanlige brukere som svarer på spørsmål til bruk for Tjenesten eller administratorer som har tilgang til cockpit og utarbeidede analyser. 1.3 Kundens administratorer skal være ansatt i kundens virksomhet og skal til enhver tid være sertifisert i bruken av de analyser som Kunden via Tjenesten har tilgang til. IPA tilbyr sertifisering i de analyser som omfattes av Tjenesten, som angitt på IPA's hjemmeside eller som opplyst på annen måte. 2. Implementering 2.1 IPA eller en av IPA's partnere foretar implementering av Tjenesten til Kundens bruk, hvorved forstås at Kunden kan tilgå Tjenesten som avtalt på det avtalte tidspunkt. 2.2 IPA eller IPA's partner har rett til i rimelig grad å gjøre endringer i det avtalte tidspunktet for implementering, forutsatt at slik endring varsles overfor Kunden. 2.3 Kunden må bidra i relevant omfang til implementeringen, herunder skal Kunden gi IPA eller IPA's partner de nødvendige og korrekte opplysningene for implementeringen og i nødvendig utstrekning gi tilgang til IT-ressurser. 3. Drift 3.1 Tjenesten drives og tilgås av kunden online. IPA vil søke å holde Tjenesten tilgjengelig for kunden til enhver tid, men garanterer ikke en bestemt oppetid. 3.2 Kunden er ansvarlig for å skaffe det nødvendige utstyr, applikasjoner og nettverksforbindelser for bruk av Tjenesten. IPA informerer på Kundens forespørsel om eventuelle spesifikasjoner for utstyr, applikasjoner mv. 3.3 IPA kan uten ansvar helt eller delvis avbryte Kundens eller Kundens Brukeres tilgang til Tjenesten: a) hvis det er nødvendig for å utføre vedlikehold, reparasjon eller oppdatering av Tjenesten. Slik avbrytelse av tilgang til Tjenesten forsøkes foretatt utenfor ordinær arbeidstid og vil, i den grad det er mulig, bli varslet Kunden i så god tid som mulig, men det kan i visse situasjoner være nødvendig å avbryte tilgang til Tjenesten uten varsel, inkludert innenfor ordinær arbeidstid. b) hvis det er grunn til å anta at Kundens eller Kundens Brukeres brukeradganger misbrukes av tredjepart. Gjenoppretting av tilgang kan være betinget av at Kundens Brukeres brukernavn og/eller passord endres. c) hvis Kundens handlinger eller forhold som Kunden ellers er ansvarlig for, har eller må forventes å forårsake skade på Tjenesten, inklusive i forhold til andre kunder eller brukere av Tjenesten, eller hvis Tjenesten med rimelighet antas av IPA å bli brukt til ulovlige forhold. Tilgang til Tjenesten vil i disse situasjonene bli gjenopprettet når slike forhold er avklart til IPA's tilfredshet. d) hvis Kunden ikke overholder kravet om sertifisering av administratorer, jf. pkt. 1.3, og kravet om sertifisering ikke har vært oppfylt i 60 dager. e) hvis Kunden står i betalingsmislighold overfor IPA. 3.4 Hvis IPA avbryter Kundens eller Kundens Brukeres tilgang til Tjenesten, jf. pkt. 3.3, vil IPA snarest mulig orientere Kunden om dette, herunder om årsaken til avbrytelsen, samt når og under hvilke forutsetninger tilgang til Tjenesten kan gjenopprettes. Slik avbrytelse er ikke mislighold av Avtalen og gir ikke Kunden rett til refusjon av vederlag eller misligholdsbeføyelser ellers. 3.5 Kunden er selv ansvarlig for å sikre backup av de data som behandles for Kunden i Tjenesten. IPA bistår Kunden med å få utarbeidet backup etter særskilt avtale, i tillegg til å bistå Kunden med å laste inn data fra backups. IPA har rett til vederlag for slikt arbeid basert på IPA's til enhver tid gjeldende timepriser for slikt arbeid samt eventuelle kostnader til tredjepart. 4. Bruk av Tjenesten 4.1 Kunden er ansvarlig for innlegging av egne opplysninger i Tjenesten og er ansvarlig for at slike data er korrekte og valide. IPA er ikke ansvarlig for at Tjenesten og bruken av denne er egnet til Kundens bruk eller tenkte bruk. Dette er alene Kundens ansvar. 4.2 IPA er ansvarlig for at IPA's tjeneste som sådan overholder lover og regler i Norge. Kunden er ansvarlig for at dennes bruk av Tjenesten, inkludert at behandlingen av data er lovlig, og at alle lovkrav i forbindelse med Kundens bruk av Tjenesten er overholdt, inkludert i forhold til persondatahåndtering, likesom Kunden er ansvarlig for enhver bruk av Tjenesten ved bruk av de til Kunden og Kundens Brukere knyttede brukernavn og passord. 4.3 Kunden og Kundens Brukere skal til enhver tid beskytte sine brukernavn og passord til Tjenesten. Hvis Kunden blir kjent med eller mistenker at Kundens eller Kundens Brukeres tilgang til Tjenesten misbrukes, eller at tredjepart har fått tak i Kundens eller Kundens Brukeres brukernavn og passord, skal Kunden straks orientere IPA. 4.4 IPA har rett til å overvåke bruken av Tjenesten og bruke enhver opplysning om og i Tjenesten i anonym form med henblikk på utarbeidelse av statistikker og til vedlikehold av Tjenesten. 5. Endring av Tjenesten 5.1 IPA har rett til å foreta endringer i Tjenesten og dens utforming. IPA vil til enhver tid søke å orientere Kunden om slike endringer med minst 30 dagers varsel før endringene trer i kraft, men slik varsel kan i visse tilfeller ikke opprettholdes, inkludert hvor varselet etter IPA's vurdering bør være kortere, eksempelvis hvor endringer skyldes sikkerhetsmessige forhold. 5.2 Hvis IPA foretar så vesentlige endringer i Tjenesten at denne ikke lenger kan betraktes som samme tjeneste, eksempelvis hvis grunnleggende eller ofte brukte funksjoner fjernes og ikke bare forutsetter et endret bruksmønster, har Kunden rett til å si opp avtalen med 30 dagers varsel og vil i slike tilfeller få refundert en forholdsmessig andel av eventuelle forskuddsbetalte vederlag for bruken av Tjenesten for perioden etter avtaleopphør. 6. Andre konsulenttjenester 6.1 IPA leverer konsulenttjenester til Kunden, utover implementeringstjenester, jf. pkt. 2, som separat avtalt. Konsulenttjenester leveres av IPA i samsvar med god skikk uten resultatansvar, og Kunden er selv ansvarlig for at konsulenttjenesten er egnet til Kundens bruk eller påtenkte bruk. 6.2 Slike andre konsulenttjenester anses som levert når IPA opplyser at konsulenttjenestene er utført og ferdigstilt som avtalt, eller når kunden begynner å bruke resultatene av konsulenttjenesten. 7. Priser og betaling 7.1 Kunden betaler for tilgang til Tjenesten for en tolv måneders periode på forhånd fra tidspunktet for implementering, med mindre annet er eksplisitt avtalt. 7.2 Implementeringstjenester faktureres av IPA eller IPA's partner når implementeringen er levert. Sertifiseringstjenester kan faktureres av IPA ved Kundens bestilling av disse. IPA's andre konsulenttjenester faktureres ved deres levering eller månedlig etterskuddsvis. 7.3 IPA's fremsendte fakturaer forfaller til betaling 14 dager etter utsendelse. Ved forsinket betaling har IPA rett til å pålegge morarente på 2% for hver påbegynte måned. 7.4 IPA opprettholder eventuelt avtalte reduserte priser i en periode på 12 måneder fra avtaleinngåelsen. Deretter gjelder listepriser som angitt i IPA's til enhver tid gjeldende prisliste. 7.5 IPA har rett til å foreta endringer i sine listepriser én gang årlig med minimum endringen i netto prisindeksen. I tillegg har IPA rett til å justere sine listepriser ved lovendringer, samt endrede priser på tredjepartsapplikasjoner eller produkter nødvendig for IPA's tjeneste. IPA vil varsle om slike eventuelle prisendringer med minimum 30 dagers varsel. 8. Immaterielle rettigheter 8.1 IPA har og beholder enhver eiendomsrett og alle immaterielle rettigheter, inkludert opphavsrett til Tjenesten og de tilknyttede materialer, slik som manualer og veiledninger. Tjenesten og de tilknyttede materialene kan inneholde elementer og komponenter hvor tredjepart har immaterielle rettigheter. IPA besitter i så fall nødvendige rettigheter til å tilby Tjenesten og de tilknyttede materialene til Kunden. 8.2 Kunden oppnår med avtale, jf. pkt. 1, og i dens løpetid bruksrett til Tjenesten og de tilknyttede materialene som gjort tilgjengelig av IPA og for de forutsatte formål. Kunden oppnår ingen ytterligere rettigheter utover den spesifiserte bruksretten til prosesser eller lignende som inngår i Tjenesten. 8.3 Kunden får en tidsubegrenset bruksrett til materiale som er generert via Tjenesten basert på Kundens data og bruk av Tjenesten. Herunder har Kunden rett til å gjøre endringer i og reproduksjon av slikt materiale. 8.4 Kunden beholder eierskap og immaterielle rettigheter tilknyttet data som Kunden legger inn i Tjenesten. Kunden gir IPA en ikke-eksklusiv, vederlagsfri bruksrett til slike data for å oppfylle Avtalen. 8.5 For konsulenttjenester, inkludert resultater av slike, levert av IPA til Kunden, beholder IPA eierskap og immaterielle rettigheter med respekt for Kundens rettigheter og konfidensialitet. Kunden gis en bruksrett i Avtalens løpetid til å bruke konsulenttjenestene og resultatene internt i Kundens virksomhet. 9. Konfidensialitet 9.1 Hver av Partene skal holde den annen parts interne opplysninger konfidensielle, herunder forretningshemmeligheter og avtaler mellom partene, og skal ikke bruke eller videreformidle slike opplysninger til annet formål enn det tiltenkte i forbindelse med opplysningenes overlevering, uten den andre parts forhåndsaksept. IPA holder også personopplysninger som er lagt inn i Tjenesten av Kunden konfidensielle som beskrevet i den inngåtte databehandleravtalen mellom partene. 9.2 Uansett pkt. 9.1 har IPA rett til å gi Kundens opplysninger, inkludert interne opplysninger, til IPA's underleverandører i den grad det er nødvendig for å levere IPA's tjenester til Kunden, forutsatt at slike underleverandører er underlagt tilsvarende konfidensialitet. Partene har også rett til å utlevere den andre parts informasjon, som ellers skulle vært konfidensielt, hvis dette følger av domstolsavgjørelse eller gyldig krav fra en myndighet. 9.3 Konfidensialitetsbestemmelsene i dette pkt. 9 gjelder ikke for offentlig tilgjengelige opplysninger, mottatt fra en tredjepart uten krav om konfidensialitet, mottatt eller tilveiebrakt på annet vis uten konfidensialitetskrav eller som utvikles selvstendig av parten uten å utnytte informasjon mottatt fra den andre parten. 9.4 Bestemmelsene i dette pkt. 9 forblir i kraft i en periode på 5 år etter Avtalens opphør, uansett årsaken til slikt opphør. 10. Persondatabehandling 10.1 IPA utfører behandling av personopplysninger i Tjenesten, inkludert slike personopplysninger som Kunden laster opp i Tjenesten. Forhold vedrørende persondatabehandling er regulert i databehandleravtalen inngått mellom Kunden og IPA. 11. Misligholdelse 11.1 Hvis Kunden ønsker å påberope seg mangler ved IPA's tjenester, må dette skje umiddelbart, og for konsulenttjenester, som implementeringstjenester, innen senest 30 dager etter levering. IPA har alltid rett til å utføre ny leveranse. 11.2 Hvis en av Partene vesentlig misligholder Avtalen, og slik vesentlig misligholdelse ikke er avhjulpet innen 30 dager etter den misligholdende parten er orientert om misligholdelsen av den ikke-misligholdende parten, har den ikke-misligholdende parten rett til skriftlig å heve Avtalen for fremtiden. 12. Ansvar 12.1 Partene er erstatningsansvarlige overfor hverandre i samsvar med norsk rets alminnelige regler med nedenstående begrensninger. 12.2 IPA's totale erstatningsansvar overfor Kunden kan aldri overstige det av Kunden betalte vederlag for bruk av Tjenesten for de siste 6 månedene før kravet oppstod. IPA er aldri ansvarlig overfor kunden for indirekte tap, inklusiv, men ikke begrenset til tapt fortjeneste, tapt inntekt, tap av forventede besparelser eller tap av goodwill. 12.3 Den begrensning av erstatningsansvar som er opplyst i pkt. 12.2, gjelder ikke ved grov uaktsomhet eller forsett. 13. Force Majeure 13.1 Ingen av partene er ansvarlige for oppfyllelse av sine plikter i henhold til Avtalen hvis den manglende oppfyllelsen skyldes force majeure, hvorved forstås omstendigheter utenfor partens rimelige kontroll, inkludert underleverandørers force majeure, og som parten ikke burde ha tatt i betraktning ved Avtaleinngåelsen. Hvis force majeure-situasjonen varer mer enn 30 dager, har den part som ikke er rammet av force majeure rett til å si opp Avtalen uten varsel. 14. Avtalens opphør 14.1 Kunden har rett til å si opp Avtalen med 12 måneders varsel etter utgangen av en kalendermåned. Avtalen kan først varsles til opphør etter 12 måneder. Minimum samlet periode er derfor 24 måneder. IPA kan si opp Avtalen med et varsel på minst 12 måneder til utgangen av en kalendermåned. 14.2 Forhåndsbetalt vederlag refunderes ikke ved Kundens oppsigelse av Avtalen. Hvis IPA sier opp Avtalen, refunderes en forholdsmessig andel av eventuelt forhåndsbetalt vederlag til Kunden tilsvarende det av Kunden betalte vederlag for tilgang til Tjenesten for perioden etter Avtalens opphør. 15. Overføring av data til Kunden 15.1 På Kundens forespørsel bistår IPA til enhver tid Kunden med overføring av alle Kundens data i Tjenesten til Kunden eller en av Kunden utpekt tredjepart i et alminnelig brukt format som gjør videre behandling av Kundens data mulig, forutsatt at Kunden informerer om et slikt ønske senest ved Avtalens opphør. 15.2 IPA har rett til å kreve betaling for sin tidsbruk i forbindelse med overføring av data bistått med, i samsvar med IPA's til enhver tid gjeldende timepriser for slikt arbeid samt eventuelle kostnader forbundet med dette, og såfremt det anses nødvendig fra IPA's side, kan det kreves innbetaling for noe utestående og eventuelt et rimelig forskudd for bistanden før den ytes. 16. Markedsføring 16.1 IPA har rett til å bruke Kundens navn og varemerke som referanse i sitt generelle fysiske og/eller digitale markedsføringsmateriale. 16.2 Om IPA ønsker å henvise potensielle kunder til å kontakte Kunden med henblikk på referansesamtaler eller -møter, må dette avtales separat. 17. Underleverandører 17.1 IPA har rett til å bruke underleverandører til å oppfylle sine forpliktelser overfor Kunden. IPA er ansvarlig for slike underleverandørers ytelser som for egne ytelser. Underleverandører er pålagt å holde Kundens opplysninger konfidensielle, jf. pkt. 9.1. 18. Overdragelse 18.1 Ingen av Partene har rett til å overdrage sine plikter og rettigheter iht. Avtalen til tredjepart uten den andre partens skriftlige samtykke. Et samtykke til slik overdragelse skal ikke ubegrunnet holdes tilbake. IPA har dog rett til å overdrage sine rettigheter og forpliktelser i forbindelse med et helt eller delvis salg eller annen selskapsrettslig omstrukturering av IPA. 19. Endringer av avtalen 19.1 Avtalen kan kun endres av Partene gjennom skriftlig avtale om dette, med mindre annet fremgår av Avtalen. 20. Tvisteløsning 20.1 Ved tvist mellom Partene basert på Avtalen, skal Partene forsøke å løse slik tvist i minnelighet. Om tvisten ikke løses i minnelighet innen rimelig tid, kan hver av partene søke tvisten avgjort ved de alminnelige norske domstoler med IPA's hjemting som verneting. 20.2 Avtalen er underlagt norsk rett med unntak av norsk lovs regler om internasjonale lovvalg.
Data Processing Agreement
Databehandleravtale i henhold til artikkel 28, nr. 3, i forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger mellom brukeren av IPA People Suite og IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J heretter "databehandleren" som hver for seg er en "part" og sammen utgjør "parter" Har avtalt følgende standardkontraktsbestemmelser (Bestemmelsene) med henblikk på å overholde personvernforordningen og sikre beskyttelse av privatlivet og fysiske personers grunnleggende rettigheter og friheter 2. Preamble Disse Bestemmelsene fastsetter databehandlerens rettigheter og plikter når denne utfører behandling av personopplysninger på vegne av den behandlingsansvarlige. Disse bestemmelsene er utformet med henblikk på parternes etterlevelse av artikkel 28, nr. 3, i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om opphevelse av direktiv 95/46/EF (personvernforordningen). I forbindelse med databehandlerens levering av tjenester til den behandlingsansvarlige, behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i henhold til disse Bestemmelsene. Bestemmelsene skal ha forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom parter. Det hører fire vedlegg til disse Bestemmelsene, og vedleggene utgjør en integrert del av Bestemmelsene. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, inkludert behandlingsformål og karakter, type personopplysninger, kategorier av registrerte, og varighet av behandlingen. Vedlegg B inneholder den behandlingsansvarliges vilkår for databehandlerens bruk av underleverandører og en liste over underleverandører som den behandlingsansvarlige har godkjent. Vedlegg C inneholder den behandlingsansvarliges instrukser vedrørende databehandlerens behandling av personopplysninger, en beskrivelse av sikkerhetstiltak som databehandleren minst skal gjennomføre, og hvordan det føres tilsyn med databehandleren og eventuelle underleverandører. Vedlegg D inneholder bestemmelser angående andre aktiviteter som ikke er dekket av Bestemmelsene. Bestemmelsene med tilhørende vedlegg skal oppbevares skriftlig, inkludert elektronisk, av begge parter. Disse Bestemmelsene fritar ikke databehandleren fra forpliktelser som databehandleren er pålagt etter personvernforordningen eller annen lovgivning. 3. Den behandlingsansvarliges rettigheter og plikter Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i samsvar med personvernforordningen (se forordningens artikkel 24), personvernregler i annen EU-rett eller medlemsstatenes[1] nasjonal rett og disse Bestemmelsene. Den behandlingsansvarlige har rett og plikt til å treffe beslutninger om til hvilket(t) formål og med hvilke virkemidler behandling av personopplysninger skal finne sted. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det finnes et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres i å utføre. 4. Databehandleren handler etter instruks Databehandleren må kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til EU-rett eller medlemsstatenes nasjonal rett som databehandleren er underlagt. Denne instruksen skal være spesifisert i vedlegg A og C. Etterfølgende instruks kan også gis av den behandlingsansvarlige mens behandling av personopplysninger pågår, men instruksen må alltid være dokumentert og oppbevares skriftlig, inkludert elektronisk, sammen med disse Bestemmelsene. Databehandleren underretter omgående den behandlingsansvarlige hvis en instruks etter databehandlerens mening er i strid med denne forordningen eller personvernregler i annen EU-rett eller medlemsstatenes nasjonal rett. 5. Konfidensialitet Databehandleren må kun gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer som er underlagt databehandlerens instruksjonsmyndighet, som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og kun i den nødvendige utstrekning. Listen over personer som har fått tildelt tilgang, skal gjennomgås jevnlig. Basert på denne gjennomgangen kan tilgang til personopplysninger stenges hvis tilgangen ikke lenger er nødvendig, og personopplysningene skal heretter ikke være tilgjengelige for disse personene. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne demonstrere at de berørte personene som er underlagt databehandlerens instruksjonsmyndighet er underlagt den nevnte taushetsplikt. 6. Behandlingssikkerhet Personvernforordningens artikkel 32 fastslår at den behandlingsansvarlige og databehandleren, med hensyn til det aktuelle teknologiske nivå, implementeringskostnader og den aktuelle behandlings karakter, omfang, sammenheng og formål samt risikoene av varierende sannsynlighet og alvor for fysiske personers rettigheter og friheter, implementerer passende tekniske og organisatoriske tiltak for å sikre et beskyttelsesnivå som er passende i forhold til disse risikoene. Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og frihet som behandlingen medfører og gjennomføre tiltak for å imøtekomme disse risikoene. Avhengig av deres relevans kan det omfatte: Pseudonymisering og kryptering av personopplysninger Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet, og robusthet av behandlingssystemer og tjenester Evne til å rettidig gjenopprette tilgjengeligheten av og tilgangen til personopplysninger i tilfelle av en fysisk eller teknisk hendelse En prosedyre for regelmessig testing, vurdering, og evaluering av effektiviteten av de tekniske og organisatoriske tiltakene for å sikre behandlingssikkerhet. I henhold til forordningens artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter som behandlingen medfører og gjennomføre tiltak for å imøtekomme disse risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille nødvendig informasjon til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer. Dessuten skal databehandleren bistå den behandlingsansvarlige med overholdelse av den behandlingsansvarliges forpliktelser etter forordningens artikkel 32, blant annet ved å stille nødvendig informasjon til rådighet for den behandlingsansvarlige vedrørende tekniske og organisatoriske sikkerhetstiltak som databehandleren allerede har gjennomført i henhold til forordningens artikkel 32, og all annen informasjon som er nødvendig for den behandlingsansvarliges overholdelse av sin forpliktelse etter forordningens artikkel 32. Hvis imøtekommelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever gjennomføring av flere tiltak enn de som databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi de ekstra tiltakene som skal gjennomføres i vedlegg C. 7. Bruk av underdatabehandlere Databehandleren skal oppfylle vilkårene som er nevnt i personvernforordningens artikkel 28, nr. 2, og nr. 4, for å bruke en annen databehandler (en underdatabehandler). Databehandleren skal således ikke bruke en underdatabehandler for å oppfylle uten forutgående generell skriftlig godkjenning fra den behandlingsansvarlige. Databehandleren har den behandlingsansvarliges generelle godkjenning til å bruke underdatabehandlere. Databehandleren skal skriftlig informere den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tillegg eller utskiftning av underdatabehandlere med minst 1 måneds varsel og dermed gi den behandlingsansvarlige mulighet for å motsette seg slike endringer før bruk av den omtalte underdatabehandler(e). Lengre varsel for underretning i forbindelse med spesifikke behandlingsaktiviteter kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent, fremgår av vedlegg B. Når databehandleren bruker en underdatabehandler i forbindelse med utførelse av spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal databehandleren, gjennom en kontrakt eller annet rettslig dokument i henhold til EU-retten eller medlemsstatenes nasjonal rett, pålegge underdatabehandleren de samme personvernforpliktelsene som de som fremgår av disse Bestemmelsene, hvorved det særlig stilles de nødvendig garantier for at underdatabehandleren vil gjennomføre tekniske og organisatoriske tiltak på en slik måte at behandlingen overholder kravene i disse Bestemmelsene og personvernforordningen. Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Bestemmelsene og personvernforordningen. Underdatabehandleravtale(r) og eventuelle senere endringer hertil sendes – etter den behandlingsansvarliges anmodning herom – i kopi til den behandlingsansvarlige, som dermed har mulighet til å sikre seg at tilsvarende personvernforpliktelser som følger av disse Bestemmelsene er pålagt underdatabehandleren. Bestemmelser om kommersielle vilkår som ikke påvirker det personvernmessige innholdet i underdatabehandleravtalen skal ikke sendes til den behandlingsansvarlige. Hvis underdatabehandleren ikke oppfyller sine personvernforpliktelser, forblir databehandleren fullt ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter som følger av personvernforordningen, inkludert særlig forordningens artikkel 79 og 82, overfor den behandlingsansvarlige og databehandleren, inkludert underdatabehandleren. 8. Overføring til tredjeland eller internasjonale organisasjoner Enhver overføring av personopplysninger til tredjeland eller internasjonale organisasjoner må kun utføres av databehandleren på grunnlag av dokumentert instruks derom fra den behandlingsansvarlige og skal alltid skje i samsvar med personvernforordningens kapittel V. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner som databehandleren ikke er blitt instruert i å utføre av den behandlingsansvarlige, kreves i henhold til EU-rett eller medlemsstatenes nasjonal rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om dette juridiske kravet før behandling, med mindre den aktuelle retten forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser. Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren således ikke innen rammene av disse Bestemmelsene: overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon overlate behandling av personopplysninger til en underdatabehandler i et tredjeland behandle personopplysningene i et tredjeland Den behandlingsansvarliges instruks vedrørende overføring av personopplysninger til et tredjeland, inkludert eventuelt overføringsgrunnlag i personvernforordningens kapittel V som overføringen er basert på, skal angis i vedlegg C.6. Disse Bestemmelsene skal ikke forveksles med standardkontraktsbestemmelser som nevnt i personvernforordningens artikkel 46, nr. 2, bokstav c og d, og disse Bestemmelsene kan ikke utgjøre et grunnlag for overføring av personopplysninger som nevnt i personvernforordningens kapittel V. 9. Bistand til den behandlingsansvarlige Databehandleren bistår, med hensyn til behandlingens karakter, så langt som mulig den behandlingsansvarlige ved hjelp av passende tekniske og organisatoriske tiltak med oppfyllelse av den behandlingsansvarliges forpliktelse til å besvare forespørsler om utøvelsen av de registrertes rettigheter som fastlagt i personvernforordningens kapittel III. Dette innebærer at databehandleren så langt som mulig skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre etterlevelse av: informasjonspåbud ved innsamling av personopplysninger hos den registrerte informasjonspåbud hvis personopplysninger ikke er innsamlet hos den registrerte innsynsrett retten til retting retten til sletting ("retten til å bli glemt") retten til begrensning av behandling underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandlingen retten til dataportabilitet retten til innsigelse retten til å ikke være gjenstand for en beslutning basert utelukkende på automatisk behandling, inkludert profilering I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren også, med hensyn til behandlingens karakter og de opplysninger som er tilgjengelige for databehandleren, den behandlingsansvarlige med: den behandlingsansvarliges forpliktelse til uten unødvendig forsinkelse og om mulig senest 72 timer etter at den er blitt kjent med det, å varsle brudd på persondatasikkerheten til den kompetente tilsynsmyndigheten (Danmark: Datatilsynet), med mindre det er usannsynlig at bruddet på persondatasikkerheten medfører risiko for fysiske personers rettigheter eller friheter den behandlingsansvarliges forpliktelse til uten unødvendig forsinkelse å underrette den registrerte om bruddet på persondatasikkerheten når bruddet sannsynligvis vil medføre høy risiko for fysiske personers rettigheter og friheter den behandlingsansvarliges forpliktelse til før behandling å utføre en analyse av de tiltenkte behandlingsaktivitetenes konsekvenser for beskyttelse av personopplysninger (en konsekvensanalyse) den behandlingsansvarliges forpliktelse til å konsultere den kompetente tilsynsmyndigheten (Danmark: Datatilsynet), før behandling hvis en konsekvensanalyse om personvern viser at behandlingen vil føre til høy risiko i mangel av tiltak truffet av den behandlingsansvarlige for å begrense risikoen. 10. Underretning om brudd på persondatasikkerheten Databehandleren underretter uten unødvendig forsinkelse den behandlingsansvarlige etter å ha blitt oppmerksom på at det har skjedd et brudd på persondatasikkerheten. Databehandlerens underretning til den behandlingsansvarlige skal skje uten unødvendig forsinkelse og, om mulig, innen 24 timer etter at den er blitt kjent med bruddet, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å varsle bruddet på persondatasikkerheten til den kompetente tilsynsmyndigheten, jf. personvernforordningens artikkel 33. I henhold til Bestemmelse 9.2.a skal databehandleren bistå den behandlingsansvarlige med å anmelde bruddet til den kompetente tilsynsmyndigheten. Det betyr at databehandleren skal bistå med å tilveiebringe nedenstående informasjon, som ifølge artikkel 33, nr. 3, skal fremgå av den behandlingsansvarliges anmeldelse av bruddet til den kompetente tilsynsmyndigheten: karakteren av bruddet på persondatasikkerheten, inkludert, hvis mulig, kategoriene og det omtrentlige antallet berørte registrerte samt kategoriene og det omtrentlige antallet berørte registreringer av personopplysninger de sannsynlige konsekvensene av bruddet på persondatasikkerheten de tiltak som den behandlingsansvarlige har iverksatt eller foreslått å iverksette for å håndtere bruddet på persondatasikkerheten, inkludert hvis relevant, tiltak for å begrense potensielle skadelige effekter. Parter skal i vedlegg C angi den informasjon som databehandleren skal tilveiebringe i forbindelse med sin bistand til den behandlingsansvarlige i dennes forpliktelse til å varsle bruddet på persondatasikkerheten til den kompetente tilsynsmyndigheten. 11. Sletting og retur av opplysninger Ved opphør av levering av tjenester relatert til behandling av personopplysninger er databehandleren forpliktet til å slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet, med mindre EU-retten eller medlemsstatenes nasjonal rett foreskriver oppbevaring av personopplysningene. 12. Revisjon, inkludert inspeksjon Databehandleren stiller alle opplysninger som er nødvendige for å påvise overholdelse av personvernforordningens artikkel 28 og disse Bestemmelsene til rådighet for den behandlingsansvarlige og gir mulighet for og bidrar til revisjoner, inkludert inspeksjoner, som den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige, utfører. Prosedyrene for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, med databehandleren og underdatabehandlere er nærmere angitt i Vedlegg C. Databehandleren er forpliktet til å gi tilgang til tilsynsmyndigheter som etter gjeldende lovgivning har adgang til den behandlingsansvarliges eller databehandlerens fasiliteter, eller representanter som opptrer på tilsynsmyndighetens vegne, til databehandlerens fysiske fasiliteter mot behørig legitimasjon. 13. Ikrafttredelse og opphør Bestemmelsene trer i kraft på datoen for begge parters underskrift herav. Begge parter kan kreve Bestemmelsene gjenforhandlet hvis lovendringer eller uhensiktsmessigheter i Bestemmelsene gir grunn til det. Bestemmelsene er gyldige så lenge databehandleren leverer tjenester i forbindelse med behandling av personopplysninger. I denne perioden kan Bestemmelsene ikke sies opp, med mindre andre bestemmelser som regulerer levering av tjenester relatert til behandling av personopplysninger avtales mellom parter. Hvis leveringen av tjenester relatert til behandling av personopplysninger opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i samsvar med Bestemmelse 11.1 og Vedlegg C.4, kan Bestemmelsene sies opp skriftlig av begge parter. Vedlegg A Opplysninger om behandlingen A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige Formålet med behandling av personopplysninger er avvikling av databehandlerens Tjeneste, som i henhold til avtale stilles til rådighet for den behandlingsansvarlige. I Tjenesten kan det på grunnlag av de opplysninger som den behandlingsansvarlige har lagt inn og brukernes besvarelse av spørsmål, utarbeides personlighetsanalyser, teamledere, og rollestilanalyser, samt variasjoner av disse. A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige dreier seg primært om (karakteren av behandlingen) Utføre personlighetsanalyse og oppbevaring av disse. Bruk av ikke-personhenførbare og anonymiserte opplysninger til statistikk og forbedring av Tjenesten A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte Navn, (potensiell) tittel, fødselsdato, kontaktopplysninger (bl.a. e-postadresse) Besvarelse av spørsmål med henblikk på personlighetsanalyse. Personlighetsanalyse A.4. Behandlingen omfatter følgende kategorier av registrerte Den behandlingsansvarliges administratorer Brukere, som kan være ansatte hos den behandlingsansvarlige eller kandidater til en stilling hos den behandlingsansvarlige eller kandidater til en stilling hos en kunde hos den behandlingsansvarlige. A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynnes etter disse Bestemmelsenes ikrafttredelse. Behandlingen har følgende varighet Behandlingen av personopplysninger utføres så lenge den behandlingsansvarlige bruker databehandlerens tjeneste. Vedlegg B Underdatabehandlere B.1. Godkjente underdatabehandlere Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av følgende underdatabehandlere NAVN CVR ADRESSE BESKRIVELSE AV BEHANDLING skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting og teknisk drift av Tjenesten. Behandlingsland: Danmark, Tyskland. Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uten den behandlingsansvarliges skriftlige godkjennelse – bruke en underdatabehandler til en annen behandlingsaktivitet enn den beskrevne og avtalte, eller bruke en annen underdatabehandler til denne behandlingsaktiviteten. Vedlegg C Instruks vedrørende behandling av personopplysninger C.1. Behandlingens gjenstand/instruks Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende: Databehandleren skal, basert på den behandlingsansvarliges bruk av den tjeneste, som etter avtale mellom den behandlingsansvarlige og databehandlere er inngått, til rådighetstilt sende, samle opplysninger om den behandlingsansvarlige eller den behandlingsansvarliges brukere når disse opplysningene tastes inn i Tjenesten, og på den bakgrunn utarbeide personlighetsanalyser til bruk for den behandlingsansvarlige, samt at disse også skal oppbevares av den behandlingsansvarlige. C.2. Behandlingssikkerhet Sikkerhetsnivået skal reflektere: At, det ikke dreier seg om sensitive personopplysninger, men dog opplysninger som datasubjektene kan oppfatte som havende en viss sensitivitet. Databehandleren er dermed berettiget og forpliktet til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal utføres for å etablere det nødvendige sikkerhetsnivået. Hvis den behandlingsansvarlige ønsker andre eller ytterligere sikkerhetstiltak utført, inkludert hvor dette måtte være på grunnlag av revisjon/inspeksjon, er den behandlingsansvarlige ansvarlig for eventuelle ekstra kostnader som dette måtte medføre for databehandleren. C.3 Bistand til den behandlingsansvarlige Hvor databehandleren yter den behandlingsansvarlige bistand med oppfyllelse av den behandlingsansvarliges forpliktelser, er databehandleren berettiget til å kreve vederlag for slikt arbeid, med sin til enhver tid gjeldende timesats for dette. C.6 Instruks vedrørende overføring av personopplysninger til tredjeland Hvis den behandlingsansvarlige ikke i disse Bestemmelsene eller etterfølgende gir en dokumentert instruks vedrørende overføring av personopplysninger til et tredjeland, er databehandleren ikke berettiget til innen rammene av disse Bestemmelsene å utføre slike overføringer. C.7 Prosedyrene for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, med behandlingen av personopplysninger som er overlatt til databehandleren/underdatabehandlere Etter forespørsel fra den behandlingsansvarlige skal databehandleren, for den behandlingsansvarliges regning, innhente en revisjonsuttalelse fra en uavhengig tredjepart vedrørende databehandlerens/underdatabehandlerens overholdelse av personvernforordningen, personvernregler i annen EU-rett eller medlemsstatenes nasjonal rett, og disse Bestemmelsene. Det er enighet mellom parter om at følgende typer revisjonsuttalelser kan brukes i samsvar med disse Bestemmelsene: ISAE 3000 revisjonsuttalelse eller annen lignende uttalelsestype. Den behandlingsansvarlige eller en representant for den behandlingsansvarlige har dessuten adgang til å utføre inspeksjoner, inkludert fysiske inspeksjoner, på lokalene hvor databehandleren/underdatabehandleren utfører behandling av personopplysninger, inkludert fysiske lokaliteter og systemer som brukes til eller i forbindelse med behandlingen. Slike inspeksjoner kan utføres når den behandlingsansvarlige finner det nødvendig. Databehandlerens og underdatabehandlerens eventuelle utgifter i forbindelse med tilsyn med persondatabehandlingen hos databehandleren eller underdatabehandlere eller fysiske inspeksjoner av databehandlerens eller underdatabehandlerens lokaler skal dekkes av den behandlingsansvarlige. [1] Henvisninger til "medlemsstat" i disse bestemmelsene skal forstås som en henvisning til "EØS-medlemsstater".
Conditions
IPA'S VILKÅR Disse vilkår gjelder i forhold til IPA Nordic ApS' ("IPA") tjenester til Kunden. 1. Bruksrett 1.1 Ved inngåelse av avtale om dette med IPA, oppnår Kunden bruksrett i samsvar med disse vilkårene til å bruke IPA's tjeneste i den avtalte utgaven ("Tjenesten"). Kunden har rett til – med mindre annet er spesielt avtalt – å bruke Tjenesten internt i sin virksomhet, inkludert hvor Kunden utfører rekrutteringsarbeid for tredjepart, forutsatt at Kunden kan gi brukere utenfor sin virksomhet, som er kandidater til ansettelse i Kundens virksomhet eller den virksomheten Kunden utfører rekrutteringsarbeid for, tilgang til å benytte Tjenesten i sammenheng med besvarelse av spørsmål, jf. pkt. 1.2. 1.2 Kunden har rett til å bruke Tjenesten som forutsatt og er herunder berettiget til å gi ansatte og andre ("Kundens Brukere") tilgang til å benytte Tjenesten, og tilhørende analyser, som forutsatt. Brukere kan være vanlige brukere som svarer på spørsmål til bruk for Tjenesten eller administratorer som har tilgang til cockpit og utarbeidede analyser. 1.3 Kundens administratorer skal være ansatt i kundens virksomhet og skal til enhver tid være sertifisert i bruken av de analyser som Kunden via Tjenesten har tilgang til. IPA tilbyr sertifisering i de analyser som omfattes av Tjenesten, som angitt på IPA's hjemmeside eller som opplyst på annen måte. 2. Implementering 2.1 IPA eller en av IPA's partnere foretar implementering av Tjenesten til Kundens bruk, hvorved forstås at Kunden kan tilgå Tjenesten som avtalt på det avtalte tidspunkt. 2.2 IPA eller IPA's partner har rett til i rimelig grad å gjøre endringer i det avtalte tidspunktet for implementering, forutsatt at slik endring varsles overfor Kunden. 2.3 Kunden må bidra i relevant omfang til implementeringen, herunder skal Kunden gi IPA eller IPA's partner de nødvendige og korrekte opplysningene for implementeringen og i nødvendig utstrekning gi tilgang til IT-ressurser. 3. Drift 3.1 Tjenesten drives og tilgås av kunden online. IPA vil søke å holde Tjenesten tilgjengelig for kunden til enhver tid, men garanterer ikke en bestemt oppetid. 3.2 Kunden er ansvarlig for å skaffe det nødvendige utstyr, applikasjoner og nettverksforbindelser for bruk av Tjenesten. IPA informerer på Kundens forespørsel om eventuelle spesifikasjoner for utstyr, applikasjoner mv. 3.3 IPA kan uten ansvar helt eller delvis avbryte Kundens eller Kundens Brukeres tilgang til Tjenesten: a) hvis det er nødvendig for å utføre vedlikehold, reparasjon eller oppdatering av Tjenesten. Slik avbrytelse av tilgang til Tjenesten forsøkes foretatt utenfor ordinær arbeidstid og vil, i den grad det er mulig, bli varslet Kunden i så god tid som mulig, men det kan i visse situasjoner være nødvendig å avbryte tilgang til Tjenesten uten varsel, inkludert innenfor ordinær arbeidstid. b) hvis det er grunn til å anta at Kundens eller Kundens Brukeres brukeradganger misbrukes av tredjepart. Gjenoppretting av tilgang kan være betinget av at Kundens Brukeres brukernavn og/eller passord endres. c) hvis Kundens handlinger eller forhold som Kunden ellers er ansvarlig for, har eller må forventes å forårsake skade på Tjenesten, inklusive i forhold til andre kunder eller brukere av Tjenesten, eller hvis Tjenesten med rimelighet antas av IPA å bli brukt til ulovlige forhold. Tilgang til Tjenesten vil i disse situasjonene bli gjenopprettet når slike forhold er avklart til IPA's tilfredshet. d) hvis Kunden ikke overholder kravet om sertifisering av administratorer, jf. pkt. 1.3, og kravet om sertifisering ikke har vært oppfylt i 60 dager. e) hvis Kunden står i betalingsmislighold overfor IPA. 3.4 Hvis IPA avbryter Kundens eller Kundens Brukeres tilgang til Tjenesten, jf. pkt. 3.3, vil IPA snarest mulig orientere Kunden om dette, herunder om årsaken til avbrytelsen, samt når og under hvilke forutsetninger tilgang til Tjenesten kan gjenopprettes. Slik avbrytelse er ikke mislighold av Avtalen og gir ikke Kunden rett til refusjon av vederlag eller misligholdsbeføyelser ellers. 3.5 Kunden er selv ansvarlig for å sikre backup av de data som behandles for Kunden i Tjenesten. IPA bistår Kunden med å få utarbeidet backup etter særskilt avtale, i tillegg til å bistå Kunden med å laste inn data fra backups. IPA har rett til vederlag for slikt arbeid basert på IPA's til enhver tid gjeldende timepriser for slikt arbeid samt eventuelle kostnader til tredjepart. 4. Bruk av Tjenesten 4.1 Kunden er ansvarlig for innlegging av egne opplysninger i Tjenesten og er ansvarlig for at slike data er korrekte og valide. IPA er ikke ansvarlig for at Tjenesten og bruken av denne er egnet til Kundens bruk eller tenkte bruk. Dette er alene Kundens ansvar. 4.2 IPA er ansvarlig for at IPA's tjeneste som sådan overholder lover og regler i Norge. Kunden er ansvarlig for at dennes bruk av Tjenesten, inkludert at behandlingen av data er lovlig, og at alle lovkrav i forbindelse med Kundens bruk av Tjenesten er overholdt, inkludert i forhold til persondatahåndtering, likesom Kunden er ansvarlig for enhver bruk av Tjenesten ved bruk av de til Kunden og Kundens Brukere knyttede brukernavn og passord. 4.3 Kunden og Kundens Brukere skal til enhver tid beskytte sine brukernavn og passord til Tjenesten. Hvis Kunden blir kjent med eller mistenker at Kundens eller Kundens Brukeres tilgang til Tjenesten misbrukes, eller at tredjepart har fått tak i Kundens eller Kundens Brukeres brukernavn og passord, skal Kunden straks orientere IPA. 4.4 IPA har rett til å overvåke bruken av Tjenesten og bruke enhver opplysning om og i Tjenesten i anonym form med henblikk på utarbeidelse av statistikker og til vedlikehold av Tjenesten. 5. Endring av Tjenesten 5.1 IPA har rett til å foreta endringer i Tjenesten og dens utforming. IPA vil til enhver tid søke å orientere Kunden om slike endringer med minst 30 dagers varsel før endringene trer i kraft, men slik varsel kan i visse tilfeller ikke opprettholdes, inkludert hvor varselet etter IPA's vurdering bør være kortere, eksempelvis hvor endringer skyldes sikkerhetsmessige forhold. 5.2 Hvis IPA foretar så vesentlige endringer i Tjenesten at denne ikke lenger kan betraktes som samme tjeneste, eksempelvis hvis grunnleggende eller ofte brukte funksjoner fjernes og ikke bare forutsetter et endret bruksmønster, har Kunden rett til å si opp avtalen med 30 dagers varsel og vil i slike tilfeller få refundert en forholdsmessig andel av eventuelle forskuddsbetalte vederlag for bruken av Tjenesten for perioden etter avtaleopphør. 6. Andre konsulenttjenester 6.1 IPA leverer konsulenttjenester til Kunden, utover implementeringstjenester, jf. pkt. 2, som separat avtalt. Konsulenttjenester leveres av IPA i samsvar med god skikk uten resultatansvar, og Kunden er selv ansvarlig for at konsulenttjenesten er egnet til Kundens bruk eller påtenkte bruk. 6.2 Slike andre konsulenttjenester anses som levert når IPA opplyser at konsulenttjenestene er utført og ferdigstilt som avtalt, eller når kunden begynner å bruke resultatene av konsulenttjenesten. 7. Priser og betaling 7.1 Kunden betaler for tilgang til Tjenesten for en tolv måneders periode på forhånd fra tidspunktet for implementering, med mindre annet er eksplisitt avtalt. 7.2 Implementeringstjenester faktureres av IPA eller IPA's partner når implementeringen er levert. Sertifiseringstjenester kan faktureres av IPA ved Kundens bestilling av disse. IPA's andre konsulenttjenester faktureres ved deres levering eller månedlig etterskuddsvis. 7.3 IPA's fremsendte fakturaer forfaller til betaling 14 dager etter utsendelse. Ved forsinket betaling har IPA rett til å pålegge morarente på 2% for hver påbegynte måned. 7.4 IPA opprettholder eventuelt avtalte reduserte priser i en periode på 12 måneder fra avtaleinngåelsen. Deretter gjelder listepriser som angitt i IPA's til enhver tid gjeldende prisliste. 7.5 IPA har rett til å foreta endringer i sine listepriser én gang årlig med minimum endringen i netto prisindeksen. I tillegg har IPA rett til å justere sine listepriser ved lovendringer, samt endrede priser på tredjepartsapplikasjoner eller produkter nødvendig for IPA's tjeneste. IPA vil varsle om slike eventuelle prisendringer med minimum 30 dagers varsel. 8. Immaterielle rettigheter 8.1 IPA har og beholder enhver eiendomsrett og alle immaterielle rettigheter, inkludert opphavsrett til Tjenesten og de tilknyttede materialer, slik som manualer og veiledninger. Tjenesten og de tilknyttede materialene kan inneholde elementer og komponenter hvor tredjepart har immaterielle rettigheter. IPA besitter i så fall nødvendige rettigheter til å tilby Tjenesten og de tilknyttede materialene til Kunden. 8.2 Kunden oppnår med avtale, jf. pkt. 1, og i dens løpetid bruksrett til Tjenesten og de tilknyttede materialene som gjort tilgjengelig av IPA og for de forutsatte formål. Kunden oppnår ingen ytterligere rettigheter utover den spesifiserte bruksretten til prosesser eller lignende som inngår i Tjenesten. 8.3 Kunden får en tidsubegrenset bruksrett til materiale som er generert via Tjenesten basert på Kundens data og bruk av Tjenesten. Herunder har Kunden rett til å gjøre endringer i og reproduksjon av slikt materiale. 8.4 Kunden beholder eierskap og immaterielle rettigheter tilknyttet data som Kunden legger inn i Tjenesten. Kunden gir IPA en ikke-eksklusiv, vederlagsfri bruksrett til slike data for å oppfylle Avtalen. 8.5 For konsulenttjenester, inkludert resultater av slike, levert av IPA til Kunden, beholder IPA eierskap og immaterielle rettigheter med respekt for Kundens rettigheter og konfidensialitet. Kunden gis en bruksrett i Avtalens løpetid til å bruke konsulenttjenestene og resultatene internt i Kundens virksomhet. 9. Konfidensialitet 9.1 Hver av Partene skal holde den annen parts interne opplysninger konfidensielle, herunder forretningshemmeligheter og avtaler mellom partene, og skal ikke bruke eller videreformidle slike opplysninger til annet formål enn det tiltenkte i forbindelse med opplysningenes overlevering, uten den andre parts forhåndsaksept. IPA holder også personopplysninger som er lagt inn i Tjenesten av Kunden konfidensielle som beskrevet i den inngåtte databehandleravtalen mellom partene. 9.2 Uansett pkt. 9.1 har IPA rett til å gi Kundens opplysninger, inkludert interne opplysninger, til IPA's underleverandører i den grad det er nødvendig for å levere IPA's tjenester til Kunden, forutsatt at slike underleverandører er underlagt tilsvarende konfidensialitet. Partene har også rett til å utlevere den andre parts informasjon, som ellers skulle vært konfidensielt, hvis dette følger av domstolsavgjørelse eller gyldig krav fra en myndighet. 9.3 Konfidensialitetsbestemmelsene i dette pkt. 9 gjelder ikke for offentlig tilgjengelige opplysninger, mottatt fra en tredjepart uten krav om konfidensialitet, mottatt eller tilveiebrakt på annet vis uten konfidensialitetskrav eller som utvikles selvstendig av parten uten å utnytte informasjon mottatt fra den andre parten. 9.4 Bestemmelsene i dette pkt. 9 forblir i kraft i en periode på 5 år etter Avtalens opphør, uansett årsaken til slikt opphør. 10. Persondatabehandling 10.1 IPA utfører behandling av personopplysninger i Tjenesten, inkludert slike personopplysninger som Kunden laster opp i Tjenesten. Forhold vedrørende persondatabehandling er regulert i databehandleravtalen inngått mellom Kunden og IPA. 11. Misligholdelse 11.1 Hvis Kunden ønsker å påberope seg mangler ved IPA's tjenester, må dette skje umiddelbart, og for konsulenttjenester, som implementeringstjenester, innen senest 30 dager etter levering. IPA har alltid rett til å utføre ny leveranse. 11.2 Hvis en av Partene vesentlig misligholder Avtalen, og slik vesentlig misligholdelse ikke er avhjulpet innen 30 dager etter den misligholdende parten er orientert om misligholdelsen av den ikke-misligholdende parten, har den ikke-misligholdende parten rett til skriftlig å heve Avtalen for fremtiden. 12. Ansvar 12.1 Partene er erstatningsansvarlige overfor hverandre i samsvar med norsk rets alminnelige regler med nedenstående begrensninger. 12.2 IPA's totale erstatningsansvar overfor Kunden kan aldri overstige det av Kunden betalte vederlag for bruk av Tjenesten for de siste 6 månedene før kravet oppstod. IPA er aldri ansvarlig overfor kunden for indirekte tap, inklusiv, men ikke begrenset til tapt fortjeneste, tapt inntekt, tap av forventede besparelser eller tap av goodwill. 12.3 Den begrensning av erstatningsansvar som er opplyst i pkt. 12.2, gjelder ikke ved grov uaktsomhet eller forsett. 13. Force Majeure 13.1 Ingen av partene er ansvarlige for oppfyllelse av sine plikter i henhold til Avtalen hvis den manglende oppfyllelsen skyldes force majeure, hvorved forstås omstendigheter utenfor partens rimelige kontroll, inkludert underleverandørers force majeure, og som parten ikke burde ha tatt i betraktning ved Avtaleinngåelsen. Hvis force majeure-situasjonen varer mer enn 30 dager, har den part som ikke er rammet av force majeure rett til å si opp Avtalen uten varsel. 14. Avtalens opphør 14.1 Kunden har rett til å si opp Avtalen med 12 måneders varsel etter utgangen av en kalendermåned. Avtalen kan først varsles til opphør etter 12 måneder. Minimum samlet periode er derfor 24 måneder. IPA kan si opp Avtalen med et varsel på minst 12 måneder til utgangen av en kalendermåned. 14.2 Forhåndsbetalt vederlag refunderes ikke ved Kundens oppsigelse av Avtalen. Hvis IPA sier opp Avtalen, refunderes en forholdsmessig andel av eventuelt forhåndsbetalt vederlag til Kunden tilsvarende det av Kunden betalte vederlag for tilgang til Tjenesten for perioden etter Avtalens opphør. 15. Overføring av data til Kunden 15.1 På Kundens forespørsel bistår IPA til enhver tid Kunden med overføring av alle Kundens data i Tjenesten til Kunden eller en av Kunden utpekt tredjepart i et alminnelig brukt format som gjør videre behandling av Kundens data mulig, forutsatt at Kunden informerer om et slikt ønske senest ved Avtalens opphør. 15.2 IPA har rett til å kreve betaling for sin tidsbruk i forbindelse med overføring av data bistått med, i samsvar med IPA's til enhver tid gjeldende timepriser for slikt arbeid samt eventuelle kostnader forbundet med dette, og såfremt det anses nødvendig fra IPA's side, kan det kreves innbetaling for noe utestående og eventuelt et rimelig forskudd for bistanden før den ytes. 16. Markedsføring 16.1 IPA har rett til å bruke Kundens navn og varemerke som referanse i sitt generelle fysiske og/eller digitale markedsføringsmateriale. 16.2 Om IPA ønsker å henvise potensielle kunder til å kontakte Kunden med henblikk på referansesamtaler eller -møter, må dette avtales separat. 17. Underleverandører 17.1 IPA har rett til å bruke underleverandører til å oppfylle sine forpliktelser overfor Kunden. IPA er ansvarlig for slike underleverandørers ytelser som for egne ytelser. Underleverandører er pålagt å holde Kundens opplysninger konfidensielle, jf. pkt. 9.1. 18. Overdragelse 18.1 Ingen av Partene har rett til å overdrage sine plikter og rettigheter iht. Avtalen til tredjepart uten den andre partens skriftlige samtykke. Et samtykke til slik overdragelse skal ikke ubegrunnet holdes tilbake. IPA har dog rett til å overdrage sine rettigheter og forpliktelser i forbindelse med et helt eller delvis salg eller annen selskapsrettslig omstrukturering av IPA. 19. Endringer av avtalen 19.1 Avtalen kan kun endres av Partene gjennom skriftlig avtale om dette, med mindre annet fremgår av Avtalen. 20. Tvisteløsning 20.1 Ved tvist mellom Partene basert på Avtalen, skal Partene forsøke å løse slik tvist i minnelighet. Om tvisten ikke løses i minnelighet innen rimelig tid, kan hver av partene søke tvisten avgjort ved de alminnelige norske domstoler med IPA's hjemting som verneting. 20.2 Avtalen er underlagt norsk rett med unntak av norsk lovs regler om internasjonale lovvalg.
Data Processing Agreement
Databehandleravtale i henhold til artikkel 28, nr. 3, i forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger mellom brukeren av IPA People Suite og IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J heretter "databehandleren" som hver for seg er en "part" og sammen utgjør "parter" Har avtalt følgende standardkontraktsbestemmelser (Bestemmelsene) med henblikk på å overholde personvernforordningen og sikre beskyttelse av privatlivet og fysiske personers grunnleggende rettigheter og friheter 2. Preamble Disse Bestemmelsene fastsetter databehandlerens rettigheter og plikter når denne utfører behandling av personopplysninger på vegne av den behandlingsansvarlige. Disse bestemmelsene er utformet med henblikk på parternes etterlevelse av artikkel 28, nr. 3, i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om opphevelse av direktiv 95/46/EF (personvernforordningen). I forbindelse med databehandlerens levering av tjenester til den behandlingsansvarlige, behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i henhold til disse Bestemmelsene. Bestemmelsene skal ha forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom parter. Det hører fire vedlegg til disse Bestemmelsene, og vedleggene utgjør en integrert del av Bestemmelsene. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, inkludert behandlingsformål og karakter, type personopplysninger, kategorier av registrerte, og varighet av behandlingen. Vedlegg B inneholder den behandlingsansvarliges vilkår for databehandlerens bruk av underleverandører og en liste over underleverandører som den behandlingsansvarlige har godkjent. Vedlegg C inneholder den behandlingsansvarliges instrukser vedrørende databehandlerens behandling av personopplysninger, en beskrivelse av sikkerhetstiltak som databehandleren minst skal gjennomføre, og hvordan det føres tilsyn med databehandleren og eventuelle underleverandører. Vedlegg D inneholder bestemmelser angående andre aktiviteter som ikke er dekket av Bestemmelsene. Bestemmelsene med tilhørende vedlegg skal oppbevares skriftlig, inkludert elektronisk, av begge parter. Disse Bestemmelsene fritar ikke databehandleren fra forpliktelser som databehandleren er pålagt etter personvernforordningen eller annen lovgivning. 3. Den behandlingsansvarliges rettigheter og plikter Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i samsvar med personvernforordningen (se forordningens artikkel 24), personvernregler i annen EU-rett eller medlemsstatenes[1] nasjonal rett og disse Bestemmelsene. Den behandlingsansvarlige har rett og plikt til å treffe beslutninger om til hvilket(t) formål og med hvilke virkemidler behandling av personopplysninger skal finne sted. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det finnes et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres i å utføre. 4. Databehandleren handler etter instruks Databehandleren må kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til EU-rett eller medlemsstatenes nasjonal rett som databehandleren er underlagt. Denne instruksen skal være spesifisert i vedlegg A og C. Etterfølgende instruks kan også gis av den behandlingsansvarlige mens behandling av personopplysninger pågår, men instruksen må alltid være dokumentert og oppbevares skriftlig, inkludert elektronisk, sammen med disse Bestemmelsene. Databehandleren underretter omgående den behandlingsansvarlige hvis en instruks etter databehandlerens mening er i strid med denne forordningen eller personvernregler i annen EU-rett eller medlemsstatenes nasjonal rett. 5. Konfidensialitet Databehandleren må kun gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer som er underlagt databehandlerens instruksjonsmyndighet, som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og kun i den nødvendige utstrekning. Listen over personer som har fått tildelt tilgang, skal gjennomgås jevnlig. Basert på denne gjennomgangen kan tilgang til personopplysninger stenges hvis tilgangen ikke lenger er nødvendig, og personopplysningene skal heretter ikke være tilgjengelige for disse personene. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne demonstrere at de berørte personene som er underlagt databehandlerens instruksjonsmyndighet er underlagt den nevnte taushetsplikt. 6. Behandlingssikkerhet Personvernforordningens artikkel 32 fastslår at den behandlingsansvarlige og databehandleren, med hensyn til det aktuelle teknologiske nivå, implementeringskostnader og den aktuelle behandlings karakter, omfang, sammenheng og formål samt risikoene av varierende sannsynlighet og alvor for fysiske personers rettigheter og friheter, implementerer passende tekniske og organisatoriske tiltak for å sikre et beskyttelsesnivå som er passende i forhold til disse risikoene. Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og frihet som behandlingen medfører og gjennomføre tiltak for å imøtekomme disse risikoene. Avhengig av deres relevans kan det omfatte: Pseudonymisering og kryptering av personopplysninger Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet, og robusthet av behandlingssystemer og tjenester Evne til å rettidig gjenopprette tilgjengeligheten av og tilgangen til personopplysninger i tilfelle av en fysisk eller teknisk hendelse En prosedyre for regelmessig testing, vurdering, og evaluering av effektiviteten av de tekniske og organisatoriske tiltakene for å sikre behandlingssikkerhet. I henhold til forordningens artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter som behandlingen medfører og gjennomføre tiltak for å imøtekomme disse risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille nødvendig informasjon til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer. Dessuten skal databehandleren bistå den behandlingsansvarlige med overholdelse av den behandlingsansvarliges forpliktelser etter forordningens artikkel 32, blant annet ved å stille nødvendig informasjon til rådighet for den behandlingsansvarlige vedrørende tekniske og organisatoriske sikkerhetstiltak som databehandleren allerede har gjennomført i henhold til forordningens artikkel 32, og all annen informasjon som er nødvendig for den behandlingsansvarliges overholdelse av sin forpliktelse etter forordningens artikkel 32. Hvis imøtekommelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever gjennomføring av flere tiltak enn de som databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi de ekstra tiltakene som skal gjennomføres i vedlegg C. 7. Bruk av underdatabehandlere Databehandleren skal oppfylle vilkårene som er nevnt i personvernforordningens artikkel 28, nr. 2, og nr. 4, for å bruke en annen databehandler (en underdatabehandler). Databehandleren skal således ikke bruke en underdatabehandler for å oppfylle uten forutgående generell skriftlig godkjenning fra den behandlingsansvarlige. Databehandleren har den behandlingsansvarliges generelle godkjenning til å bruke underdatabehandlere. Databehandleren skal skriftlig informere den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tillegg eller utskiftning av underdatabehandlere med minst 1 måneds varsel og dermed gi den behandlingsansvarlige mulighet for å motsette seg slike endringer før bruk av den omtalte underdatabehandler(e). Lengre varsel for underretning i forbindelse med spesifikke behandlingsaktiviteter kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent, fremgår av vedlegg B. Når databehandleren bruker en underdatabehandler i forbindelse med utførelse av spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal databehandleren, gjennom en kontrakt eller annet rettslig dokument i henhold til EU-retten eller medlemsstatenes nasjonal rett, pålegge underdatabehandleren de samme personvernforpliktelsene som de som fremgår av disse Bestemmelsene, hvorved det særlig stilles de nødvendig garantier for at underdatabehandleren vil gjennomføre tekniske og organisatoriske tiltak på en slik måte at behandlingen overholder kravene i disse Bestemmelsene og personvernforordningen. Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Bestemmelsene og personvernforordningen. Underdatabehandleravtale(r) og eventuelle senere endringer hertil sendes – etter den behandlingsansvarliges anmodning herom – i kopi til den behandlingsansvarlige, som dermed har mulighet til å sikre seg at tilsvarende personvernforpliktelser som følger av disse Bestemmelsene er pålagt underdatabehandleren. Bestemmelser om kommersielle vilkår som ikke påvirker det personvernmessige innholdet i underdatabehandleravtalen skal ikke sendes til den behandlingsansvarlige. Hvis underdatabehandleren ikke oppfyller sine personvernforpliktelser, forblir databehandleren fullt ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter som følger av personvernforordningen, inkludert særlig forordningens artikkel 79 og 82, overfor den behandlingsansvarlige og databehandleren, inkludert underdatabehandleren. 8. Overføring til tredjeland eller internasjonale organisasjoner Enhver overføring av personopplysninger til tredjeland eller internasjonale organisasjoner må kun utføres av databehandleren på grunnlag av dokumentert instruks derom fra den behandlingsansvarlige og skal alltid skje i samsvar med personvernforordningens kapittel V. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner som databehandleren ikke er blitt instruert i å utføre av den behandlingsansvarlige, kreves i henhold til EU-rett eller medlemsstatenes nasjonal rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om dette juridiske kravet før behandling, med mindre den aktuelle retten forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser. Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren således ikke innen rammene av disse Bestemmelsene: overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon overlate behandling av personopplysninger til en underdatabehandler i et tredjeland behandle personopplysningene i et tredjeland Den behandlingsansvarliges instruks vedrørende overføring av personopplysninger til et tredjeland, inkludert eventuelt overføringsgrunnlag i personvernforordningens kapittel V som overføringen er basert på, skal angis i vedlegg C.6. Disse Bestemmelsene skal ikke forveksles med standardkontraktsbestemmelser som nevnt i personvernforordningens artikkel 46, nr. 2, bokstav c og d, og disse Bestemmelsene kan ikke utgjøre et grunnlag for overføring av personopplysninger som nevnt i personvernforordningens kapittel V. 9. Bistand til den behandlingsansvarlige Databehandleren bistår, med hensyn til behandlingens karakter, så langt som mulig den behandlingsansvarlige ved hjelp av passende tekniske og organisatoriske tiltak med oppfyllelse av den behandlingsansvarliges forpliktelse til å besvare forespørsler om utøvelsen av de registrertes rettigheter som fastlagt i personvernforordningens kapittel III. Dette innebærer at databehandleren så langt som mulig skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre etterlevelse av: informasjonspåbud ved innsamling av personopplysninger hos den registrerte informasjonspåbud hvis personopplysninger ikke er innsamlet hos den registrerte innsynsrett retten til retting retten til sletting ("retten til å bli glemt") retten til begrensning av behandling underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandlingen retten til dataportabilitet retten til innsigelse retten til å ikke være gjenstand for en beslutning basert utelukkende på automatisk behandling, inkludert profilering I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren også, med hensyn til behandlingens karakter og de opplysninger som er tilgjengelige for databehandleren, den behandlingsansvarlige med: den behandlingsansvarliges forpliktelse til uten unødvendig forsinkelse og om mulig senest 72 timer etter at den er blitt kjent med det, å varsle brudd på persondatasikkerheten til den kompetente tilsynsmyndigheten (Danmark: Datatilsynet), med mindre det er usannsynlig at bruddet på persondatasikkerheten medfører risiko for fysiske personers rettigheter eller friheter den behandlingsansvarliges forpliktelse til uten unødvendig forsinkelse å underrette den registrerte om bruddet på persondatasikkerheten når bruddet sannsynligvis vil medføre høy risiko for fysiske personers rettigheter og friheter den behandlingsansvarliges forpliktelse til før behandling å utføre en analyse av de tiltenkte behandlingsaktivitetenes konsekvenser for beskyttelse av personopplysninger (en konsekvensanalyse) den behandlingsansvarliges forpliktelse til å konsultere den kompetente tilsynsmyndigheten (Danmark: Datatilsynet), før behandling hvis en konsekvensanalyse om personvern viser at behandlingen vil føre til høy risiko i mangel av tiltak truffet av den behandlingsansvarlige for å begrense risikoen. 10. Underretning om brudd på persondatasikkerheten Databehandleren underretter uten unødvendig forsinkelse den behandlingsansvarlige etter å ha blitt oppmerksom på at det har skjedd et brudd på persondatasikkerheten. Databehandlerens underretning til den behandlingsansvarlige skal skje uten unødvendig forsinkelse og, om mulig, innen 24 timer etter at den er blitt kjent med bruddet, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å varsle bruddet på persondatasikkerheten til den kompetente tilsynsmyndigheten, jf. personvernforordningens artikkel 33. I henhold til Bestemmelse 9.2.a skal databehandleren bistå den behandlingsansvarlige med å anmelde bruddet til den kompetente tilsynsmyndigheten. Det betyr at databehandleren skal bistå med å tilveiebringe nedenstående informasjon, som ifølge artikkel 33, nr. 3, skal fremgå av den behandlingsansvarliges anmeldelse av bruddet til den kompetente tilsynsmyndigheten: karakteren av bruddet på persondatasikkerheten, inkludert, hvis mulig, kategoriene og det omtrentlige antallet berørte registrerte samt kategoriene og det omtrentlige antallet berørte registreringer av personopplysninger de sannsynlige konsekvensene av bruddet på persondatasikkerheten de tiltak som den behandlingsansvarlige har iverksatt eller foreslått å iverksette for å håndtere bruddet på persondatasikkerheten, inkludert hvis relevant, tiltak for å begrense potensielle skadelige effekter. Parter skal i vedlegg C angi den informasjon som databehandleren skal tilveiebringe i forbindelse med sin bistand til den behandlingsansvarlige i dennes forpliktelse til å varsle bruddet på persondatasikkerheten til den kompetente tilsynsmyndigheten. 11. Sletting og retur av opplysninger Ved opphør av levering av tjenester relatert til behandling av personopplysninger er databehandleren forpliktet til å slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet, med mindre EU-retten eller medlemsstatenes nasjonal rett foreskriver oppbevaring av personopplysningene. 12. Revisjon, inkludert inspeksjon Databehandleren stiller alle opplysninger som er nødvendige for å påvise overholdelse av personvernforordningens artikkel 28 og disse Bestemmelsene til rådighet for den behandlingsansvarlige og gir mulighet for og bidrar til revisjoner, inkludert inspeksjoner, som den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige, utfører. Prosedyrene for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, med databehandleren og underdatabehandlere er nærmere angitt i Vedlegg C. Databehandleren er forpliktet til å gi tilgang til tilsynsmyndigheter som etter gjeldende lovgivning har adgang til den behandlingsansvarliges eller databehandlerens fasiliteter, eller representanter som opptrer på tilsynsmyndighetens vegne, til databehandlerens fysiske fasiliteter mot behørig legitimasjon. 13. Ikrafttredelse og opphør Bestemmelsene trer i kraft på datoen for begge parters underskrift herav. Begge parter kan kreve Bestemmelsene gjenforhandlet hvis lovendringer eller uhensiktsmessigheter i Bestemmelsene gir grunn til det. Bestemmelsene er gyldige så lenge databehandleren leverer tjenester i forbindelse med behandling av personopplysninger. I denne perioden kan Bestemmelsene ikke sies opp, med mindre andre bestemmelser som regulerer levering av tjenester relatert til behandling av personopplysninger avtales mellom parter. Hvis leveringen av tjenester relatert til behandling av personopplysninger opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i samsvar med Bestemmelse 11.1 og Vedlegg C.4, kan Bestemmelsene sies opp skriftlig av begge parter. Vedlegg A Opplysninger om behandlingen A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige Formålet med behandling av personopplysninger er avvikling av databehandlerens Tjeneste, som i henhold til avtale stilles til rådighet for den behandlingsansvarlige. I Tjenesten kan det på grunnlag av de opplysninger som den behandlingsansvarlige har lagt inn og brukernes besvarelse av spørsmål, utarbeides personlighetsanalyser, teamledere, og rollestilanalyser, samt variasjoner av disse. A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige dreier seg primært om (karakteren av behandlingen) Utføre personlighetsanalyse og oppbevaring av disse. Bruk av ikke-personhenførbare og anonymiserte opplysninger til statistikk og forbedring av Tjenesten A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte Navn, (potensiell) tittel, fødselsdato, kontaktopplysninger (bl.a. e-postadresse) Besvarelse av spørsmål med henblikk på personlighetsanalyse. Personlighetsanalyse A.4. Behandlingen omfatter følgende kategorier av registrerte Den behandlingsansvarliges administratorer Brukere, som kan være ansatte hos den behandlingsansvarlige eller kandidater til en stilling hos den behandlingsansvarlige eller kandidater til en stilling hos en kunde hos den behandlingsansvarlige. A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynnes etter disse Bestemmelsenes ikrafttredelse. Behandlingen har følgende varighet Behandlingen av personopplysninger utføres så lenge den behandlingsansvarlige bruker databehandlerens tjeneste. Vedlegg B Underdatabehandlere B.1. Godkjente underdatabehandlere Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av følgende underdatabehandlere NAVN CVR ADRESSE BESKRIVELSE AV BEHANDLING skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting og teknisk drift av Tjenesten. Behandlingsland: Danmark, Tyskland. Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uten den behandlingsansvarliges skriftlige godkjennelse – bruke en underdatabehandler til en annen behandlingsaktivitet enn den beskrevne og avtalte, eller bruke en annen underdatabehandler til denne behandlingsaktiviteten. Vedlegg C Instruks vedrørende behandling av personopplysninger C.1. Behandlingens gjenstand/instruks Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende: Databehandleren skal, basert på den behandlingsansvarliges bruk av den tjeneste, som etter avtale mellom den behandlingsansvarlige og databehandlere er inngått, til rådighetstilt sende, samle opplysninger om den behandlingsansvarlige eller den behandlingsansvarliges brukere når disse opplysningene tastes inn i Tjenesten, og på den bakgrunn utarbeide personlighetsanalyser til bruk for den behandlingsansvarlige, samt at disse også skal oppbevares av den behandlingsansvarlige. C.2. Behandlingssikkerhet Sikkerhetsnivået skal reflektere: At, det ikke dreier seg om sensitive personopplysninger, men dog opplysninger som datasubjektene kan oppfatte som havende en viss sensitivitet. Databehandleren er dermed berettiget og forpliktet til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal utføres for å etablere det nødvendige sikkerhetsnivået. Hvis den behandlingsansvarlige ønsker andre eller ytterligere sikkerhetstiltak utført, inkludert hvor dette måtte være på grunnlag av revisjon/inspeksjon, er den behandlingsansvarlige ansvarlig for eventuelle ekstra kostnader som dette måtte medføre for databehandleren. C.3 Bistand til den behandlingsansvarlige Hvor databehandleren yter den behandlingsansvarlige bistand med oppfyllelse av den behandlingsansvarliges forpliktelser, er databehandleren berettiget til å kreve vederlag for slikt arbeid, med sin til enhver tid gjeldende timesats for dette. C.6 Instruks vedrørende overføring av personopplysninger til tredjeland Hvis den behandlingsansvarlige ikke i disse Bestemmelsene eller etterfølgende gir en dokumentert instruks vedrørende overføring av personopplysninger til et tredjeland, er databehandleren ikke berettiget til innen rammene av disse Bestemmelsene å utføre slike overføringer. C.7 Prosedyrene for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, med behandlingen av personopplysninger som er overlatt til databehandleren/underdatabehandlere Etter forespørsel fra den behandlingsansvarlige skal databehandleren, for den behandlingsansvarliges regning, innhente en revisjonsuttalelse fra en uavhengig tredjepart vedrørende databehandlerens/underdatabehandlerens overholdelse av personvernforordningen, personvernregler i annen EU-rett eller medlemsstatenes nasjonal rett, og disse Bestemmelsene. Det er enighet mellom parter om at følgende typer revisjonsuttalelser kan brukes i samsvar med disse Bestemmelsene: ISAE 3000 revisjonsuttalelse eller annen lignende uttalelsestype. Den behandlingsansvarlige eller en representant for den behandlingsansvarlige har dessuten adgang til å utføre inspeksjoner, inkludert fysiske inspeksjoner, på lokalene hvor databehandleren/underdatabehandleren utfører behandling av personopplysninger, inkludert fysiske lokaliteter og systemer som brukes til eller i forbindelse med behandlingen. Slike inspeksjoner kan utføres når den behandlingsansvarlige finner det nødvendig. Databehandlerens og underdatabehandlerens eventuelle utgifter i forbindelse med tilsyn med persondatabehandlingen hos databehandleren eller underdatabehandlere eller fysiske inspeksjoner av databehandlerens eller underdatabehandlerens lokaler skal dekkes av den behandlingsansvarlige. [1] Henvisninger til "medlemsstat" i disse bestemmelsene skal forstås som en henvisning til "EØS-medlemsstater".
Conditions
IPA'S VILKÅR Disse vilkår gjelder i forhold til IPA Nordic ApS' ("IPA") tjenester til Kunden. 1. Bruksrett 1.1 Ved inngåelse av avtale om dette med IPA, oppnår Kunden bruksrett i samsvar med disse vilkårene til å bruke IPA's tjeneste i den avtalte utgaven ("Tjenesten"). Kunden har rett til – med mindre annet er spesielt avtalt – å bruke Tjenesten internt i sin virksomhet, inkludert hvor Kunden utfører rekrutteringsarbeid for tredjepart, forutsatt at Kunden kan gi brukere utenfor sin virksomhet, som er kandidater til ansettelse i Kundens virksomhet eller den virksomheten Kunden utfører rekrutteringsarbeid for, tilgang til å benytte Tjenesten i sammenheng med besvarelse av spørsmål, jf. pkt. 1.2. 1.2 Kunden har rett til å bruke Tjenesten som forutsatt og er herunder berettiget til å gi ansatte og andre ("Kundens Brukere") tilgang til å benytte Tjenesten, og tilhørende analyser, som forutsatt. Brukere kan være vanlige brukere som svarer på spørsmål til bruk for Tjenesten eller administratorer som har tilgang til cockpit og utarbeidede analyser. 1.3 Kundens administratorer skal være ansatt i kundens virksomhet og skal til enhver tid være sertifisert i bruken av de analyser som Kunden via Tjenesten har tilgang til. IPA tilbyr sertifisering i de analyser som omfattes av Tjenesten, som angitt på IPA's hjemmeside eller som opplyst på annen måte. 2. Implementering 2.1 IPA eller en av IPA's partnere foretar implementering av Tjenesten til Kundens bruk, hvorved forstås at Kunden kan tilgå Tjenesten som avtalt på det avtalte tidspunkt. 2.2 IPA eller IPA's partner har rett til i rimelig grad å gjøre endringer i det avtalte tidspunktet for implementering, forutsatt at slik endring varsles overfor Kunden. 2.3 Kunden må bidra i relevant omfang til implementeringen, herunder skal Kunden gi IPA eller IPA's partner de nødvendige og korrekte opplysningene for implementeringen og i nødvendig utstrekning gi tilgang til IT-ressurser. 3. Drift 3.1 Tjenesten drives og tilgås av kunden online. IPA vil søke å holde Tjenesten tilgjengelig for kunden til enhver tid, men garanterer ikke en bestemt oppetid. 3.2 Kunden er ansvarlig for å skaffe det nødvendige utstyr, applikasjoner og nettverksforbindelser for bruk av Tjenesten. IPA informerer på Kundens forespørsel om eventuelle spesifikasjoner for utstyr, applikasjoner mv. 3.3 IPA kan uten ansvar helt eller delvis avbryte Kundens eller Kundens Brukeres tilgang til Tjenesten: a) hvis det er nødvendig for å utføre vedlikehold, reparasjon eller oppdatering av Tjenesten. Slik avbrytelse av tilgang til Tjenesten forsøkes foretatt utenfor ordinær arbeidstid og vil, i den grad det er mulig, bli varslet Kunden i så god tid som mulig, men det kan i visse situasjoner være nødvendig å avbryte tilgang til Tjenesten uten varsel, inkludert innenfor ordinær arbeidstid. b) hvis det er grunn til å anta at Kundens eller Kundens Brukeres brukeradganger misbrukes av tredjepart. Gjenoppretting av tilgang kan være betinget av at Kundens Brukeres brukernavn og/eller passord endres. c) hvis Kundens handlinger eller forhold som Kunden ellers er ansvarlig for, har eller må forventes å forårsake skade på Tjenesten, inklusive i forhold til andre kunder eller brukere av Tjenesten, eller hvis Tjenesten med rimelighet antas av IPA å bli brukt til ulovlige forhold. Tilgang til Tjenesten vil i disse situasjonene bli gjenopprettet når slike forhold er avklart til IPA's tilfredshet. d) hvis Kunden ikke overholder kravet om sertifisering av administratorer, jf. pkt. 1.3, og kravet om sertifisering ikke har vært oppfylt i 60 dager. e) hvis Kunden står i betalingsmislighold overfor IPA. 3.4 Hvis IPA avbryter Kundens eller Kundens Brukeres tilgang til Tjenesten, jf. pkt. 3.3, vil IPA snarest mulig orientere Kunden om dette, herunder om årsaken til avbrytelsen, samt når og under hvilke forutsetninger tilgang til Tjenesten kan gjenopprettes. Slik avbrytelse er ikke mislighold av Avtalen og gir ikke Kunden rett til refusjon av vederlag eller misligholdsbeføyelser ellers. 3.5 Kunden er selv ansvarlig for å sikre backup av de data som behandles for Kunden i Tjenesten. IPA bistår Kunden med å få utarbeidet backup etter særskilt avtale, i tillegg til å bistå Kunden med å laste inn data fra backups. IPA har rett til vederlag for slikt arbeid basert på IPA's til enhver tid gjeldende timepriser for slikt arbeid samt eventuelle kostnader til tredjepart. 4. Bruk av Tjenesten 4.1 Kunden er ansvarlig for innlegging av egne opplysninger i Tjenesten og er ansvarlig for at slike data er korrekte og valide. IPA er ikke ansvarlig for at Tjenesten og bruken av denne er egnet til Kundens bruk eller tenkte bruk. Dette er alene Kundens ansvar. 4.2 IPA er ansvarlig for at IPA's tjeneste som sådan overholder lover og regler i Norge. Kunden er ansvarlig for at dennes bruk av Tjenesten, inkludert at behandlingen av data er lovlig, og at alle lovkrav i forbindelse med Kundens bruk av Tjenesten er overholdt, inkludert i forhold til persondatahåndtering, likesom Kunden er ansvarlig for enhver bruk av Tjenesten ved bruk av de til Kunden og Kundens Brukere knyttede brukernavn og passord. 4.3 Kunden og Kundens Brukere skal til enhver tid beskytte sine brukernavn og passord til Tjenesten. Hvis Kunden blir kjent med eller mistenker at Kundens eller Kundens Brukeres tilgang til Tjenesten misbrukes, eller at tredjepart har fått tak i Kundens eller Kundens Brukeres brukernavn og passord, skal Kunden straks orientere IPA. 4.4 IPA har rett til å overvåke bruken av Tjenesten og bruke enhver opplysning om og i Tjenesten i anonym form med henblikk på utarbeidelse av statistikker og til vedlikehold av Tjenesten. 5. Endring av Tjenesten 5.1 IPA har rett til å foreta endringer i Tjenesten og dens utforming. IPA vil til enhver tid søke å orientere Kunden om slike endringer med minst 30 dagers varsel før endringene trer i kraft, men slik varsel kan i visse tilfeller ikke opprettholdes, inkludert hvor varselet etter IPA's vurdering bør være kortere, eksempelvis hvor endringer skyldes sikkerhetsmessige forhold. 5.2 Hvis IPA foretar så vesentlige endringer i Tjenesten at denne ikke lenger kan betraktes som samme tjeneste, eksempelvis hvis grunnleggende eller ofte brukte funksjoner fjernes og ikke bare forutsetter et endret bruksmønster, har Kunden rett til å si opp avtalen med 30 dagers varsel og vil i slike tilfeller få refundert en forholdsmessig andel av eventuelle forskuddsbetalte vederlag for bruken av Tjenesten for perioden etter avtaleopphør. 6. Andre konsulenttjenester 6.1 IPA leverer konsulenttjenester til Kunden, utover implementeringstjenester, jf. pkt. 2, som separat avtalt. Konsulenttjenester leveres av IPA i samsvar med god skikk uten resultatansvar, og Kunden er selv ansvarlig for at konsulenttjenesten er egnet til Kundens bruk eller påtenkte bruk. 6.2 Slike andre konsulenttjenester anses som levert når IPA opplyser at konsulenttjenestene er utført og ferdigstilt som avtalt, eller når kunden begynner å bruke resultatene av konsulenttjenesten. 7. Priser og betaling 7.1 Kunden betaler for tilgang til Tjenesten for en tolv måneders periode på forhånd fra tidspunktet for implementering, med mindre annet er eksplisitt avtalt. 7.2 Implementeringstjenester faktureres av IPA eller IPA's partner når implementeringen er levert. Sertifiseringstjenester kan faktureres av IPA ved Kundens bestilling av disse. IPA's andre konsulenttjenester faktureres ved deres levering eller månedlig etterskuddsvis. 7.3 IPA's fremsendte fakturaer forfaller til betaling 14 dager etter utsendelse. Ved forsinket betaling har IPA rett til å pålegge morarente på 2% for hver påbegynte måned. 7.4 IPA opprettholder eventuelt avtalte reduserte priser i en periode på 12 måneder fra avtaleinngåelsen. Deretter gjelder listepriser som angitt i IPA's til enhver tid gjeldende prisliste. 7.5 IPA har rett til å foreta endringer i sine listepriser én gang årlig med minimum endringen i netto prisindeksen. I tillegg har IPA rett til å justere sine listepriser ved lovendringer, samt endrede priser på tredjepartsapplikasjoner eller produkter nødvendig for IPA's tjeneste. IPA vil varsle om slike eventuelle prisendringer med minimum 30 dagers varsel. 8. Immaterielle rettigheter 8.1 IPA har og beholder enhver eiendomsrett og alle immaterielle rettigheter, inkludert opphavsrett til Tjenesten og de tilknyttede materialer, slik som manualer og veiledninger. Tjenesten og de tilknyttede materialene kan inneholde elementer og komponenter hvor tredjepart har immaterielle rettigheter. IPA besitter i så fall nødvendige rettigheter til å tilby Tjenesten og de tilknyttede materialene til Kunden. 8.2 Kunden oppnår med avtale, jf. pkt. 1, og i dens løpetid bruksrett til Tjenesten og de tilknyttede materialene som gjort tilgjengelig av IPA og for de forutsatte formål. Kunden oppnår ingen ytterligere rettigheter utover den spesifiserte bruksretten til prosesser eller lignende som inngår i Tjenesten. 8.3 Kunden får en tidsubegrenset bruksrett til materiale som er generert via Tjenesten basert på Kundens data og bruk av Tjenesten. Herunder har Kunden rett til å gjøre endringer i og reproduksjon av slikt materiale. 8.4 Kunden beholder eierskap og immaterielle rettigheter tilknyttet data som Kunden legger inn i Tjenesten. Kunden gir IPA en ikke-eksklusiv, vederlagsfri bruksrett til slike data for å oppfylle Avtalen. 8.5 For konsulenttjenester, inkludert resultater av slike, levert av IPA til Kunden, beholder IPA eierskap og immaterielle rettigheter med respekt for Kundens rettigheter og konfidensialitet. Kunden gis en bruksrett i Avtalens løpetid til å bruke konsulenttjenestene og resultatene internt i Kundens virksomhet. 9. Konfidensialitet 9.1 Hver av Partene skal holde den annen parts interne opplysninger konfidensielle, herunder forretningshemmeligheter og avtaler mellom partene, og skal ikke bruke eller videreformidle slike opplysninger til annet formål enn det tiltenkte i forbindelse med opplysningenes overlevering, uten den andre parts forhåndsaksept. IPA holder også personopplysninger som er lagt inn i Tjenesten av Kunden konfidensielle som beskrevet i den inngåtte databehandleravtalen mellom partene. 9.2 Uansett pkt. 9.1 har IPA rett til å gi Kundens opplysninger, inkludert interne opplysninger, til IPA's underleverandører i den grad det er nødvendig for å levere IPA's tjenester til Kunden, forutsatt at slike underleverandører er underlagt tilsvarende konfidensialitet. Partene har også rett til å utlevere den andre parts informasjon, som ellers skulle vært konfidensielt, hvis dette følger av domstolsavgjørelse eller gyldig krav fra en myndighet. 9.3 Konfidensialitetsbestemmelsene i dette pkt. 9 gjelder ikke for offentlig tilgjengelige opplysninger, mottatt fra en tredjepart uten krav om konfidensialitet, mottatt eller tilveiebrakt på annet vis uten konfidensialitetskrav eller som utvikles selvstendig av parten uten å utnytte informasjon mottatt fra den andre parten. 9.4 Bestemmelsene i dette pkt. 9 forblir i kraft i en periode på 5 år etter Avtalens opphør, uansett årsaken til slikt opphør. 10. Persondatabehandling 10.1 IPA utfører behandling av personopplysninger i Tjenesten, inkludert slike personopplysninger som Kunden laster opp i Tjenesten. Forhold vedrørende persondatabehandling er regulert i databehandleravtalen inngått mellom Kunden og IPA. 11. Misligholdelse 11.1 Hvis Kunden ønsker å påberope seg mangler ved IPA's tjenester, må dette skje umiddelbart, og for konsulenttjenester, som implementeringstjenester, innen senest 30 dager etter levering. IPA har alltid rett til å utføre ny leveranse. 11.2 Hvis en av Partene vesentlig misligholder Avtalen, og slik vesentlig misligholdelse ikke er avhjulpet innen 30 dager etter den misligholdende parten er orientert om misligholdelsen av den ikke-misligholdende parten, har den ikke-misligholdende parten rett til skriftlig å heve Avtalen for fremtiden. 12. Ansvar 12.1 Partene er erstatningsansvarlige overfor hverandre i samsvar med norsk rets alminnelige regler med nedenstående begrensninger. 12.2 IPA's totale erstatningsansvar overfor Kunden kan aldri overstige det av Kunden betalte vederlag for bruk av Tjenesten for de siste 6 månedene før kravet oppstod. IPA er aldri ansvarlig overfor kunden for indirekte tap, inklusiv, men ikke begrenset til tapt fortjeneste, tapt inntekt, tap av forventede besparelser eller tap av goodwill. 12.3 Den begrensning av erstatningsansvar som er opplyst i pkt. 12.2, gjelder ikke ved grov uaktsomhet eller forsett. 13. Force Majeure 13.1 Ingen av partene er ansvarlige for oppfyllelse av sine plikter i henhold til Avtalen hvis den manglende oppfyllelsen skyldes force majeure, hvorved forstås omstendigheter utenfor partens rimelige kontroll, inkludert underleverandørers force majeure, og som parten ikke burde ha tatt i betraktning ved Avtaleinngåelsen. Hvis force majeure-situasjonen varer mer enn 30 dager, har den part som ikke er rammet av force majeure rett til å si opp Avtalen uten varsel. 14. Avtalens opphør 14.1 Kunden har rett til å si opp Avtalen med 12 måneders varsel etter utgangen av en kalendermåned. Avtalen kan først varsles til opphør etter 12 måneder. Minimum samlet periode er derfor 24 måneder. IPA kan si opp Avtalen med et varsel på minst 12 måneder til utgangen av en kalendermåned. 14.2 Forhåndsbetalt vederlag refunderes ikke ved Kundens oppsigelse av Avtalen. Hvis IPA sier opp Avtalen, refunderes en forholdsmessig andel av eventuelt forhåndsbetalt vederlag til Kunden tilsvarende det av Kunden betalte vederlag for tilgang til Tjenesten for perioden etter Avtalens opphør. 15. Overføring av data til Kunden 15.1 På Kundens forespørsel bistår IPA til enhver tid Kunden med overføring av alle Kundens data i Tjenesten til Kunden eller en av Kunden utpekt tredjepart i et alminnelig brukt format som gjør videre behandling av Kundens data mulig, forutsatt at Kunden informerer om et slikt ønske senest ved Avtalens opphør. 15.2 IPA har rett til å kreve betaling for sin tidsbruk i forbindelse med overføring av data bistått med, i samsvar med IPA's til enhver tid gjeldende timepriser for slikt arbeid samt eventuelle kostnader forbundet med dette, og såfremt det anses nødvendig fra IPA's side, kan det kreves innbetaling for noe utestående og eventuelt et rimelig forskudd for bistanden før den ytes. 16. Markedsføring 16.1 IPA har rett til å bruke Kundens navn og varemerke som referanse i sitt generelle fysiske og/eller digitale markedsføringsmateriale. 16.2 Om IPA ønsker å henvise potensielle kunder til å kontakte Kunden med henblikk på referansesamtaler eller -møter, må dette avtales separat. 17. Underleverandører 17.1 IPA har rett til å bruke underleverandører til å oppfylle sine forpliktelser overfor Kunden. IPA er ansvarlig for slike underleverandørers ytelser som for egne ytelser. Underleverandører er pålagt å holde Kundens opplysninger konfidensielle, jf. pkt. 9.1. 18. Overdragelse 18.1 Ingen av Partene har rett til å overdrage sine plikter og rettigheter iht. Avtalen til tredjepart uten den andre partens skriftlige samtykke. Et samtykke til slik overdragelse skal ikke ubegrunnet holdes tilbake. IPA har dog rett til å overdrage sine rettigheter og forpliktelser i forbindelse med et helt eller delvis salg eller annen selskapsrettslig omstrukturering av IPA. 19. Endringer av avtalen 19.1 Avtalen kan kun endres av Partene gjennom skriftlig avtale om dette, med mindre annet fremgår av Avtalen. 20. Tvisteløsning 20.1 Ved tvist mellom Partene basert på Avtalen, skal Partene forsøke å løse slik tvist i minnelighet. Om tvisten ikke løses i minnelighet innen rimelig tid, kan hver av partene søke tvisten avgjort ved de alminnelige norske domstoler med IPA's hjemting som verneting. 20.2 Avtalen er underlagt norsk rett med unntak av norsk lovs regler om internasjonale lovvalg.
Kontakt
+45 60 25 99 99 (9-15 CET)
hello@ipanordic.com
Skanderborgvej 213
8260 Viby J
Danmark
CVR: 40700048
IPA Nordic hovedkvarter
Skanderborgvej 213
8260, Viby J
Danmark
Benelux
Daalwijkdreef 47
1103 e.Kr., Amsterdam
Nederland
Sverige
Tranebergsvägen 78
SE-167 44 Bromma
Sverige
Spania
Carrer del rec 30
08003, Barcelona
Spania
Midtøsten
Mahmoud Al-Karmi Street 10
Amman
Jordan
IPA Nordic hovedkvarter
Skanderborgvej 213
8260, Viby J
Danmark
Benelux
Daalwijkdreef 47
1103 e.Kr., Amsterdam
Nederland
Sverige
Tranebergsvägen 78
SE-167 44 Bromma
Sverige
Spania
Carrer del rec 30
08003, Barcelona
Spania
Midtøsten
Mahmoud Al-Karmi Street 10
Amman
Jordan
Kontakt
+45 60 25 99 99 (9-15 CET)
hello@ipanordic.com
Skanderborgvej 213
8260 Viby J
Danmark
CVR: 40700048
IPA Nordic hovedkvarter
Skanderborgvej 213
8260, Viby J
Danmark
Benelux
Daalwijkdreef 47
1103 e.Kr., Amsterdam
Nederland
Sverige
Tranebergsvägen 78
SE-167 44 Bromma
Sverige
Spania
Carrer del rec 30
08003, Barcelona
Spania
Midtøsten
Mahmoud Al-Karmi Street 10
Amman
Jordan