Generelle Vilkår

Gyldig fra 27. oktober 2024

agreement-02-stroke-rounded 1
Tjenesteavtale
Tjenesteavtale
01 align center
Databehandleravtale
Databehandleravtale
compliance-document 1
Tidligere Generelle Vilkår
Tidligere Generelle Vilkår

Tjenesteavtale

Disse vilkårene («Vilkårene») inngås og aksepteres av representant for foretak («Kunden») som skal bruke tjenester og løsning fra den Netto enhet som følger av kjøpskontrakten («Netto»).
1. Aksept av Vilkårene, inngåelse av avtale

Vilkårene aksepteres av Kunden ved eksplisitt aksept, ved å ta i bruk Tjenestene (som definert nedenfor), eller at det inngås egen avtale mellom Kunden og Netto. Vilkårene anses som en avtale (i det følgende omtalt som «Avtalen») mellom Kunden og Netto når Vilkårene er akseptert på en av nevnte måter. Kundeavtale og eventuell ordrebekreftelse omfattes av Avtalen hvis dette er inngått. I tilfelle konflikt mellom Vilkårene og øvrige avtaledokumenter, skal disse Vilkår gjelde om de ikke er eksplisitt fraveket i avtale inngått mellom Kunden og Netto.

Om ikke Vilkårene er inntatt som del av Kundeavtale, vil Vilkårene være tilgjengelig på Nettos nettsider, og Kunden oppfordres til å laste ned å ta vare på Vilkårene.

Ved aksept eller å inngå Avtalen som nevnt ovenfor bekrefter den som anskaffer eller tar i bruk Tjenestene, at denne har rett til og er bemyndiget til å akseptere Vilkårene og inngå Avtalen på vegne av Kunden.

Kunden og dennes registrerte brukere får rett bruke Tjenestene etter Avtalen er inngått dersom bestemmelsene i Vilkårene og Avtalen overholdes og rett vederlag er betalt, se mer nedenfor.

Vilkårene gjelder også for brukere av Tjenestene, som bør sette seg inn i Vilkårene før bruk av Tjenestene. Med «Kunden» nedenfor skal det også forstås «bruker» avhengig av sammenheng. Det kan også gjelde egne vilkår spesielt for brukere, som brukere må aksepteres før bruk av Tjenestene.

2. Ytterligere vilkår, Tredjepartstjenester og -programvare

Enkelte tjenester kan være underlagt ytterligere vilkår og betingelser, som tredjepartsvilkår knyttet til programvare eller tjenester fra tredjepart som ikke er utviklet av Netto og som er spesifisert som Avtalen. Det er i tilfelle vist til disse vilkårene fra Tjenestene eller Avtalen.

Netto kan tilby tillegg (Third Party Add-Ons) fra tredjeparter, som er tjenester og produkter som ikke er en del av Tjenestene I den grad Kunden abonnerer på å bruke slike tillegg, skal Kunden avtale eller akseptere vilkår direkte med leverandør (tredjepart) av slike tillegg utover de vilkår som gjelder for Tjenestene. Netto har ikke noe ansvar knyttet til slike tillegg, herunder support, og bruken av tilleggene er et forhold direkte mellom Kunden og tredjeparten som leverer eller har laget tillegget.

3. Tjenestene

Tjenestene som inngår i leveransen til Kunden inntatt i Kundeavtalen eller den enkelte Ordrebekreftelse, eller gjennom annen bestilling gjort overfor Netto («Tjenestene»).
Netto skal tilby og videreutvikle Tjenestene etter beste evne og rette feil så snart som mulig. Tjenestene vil utvikles løpende og det vil endres og legges til funksjonalitet. 

Oppdateringer som innebærer ekstra eller ny funksjonalitet, som ikke er en del av Tjenestene, vil Netto gjøre tilgjengelig etter egen vurdering og uten at det foreligger noen plikt til å gjøre slike oppdateringer tilgjengelig og vil kunne innebære ekstra vederlag og tilleggsvilkår.

Tjenestene leveres «som de er», og Tjenestene og funksjonalitet i dette vil derfor ikke være feilfri eller tilgjengelig til enhver tid. Netto skal levere Tjenestene slik at de i det vesentlige fungerer i henhold til beskrivelsen i Avtalen og eventuell beskrivelse av Tjenestene fra Netto.

Hvis Kunden oppdager feil eller annet i Tjenestene, blir utsatt for angrep eller tekniske problemer, skal Kunden varsle Netto umiddelbart, slik at Netto kan iverksette tiltak for å rette opp situasjonen og unngå avledede problemer for Netto og andre kunder.

Hvis en hendelse som angitt ovenfor forårsaker problemer som, etter Nettos vurdering, kan føre til driftstekniske problemer for Netto, eller for andre av Nettos kunder, kan Netto begrense eller koble fra Tjenestene for å avhjelpe eller forhindre slike problemer.

Netto vil kunne gjøre endringer og forbedringer av Tjenestene som kan endre funksjonalitet, tilgjengelighet og andre forhold knyttet til Tjenestene. Ved vesentlige endringer som påvirker bruk av Tjenestene, vil Netto varsle Kunden i rimelig tid om mulig. Ved oppdatering eller endringer av Tjenestene, kan dette medføre at Kunden må oppdatere sine løsninger. 

Hvis en endring krever implementering av Kunden, er Netto ikke ansvarlig for at Tjenestene som leveres til Kunden ikke kan benyttes som følge av at Kunden ikke implementerer de nødvendige endringene.

Netto skal holde Tjenestene tilgjengelig i så stor grad som mulig, men da med unntak for planlagt eller nødvendig vedlikehold. Forhold utenfor Nettos kontroll, som Kundens utstyr eller programvare, underleverandører er ikke Nettos ansvar. Netto skal sikre Tjenestene og Kundens data i denne så godt det lar seg gjøre, men digitale løsninger er utsatt for usikkerheter og angrep som det ikke er mulig å sikre seg fullstendig mot.

Netto har rett til å avbryte eller suspendere Tjenestene dersom og i den grad det er nødvendig for å utføre vedlikehold:

  • For operativ testing, overvåking, forebygging, vedlikehold eller justeringer som skal utføres enten med hensyn til Nettos løsninger som helhet eller del av disse.

  • Der det er nødvendig, etter Nettos vurdering, for å bevare integriteten til Nettos løsninger eller noen del av disse eller Tjenestene.

  • For å overholde pålegg av offentlige myndigheter.

Om det skulle oppstå feil, vil Netto varsle Kunden basert på alvorlighetsgrad av eventuelle feil. Varsler vil gis på den måte som er hensiktsmessig i det enkelte tilfellet. Kunden er ansvarlig for å holde sine kontaktopplysninger oppdatert, slik at Netto kan varsle kunden på rett måte.

Netto har rett til å suspendere tilgang til Tjenestene og/eller Kundens tilgang til Tjenestene, herunder stenge tilgang for enkelte brukere, uten varsel og med umiddelbar virkning dersom det er rimelig grunn til å mistenke at Kunden eller bruker bryter Vilkårene eller Avtalen eller ellers bruker Tjenestene på en ulovlig eller uredelig måte eller aktiviteter som kan føre til skade eller tap for Netto eller Nettos renommé.

Netto skal så snart som mulig varsle Kunden om slik suspensjon eller stengning, bakgrunnen for denne, sannsynlig varighet og annen informasjon som Kunden med rimelighet kan kreve og gi Kunden anledning til å gi tilbakemelding. Netto har også rett til å stenge tilgang til Tjenestene basert på Kundes IP-adresse eller lignende.

Netto har rett til å publisere Kundens navn og logo som referansekunde, herunder på nettsider og i markedsmateriell.

Andre rettigheter og plikter for Netto følger av de øvrige deler av Avtalen.

4. Leveranse av API

Er det avtalt i Kundeavtalen at det skal leveres API med overføring av data til Kundens, skal Netto gjøre tilgjengelig grensesnitt for API. Data skal overføres til Kunden på den måte, til den frekvens og på den tid som er nærmere beskrevet i Kjøpsavtalen. Er det ikke avtalt overføring, vil overføring skje etter den hyppighet som Netto finner nødvendig.

Kunden er innforstått med at driftsforstyrrelser kan forekomme og skyldes forhold utenfor partenes kontroll, inkludert, nødvendig vedlikehold eller andre tekniske forstyrrelser.

Netto er ikke ansvarlig for Kundens IT-miljø, inkludert, men ikke begrenset til Kundens eget grensesnitt, egne applikasjoner eller tredjepartsapplikasjoner benyttet av Kunden. Ytelsene er ikke laget med formål om å støtte maskinell bruk og Kunden kan ikke forvente slik bruk. 

Siden ytelsene fra Netto leveres som en tjeneste vil det kunne forekomme endringer i løsningen, innholdet i denne, herunder data som overføres, og hvordan leveransen skjer. Kunden må sikre og kontrollere på sin side at data går inn i rette felter/områder hos Kunden regelmessig, at data er anvendelige og spesielt om disse har betydning for leveranser for Kunden og videre leveranse til Kundens kunder. Dette gjelder spesielt om det er gjort oppdateringer hos Netto. 

Netto er ikke ansvarlig for om data som overføres fra Netto har tilstrekkelig kvalitet eller innvirker på kvaliteten på hvordan data brukes hos Kunden eller mot kundens Kunder i tjenester fra Kunden eller på annen måte. 

5. Varighet og oppsigelse

Avtalen løper fra avtaleinngåelse, se punkt 1, og løper i en innledende avtaleperiode som angitt i Avtalen eller ordrebekreftelsen («Initiell Avtaleperiode»). Om ikke annet er avtalt, skal den Initielle Avtaleperioden være på 24 måneder.

Ved utløpet av den Initielle Avtaleperioden fornyes Avtalen automatisk for ytterligere perioder (hver en «Fornyelsesperiode») tilsvarende Initiell Avtaleperiode, med mindre Kunden uttrykkelig sier opp Avtalen med skriftlig varsel minimum én måned før utløpet av Initiell Avtaleperiode (eller en påfølgende Fornyelsesperiode).

Kunden kan bestille nye tjenester i løpet av den Initielle Avtaleperioden eller Fornyelsesperioden ved å inngå endringsavtale eller ordrebekreftelse for de spesifikke tilleggstjenestene, samt vederlaget knyttet til disse.

Avtalen kan også sies opp dersom Avtalen sies opp eller heves på grunnlag av andre bestemmelser i Avtalen som gir slik rett. Netto kan si opp Avtalen dersom Vilkårene ikke overholdes eller dersom Avtalen misligholdes, for eksempel ved manglende betaling, se nedenfor.

Netto kan også si opp Avtalen dersom en lisens eller tillatelse som er helt nødvendig for Nettos leveranse av Tjenestene, opphører og kan ikke erstattes med annen lisens eller programvare.

Ved oppsigelse av Avtalen opphører rettigheter og plikter i henhold til Avtalen, med unntak av rettigheter og plikter som naturlig vil fortsette å eksistere etter oppsigelse, som betaling av utestående vederlag, konfidensialitetsplikt og immaterielle rettigheter.

Ved opphør av Avtalen (uansett årsak) skal også:

  • Kunden betale alle utestående ubetalte fakturaer og renter (hvis aktuelt), og Netto skal, i tilfelle Kundens heving, tilbakebetale eventuelle beløp som er forhåndsbetalt av Kunden som gjelder for perioden etter en slik oppsigelse etter fradrag av eventuelle utestående fakturaer.

  • Netto skal utstede fakturaer for Tjenester som er levert, men enda ikke fakturert og som skal betales straks ved mottak av faktura (herunder eventuelle gjenværende deler av vederlag for gjenværende del av Initiell Avtaleperiode eller Fornyelsesperiode), med mindre det tale om en oppsigelse fra Kundens side grunnet vesentlig mislighold hos Netto.

  • Hver av partene skal destruere eller tilbakelevere konfidensiell informasjon, herunder kopier av dette, tilhørende den annen part som er i dennes besittelse.

  • Opphøre med å bruke den andre parts og tredjeparters immaterielle rettigheter som det er gitt rett til å bruke under Avtalen, herunder enhver lisens til Tjenestene.
6. Priser og betaling

Kunden skal betale det vederlag som er fastsatt i Avtalen eller ordrebekreftelse innen 30 dager fra fakturadato. Fakturering foretas for en periode på 12 måneder.

Kunden kan øke endre avtalt omfang av bruk, herunder volum, uten at dette krever ny avtale eller bestilling. I slike tilfeller skal vederlaget justeres for å hensynta økningen i bruken i henhold til samme prisstruktur som eksisterende avtale for den gjenværende delen av den Initiell Avtaleperiode (eller en Fornyelsesperiode). Økningen i bruk/volum beregnes fra det tidspunkt bruken/volumet ble endret, og vil bli fakturert separat frem til nytt volum omfattes av neste ordinære faktura.  

Vederlaget løper fra inngåelse av Avtale hvis ikke annet er avtalt. Netto utsteder fakturaer enten via elektronisk faktura (EHF) eller per e-post.

Endring i prisene vil kunne skje i tråd med utviklingen i konsumprisindeksen. Ved endringer i skatter og avgifter eller endringer i underleverandørers priser, kan Netto gjøre tilsvarende endringer i prisene.

Kunden kan ikke motregne skyldige beløp etter Avtalen mot andre krav Kunden måtte ha.

Vederlag beregnes med utgangspunkt i data og opplysninger som er registrert eller loggført av Netto. Dersom Kunden bestrider fakturagrunnlag eller faktura, skal Kunden umiddelbart varsle Netto og senest før forfallsdato. Varsler ikke Kunden Netto før fakturaens forfallsdato, anses Kunden å ha godtatt fakturaen.

Ved forsinket betaling, belastes forsinkelsesrente, se punkt 10. «Mislighold og ansvar».

7. Kundens rettigheter og plikter, plikter for brukere

Kunden skal opptre i samsvar med Vilkårene og eventuelt andre instruksjoner eller bestemmelser som Netto gir om bruk av Tjenestene.

Tjenestene leveres kun til Kundenes interne bruk og kan ikke videreselges, viderelisensieres, leies ut eller overføres til en tredjepart eller på andre måter brukes til noe annet enn deres tiltenkte formål uten Nettos skriftlige samtykke.

Tilgang til Tjenestene er sikret gjennom passord og eventuelle andre sikkerhetsmekanismer. Kunden er selv ansvarlig for at uvedkommende ikke får tilgang til passord og/eller Tjenestene. Kunden er ansvarlig for alle tilganger som er gitt brukere, samt at brukerne er kjent med Avtalen og følger disse. I tillegg må brukere akseptere Vilkårene før de får tilgang til Tjenestene og Vilkårene gjelder også for brukere av Tjenestene. Får uvedkommende tilgang til Tjenestene som følge av Kundens forhold, er dette Kundens ansvar.

Hver bruker skal opprette og benytte en unik bruker-ID og passord, om ikke Single-Sign-On er etablert etter avtale med Netto, og Kunden skal sikre at dets brukere:

  • Ikke deler sine innloggingsdetaljer med noen annen person eller tillater noen annen person å få tilgang til Tjenestene

  • Bruker Tjenestene i samsvar med Avtalen og andre instrukser eller vilkår som gjelder for brukere av Tjenestene.

Bruker-IDer og passord kan ikke deles eller brukes av mer enn én autorisert bruker. Kunden skal iverksette rimelige tiltak for å hindre uautorisert tilgang til eller bruk av Tjenestene, og skal varsle Netto uten unødig opphold om uautorisert tilgang eller bruk. Kunden skal være ansvarlig for uautorisert bruk som oppstår på grunn av misbruk av innloggingsdetaljer.

Kunden skal iverksette alle rimelige tiltak for å forhindre uautorisert tilgang til eller bruk av Tjenestene, umiddelbart varsle Netto om uautorisert tilgang eller bruk samt samarbeide med Netto om å avdekke hva som har skjedd og gjenopprette sikring av Tjenestene og annet som Netto kan ha behov for i en slik situasjon.

Kundens bruk av Tjenestene skal være i overensstemmelse med alle lover og regler som kan ha betydning for bruk av Tjenestene, herunder regler knyttet til behandling av personopplysninger, se også punkt 9 «Behandling av personopplysninger» nedenfor. Tjenestene skal kun benyttes til lovlige og virksomhetsrelaterte formål innenfor Kundens virksomhet.

Kunden er ansvarlig for alle brudd på Avtalen på Kundes side. Kunden er kjent med at brudd på Vilkårene og Avtalen kan medføre tap, kostnader, inntektsbortfall, omdømmetap mv. for Netto, og plikter derfor iverksette tiltak for at Vilkårene og Avtalen blir overholdt. Kunden skal informere sine ansatte og andre som får tilgang til Tjenestene, i tillegg til brukerne, om rettigheter og plikter etter Avtalen.

Kunden skal ikke undersøke kode, funksjonalitet, grensesnitt, tekniske løsninger, infrastruktur, koblinger mot andre løsninger (API), dekompilere mv. Tjenestene i større grad enn nødvendig for å bruke Tjenestene etter intensjonen for Tjenestene i overensstemmelse med Avtalen. Kunden skal ikke selv eller gjennom andre utnytte Tjenestene på annen måte enn beskrevet, informert og skriftlig akseptert av Netto, herunder sende data i store menger eller teste Tjenestene (som stresstest, portscanning mv.), herunder sikkerhetstesting, scrape data, informasjon, mv.

Kunden kan bruke Netto foretaksnavn, logo, varemerke, produktmerker eller annet som kan knyttes til Netto etter skriftlig forhåndssamtykke fra Netto, og følge retningslinjer for markedsføring og design for Tjenestene. Kunden kan ikke fjerne Netto’ foretaksnavn, logo, varemerke mv. i Tjenestene, om dette ikke er avtalt i det enkelte tilfelle eller om Kunden har anskaffet løsning som skal integreres med henvisning til Netto etter nærmere avtale.  

Kontaktopplysning for Kunden er den epostadressen registrert i Tjenestene. Det er Kundes ansvar å holde epostadressen oppdatert. Det oppfordres til å bruke virksomhetens epost, og ikke ulike løsninger som er tiltenkt privatpersoner.

8. Rettigheter til Tjenestene, innhold og data

8.1    Generelt
Avtalen vil ikke medføre overføring av rettigheter til data, datasett, databaser eller andre immaterielle rettigheter mellom partene uten at dette er følger eksplisitt av Vilkårene eller Avtalen. Begrensningen gjelder for alle typer data, databaser, teknologi eller programvare, inkludert, men ikke begrenset til, design, dataprogrammer, beskrivelser, kildekoder, brukergrensesnitt, modifikasjoner og forretnings¬hemmeligheter hentet fra partenes tjenester utover de som eksplisitt er nevnt i denne Avtalen, inkludert den delene av tjenestene som ble utviklet før datoen for denne Avtalen og fremtidig utvikling av partenes tjenester. Alle rettigheter forblir derfor utelukkende hos partene. 

8.2    Nettos rettigheter til Tjenestene mv.
Netto og underleverandører som leverer funksjonalitet og løsninger til Tjenestene beholder alle immaterielle rettigheter og andre rettigheter knyttet til Tjenestene, andre tjenester og eventuelle leveranser som måtte leveres til Kunden, herunder rettigheter til teknologi, all kode, design og grensesnitt og dokumentasjon, inkludert eventuelle endringer eller forbedringer av disse elementene gir Kunden eller ansatte/personer tilknyttet Netto tilbakemeldinger eller forslag angående Tjenestene, andre ytelser fra Netto eller annet som kan knyttes til Netto, kan Netto bruke slike tilbakemeldingene eller forslagene uten begrensning eller forpliktelse.

Kunden har ikke rett til å bruke Tjenestene for å få informasjon til å lage eller bidra til å lage eller utvikle helt eller delvis en konkurrerende løsning til Tjenestene. Ved tvil skal forholdet avklares med Netto, og Kunden skal ikke bruke Tjenestene inntil skriftlig bekreftelse er mottatt.

8.3    Rett til å bruke Tjenestene (lisens)
Kunden får en ikke-eksklusiv, gjenkallelig, begrenset rett til å bruke Tjenestene som regulert i Avtalen såfremt Kunden har betalt det til enhver tid gjeldende vederlag for bruk av Tjenestene.

Netto kan ha direkte dialog med sluttbrukerne og sluttkundene til Kunden angående Netto-produktet og kjøp av tilleggstjenester direkte fra Netto.

8.4    Rettigheter til data og informasjon
Kunden har rett til egne data og informasjon lagt inn i Tjenestene av Kunden med unntak av Nettos rettigheter, se nedenfor. Netto har rett til å bruke det innhold som Kunden legger inn i Tjenestene for å levere Tjenestene, og Kunden gir Netto rett til bruk av slikt innhold for å levere Tjenestene. Netto forbeholder seg retten til å benytte opplysninger og informasjon i aggregert og anonymisert form, også etter avtaleslutt.

Netto har rettigheter til alle data og opplysninger som overføres til Kunden som del av Tjenestene («Opplysningene»). Kunden gis en rett til å bruke Opplysningene for egne interne formål. Denne retten innebærer at Kunden kan bl.a. lagre, bearbeide, bruke, overføre, sammenstille, behandle og/eller tilgjengeliggjøre Opplysningene som del av egne datasett, tjenester eller produkter som Kunden leverer til sine kunder. Det er altså en forutsetning at Opplysningene bearbeides og implementeres i Kundens egne løsninger overfor sine kunder, og

Kunden forplikter seg til å ikke fremstille ytterligere eksemplarer, direkte kopiere, overføre eller tilgjengeliggjøre Opplysningene i den form som de er overført fra Netto. Kunden skal påse at Opplysningene behandles og brukes i Kundens produkter og tjenester i samsvar med krav som fremgår det til enhver tid gjeldende regelverk, herunder personvernregler. 

Kunden forplikter seg til å ikke bruke Opplysningene som et ledd i produktutvikling, dette inkluderer, men er ikke begrenset til bruk av Nettos datasett og/eller innhold i datasettene for å utvikle produkter og/eller tjenester sammen med tredjeparter enten i form av tilvirkning eller samarbeid med tredjeparter uten Netto skriftlige samtykke. 

Opplysningene skal ikke kopieres, offentliggjøres, brukes i markedsføring eller media, publiseres, spres, eller brukes på annen måte enn det som følger uttrykkelig av Avtalen.

Kunden skal ikke gi tredjepart, herunder innleide konsulenter, eksterne oppdragstakere, samarbeidspartnere, offentlige organer eller enheter mv. tilgang til Opplysningene, herunder via API eller andre grensesnitt, uten etter skriftlig forhåndsgodkjennelse av Netto. Unntak gjelder for innleide konsulenter som har inngått dekkende konfidensialitetsavtale.

9. Behandling av personopplysninger

For informasjon og data som Kunden legger inn i Tjenestene vil Netto behandle personopplysninger på vegne av Kunden, og er derfor databehandler. Kunden vil inngå databehandleravtale som dekker behandlingen av personopplysninger for Kunden. Slik databehandleravtale er inntatt som del av Avtalen, og inngås sammen med Avtalen.

Netto er behandlingsansvarlig for alle opplysninger som Netto bestemmer formålet for behandlingen og hvordan behandlingen skal skje. Dette omfatter bl.a. tekniske data, logger, informasjon om Kunden og leverandører mv. Se for øvrig Netto personvernerklæring på Nettos nettsider.

10. Mislighold og ansvar

Foreligger det mislighold fra en av partene, dvs. at en av partene ikke overholder Avtalen, skal den andre part varsle skriftlig om misligholdet uten ugrunnet opphold fra part innen rimelig tid fra misligholdet ble oppdaget eller burde vært oppdaget. Den misligholdende part skal da bringe forholdet i orden så snart som mulig.

Bringes ikke forholdet i orden, og dette kan anses som vesentlig mislighold, kan Avtalen heves helt eller delvis for det forhold som misligholdet gjelder om ikke misligholdet er utbedret innen 30 dager etter parten er blitt klar over misligholdet.

Som vesentlig mislighold regnes også at en av partene blir insolvent og innstiller sine betalinger, begjærer oppbud, åpner gjeldsforhandling, tas under administrasjon, konkursbehandling eller lignende.

Heving av Avtalen har ingen innvirkning på Partenes rettigheter misligholdsbeføyelser som er tilgjengelige eller er oppstått før hevingstidspunktet.

Ved forsinket betaling kan Netto kreve forsinkelsesrenter etter forsinkelses¬renteloven og midlertidig stenge Kundens tilgang til Tjenestene. Manglende betaling ut over 30 dager etter betalingsvarsel anses å være vesentlig mislighold som gir Netto rett til å heve avtalen.

Ved mislighold kan det kreves prisavslag eller erstatning for å dekke tap eller kostnader som er påført med de begrensninger som følger av Avtalen.

Partene er ikke ansvarlig indirekte tap som den andre part påføres. Som indirekte tap regnes bl.a. tap grunnet driftsavbrudd eller andre grunner til at Tjenestene ikke er tilgjengelig, tap av data, tapt fortjeneste og krav fra tredjepart. Kunden er innforstått med at Tjenestene baseres på kunstig intelligens og algoritmer som vil kunne gi feil eller unøyaktige resultater, og kan ikke fremme krav mot Netto som følge av slike resultater.

Samlet erstatning er uansett begrenset til 25 % av det faste månedlige vederlaget Kunden har betale for å bruke Tjenestene (uavhengig av Kundens faktisk bruk av slike Tjenestene) de foregående 12 månedene før den hendelse som påførte skaden, inklusiv eventuelt krav om tilbakeføring av vederlag ved heving.

Disse begrensningene gjelder imidlertid ikke hvis den misligholdende part eller noen denne svarer for, har utvist grov uaktsomhet eller forsett, ved brudd på immaterielle rettigheter, konfidensialitet eller om Tjenestene er brukt i strid med Vilkårene for å utvikle en konkurrerende løsning til Tjenestene.

Partene er heller ikke ansvarlig dersom partenes ytelse eller plikter etter Avtalen forhindres eller vanskeliggjøres av omstendigheter som parten ikke med rimelighet kunne ha forutsett eller råde over (fritakelsesgrunner eller force majeure). Slike omstendigheter omfatter blant det som regnes som fritakelsesgrunner etter norsk rett, herunder/samt brann, arbeidskonflikter, leveranse fra underleverandører eller tilgangsnettoperatør (bl.a. til telenett og internett), mangel på kraft, pandemi, terrorisme, naturkatastrofer, og endringer i lovverk.

11. Konfidensialitet

Partene skal ikke utnytte, gis tilgang til eller utlevere informasjon mv. som etter en forsiktig vurdering må anses som konfidensiell for den andre part, som omfatter bl.a. informasjon om kunder, forretningsmessige forhold, teknologi, funksjonalitet, ny funksjonalitet, brukergrensesnitt, tilganger, kostnader og inntekter, markedsplaner og arbeidsmetoder mv. Partene skal behandle informasjonen med tilstrekkelig grad av konfidensialitet for å opprettholde, beholde og beskytte informasjonen.

Konfidensialitetskravet gjelder både mens Avtalen gjelder eller etter dette. Er en part i tvil om informasjon er konfidensiell, skal den andre part forespørres før informasjon utnyttes, utleveres, gis tilgang mv.

Konfidensialiteten omfatter ikke informasjon som er nødvendig for utøvelsen av rettigheter og plikter etter Avtalen, for å administrere forholdet til Avtalen, eller utlevering som er pålagt etter lovverk.

Se også ovenfor om å utnytte informasjon om Tjenestene til å utvikle konkurrerende løsning til Tjenestene, som anses å være brudd på konfidensialitetsplikten etter dette punktet. 

12. Overdragelse

Partene kan fritt overdra Avtalen forutsatt at alle betalinger er foretatt under Avtalen, og at Avtalen følges. 

13. Endringer av Avtalen

Netto kan endre Avtalen med én måneds skriftlig varsel. Slikt varsel vil kunne skje i Tjenestene eller ved epost til Kunden. Dersom endringen er til vesentlig ugunst for Kunden, har Kunden anledning til å si opp Avtalen og leveransen av Tjenestene, dersom slik oppsigelse gjøres skriftlig innen tidspunktet den aktuelle endringen trer i kraft. 

14. Lovvalg og tvister

Partenes rettigheter og plikter etter Avtalen reguleres av det lands rett som gjelder hvor den aktuelle Netto-enhet som kjøpsavtalen er inngått med er registrert.

Oppstår det tvist mellom partene om tolkingen eller rettsvirkningene av Avtalen skal dette søkes løst ved forhandlinger. Fører slike forhandlinger ikke frem innen én måned, kan hver av partene bringe tvisten inn for norske domstoler for endelig avgjørelse.

Eksklusivt verneting er den by hvor den aktuelle Netto-enhet som kjøpsavtalen er inngått med har kontor.

Tilbake til toppen

Databehandleravtale

1. Inngåelse

Denne databehandleravtale er inngått mellom Kunde som angitt i avtalen (Hovedavtalen) som databehandleravtalen er en del av («Behandlingsansvarlig») og Netto i samme avtale («Databehandler»). 

2. Innledning

  1. Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.

  2. Disse Vilkårene er utformet med for å sikre partenes etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).

  3. I forbindelse med avtale mellom behandlingsansvarlig og databehandler om leveranse (Hovedavtalen) som disse Vilkårene er knyttet til behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene.

  4. Vilkårene har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.

  5. Det er fire vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene.

  6. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen av personopplysninger, kategoriene av registrerte og behandlingens varighet.

  7. Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent.

  8. Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.

  9. Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av Vilkårene.

  10. Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.

  11. Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.

3. Den behandlingsansvarliges rettigheter og plikter

  1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes  nasjonale rett og disse Vilkårene.

  2. Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

  3. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.

4. Databehandleren handler etter instrukser

  1. Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.

  2. Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett.

5. Konfidensialitet

  1. Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.

  2. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.

6. Sikkerhet ved behandlingen

  1. Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.

    Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:

    1. pseudonymisering og kryptering av personopplysninger

    2. evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene

    3. evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse

    4. en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

  2. Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.

  3. Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.

    Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.

7. Bruk av underdatabehandlere

  1. Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).

  2. Databehandleren må således ikke bruke en underdatabehandler for å oppfylle Vilkårene uten på forhånd å ha innhentet en generell skriftlig godkjennelse fra den behandlingsansvarlige.

  3. Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med minst fire ukers varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Lengre varslingsfrister for spesifikke underdatabehandlertjenester kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent fremgår av vedlegg B.

  4. Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning.

    Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordningen.

  5. En kopi av slik underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.

  6. Databehandleren skal i underdatabehandleravtalen inkludere den behandlingsansvarlige som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at den behandlingsansvarlige kan tre inn i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandler, hvilket for eksempel setter den behandlingsansvarlige i stand til å instruere underdatabehandleren om å slette eller tilbakeføre personopplysningene.

  7. Hvis underdatabehandleren ikke oppfyller sine personopplysningsvernforpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen – særlig de nedfestet i personvernforordningen artikkel 79 og 82 – overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren.

8. Overføring til tredjeland eller internasjonale organisasjoner

  1. Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.

  2. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert av den behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning.

  3. Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren innenfor rammene av disse Vilkårene således ikke:

    1. overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon

    2. overlate behandling av personopplysninger til en underdatabehandler i et tredjeland

    3. behandle personopplysningene i et tredjeland

  4. Den behandlingsansvarliges instruks når det gjelder overføring av personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, skal angis i vedlegg C.6.

  5. Disse Vilkårene skal ikke forveksles med standard personvernbestemmelser som omhandlet i personvernforordningen artikkel 46 nummer 2 bokstav c og d, og disse Vilkårene kan ikke utgjøre et grunnlag for overføring av personopplysninger under personvernforordningen kapittel V.

9. Bistand til den behandlingsansvarlige

  1. Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.

    Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:

    1. opplysningsplikten ved innsamling av personopplysninger fra den registrerte

    2. opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte

    3. den registrertes rett til innsyn

    4. retten til retting

    5. retten til sletting («retten til å bli glemt»)

    6. retten til begrensning av behandling

    7. underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling

    8. retten til dataportabilitet

    9. retten til å protestere

    10. retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering.

  2. I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Vilkårene 6.3, bistår databehandleren også, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, den behandlingsansvarlige med:

    1. den behandlingsansvarliges forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, i Norge (Datatilsynet), med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter

    2. den behandlingsansvarliges forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter

    3. den behandlingsansvarliges forpliktelse til før behandlingen å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (vurdering av personvernkonsekvenser)

    4. den behandlingsansvarliges forpliktelse til å rådføre seg med den kompetente tilsynsmyndigheten, i Norge (Datatilsynet), før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.

  3. Partene skal i vedlegg C oppgi de egnede tekniske og organisatoriske tiltakene gjennom hvilke databehandleren skal bistå den behandlingsansvarlige, samt omfanget og utstrekningen av den påkrevde bistanden. Dette gjelder for forpliktelsene som følger av Vilkårene 9.1. og 9.2.

10. Underretning om brudd på personopplysningssikkerheten

  1. Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det.

  2. Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje innen 24 timer etter at databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten, jf. personvernforordningen artikkel 33.

  3. I overensstemmelse med Vilkår 9 nummer 2 bokstav a skal databehandleren bistå den behandlingsansvarlige med å melde bruddet til den kompetente tilsynsmyndigheten. Det innebærer at databehandleren skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsynsmyndigheten:

    1. arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt

    2. de sannsynlige konsekvenser av bruddet på personopplysningssikkerheten

    3. de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

  4. Partene skal i vedlegg C oppgi all informasjon som databehandleren skal fremskaffe når vedkommende bistår den behandlingsansvarlige med å melde brudd på personopplysningssikkerheten til den kompetente tilsynsmyndigheten.

11. Sletting og returnering av opplysninger

Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet eller levere tilbake alle personopplysningene og slette eksisterende kopier, etter behandlingsansvarliges valg, med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.

12. Revisjon, herunder inspeksjon

  1. Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandleren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.

  2. Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.7 og C.8.

  3. Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til den behandlingsansvarliges eller databehandlerens lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon.

13. Partenes avtale om andre forhold

Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunnleggende rettigheter og friheter og beskyttelsen som følger av personvernforordningen.

14. Ikrafttredelse og opphør

  1. Vilkårene trer i kraft samtidig med Hovedavtalen.

  2. Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhensiktsmessigheter i Vilkårene gir grunn til dette.

  3. Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.

  4. Hvis leveringen av databehandlertjenestene opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i overensstemmelse med Vilkårene 11.1 og vedlegg C.4, kan Vilkårene sies opp med skriftlig varsel av begge partene.

15. Kontaktpersoner hos den behandlingsansvarlige og databehandleren

  1. Partene kan kontakte hverandre via kontaktpersoner som oppgis til hverandre.

  2. Partene forplikter seg til å orientere hverandre løpende om endringer som gjelder kontaktpersoner.

Vedlegg A - Opplysninger om behandlingen

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
Formålet med behandlingen er å oppfylle Hovedavtalen og levere Tjenestene. 

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal primært dreier seg om (behandlingens art):
For å få tilgang til Tjenesten, må Behandlingsansvarlig gi visse opplysninger til Databehandler, som navn og e-postadresse til alle brukerne. Videre må brukerne av Tjenesten tillate Databehandler å lagre og hente informasjon ved bruk av “informasjonskapsler” som er nødvendig for å aktivere prosedyrer ved innlogging og utlogging som brukes ved Tjenesten, og for å sikre at uautoriserte personer ikke får tilgang til Tjenesten.

A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte:
Navn og epostadresse til brukere. Informasjonskapsler med data for å sikre innlogging. 

A.4. Behandlingen omfatter følgende kategorier av registrerte:
Ansatte hos Behandlingsansvarlig. 

A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynne etter at Vilkårene har trådt i kraft. Behandlingen har følgende varighet:
Behandlingen skal skje etter behandlingsansvarliges instruks, og behandlingen skjer inntil behandlingsansvarlig gir instruksjon om sletting. Sletting skal senest skje ett år etter Hovedavtalens opphør om ikke annet fremgår av Hovedavtalen.

Ved opphør av databehandlertjenestene skal databehandleren enten slette eller levere tilbake personopplysningene i overensstemmelse med Vilkårene 11.1, med mindre den behandlingsansvarlige – etter at Vilkårene ble underskrevet – har endret den behandlingsansvarliges opprinnelige valg. Slike endringer skal være dokumentert og oppbevares skriftlig, herunder elektronisk, sammen med Vilkårene.

Vedlegg B - Underdatabehandlere

B.1. Godkjente underdatabehandlere

Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:

NAVN         LAND HVOR BEHANDLINGEN SKAL SKJE BESKRIVELSE AV BEHANDLINGEN
HubSpot Irland Netto bruker HubSpot som CRM system
Amazon Web Service EMEA SARLs Irland Netto lever Tjenestene fra AWS som skytjenesteleverandør
Auth0 - Okta Irland Netto bruker Auth0 som autentiseringstjeneste
Timescale Inc Irland

Netto bruker Timescale som database leverandør
Google Irland Netto bruker Google som epost klient

 

Ved Vilkårenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den behandlingsaktiviteten som er beskrevet for vedkommende. For endringer av underdatabehandlere, se punkt 7 i Vilkårene.

 

Vedlegg C - Instruks for behandling av personopplysninger

C.1. Behandlingens gjenstand/instruks for behandlingen
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved å oppfylle Hovedavtalen og denne databehandleravtalen. 

C.2. Informasjonssikkerhet
Databehandleren skal sikre personopplysningene at det gjennomføres egnede tekniske og organisatoriske tiltak for å sikre personopplysning som behandles etter avtalen hensyntatt hva som er teknisk mulig, kostnader ved sikringen, og behandlingen av personopplysning som skal gjøres og risikoen ved slik behandling knyttet til personvernet til de som personopplysningene er knyttet til. Herunder, avhengig av hva som er nødvendig og egnet for sikringen:

  • pseudonymisering og kryptering av personopplysningene

  • sikring av konfidensialitet, integritet, tilgjengelighet og robusthet i systemene som behandler personopplysninger

  • mulighet til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse

  • en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

Det skal gjøres tiltak for å sikre at de som har tilgang til personopplysninger behandler disse bare etter instruks fra den behandlingsansvarlige og denne avtalen, med mindre det foreligger unntak etter lovgivningen. 

C.3 Bistand til den behandlingsansvarlige
Databehandleren skal i den grad det er mulig – i det nedenfor beskrevne omfang og utstrekning – bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2 ved å gjennomføre følgende tekniske og organisatoriske tiltak:
  • Bistand til behandlingsansvarlig av databehandler skal følge den bistandsplikt som er pålagt etter personvernregelverket, herunder personvernforordningen og personopplysningsloven. 

  • Bistand fra databehandleren til behandlingsansvarlig ut over det som følger av denne avtalen og som er plikter som tilligger databehandleren etter personvernregelverket, vil måtte utføres etter databehandlerens til enhver tid gjeldende timesatser som bistand. Dette gjelder oppgaver som å slette personopplysninger utenfor det som gjøres automatisk eller behandlingsansvarlig kan gjøre gjennom løsningen, gi innsyn i personopplysning ut over det som kan gjøres gjennom løsningen, bistå behandlingsansvarlig med risikovurderinger og dokumentasjon, mv.

C.4 Oppbevaringsperiode/sletteprosedyrer
Se punkt A.5 ovenfor. 

C.5 Lokasjon for behandling
Behandling av personopplysninger som omfattes av Vilkårene kan ikke, uten den behandlingsansvarliges skriftlige godkjennelse etter Vilkårenes punkt 8, finne sted på andre lokasjoner enn følgende: EØS. 

Lokasjon for underdatabehandleres behandling av personopplysningene følger av tabellen under punkt B1. 

C.6 Instruks for overføring av personopplysninger til tredjeland
Databehandleren kan kun overføre personopplysninger til tredjeland dersom behandlingsansvarlig har skriftlig samtykket til slik overføring, og det foreligger et lovlig grunnlag for overføring. 

Hvis ikke den behandlingsansvarlige i Vilkårene eller etterfølgende gir en dokumentert instruks som gjelder overføring av personopplysninger til et tredjeland eller internasjonal organisasjon, kan ikke databehandleren, innen rammene av Vilkårene, gjennomføre slike overføringer. 

C.7 Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av behandlingen av personopplysninger som er overlatt til databehandleren
Ingen utover det som er regulert i personvernforordningen (GDPR) artikkel 28. 

Vedlegg D - Partenes regulering av andre forhold

Følgende endringer skal gjøres i Vilkårene:

  • Punkt 7.6 skal utgå.

  • I punkt 9.2.a slettes «og når det er mulig, senest 72 timer».

  • I punkt 10.2 skal «om mulig skje innen 24 timer» erstattes med «uten ugrunnet opphold». 

Tilbake til toppen

Har du spørsmål?

Ta kontakt