Detta personuppgiftsbiträdesavtal (Avtal) utgör en del av avtalsvillkoren eller annan skriftlig överenskommelse mellan Kunden (“Personuppgiftsansvarig”) och SmartDok AB (“SmartDok” eller “Personuppgiftsbiträde”) om köp och användning av produkter och tjänster från SmartDok för att uttrycka Parternas överenskommelse om behandling av personuppgifter. SmartDok och Kunden benämns gemensamt som Parterna.

1. Inledning

1.1 Båda Parterna bekräftar att de har fullmakt att ingå detta personuppgiftsbiträdesavtal (“Avtal”). Detta Avtal kommer att ingå i och reglera Behandlingen av Personuppgifter i följande tjänsteavtal (“Avtalsvillkor”) mellan Parterna.

1.2  Om Personuppgiftsansvarig byter kontaktperson ska SmartDok informeras om detta skriftligen. 

2. Definitioner

2.1 Definitionen av Personuppgifter, Särskilda kategorier av Personuppgifter (Känsliga Personuppgifter), Behandling av Personuppgifter, Registrerad, Personuppgiftsansvarig och Personuppgiftsbiträde är densamma som används i gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen EU 2016/679 (“GDPR”).

3. Omfattning

3.1 Avtalet reglerar Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av Personuppgiftsansvarig, och beskriver hur Personuppgiftsbiträdet genom tekniska och organisatoriska åtgärder ska bidra till att säkerställa den registrerades rättigheter på uppdrag av Personuppgiftsansvarig.

3.2 Syftet med Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig är att uppfylla Avtalsvillkor.

3.3 Detta Avtal har företräde framför eventuella motstridiga bestämmelser om Behandling av Personuppgifter i Avtalsvillkor eller i andra tidigare avtal eller skriftlig kommunikation  mellan Parterna. Detta Avtal är giltigt så länge som överenskommits i Bilaga A.

4. Personuppgiftsbiträdets rättigheter och skyldigheter

4.1 Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs skriftliga instruktioner. Genom att ingå detta Avtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Avtalsvillkor, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Avtal.

4.2 Personuppgiftsbiträdet har vid avtalets ingående ingen anledning att anta att det finns regulatoriska hinder mot att följa instruktionerna från Personuppgiftsansvarig. Om Personuppgiftsbiträdet vid ett senare tillfälle blir medveten om att Personuppgiftsansvarigs instruktioner eller behandling av personuppgifter strider mot gällande dataskyddslagstiftning, ska Personuppgiftsbiträdet meddela detta till Personuppgiftsansvarig.

4.3 De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Avtal framgår av Bilaga A

4.4 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifterna i enlighet med de regulatoriska krav som gäller för Personuppgiftsbiträdet. Detta inkluderar att implementera systematiska, organisatoriska och tekniska säkerhetsåtgärder för att säkerställa en tillräcklig säkerhetsnivå. Vid bedömningen av vad som utgör en tillräcklig nivå ska hänsyn tas till den teknologiska utvecklingen och kostnaderna för att genomföra åtgärder, i förhållande till riskerna med behandlingen och typen av personuppgifter som behandlas.

4.5 Personuppgiftsbiträdet ska genom tekniska och organisatoriska säkerhetsåtgärder bistå Personuppgiftsansvarig med att fullgöra sina skyldigheter enligt GDPR artiklarna 32 till 36, samt bistå i hanteringen av förfrågningar från registrerade. Omfattningen av denna skyldighet begränsas av typen av behandling av personuppgifter och den information som är tillgänglig för Personuppgiftsbiträdet.

4.6 Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information eller bistånd än den standard som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster.

4.7 Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Avtal. Detta villkor gäller även efter att Avtalet upphört att gälla.

4.8. Personuppgiftsbiträdet ska säkerställa att anställda som behandlar personuppgifter på uppdrag av Personuppgiftsansvarig har åtagit sig konfidentialitet eller är underkastade lagstadgad tystnadsplikt.

4.9 Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig,  göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter.

Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;

  1. i) förfrågningar om utlämnande av Personuppgifter som erhållits från en Registrerad
  2. ii) förfrågningar från myndigheter, exempelvis Polisen, om utlämnande av Personuppgifter 

4.10 Personuppgiftsbiträdet får inte svara direkt på förfrågningar från Registrerade utan medgivande från Personuppgiftsansvarig.  Personuppgiftsbiträdet får inte delge innehåll som berörs av detta Avtal eller Avtalsvillkor till myndigheter som Polisen, inklusive Personuppgifter, med undantag för vad som är lagstadgat, exempelvis genom domstolsbeslut eller liknande beslut.

4.11 Personuppgiftsbiträdet har inte ägarskap till eller kontroll över huruvida och hur  Personuppgiftsansvarig väljer att använda sig av eventuella tredjepartsintegrationer via Personuppgiftsbiträdets API, via direkt databaskoppling eller liknande. Ansvaret för sådana integrationer med tredje part åligger uteslutande Personuppgiftsansvarig.

4.12 Personuppgiftsbiträdet kan komma att Behandla Personuppgifter om användare och Personuppgiftsansvarigs användning av tjänsten när det är nödvändigt för att få feedback och förbättra tjänsten. Personuppgiftsansvarig ger Personuppgiftsbiträdet rätt att använda och analysera aggregerad användningsdata kopplade till Personuppgiftsansvarigs användning av tjänsterna i syfte att optimera, förbättra eller förbättra sättet Personuppgiftsbiträdet tillhandahåller tjänster på och för att göra det möjligt för Personuppgiftsbiträdet att skapa nya funktioner och funktionalitet i samband med tjänsterna. Personuppgiftsbiträdet ska anses personuppgiftsansvarig för sådan behandling och behandlingen omfattas därför inte av detta Avtal.  

4.13 Vid användning av tjänsten kommer Personuppgiftsansvarig att lägga till data till programvaran (“Kunddata”). Personuppgiftsansvarig medger och motsätter sig inte att Personuppgiftsbiträdet använder Kunddata i ett aggregerat och anonymiserat format för att förbättra de tjänster som levereras till kunder, forskning, utbildning och/eller statistiska ändamål.

5. Personuppgiftsansvarigs rättigheter och skyldigheter

5.1   Genom att underteckna detta Avtal bekräftar Personuppgiftsansvarig att:

  • Personuppgiftsansvarig har rättslig grund att Behandla och utlämna de aktuella Personuppgifterna till Personuppgiftsbiträdet (inklusive eventuella underbiträden som Personuppgiftsbiträdet använder).
  • Personuppgiftsansvarig är ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de Personuppgifter som lämnats till Personuppgiftsbiträdet.
  • Personuppgiftsansvarig har fullgjort sina skyldigheter att tillhandahålla relevant information till Registrerade avseende Behandling av Personuppgifter enligt obligatorisk dataskyddslagstiftning.
  • Vid användning av de tjänster som tillhandahålls av Personuppgiftsbiträdet under Avtalsvillkor får Personuppgiftsansvarig inte överföra några Känsliga Personuppgifter till Personuppgiftsbiträdet utan uttrycklig överenskommelse om detta i Bilaga A till detta Avtal.

6. Användande av underbiträden och överföring av data

6.1 Som en del av leveransen av tjänster till Personuppgiftsansvarig, enligt Avtalsvillkor och detta Avtal, kan Personuppgiftsbiträdet använda sig av underbiträden och Personuppgiftsansvarig ger ett generellt samtycke till användandet av underbiträden. Sådana underbiträden kan vara andra företag inom Visma-koncernen eller externa underbiträden (tredje part) inom eller utanför EU. Alla underbiträden med åtkomst till Personuppgifter är inkluderade i Bilaga B. Personuppgiftsbiträdet ska säkerställa att underbiträden genom avtal samtycker till att åta sig ansvar som motsvarar de skyldigheter som anges i detta Avtal. 

6.2 En översikt över underbiträden med tillgång till Personuppgifter finns på Visma Trust Center med besökadress: https://www.visma.com/trust-centre/product-search/. Personuppgiftsbiträdet får anlita andra företag inom Visma-koncernen som är belägna inom EU/EES, som underbiträden utan att Visma-företaget är listat på Trust Center och utan föregående godkännande eller anmälan till Personuppgiftsansvarig. Detta är vanligtvis för utveckling, support, drift etc.  Personuppgiftsansvarig kan begära mer detaljerad information om underbiträden.

6.3 Om underbiträdena finns utanför EU ger Personuppgiftsansvarig behörighet till Personuppgiftsbiträdet för att säkerställa lämpliga rättsliga grunder för överföring av Personuppgifter utanför EU på Personuppgiftsansvarigs uppdrag, genom att införa EU-standardavtalsklausuler (SCC).

6.4 Personuppgiftsansvarig ska underrättas innan ändringar sker rörande underbiträden som Behandlar Personuppgifter så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. Om Personuppgiftsansvarig gör invändningar mot nytt underbiträde inom 30 dagar från det att meddelande har lämnats, ska Personuppgiftsbiträdet och Personuppgiftsansvarig granska dokumentationen för underbiträdenas efterlevnad av GDPR för att säkerställa uppfyllandet av gällande dataskyddslagstiftning. Om Personuppgiftsansvarig fortfarande motsätter sig och har rimliga skäl för detta, kan Personuppgiftsansvarig inte reservera sig mot användningen av sådant underbiträde (i synnerhet med beaktande av karaktären av online standardprogramvara), men Personuppgiftsansvarig kan säga upp det Avtalsvillkor för vilket det tvistiga underbiträdet används.   

7. Säkerhet

7.1   Personuppgiftsbiträdet har åtagit sig att tillhandahålla en hög säkerhetsnivå i sina produkter och tjänster. Personuppgiftsbiträdet tillhandahåller säkerhetsnivån genom organisatoriska, tekniska och fysiska säkerhetsåtgärder, i enlighet med kraven på informationssäkerhet som beskrivs i dataskyddsförordningen artikel 32.

7.2  Avtalsvillkor anger de åtgärder eller andra datasäkerhetsprocedurer som Personuppgiftsbiträdet implementerar vid Behandlingen av Personuppgifter. Personuppgiftsansvarig ska ansvara för lämplig och adekvat säkerhet för den utrustning och IT-miljö som Personuppgiftsansvarig ansvarar för.

8. Revisionsrättigheter

8.1 Personuppgiftsansvarig har rätt att genomföra årlig revision av Personuppgiftsbiträdets uppfyllande av villkoren i Avtalet. Om lagstiftningen kräver det kan Personuppgiftsansvarig begära revisioner oftare. 

För att begära en revision måste Personuppgiftsansvarig lämna in en detaljerad revisionsplan till Personuppgiftsbiträdet minst fyra veckor före det föreslagna revisionsdatumet med en beskrivning av revisionens omfattning, varaktighet och startdatum. Om tredje part ska utföra revisionen, måste båda Parterna godkänna tredje part. Om Behandlingen sker i ett “multitenant” miljö, ger Personuppgiftsansvarig Personuppgiftsbiträdet befogenhet, att av säkerhetsskäl, bestämma att revisioner ska utföras av en neutral tredjepartsrevisor som Personuppgiftsbiträdet väljer.

8.2 Om det begärda revisionsområdet är upptaget i en ISAE-, ISO- eller liknande granskningsrapport som utförts av en kvalificerad tredjepartsrevisor inom de föregående tolv månaderna, och Personuppgiftsbiträdet bekräftar att det inte finns några kända väsentliga förändringar i de åtgärder som granskats, accepterar Personuppgiftsansvarig denna granskningsrapport istället för att begära en ny revision av åtgärder som redan granskats.

8.3 Under alla omständigheter måste revisioner utföras under vanliga öppettider vid den aktuella anläggningen, med förbehåll för Personuppgiftsbiträdets regler, och får inte störa Personuppgiftsbiträdets affärsverksamhet i väsentlig grad.

8.4 Personuppgiftsansvarig står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från Personuppgiftsbiträdet som överstiger standardtjänsten som tillhandahålls av Personuppgiftsbiträdet och/eller Visma-koncernen för att följa gällande dataskyddslagstiftning, kommer att debiteras.

9. Varaktighet och uppsägning

9.1 Detta Avtal är giltigt så länge som Personuppgiftsbiträdet behandlar Personuppgifter på uppdrag av Personuppgiftsansvarig enligt gällande Avtalsvillkor.

9.2 Avtalet upphör automatiskt när Avtalsvillkor upphör att gälla. När Avtalet upphör kommer Personuppgiftsbiträdet att radera eller återlämna Personuppgifter som Behandlas på uppdrag av Personuppgiftsansvarig, i enlighet med gällande klausuler i respektive Avtalsvillkor. Sådan radering kommer att ske så snart det är praktiskt möjligt, såvida inte EU eller lokal lag kräver ytterligare lagring. Om inte annat avtalats skriftligen ska kostnaden för sådana åtgärder baseras på; i) timtaxa för Personuppgiftsbiträdets tid och ii) komplexiteten i den begärda processen.

10. Ändringar och ogiltighet

10.1 SmartDok förbehåller sig rätten att uppdatera och ändra Avtalet efter eget gottfinnande. Den gällande och tidigare versioner av Avtalet finns tillgängliga på SmartDoks webbplats (https://smartdok.se/blogg/personuppgiftsbitradesavtal/). Personuppgiftsansvarig kommer alltid att informeras om eventuella väsentliga ändringar minst 30 dagar innan de träder i kraft.

11. Ansvar

11.1 Parterna är överens om och erkänner att vardera Parten är skyldig att själv ansvara för och betala sådan administrativ sanktionsavgift som ålagts Parten enligt dataskyddsförordningen. Part är vidare skyldig att erlägga sådant skadestånd till Registrerade som Part av behörig domstol ålagts att betala direkt till Registrerade. Ansvaret mellan Parterna regleras av ansvarsbestämmelser i respektive Avtalsvillkor.

Bilaga A – Kategorier av Registrerade, Kategorier av Personuppgifter, Syfte, Behandlingens art, Varaktighet

A.1 Kategorier av Registrerade

  • Kundens slutanvändare
  • Anställd hos kund
  • Kontaktpersoner hos kund

A.2 Kategorier av Personuppgifter

  • Kontaktuppgifter såsom namn, telefonnummer, adress, e-postadress, etc.
  • Arbetsrelaterad information såsom befattning, arbetsgivare, utbildning etc.
  • Ekonomisk information såsom lön, arbetade timmar etc.
  • I vissa moduler behandlas platsinformation

A.3 Kategorier av Känsliga Personuppgifter (särskilda kategorier av personuppgifter)

Personuppgiftsbiträdet behandlar inga känsliga personuppgifter (särskilda kategorier av personuppgifter) för att tillhandahålla tjänsten.

A.4 Syfte med Behandlingen

Syftet med Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av Personuppgiftsansvarig är:
Leverans av tjänsten i enlighet med Avtalsvillkor.

A.5 Behandlingens art

Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av Personuppgiftsansvarig ska huvudsakligen gälla (behandlingens art):
Lagring, registrering, testning, ändring/redigering, rapportering, överföring.

A.6 Behandlingens varaktighet

Behandlingens varaktighet är 12 månader efter att avtalet har upphört i enlighet med Avtalsvillkor.


Mejl om förändringen har skickats till kontaktpersonen den
11 september 2024.

Versjon 1.5 (08.01.2021)

Databehandleravtale

(SmartDok AB som databehandler)

Denne DATABEHANDLERAVTALEN (heretter DBA) regulerer vilkår og betingelser for

behandling av personopplysninger hos SmartDok AB. I henhold til denne DBA er Kunden behandlingsansvarlig og SmartDok AB (heretter SmartDok) databehandler. Denne DBA erstatter eventuelle tidligere avtaler som gjelder personvern og som regulerer SmartDoks behandling av personopplysninger på Kundens vegne. 

Innledende bemerkninger

Partene anerkjenner at gjeldende personvernlovgivning stiller krav til at det foreligger en

DBA mellom Kunden og SmartDok ved behandlingen av personopplysninger.

Partene har vedtatt å inngå denne DBA for å regulere behandling av personopplysninger slik det kreves av gjeldende personvernlovgivning.

Partene er enige om følgende:

  1. Definisjoner og fortolkninger

1.1. Begrepene i denne DBA skal ha følgende betydning:

Gjeldende personvernlovgivning

EUs personverndirektiv 95/46 / EC, eller annen fremtidig EU-lovgivning, nasjonale eller internasjonalt bindende personvernlover eller forskrifter som er gjeldende i løpet av denne DBAs gyldighetstid, og som regulerer Kunden eller SmartDok. “Gjeldende personvernlovgivning” inkluderer bindende veiledning, avgjørelser eller vedtak fra reguleringsorganer, domstoler eller andre relevante organer, i tillegg til den kommende Europeiske Unions Personvernforordning (heretter kalt GDPR) når den trer i kraft den 25. mai 2018.

Behandlingsansvarlig 

Den parten som alene eller i felleskap med andre bestemmer formålet og virkemidlene for behandling av personopplysninger. 

Registrerte 

En identifisert eller identifiserbar fysisk person.

Personopplysninger 

Enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Sikkerhetsbrudd 

Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Behandling 

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, som f.eks. Innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Databehandler 

Selskapet som er part i denne avtalen og som behandler personopplysninger på vegne av Kunden. 

Underleverandør 

En tredjeparts underleverandør som er tilsatt av SmartDok for å bistå i behandlingen av personopplysninger på vegne av Kunden.

  1. Behandling av personopplysninger

2.1. SmartDok garanterer at man i tråd med denne DBA har implementert, og vil fortsette å implementere egnede tekniske og organisatoriske tiltak så lenge denne DBA er gjeldende. Tiltakene skal sikre at behandlingen av personopplysninger i henhold til denne DBA oppfyller kravene til gjeldende personvernlovgivning og sikrer den registrertes rettigheter.

2.2. SmartDok forplikter seg til å kun behandle personopplysninger i tråd med dokumenterte instrukser fra Kunden, med mindre annet kreves i henhold til gjeldende personvernlovgivning. SmartDok skal til enhver tid kunne dokumentere konkrete instrukser fra Kunden. Kunden garanterer at vedkommende har rett til å behandle personopplysningene i tråd med gjeldende personopplysningslov før disse blir oversendt til SmartDok.

Kunden bekrefter herved at den er ansvarlig for å bestemme formålene og virkemidlene for SmartDoks behandling av personopplysninger. Kundens opprinnelige instrukser til SmartDok knyttet til behandlingens omfang, varighet, art og hensikt, samt kategorier av registrerte, fremgår av denne DBA og i Vedlegg 1.

2.3. SmartDok skal overholde gjeldende personvernlovgivning og gjeldende anbefalinger fra tilsynsmyndighetene eller andre kompetente myndigheter.

SmartDok skal også godta endringer i denne DBA som kreves under gjeldende personvernlovgivning.

2.4. SmartDok skal bistå Kunden med å oppfylle sine juridiske forpliktelser i henhold til gjeldende personvernlovgivning. Herunder, men ikke begrenset til,

Kundens forpliktelser til å svare på forespørsler om utøvelse av den registrertes rett til å be om innsyn, korrigering, begrensning av behandlingen, sletting, samt retten til å få oversendt kopi av de personopplysninger som behandles. SmartDok skal kun behandle personopplysningene etter dokumenterte instruksjoner fra behandlingsansvarlig og svarer ikke på direkte forespørsler fra registrerte.

2.5. SmartDok skal umiddelbart informere Kunden dersom SmartDok mangler instruksjoner på hvordan personopplysningene skal behandles i en bestemt situasjon, eller hvis noen instruksjoner som er gitt i henhold til denne DBA eller på annen måte er i strid med gjeldende personvernlovgivning.

2.6. Dersom registrerte, kompetente myndigheter eller andre tredjeparter ber om informasjon fra SmartDok vedrørende behandlingen av personopplysninger som omfattes av denne DBA, skal SmartDok henvise forespørselen til Kunden. SmartDok kan ikke på noen måte handle på vegne av eller som en representant for Kunden.

2.7. SmartDok skal ikke, uten forutgående instruksjoner fra Kunden, overføre eller på annen måte utlevere personopplysninger eller annen informasjon knyttet til behandlingen av personopplysninger til en tredjepart. I det tilfellet at SmartDok i henhold til gjeldende personvernlovgivning er pålagt å utlevere personopplysninger som SmartDok behandler på vegne av Kunden, må SmartDok umiddelbart informere Kunden om dette, samt be om konfidensialitet i forbindelse med utleveringen av anmodet informasjon.

2.8. SmartDok forplikter seg til å gi Kunden all informasjon og nødvendig assistanse for å demonstrere at forpliktelsene i denne DBA er overholdt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner på stedet av Kunden eller annen inspektør med fullmakt fra Kunden.

  1. Underleverandører

3.1. Kunden godtar at SmartDok kan engasjere tredjeparts underleverandører som er oppført på https://www.visma.com/trust-centre/transparency/?usp=sharing i forbindelse med levering av tjenestene i henhold til denne DBA, og kan oppdatere listen over underleverandører dersom SmartDok finner det hensiktsmessig, under forutsetning av at:

3.1.1. SmartDok på forhånd informerer Kunden om eventuelle endringer av underleverandører, og

3.1.2. Kunden har en mulighet til å motsette seg endring av underleverandør, på bakgrunn av legitime personvernhensyn, for eksempel at underleverandøren ikke er i stand til å oppfylle lovpålagte personvernkrav.

3.2. Dersom Kunden motsetter seg bruk av en spesifikk underleverandør, skal partene i god tro forhandle og enes om en rimelig løsning på hvordan videre levering av tjenesten skal gjennomføres, herunder fordeling av eventuelle kostnader mellom partene. Dersom partene ikke kommer til enighet om en løsning innen én (1) måned etter datoen Kunden ga SmartDok skriftlig varsel om at samtykke ikke gis, har SmartDok rett til å terminere ytelsen av tjenesten for de berørte delene.

3.3. SmartDok skal sørge for at eventuelle godkjente underleverandører inngår skriftlige avtaler som pålegger dem de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i denne DBA.

3.4. SmartDok er fullt ut ansvarlig overfor Kunden hva gjelder utførelsen av underleverandørenes forpliktelser.

3.5. Kunden kan kreve at SmartDok reviderer underleverandører eller bekrefter at en slik revisjon er gjennomført. Eventuelt kan SmartDok hvis mulig, innhente eller bistå Kunden med å innhente en tredjemanns revisjonsrapport om underleverandørens drift for å sikre samsvar med gjeldende personvernlovgivning.

  1. Overføring til tredjestater

4.1. Enhver overføring av personopplysninger til en stat som ikke er medlem i enten EU eller EFTA krever samtykke fra Kunden og skal kun skje dersom vilkårene for overføring til tredjestater eller internasjonale organisasjoner etter gjeldende personvernlovgivning, herunder kapittel V i GDPR, er oppfylt.

  1. Informasjonssikkerhet og konfidensialitet

5.1. For å bistå Kunden med å oppfylle sine juridiske forpliktelser som inkluderer, men ikke begrenser seg til, sikkerhetstiltak og konsekvensutredninger, er SmartDok forpliktet til å treffe hensiktsmessige tekniske og organisatoriske tiltak for å beskytte de personopplysningene som behandles, og skal derfor følge Kundens eventuelle skriftlige krav eller retningslinjer knyttet til informasjonssikkerheten.

5.2. SmartDok skal opprettholde et tilstrekkelig sikkerhetsnivå for behandlingen av personopplysningene som er passende i forhold til behandlingsrisikoen.

SmartDok skal beskytte personopplysningene fra ødeleggelse, endring, ikke-autorisert utlevering, eller ikke-autorisert tilgang. SmartDok skal (med hensyn til teknisk utvikling, gjennomføringskostnader, sammenheng/formål med behandling, samt den varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter) gjennomføre egnede tekniske og organisatoriske tiltak.

5.3. SmartDok skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av Kunden. SmartDok skal utarbeide og oppdatere en beskrivelse av sine tekniske, organisatoriske og fysiske tiltak for å opprettholde og være i overensstemmelse med gjeldende personvernlovgivning.

5.4. SmartDok forplikter seg til å ikke, uten Kundens skriftlige forhåndsgodkjenning, utlevere eller på annen måte gjøre personopplysninger behandlet under denne DBA tilgjengelig for tredjeparter, med unntak av de underleverandører som er engasjert i samsvar med denne DBA.

5.5. SmartDok skal være forpliktet til å sikre at kun personer som direkte trenger tilgang til personopplysninger for å oppfylle SmartDoks forpliktelser har tilgang til slik informasjon. SmartDok skal sørge for at alle personene som er involvert i behandlingen av personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.

Taushetsplikten som er fastsatt i punkt 5.4 og 5.5 skal gjelde utover utløpet eller opphøret av denne DBA.

  1. Sikkerhetsbrudd

6.1. Ved Sikkerhetsbrudd hos SmartDok som involverer personopplysninger som behandles på vegne av Kunden, skal SmartDok, sett i lys av typen behandling og den informasjonen som er tilgjengelig for SmartDok, bistå Kunden med å sikre overholdelse av Kundens forpliktelser i henhold til GDPR artikkel 33. 41

6.1.1. beskrive typen brudd på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt.

6.1.2. inneholde navnet på og kontaktopplysningene til vedkommende som kan kontaktes for mer informasjon.

6.1.3. beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten.

6.1.4. beskrive de tiltak som er tatt eller foreslås tatt av Kunden for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

  1. Periode og varighet

Bestemmelsene i denne DBA skal gjelde så lenge SmartDok behandler personopplysninger på vegne av Kunden.

  1. Konsekvenser ved terminering eller utløp av DBA

8.1. Ved terminering eller utløp av denne DBA skal SmartDoks behandlingsaktiviteter opphøre. SmartDok skal, i tråd med Kundens ønske, slette alle Kundens personopplysninger, samt slette eksisterende kopier, med mindre gjeldende personvernlovgivning krever lagring av personvernopplysningene. SmartDok skal sørge for at alle underleverandører gjør det samme.

8.2. På forespørsel fra Kunden skal SmartDok gi melding om de tiltakene som er gjennomført med hensyn til ferdigstillelsen av behandlingen.

  1. Ansvarsbegrensning

9.1. Med mindre annet er bestemt, skal partene være ansvarlige etter alminnelige bestemmelser som følger av gjeldende rett i henhold til DBA punkt 8. Partene vil imidlertid ikke bli ansvarlige for driftstap, tap av gevinst, tap av omdømme og eventuelle andre indirekte tap og følgeskader. Tap av data skal betraktes som et indirekte tap. Vilkår for erstatningsansvar er nærmere beskrevet i “Avtalevilkår”, punkt 8.1.

  1. Diverse

10.1. Ingen forsinket eller manglende håndhevelse av bestemmelsene i denne DBA innebærer en frafallelse av partenes rett til å håndheve den aktuelle eller de øvrige bestemmelsene. Det samme gjelder ved en enkel eller delvis håndhevelse av slike rettigheter. For å ha virkning må enhver frafallelse være skriftlig, signert av den parten som frafaller sin rettighet.

10.2. Dersom en kompetent domstol anser noen av denne DBAs bestemmelser for å være ugyldig, ulovlig eller ikke rettslig bindende, vil de gjenværende bestemmelsene i denne DBA fortsatt inneha sin fulle virkning og kraft, og skal tolkes slik at de på best mulig måte bidrar til å gjennomføre partenes intensjon.

10.3. Uten at andre rettigheter etter denne avtalen tar skade, skal eventuelle forpliktelser som enten uttrykkelig eller av deres art fortsetter etter terminering/utløp av denne DBA, ha fortsatt virkning og forbli gjeldende.

10.4. Denne DBA kan bli inngått mellom en eller flere parter, hvorav alle partene har hver sin original som tilsammen utgjør et felles avtaleverk. Partene erkjenner “Lest og akseptert” funksjonen i SmartDok, e-signatur eller skannet signatur som tilstrekkelig for å binde den annen part.

  1. Konfliktløsning

11.1. Denne DBA er underlagt norsk rett. Partene er enige om at Oslo Tingrett skal ha enerett og eksklusiv jurisdiksjon, samt være vernetinget for enhver sak som oppstår som følge av denne DBA. Partene underlegger seg selv og ens eiendom til vernetinget og jurisdiksjonen til domsmyndigheten. Hver part frafaller med ugjenkallelig virkning enhver innvending som de nå eller senere har knyttet til å fremme rettslige skritt overfor dette vernetinget, herunder behandling av ethvert krav hvor rettslige skritt har blitt brakt inn for feil og upassende forum.

Bjørn Tore Hagberg
CEO, SmartDok AS

Vedlegg 1

Databehandlingsinstruksjoner

Formål

Formålet med behandlingen er levering av følgende tjenester eller oppgaver fra SmartDok til Kunden:

  • Ytelse av applikasjon/produkt/tjeneste til Kunde.
  • Vedlikehold og utvikling av applikasjon/produkt/tjeneste
  • Teknisk support, herunder feilsøking og feilretting
  • Helpdesk
  • Systemintegrasjon

Kategorier av data

Personopplysningene som behandles kan omfatter følgende:

  • Navn, fødselsdato, personnummer, mobilnummer, e-post,

brukernavn/passord.

  • Opplysninger om pårørende
  • Sysselsettingsdetaljer, inkludert ansattnummer,

arbeidsgivers navn, fravær, andre fordeler, jobb ytelse,

utdanning / kvalifikasjon, bilde.

  • Elektronisk mannskapsliste i henhold til Byggherreforskriften.
  • Oversikt over SMSer som er sendt på vegne av Kunden i systemet.
  • GPS-spor ved aktivering fra brukerens side.
  • Eventuelt andre opplysninger som Kunden selv registrere i systemet.

Kategorier av registrerte

  • Ansatte
  • Eventuelt andre som Kunden selv velger å registrere i systemet, som f.eks. samarbeidspartnere av Kunden.

Behandlingsvirksomhet/aktiviteter

Nødvendig behandlingsvirksomhet for å oppfylle formålet.