Databehandlingsavtale
I henhold til artikkel 28(3) i forordning 2016/679 (Generell databeskyttelsesforordning) angående behandlers behandling av personopplysninger mellom brukeren av IPA PeopleSuite og IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J heretter “behandleren” enhver av dem individuelt en “Part” og sammen “Partene” Har blitt enige om følgende standard avtalebestemmelser (heretter “Bestemmelsene”) for å overholde den Generelle databeskyttelsesforordningen og sikre beskyttelse av personvern og de grunnleggende rettighetene og frihetene til fysiske personer 2. Innledning Disse Bestemmelsene angir behandlerens rettigheter og plikter ved behandling av personopplysninger på vegne av kontrolløren. Disse Bestemmelsene er utarbeidet med sikte på at Partene skal overholde artikkel 28(3) i forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike data og oppheving av direktiv 95/46/EF (Generell databeskyttelsesforordning). I forbindelse med behandlerens levering av tjenester til kontrolløren, behandler behandleren personopplysninger på vegne av kontrolløren i henhold til disse Bestemmelsene. Disse Bestemmelsene skal ha forrang foran eventuelle lignende bestemmelser i andre avtaler mellom Partene. Fire vedlegg er vedlagt til disse Bestemmelsene, og vedleggene utgjør en integrert del av Bestemmelsene. Vedlegg A inneholder detaljert informasjon om behandlingen av personopplysninger, inkludert formålet og arten av behandlingen, typen personopplysninger, kategoriene av registrerte og varigheten av behandlingen. Vedlegg B inneholder kontrollørens betingelser for behandlerens bruk av underbehandlere og en liste over underbehandlere godkjent av kontrolløren. Vedlegg C inneholder kontrollørens instruksjoner angående behandlerens behandling av personopplysninger, en beskrivelse av sikkerhetstiltakene som behandleren som minimum skal gjennomføre, og hvordan tilsyn med behandleren og eventuelle underbehandlere utføres. Vedlegg D inneholder bestemmelser relatert til andre aktiviteter som ikke er dekket av Bestemmelsene. Bestemmelsene med vedlegg skal oppbevares skriftlig, inklusive elektronisk, av begge Parter. Disse Bestemmelsene fritar ikke behandleren fra forpliktelser som er pålagt behandleren under den Generelle databeskyttelsesforordningen eller annen lovgivning. 3. Kontrollørens rettigheter og plikter Kontrolløren er ansvarlig for å sikre at behandlingen av personopplysninger skjer i samsvar med den Generelle databeskyttelsesforordningen (se artikkel 24 i forordningen), bestemmelser om databeskyttelse i annen EU-lovgivning eller nasjonal lovgivning i EØS-medlemsstater, og disse Bestemmelsene. Kontrolløren har rett og plikt til å ta beslutninger om formålene og virkemidlene som personopplysninger kan behandles. Kontrolløren er blant annet ansvarlig for å sikre at det finnes et rettslig grunnlag for behandlingen av personopplysninger som behandleren er instruert til å utføre. 4. Behandleren handler etter instruksjoner Behandleren kan kun behandle personopplysninger på dokumentert instruksjon fra kontrolløren, med mindre det kreves etter EU-lovgivning eller nasjonal lovgivning i EØS-medlemsstater som behandleren er underlagt. Slik instruksjon skal spesifiseres i Vedlegg A og C. Senere instruksjoner kan også gis av kontrolløren mens behandlingen av personopplysninger pågår, men instruksjonen skal alltid dokumenteres og oppbevares skriftlig, inklusive elektronisk, sammen med disse Bestemmelsene. Behandleren skal umiddelbart informere kontrolløren dersom den, etter sin oppfatning, mener at en instruksjon er i strid med den Generelle databeskyttelsesforordningen eller bestemmelser om databeskyttelse i annen EU-lovgivning eller nasjonal lovgivning i EØS-medlemsstater. 5. Konfidensialitet Behandleren kan kun gi tilgang til personopplysninger behandlet på vegne av kontrolløren til personer underlagt behandlerens myndighet som har forpliktet seg til konfidensialitet eller er under en passende lovpålagt taushetsplikt, og kun i den grad det er nødvendig. Listen over personer med tilgang skal kontinuerlig gjennomgås. Basert på denne gjennomgangen, kan tilgangen til personopplysninger trekkes tilbake dersom tilgangen ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelige for disse personene. På forespørsel fra kontrolløren skal behandleren kunne demonstrere at de aktuelle personene som er underlagt behandlerens myndighet er bundet av den ovennevnte konfidensialitetsforpliktelsen. 6. Sikkerhet ved behandling Artikkel 32 i den Generelle databeskyttelsesforordningen fastsetter at, med hensyn til teknologisk nivå, kostnader for implementering og behandlingens natur, omfang, sammenheng og formål samt risikoen av varierende sannsynlighet og alvorlighetsgrad for rettighetene og frihetene til fysiske personer, skal kontrolløren og behandleren implementere riktige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som står i forhold til risikoen. Kontrolløren skal vurdere risikoene for rettighetene og frihetene til fysiske personer forårsaket av behandlingen og implementere tiltak for å adressere disse risikoene. Avhengig av deres relevans kan dette inkludere: Pseudonymisering og kryptering av personopplysninger Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og motstandskraft i behandlingssystemer og tjenester Evnen til å gjenopprette tilgjengeligheten til og tilgang til personopplysninger i rett tid i tilfelle en fysisk eller teknisk hendelse En prosess for regelmessig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for å sikre behandlingens sikkerhet I henhold til artikkel 32 i Forordningen skal behandleren også – uavhengig av kontrolløren – vurdere risikoene for rettighetene og frihetene til fysiske personer forårsaket av behandlingen og implementere tiltak for å adressere disse risikoene. For formålet med denne vurderingen skal kontrolløren gi den nødvendige informasjonen til behandleren for å muliggjøre identifisering og vurdering av slike risikoer. Videre skal behandleren bistå kontrolløren i å sikre samsvar med kontrollørens forpliktelser i henhold til artikkel 32 i Forordningen ved, blant annet, å gjøre tilgjengelig for kontrolløren den nødvendige informasjonen angående de tekniske og organisatoriske sikkerhetstiltakene som allerede er implementert av behandleren i henhold til artikkel 32 og annen nødvendig informasjon for kontrollørens samsvar med sine forpliktelser etter artikkel 32. Hvis adresseringen av de identifiserte risikoene – etter kontrollørens vurdering – krever implementering av tilleggstiltak utover de som allerede er implementert av behandleren, skal kontrolløren spesifisere de tilleggstiltakene som skal implementeres i Vedlegg C. 7. Bruk av underbehandlere Behandleren skal oppfylle betingelsene nevnt i artikkel 28(2) og (4) av den Generelle databeskyttelsesforordningen for å kunne benytte seg av en annen behandler (en underbehandler). Behandleren kan derfor ikke bruke en underbehandler for oppfyllelsen av denne avtalen uten forutgående generell skriftlig autorisasjon fra kontrolløren. Behandleren har kontrollørens generelle autorisasjon til å bruke underbehandlere. Behandleren skal informere kontrolløren skriftlig om enhver planlagt endring angående tillegg eller erstatning av underbehandlere med minst 1 måneds varsel og derved gi kontrolløren muligheten til å motsette seg slike endringer før bruk av den/de berørte underbehandler(e). Lengre varslingsperioder for spesifikke behandlingsaktiviteter kan spesifiseres i Vedlegg B. Listen over underbehandlere som allerede er godkjent av kontrolløren fremgår i Vedlegg B. Når behandleren benytter seg av en underbehandler i forbindelse med utførelsen av spesifikke behandlingsaktiviteter på vegne av kontrolløren, skal behandleren, ved hjelp av en kontrakt eller annen juridisk handling under EU-lovgivning eller nasjonal lovgivning i EØS-medlemsstater, pålegge underbehandleren de samme databeskyttelsesforpliktelsene som angitt i disse Bestemmelsene, ved å gi tilstrekkelige garantier for at underbehandleren vil implementere egnede tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i disse Bestemmelsene og den Generelle databeskyttelsesforordningen. Behandleren er derfor ansvarlig for å kreve at underbehandleren som minimum overholder behandlerens forpliktelser under disse Bestemmelsene og den Generelle databeskyttelsesforordningen. Underbehandleravtaler og eventuelle påfølgende endringer av disse skal – på forespørsel fra kontrolløren – gis i kopi til kontrolløren, slik at kontrolløren kan forsikre seg om at tilsvarende databeskyttelsesforpliktelser som angitt i disse Bestemmelsene er pålagt underbehandleren. Bestemmelser angående kommersielle vilkår som ikke påvirker det rettslige innholdet i databeskyttelsen i underbehandleravtalen, skal ikke gis til kontrolløren. Hvis underbehandleren ikke oppfyller sine databeskyttelsesforpliktelser, skal behandleren forbli fullt ansvarlig overfor kontrolløren for utførelsen av underbehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter under den Generelle databeskyttelsesforordningen, inkludert spesielt artiklene 79 og 82, overfor kontrolløren og behandleren, inkludert underbehandleren. 8. Overføring til tredjeland eller internasjonale organisasjoner Enhver overføring av personopplysninger til tredjeland eller internasjonale organisasjoner skal utføres av behandlere kun på grunnlag av dokumenterte instrukser fra kontrolløren og skal alltid skje i samsvar med Kapittel V i den Generelle databeskyttelsesforordningen. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som behandleren ikke er instruert til å utføre av kontrolløren, kreves av EU-lovgivning eller nasjonal lovgivning i EØS-medlemsstater som behandleren er underlagt, skal behandleren informere kontrolløren om dette rettslige kravet før behandlingen, med mindre slik lovgivning forbyr slik informasjon av viktige grunner av allmenn interesse. Uten dokumenterte instrukser fra kontrolløren kan behandleren derfor ikke innenfor rammene av disse Bestemmelsene: overføre personopplysninger til en kontrollør eller behandler i et tredjeland eller en internasjonal organisasjon gi behandling av personopplysninger til en underbehandler i et tredjeland behandle personopplysningene i et tredjeland Kontrollørens instrukser angående overføring av personopplysninger til et tredjeland, inkludert overføringsgrunnlaget under Kapittel V i den Generelle databeskyttelsesforordningen som overføringen er basert på, skal spesifiseres i Vedlegg C.6. Disse Bestemmelsene skal ikke forveksles med standard avtalemessige klausuler som nevnt i artikkel 46(2)(c) og (d) i den Generelle databeskyttelsesforordningen, og disse Bestemmelsene utgjør ikke et overføringsgrunnlag under Kapittel V i den Generelle databeskyttelsesforordningen. 9. Bistand til kontrolløren Under hensyntagen til behandlingens natur skal behandleren, så langt det er mulig, bistå kontrolløren med egnede tekniske og organisatoriske tiltak i oppfyllelsen av kontrollørens plikt til å svare på forespørsler om utøvelse av de registrertes rettigheter som angitt i Kapittel III i den Generelle databeskyttelsesforordningen. Dette innebærer at behandleren, så langt det er mulig, skal bistå kontrolløren i å sikre samsvar med: plikten til å gi informasjon ved innsamling av personopplysninger fra den registrerte plikten til å gi informasjon der personopplysninger ikke er innhentet fra den registrerte retten til innsyn retten til retting retten til sletting (“retten til å bli glemt”) retten til begrensning av behandling plikten til å varsle om retting eller sletting av personopplysninger eller begrensning av behandling retten til dataportabilitet retten til å motsette seg retten til ikke å bli underlagt en beslutning som utelukkende er basert på automatisert behandling, inkludert profilering I tillegg til behandlerens plikt til å bistå kontrolløren i henhold til Bestemmelse 6.3, skal behandleren videre, med hensyn til behandlingens natur og informasjonen tilgjengelig for behandleren, bistå kontrolløren med: kontrollørens plikt, uten unødig forsinkelse og, hvis mulig, ikke senere enn 72 timer etter å ha blitt klar over det, å varsle om et brudd på personopplysninger til den kompetente tilsynsmyndigheten (Danmark: Datatilsynet), med mindre bruddet på personopplysninger sannsynligvis ikke utgjør en risiko for rettighetene og frihetene til fysiske personer kontrollørens plikt til å kommunisere om et brudd på personopplysninger til den registrerte uten unødig forsinkelse når bruddet sannsynligvis vil utgjøre en høy risiko for rettighetene og frihetene til fysiske personer kontrollørens plikt til å foreta, før behandlingen, en vurdering av virkningen av de planlagte behandlingsoperasjonene på beskyttelsen av personopplysninger (en vurdering av personvernkonsekvenser) kontrollørens plikt til å konsultere den kompetente tilsynsmyndigheten (Danmark: Datatilsynet) før behandlingen der en vurdering av personvernkonsekvenser indikerer at behandlingen vil innebære en høy risiko i fravær av tiltak tatt av kontrolløren for å redusere risikoen 10. Varsel om brudd på personopplysninger Behandleren skal varsle kontrolløren uten unødig forsinkelse etter å ha blitt klar over at et brudd på personopplysninger har funnet sted. Behandlerens varsling til kontrolløren skal skje uten unødig forsinkelse og, hvis mulig, ikke senere enn 24 timer etter å ha blitt klar over bruddet, slik at kontrolløren kan oppfylle sin plikt til å varsle om bruddet på personopplysninger til den kompetente tilsynsmyndigheten, jf. artikkel 33 i den Generelle databeskyttelsesforordningen. I henhold til Bestemmelse 9.2(a) skal behandleren bistå kontrolløren i å gi varselet til den kompetente tilsynsmyndigheten. Dette betyr at behandleren skal bistå i å gi følgende informasjon, som i henhold til artikkel 33(3) skal inngå i kontrollørens varsel om bruddet til den kompetente tilsynsmyndigheten: omfang av bruddet på personopplysninger, herunder, om mulig, kategoriene og det omtrentlige antallet berørte registrerte og kategoriene og det omtrentlige antallet berørte personopplysningeregistre sannsynlige konsekvenser av bruddet på personopplysninger tiltak iverksatt eller foreslått iverksatt av kontrolløren for å håndtere bruddet på personopplysninger, inkludert, der det er hensiktsmessig, tiltak for å redusere de mulige negative effektene Partene skal spesifisere i Vedlegg C hvilken informasjon som skal gis av behandleren i forbindelse med dens bistand til kontrolløren i kontrollørens plikt til å varsle om brudd på personopplysninger til den kompetente tilsynsmyndigheten. 11. Sletting og retur av data Ved opphør av levering av tjenester relatert til behandling av personopplysninger, skal behandleren være forpliktet til å slette alle personopplysninger behandlet på vegne av kontrolløren og bekrefte overfor kontrolløren at dataene er slettet, med mindre EU-lovgivning eller nasjonal lovgivning i EØS-medlemsstater krever lagring av personopplysningene. 12. Revisjon, inkludert inspeksjon Behandleren skal gjøre tilgjengelig for kontrolløren all nødvendig informasjon for å demonstrere samsvar med artikkel 28 i den Generelle databeskyttelsesforordningen og disse Bestemmelsene, og skal tillate og bidra til revisjoner, inkludert inspeksjoner, utført av kontrolløren eller en annen revisor mandat av kontrolløren. Prosedyrene for kontrollørens revisjoner, inkludert inspeksjoner, av behandling av personopplysninger betrodd til behandleren/underbehandlere er spesifisert i Vedlegg C. Behandleren skal være forpliktet til å gi tilsynsmyndighetene, som i henhold til gjeldende lovgivning har tilgang til kontrollørens eller behandlerens fasiliteter, eller representanter som handler på vegne av tilsynsmyndigheten, tilgang til behandlerens fysiske fasiliteter ved fremvisning av gyldig legitimasjon. 13. Ikrafttredelse og opphør Bestemmelsene trer i kraft på datoen for begge Partenes signatur. Begge Parter kan kreve at Bestemmelsene reforhandles dersom endringer i loven eller uhensiktsmessigheter i bestemmelsene gir opphav til dette. Bestemmelsene gjelder så lenge behandleren leverer tjenester relatert til behandling av personopplysninger. I løpet av denne perioden kan Bestemmelsene ikke termineres med mindre andre bestemmelser som styrer levering av tjenester relatert til behandling av personopplysninger er avtalt mellom Partene. Hvis levering av tjenester relatert til behandling av personopplysninger opphører og personopplysningene er slettet eller returnert til kontrolløren i henhold til Bestemmelse 11.1 og Vedlegg C.4, kan Bestemmelsene termineres av en av Partene ved skriftlig varsel. Vedlegg A – Informasjon om behandlingen A.1. Formålet med behandlerens behandling av personopplysninger på vegne av kontrolløren Formålet med behandlingen av personopplysninger er driften av behandlerens Tjeneste, som gjøres tilgjengelig for kontrolløren etter avtale. I tjenesten, basert på informasjon som legges inn av kontrolløren og brukernes svar på spørsmål, kan personanalyse, teamlederanalyse og rolleanalyse og variasjoner av disse utarbeides. A.2. Behandlerens behandling av personopplysninger på vegne av kontrolløren gjelder primært (behandlingens art) Utarbeidelse av personanalyse og lagring av disse. Bruk av ikke-personlig identifiserbar og anonymisert informasjon til statistikk og forbedring av Tjenesten. A.3. Behandlingen inkluderer følgende typer personopplysninger som angår de registrerte Navn, (potensiell) tittel, fødselsdato, kontaktinformasjon (inkludert e-postadresse) Svar på spørsmål med sikte på personlighetsanalyse Personlighetsanalyse A.4. Behandlingen inkluderer følgende kategorier av registrerte Kontrollørens administratorer Brukere, som kan være ansatte hos kontrolløren eller kandidater til en stilling hos kontrolløren eller kandidater til en stilling hos en kunde av kontrolløren A.5. Behandlerens behandling av personopplysninger på vegne av kontrolløren kan starte etter ikrafttredelsen av disse Bestemmelsene. Behandlingen har følgende varighet Behandlingen av personopplysninger skal skje så lenge kontrolløren bruker behandlerens Tjeneste. Vedlegg B – Underbehandlere B.1. Godkjente underbehandlere Ved ikrafttredelsen av Bestemmelsene har kontrolløren godkjent bruken av følgende underbehandlere: skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting og teknisk drift av Tjenesten. Land for behandling: Danmark, Tyskland. Ved ikrafttredelsen av Bestemmelsene, har kontrolløren godkjent bruken av ovennevnte underbehandlere for den beskrevne behandlingsaktiviteten. Behandleren kan ikke – uten kontrollørens skriftlige godkjenning – bruke en underbehandler til en annen behandlingsaktivitet enn den som er beskrevet og avtalt eller bruke en annen underbehandler til denne behandlingsaktiviteten. Vedlegg C – Instruksjoner vedrørende behandling av personopplysninger C.1. Gjenstand for behandlingen/instruksjon Behandlerens behandling av personopplysninger på vegne av kontrolløren består av at behandleren utfører følgende: Basert på kontrollørens bruk av Tjenesten som gjøres tilgjengelig i henhold til avtalen inngått mellom kontrolløren og behandleren, skal behandleren samle inn informasjon om kontrolløren eller kontrollørens brukere når slik informasjon legges inn i Tjenesten og, på det grunnlaget, utarbeide personlighetsanalyser til bruk for kontrolløren. Slike analyser skal også lagres av kontrolløren. C.2. Sikkerhet ved behandling Sikkerhetsnivået skal reflektere: At behandlingen ikke omfatter sensitive personopplysninger, men informasjon som kan oppfattes av de registrerte som å ha en viss følsomhet. Behandleren har deretter rett og plikt til å ta beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal implementeres for å etablere det nødvendige sikkerhetsnivået. Hvis kontrolløren ønsker andre eller ytterligere sikkerhetstiltak implementert, inkludert når dette er basert på revisjon/inspeksjon, skal kontrolløren være ansvarlig for eventuelle tilleggskostnader for behandleren som dette kan medføre. C.3 Bistand til kontrolløren Når behandleren gir bistand til kontrolløren i oppfyllelsen av kontrollørens forpliktelser, har behandleren rett til å kreve vederlag for dette arbeidet i henhold til sin gjeldende timepris. C.6 Instruksjoner vedrørende overføring av personopplysninger til tredjeland Hvis kontrolløren ikke i disse Bestemmelsene eller senere gir en dokumentert instruksjon angående overføring av personopplysninger til et tredjeland, har ikke behandleren rett til innenfor rammen av disse Bestemmelsene å foreta slike overføringer. C.7 Prosedyrer for kontrollørens revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger betrodd til behandleren/underbehandlere På forespørsel fra kontrolløren skal behandleren, på kontrollørens bekostning, innhente en revisjonserklæring fra en uavhengig tredjepart om behandlerens/underbehandlerens samsvar med den Generelle databeskyttelsesforordningen, bestemmelser om databeskyttelse i annen EU-lovgivning eller nasjonal lovgivning i EØS-medlemsstater og disse Bestemmelsene. Partene er enige om at følgende typer revisjonserklæring kan brukes i henhold til disse Bestemmelsene: ISAE 3000-revisjonserklæring eller en annen lignende type attestasjonserklæring. Kontrolløren eller en representant for kontrolløren skal videre ha tilgang til å utføre inspeksjoner, inkludert fysiske inspeksjoner, av lokalene fra hvor behandleren/underbehandleren behandler personopplysninger, inkludert fysiske lokaler og systemer som brukes til eller i forbindelse med behandlingen. Slike inspeksjoner kan utføres når kontrolløren anser det som nødvendig. Eventuelle utgifter som behandleren og underbehandleren pådrar i forbindelse med tilsyn av personopplysningsbehandlingen hos behandleren eller underbehandlerne, eller fysisk inspeksjon av behandlerens eller underbehandlerens lokaler, skal dekkes av kontrolløren. [1] Referanser til “Medlemsstat” i disse Bestemmelsene skal forstås som henvisninger til “EØS-medlemsstater”.
Vilkår og betingelser
IPA VILKÅR & BETINGELSER Disse vilkår og betingelser gjelder for IPA Nordic ApS’ (“IPA”) tjenester levert til Kunden. 1. Bruksrett 1.1 Ved å inngå en avtale med IPA, får Kunden rett, i samsvar med disse vilkår og betingelser, til å bruke IPAs tjeneste i den avtalte versjonen (“Tjenesten”). Med mindre annet er spesielt avtalt, har Kunden rett til å bruke Tjenesten internt i sin bedrift, inkludert når Kunden utfører rekrutteringsarbeid for tredjeparter, forutsatt at Kunden kan gi brukere utenfor sin bedrift, som er kandidater til ansettelse hos Kunden eller hos et selskap som Kunden utfører rekrutteringsarbeid for, tilgang til å bruke Tjenesten i forbindelse med besvarelse av spørsmål, jfr. punkt 1.2. 1.2 Kunden har rett til å bruke Tjenesten som tiltenkt og kan gi ansatte og andre (“Kundens Brukere”) tilgang til Tjenesten og relaterte analyser som angitt. Brukere kan være ordinære brukere som svarer på spørsmål til bruk i Tjenesten eller administratorer med tilgang til cockpit og forberedte analyser. 1.3 Kundens administratorer må være ansatt i Kundens selskap og må til enhver tid være sertifisert i bruk av analysene som Kunden har tilgang til via Tjenesten. IPA gir sertifisering i analysene dekket av Tjenesten som spesifisert på IPAs nettside eller på annen måte kommunisert. 2. Implementering 2.1 IPA eller en av IPAs partnere implementerer Tjenesten for Kunden, noe som betyr at Kunden kan få tilgang til Tjenesten som avtalt på avtalt tidspunkt. 2.2 IPA eller IPAs partner har rett, i rimelig grad, til å gjøre endringer i den avtalte implementeringstiden, forutsatt at slike endringer blir kommunisert til Kunden. 2.3 Kunden må, i nødvendig grad, delta i implementeringen, inkludert å gi IPA eller IPAs partner de nødvendige og korrekte opplysningene for implementering og gi tilgang til IT-ressurser etter behov. 3. Drift 3.1 Tjenesten er vertet og tilgjengelig online for Kunden. IPA vil søke å sikre at Tjenesten er tilgjengelig for Kunden til enhver tid, men garanterer ikke noe spesifikt oppetid. 3.2 Kunden er ansvarlig for å sørge for det utstyr, applikasjoner og nettverksforbindelser som er nødvendig for bruk av Tjenesten. På Kundens forespørsel vil IPA gi informasjon om eventuelle spesielle spesifikasjoner for utstyr, applikasjoner, etc. 3.3 IPA kan, uten ansvar, midlertidig eller delvis suspendere Kundens eller Kundens Brukeres tilgang til Tjenesten: a) dersom det er nødvendig for vedlikehold, reparasjon eller oppdatering av Tjenesten. Slik suspensjon vil, så langt som mulig, gjennomføres utenfor normale arbeidstider og vil bli varslet til Kunden på forhånd, men i visse situasjoner kan det være nødvendig å suspendere tilgangen uten varsel, selv i normale arbeidstider. b) dersom det er grunn til å tro at Kundens eller Kundens Brukeres tilgang blir misbrukt av tredjeparter. Gjenoppretting av tilgang kan kreve at Kundens Brukeres brukernavn og/eller passord endres. c) dersom Kundens handlinger eller omstendigheter, som Kunden ellers er ansvarlig for, har forårsaket eller forventes å forårsake skade på Tjenesten, inkludert til andre kunder eller brukere av Tjenesten, eller dersom Tjenesten med rimelighet antas å bli brukt til ulovlige formål. Tilgang til Tjenesten vil bli gjenopprettet når disse problemene er løst til IPAs tilfredshet. d) dersom Kunden ikke overholder sertifiseringskravet for administratorer, jfr. punkt 1.3, og kravet ikke har vært oppfylt i 60 dager. e) dersom Kunden er i betalingsmislighold til IPA. 3.4 Hvis IPA suspenderer tilgang i henhold til punkt 3.3, vil IPA varsle Kunden så snart som mulig, inkludert årsaken til suspensjonen og når og under hvilke betingelser tilgangen kan bli gjenopprettet. Slik suspensjon utgjør ikke et brudd på avtalen og gir ikke Kunden rett til refusjon eller andre misligholdsbeføyelser. 3.5 Kunden er ansvarlig for å sikre backup av data behandlet i Tjenesten. IPA kan, under en separat avtale, bistå Kunden med å lage backup og gjenopprette data fra backup. IPA har rett til vederlag for slikt arbeid basert på IPAs gjeldende timepriser og eventuelle tredjepartskostnader. 4. Bruk av Tjenesten 4.1 Kunden er ansvarlig for å legge inn sin egen informasjon i Tjenesten og sikre at dataene er korrekte og gyldige. IPA er ikke ansvarlig for om Tjenesten og dens bruk er egnet til Kundens formål. Dette ansvaret ligger utelukkende hos Kunden. 4.2 IPA er ansvarlig for å sikre at IPAs tjeneste overholder dansk lov. Kunden er ansvarlig for at dens bruk av Tjenesten, inkludert databehandling, er lovlig og overholder alle rettslige krav, inkludert databeskyttelse, og for enhver bruk av Tjenesten under brukernavn og passord tildelt Kunden og Kundens Brukere. 4.3 Kunden og Kundens Brukere må til enhver tid beskytte sine brukernavn og passord for Tjenesten. Hvis Kunden blir klar over eller mistenker misbruk av tilgang eller at tredjeparter har fått brukernavn eller passord, må Kunden umiddelbart varsle IPA. 4.4 IPA har rett til å overvåke bruken av Tjenesten og bruke all informasjon fra Tjenesten i anonymisert form for statistiske formål og vedlikehold av Tjenesten. 5. Endringer i Tjenesten 5.1 IPA har rett til å gjøre endringer i Tjenesten og dens design. IPA vil forsøke å varsle Kunden om slike endringer med minst 30 dagers varsel før endringene trer i kraft, selv om varselet kan være kortere i noen tilfeller, for eksempel for sikkerhetsrelaterte endringer. 5.2 Hvis IPA gjør vesentlige endringer i Tjenesten slik at den ikke lenger kan betraktes som den samme tjenesten (f.eks. dersom grunnleggende eller hyppig brukte funksjoner fjernes), kan Kunden si opp avtalen med 30 dagers varsel og vil motta en forholdsmessig refusjon av eventuelle forhåndsbetalte gebyrer for perioden etter oppsigelse. 6. Andre konsulenttjenester 6.1 IPA leverer konsulenttjenester utover implementering, som avtalt separat. Konsulenttjenester leveres i samsvar med god praksis uten resultatansvar, og Kunden er ansvarlig for å sikre at tjenesten er egnet til dens formål. 6.2 Slike konsulenttjenester regnes som levert når IPA bekrefter fullføring eller når Kunden begynner å bruke resultatene. 7. Priser og betaling 7.1 Kunden betaler for tilgang til Tjenesten for en tolvmåneders periode på forhånd fra implementeringsdatoen, med mindre annet er avtalt. 7.2 Implementeringstjenester faktureres av IPA eller IPAs partner ved levering. Sertifiseringstjenester kan faktureres ved Kundens bestilling. Andre konsulenttjenester faktureres ved levering eller månedlig etterskuddsvis. 7.3 IPAs fakturaer forfaller til betaling 14 dager etter utstedelse. Forsinket betaling medfører renter på 2 % per måned. 7.4 Eventuelle avtalte reduserte priser gjelder i 12 måneder fra avtaledatoen, hvoretter IPAs standard prisliste gjelder. 7.5 IPA kan justere sin prisliste én gang per år i henhold til nettprisindeksen og i tillegg på grunn av lovendringer eller endringer i tredjepartsprodukter nødvendig for levering. IPA vil gi minst 30 dagers varsel om slike endringer. 8. Immaterielle rettigheter 8.1 IPA eier og beholder alle eierskaps- og immaterielle rettigheter, inkludert opphavsrettigheter, til Tjenesten og tilhørende materiell, som manualer og guider. Tjenesten og tilhørende materiell kan inneholde elementer eller komponenter hvor tredjepart har immaterielle rettigheter. I slike tilfeller har IPA de nødvendige rettighetene til å gjøre Tjenesten og tilhørende materiell tilgjengelig for Kunden. 8.2 Kunden, basert på avtalen, jfr. punkt 1, og i løpet av dens løpetid, får en bruksrett for Tjenesten og tilhørende materiell som gjøres tilgjengelig av IPA for de avtalte formålene. Kunden får ingen rettigheter utover den gitte bruksretten til prosesser eller lignende elementer som er inkludert i Tjenesten. 8.3 Kunden får en ubegrenset bruksrett for materiell produsert via Tjenesten basert på Kundens data og bruk av Tjenesten. Dette inkluderer retten til å modifisere og reprodusere slikt materiell. 8.4 Kunden beholder eierskap og immaterielle rettigheter til data lagt inn i Tjenesten. Kunden gir IPA en ikke-eksklusiv, royaltyfri rett til å bruke slike data for å oppfylle avtalen. 8.5 For konsulenttjenester, inkludert deres resultater, levert av IPA til Kunden, beholder IPA eierskap og immaterielle rettigheter, samtidig som den respekterer Kundens rettigheter og konfidensialitet. Kunden blir gitt en bruksrett i avtaleperioden for å anvende konsulenttjenestene og resultatene internt i sin bedrift. 9. Konfidensialitet 9.1 Hver part må opprettholde konfidensialiteten til den andre partens interne informasjon, inkludert forretningshemmeligheter og avtaler, og kan ikke bruke eller avsløre slik informasjon til andre formål enn tiltenkt i forbindelse med levering av informasjon, uten forutgående samtykke. IPA opprettholder også konfidensialitet for personopplysninger lagt inn i Tjenesten av Kunden som beskrevet i databehandlingsavtalen mellom partene. 9.2 Til tross for punkt 9.1, kan IPA avsløre Kundens informasjon, inkludert intern informasjon, til IPAs underleverandører som er nødvendige for å levere IPAs tjenester, forutsatt at slike underleverandører er bundet av lignende konfidensialitetsforpliktelser. Partene har også rett til å avsløre informasjon hvis det kreves ved rettskjennelse eller gyldig myndighetsanmodning. 9.3 Konfidensialitetsforpliktelser gjelder ikke for informasjon som er alminnelig kjent, mottatt fra tredjeparter uten konfidensialitetsforpliktelser, oppnådd uavhengig uten bruk av den andre partens informasjon, eller utviklet uavhengig. 9.4 Konfidensialitetsbestemmelsene i dette punktet forblir i kraft i 5 år etter opphør av avtalen, uansett årsaken til opphøret. 10. Databehandling 10.1 IPA behandler personopplysninger i Tjenesten, inkludert data lagt inn av Kunden. Behandling av personopplysninger er regulert i databehandlingsavtalen mellom Kunden og IPA. 11. Brudd 11.1 Hvis Kunden ønsker å fremsette mangler i IPAs tjenester, må dette gjøres umiddelbart, og for konsulent- eller implementeringstjenester, senest 30 dager etter levering. IPA har alltid rett til å utføre tjenesten på nytt. 11.2 Hvis en part vesentlig bryter avtalen og bruddet ikke er avhjulpet innen 30 dager etter varsel fra den ikke-bruddende parten, har den ikke-bruddende parten rett til å si opp avtalen skriftlig. 12. Ansvar 12.1 Partene er ansvarlige overfor hverandre i henhold til dansk lov med følgende begrensninger. 12.2 IPAs totale ansvar overfor Kunden skal aldri overstige avgiftene betalt av Kunden til IPA for Tjenesten innen de 6 månedene forut for kravet. IPA er aldri ansvarlig for indirekte tap, inkludert men ikke begrenset til tapte fortjenester, tapte inntekter, forventede besparelser eller tap av goodwill. 12.3 Begrensningen i punkt 12.2 gjelder ikke i tilfeller av grov uaktsomhet eller forsett. 13. Force majeure 13.1 Ingen av partene er ansvarlige for å oppfylle forpliktelser i henhold til avtalen dersom manglende oppfyllelse skyldes force majeure, definert som omstendigheter utenfor partens rimelige kontroll, inkludert underleverandørens force majeure, som parten ikke kunne forutse ved inngåelse av avtalen. Hvis en force majeure-situasjon varer lenger enn 30 dager, kan den upåvirkede parten avslutte avtalen uten varsel. 14. Oppsigelse av avtalen 14.1 Kunden kan til enhver tid si opp avtalen med 12 måneders varsel ved utgangen av en kalendermåned. Oppsigelse kan ikke finne sted før det har gått 12 måneder; dermed er den totale minimumsperioden 24 måneder. IPA kan si opp avtalen med minst 12 måneders varsel ved utgangen av en kalendermåned. 14.2 Forhåndsbetalte avgifter er ikke refunderbare ved Kundens oppsigelse. Hvis IPA avslutter avtalen, vil en forholdsmessig refusjon av forhåndsbetalte avgifter tilsvarende perioden etter oppsigelse bli gitt. 15. Overføring av data til Kunden 15.1 På Kundens anmodning vil IPA bistå med å overføre all Kundens data i Tjenesten til Kunden eller en utpekt tredjepart i et vanlig brukt format, forutsatt at Kunden anmoder om dette senest ved avslutning av avtalen. 15.2 IPA kan belaste for tiden brukt på å bistå med datatransferering i henhold til IPAs gjeldende timepriser og kostnader. IPA kan også kreve at eventuelle utestående betalinger og en rimelig forskudd for bistand betales. 16. Markedsføring 16.1 IPA har rett til å bruke Kundens navn og varemerke som referanse i generell fysisk og/eller digitalt markedsføringsmateriell. 16.2 Hvis IPA ønsker å henvise potensielle kunder til å kontakte Kunden for referansesamtaler eller møter, må dette avtales separat. 17. Underleverandører 17.1 IPA kan bruke underleverandører for å oppfylle sine forpliktelser overfor Kunden. IPA er ansvarlig for underleverandørers tjenester som om de var sine egne. Underleverandører må opprettholde konfidensialitet om Kundens informasjon, jfr. punkt 9.1. 18. Overdragelse 18.1 Ingen av partene kan overdra sine rettigheter eller forpliktelser i henhold til avtalen til tredjeparter uten den andre partens skriftlige samtykke. Slikt samtykke skal ikke urimelig nektes. IPA kan imidlertid overdra rettigheter og forpliktelser i forbindelse med et fullstendig eller delvis salg eller omstrukturering av selskapet. 19. Endringer 19.1 Avtalen kan bare endres av partene gjennom en skriftlig avtale, med mindre annet er angitt i avtalen. 20. Tvisteløsning 20.1 I tilfelle en tvist oppstår fra avtalen, må partene søke å løse den minnelig. Hvis den ikke er løst innen rimelig tid, kan hver part bringe tvisten inn for de ordinære danske domstolene med IPAs jurisdiksjon som sted. 20.2 Avtalen er underlagt dansk lov, unntatt danske internasjonale privatrettslige regler.
Datasikkerhet og etikk
Datasikkerhet og etikk i bruk av IPA Nordic personlighetstester – informasjon for testdeltakere IPA Nordic og personene som bruker våre analyser, forplikter seg til å overholde en rekke regler og retningslinjer angående behandling av personopplysninger og etikken i bruk av arbeidsrelaterte personlighetstester. Som testtaker har du i henhold til loven om behandling av personopplysninger blant annet følgende rettigheter: Ditt analyseresultat må holdes konfidensielt og kan kun avsløres med ditt samtykke. Ditt analyseresultat kan ikke lagres ut over en definert periode. Du har rett til når som helst å be om at dine analyseresultater blir anonymisert. IPA Nordic har i samarbeid med en rekke andre vurderingsleverandører og interesseorganisasjoner etablert et sett med kvalitetskrav til faglige personvurderinger i offentlige og private virksomheter. Disse kvalitetskravene inkluderer Dansk Psykologforenings etiske retningslinjer for bruk av personlighetstester i næringslivet og berører både kvaliteten på selve verktøyet for vurdering, samt rettferdighet i forbindelse med tilbakemelding og tolkning/bruk av dine analyseresultater. For eksempel er det fastsatt at: Du må ha eksplisitt kjennskap til innholdet i hva som rapporteres og hvordan det rapporteres fra vurderingsprosessen. Du må informeres om konsekvensene av å velge bort vurderingen før du bestemmer deg for om du vil ta den. Analyseresultatet må betraktes som et sett med hypoteser som danner grunnlaget for videre dialog, og beslutninger eller råd må aldri baseres kun på analyseresultatet. Personen som gir tilbakemelding på analysen, må kommunisere med respekt for deg og eventuelle andre involverte parter. Muntlig og skriftlig rapportering av analyseresultater og innholdet i tilbakemeldingssamtalen må kun inneholde informasjon som er relevant for formålet du har blitt vurdert for. Det må være samsvar mellom valget av analyse og formålet med testen, og personen som administrerer testen må ha grundig kjennskap til testen, inkludert bevissthet om dens styrker og svakheter. Det må eksistere dokumentasjon for gyldigheten av analysesystemet som brukes, og dine testresultater må vurderes basert på sammenligning med testresultater fra en relevant gruppe. Alle personer autorisert til å bruke IPA Nordics personlighetstester er opplært og eksaminert i bruk av testene av IPA Nordic, og har fått sin autorisasjon under forutsetning av at de ovennevnte retningslinjene følges. Når det gjelder krav til kvaliteten på testverktøyet, gjennomfører IPA Nordic kontinuerlig validering og dokumentasjon av testenes gyldighet, og sørger kontinuerlig for en oppdatert basis for sammenligning av individuelle testresultater. Kvaliteten på testverktøyet i disse områdene er av gjensidig interesse for både deg og personen som tester deg: høy kvalitet motvirker feilaktige tolkninger og tilfeldigheter i vurderingen av dine testresultater. Du kan gjøre deg kjent med den fullstendige teksten til loven om behandling av personopplysninger og kvalitetskravene til personvurdering som IPA Nordic følger, ved å følge lenkene nedenfor. Hvis du fortsetter å lese på denne siden, vil IPA Nordic utdype aspekter relatert til konfidensialitet og lagring av dine testresponser, og forsøke å klargjøre noen av spørsmålene du som testdeltaker måtte ha i forbindelse med betingelsene for din testing. Datatilsynet (her finner du "loven om behandling av personopplysninger") www.personvurdering.dk (etiske retningslinjer og kvalitetskrav) Hvor lenge er informasjon om meg lagret? Ditt navn og kontaktinformasjon slettes automatisk fra systemets database 6 måneder etter din pålogging. Etter dette vil selskapet som tester deg ikke ha mulighet til å hente deg eller dine testresultater igjen i systemet. Hvis selskapet skriver ut rapporter og lagrer dem for senere bruk, må personen som har ansvaret for testingen informere deg om hvor lenge disse papirene lagres før de destrueres. Siden testresultater har begrenset gyldighet, vil det sjelden være begrunnelse for å lagre dem i mer enn 6 måneder. Vær også oppmerksom på at du til enhver tid har rett til å få dine testresultater slettet, uansett om de er i papirutgave eller elektronisk form. Hvis du ønsker å få dine testresultater slettet, må du kontakte personen som testet deg. Hvem har tilgang til mine testresultater? Den eneste personen som automatisk har tilgang til dine personlige testresultater i systemet, er personen som tester deg og som har sendt deg en testlink på e-post. Systemet gir denne personen anledning til å gi en eller flere andre brukere tilgang til dine testresultater, for eksempel hvis testprosessen skjer i samarbeid mellom flere personer, eller hvis personen ikke kan gi tilbakemelding og må overføre oppgaven til en kollega. For utskrifter fra systemet gjelder de samme reglene for lagring og konfidensialitet som for elektroniske data. Tilgangen må være begrenset til betrodde medarbeidere, og dine testresultater må oppbevares sikkert under lås. Konfidensialiteten til dine testresultater – det vil si hvilke personer/ selskaper som har tilgang til dine testresultater, hvilke personer som blir informert om dem, og i hvilken grad – må i alle tilfeller spesifiseres for deg av den personen som har ansvaret for din test. Eventuell videre avsløring av informasjon om deg til personer eller selskaper som ikke opprinnelig var spesifisert for deg, kan bare skje med ditt forhåndssamtykke. De personene og selskapene ansvarlige for din testing og tilbakemelding er ansvarlige for å sikre at lovgivning vedrørende konfidensialitet og lagring overholdes i forhold til autorisert tilgang og utskrifter av testresultater. Brudd vil få konsekvenser for testbrukerens rett til å bruke IPA Nordics personlighetstester og kan bli rapportert til Datatilsynet. Hvordan er elektronisk tilgang til mine testresultater sikret? Det er IPA Nordics ansvar å implementere sikkerhetstiltak for å sikre tilgang til data med hensyn til elektronisk lagring i vårt datasystem. IPA Nordic må sørge for at kun autoriserte personer kan få tilgang til systemet, og at kommunikasjonen mellom din datamaskin og systemets server ikke kan avlyttes av tredjeparter. Systemet sikres på alle stadier med passord, noe som sikrer full kontroll over hvem som har tilgang til hva og i hvilken grad. Som et ekstra sikkerhetstiltak er all kommunikasjon mellom systemet og din datamaskin kryptert. Krypteringen skjer ved hjelp av såkalt SSL (Secure Socket Layer), symbolisert av en liten hengelås i nedre høyre hjørne av nettleseren. SSL-kryptering sikrer at data sendt mellom datamaskinen din og IPA Nordics server er meningsløse for enhver som skulle avskjære denne kommunikasjonen underveis. Det sikrer også at meldinger du mottar fra vår server ikke stammer fra en tredjepart. Du kan derfor være sikker på at du faktisk er logget inn på IPA Nordics nettside, og at dine data ikke havner andre steder. SSL-kryptering er tilgjengelig i ulike styrker. IPA Nordic bruker en krypteringsstyrke (256-bit) som for tiden anses som praktisk talt uknuselig. Hvis du bruker en veldig gammel nettleserversjon, kan det hende at den kun støtter en svakere krypteringsstandard (128-bit), som likevel også oppfyller kravene fra Datatilsynet for den type data som behandles i dette systemet. Imidlertid, hvis du har en eldre nettleserversjon, bør du vurdere å oppgradere til en nyere versjon, da et høyere sikkerhetsnivå også vil være til nytte for deg i andre sammenhenger. Jeg må gi samtykke for at mine svar kan inkluderes i IPA Nordics statistikk. Hva vil IPA Nordic bruke dette til, og hvilken informasjon er inkludert i statistikken? Når du fullfører en test, overføres dine svar til IPA Nordics statistiske database. Alle svar du gir i forbindelse med testen – unntatt ditt navn, brukernavn, passord og kontaktinformasjon – lagres i denne databasen. Dette inkluderer kjønn, alder, utdannelsesnivå, stillingstittel (valgfri), jobbstilling, osv. Disse dataene brukes for å etablere gjennomsnitt for ulike befolkningsgrupper, og er nødvendige for vårt arbeid med å sikre kvaliteten på testene og deres videre utvikling. Det er ikke mulig å identifisere deg personlig i denne databasen, og den er kun tilgjengelig for de personene hos IPA Nordic som jobber med å sikre den statistiske kvaliteten på testene. Siden dataene kun eksisterer i anonymisert form i denne databasen, er det ikke mulig å spesifisere sletting av svar for en identifisert individ, og i motsetning til din personlige testrespons, kan vi ikke trekke tilbake dine testsvar fra vår statistikk når testen er fullført. Vi håper du har funnet svar på eventuelle spørsmål du måtte ha om testvilkårene eller beskyttelsen av dine testresponser, og at du føler deg trygg på å bruke vårt system. Hvis du har flere spørsmål om datasikkerhet, konfidensialitet eller etikk, er du velkommen til å kontakte IPA Nordic direkte. Du kan kontakte dem via e-postadressen steen@ipanordic.dk
