Juridisk info

Databehandleravtale

Duett AS, org. nr. 932971917 som Databehandler

og

Kunden som Behandlingsansvarlig

inngår avtale om behandling av personopplysninger («Avtalen») som Databehandler skal foreta for Behandlingsansvarlig som følge av at Kunden har signert en Tjenesteavtale med Duett der det vil behandles personopplysninger.

1. AVTALENS FORMÅL

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn som følger av Tjenesteavtalen.

Formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte er spesifisert i «Tillegg til databehandleravtale» som til enhver tid er oppdatert på duett.no/legal

Avtalen skal sikre partenes etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF, og norsk lov med som er innført som en følge av personvernforordningen («personopplysningsloven»).

Databehandler skal behandle personopplysningene på den måte som er beskrevet i «Tillegg til databehandleravtale», samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.

Begreper og definisjoner benyttet i Avtalen skal forstås på samme måte som i personopplysningsloven.

2. BEHANDLINGSANSVARLIGES RETTIGHETER OG PLIKTER. DATABEHANDLERS PLIKTER

Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter i punkt 4. Den behandlingsansvarlig skal til enhver tid full rettslig rådighet over personopplysningene.

Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt.

Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den Behandlingsansvarlige.

Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter etter personvernforordningens kapittel III hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, samt bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet og vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.

Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, dersom det foreligger krav til å føre slik protokoll, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. Den Behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll.

Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punkt 2 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Den Behandlingsansvarlig har selv det direkte ansvaret i forhold til aktuelle tilsynsmyndigheter.

Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Avtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Avtalens opphør.

Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den Behandlingsansvarlige. Henvendelser til Databehandleren skal Databehandleren videreformidle til Behandlingsansvarlige så raskt som mulig.

Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernforordningen, personopplysningsloven, eller annen regulering av behandling av personopplysninger, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om dennes oppfatning. Databehandleren plikter å utøve sine plikter etter Avtalen til tross for sin oppfatning.

3. BRUK AV UNDERLEVERANDØR

Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere (underdatabehandlere). Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere. Den behandlingsansvarlige må motta en slik underretning minimum 4 måneder før endringen trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele databehandleren om dette senest 1 måned etter underretningen er mottatt.

Godkjente underdatabehandlere er spesifisert i «Tillegg til databehandleravtale».

Underdatabehandler skal være gjort kjent med Databehandlerens forpliktelser etter denne Avtalen og regelverket som regulerer behandling av Behandlingsansvarliges personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Avtalen i bindende avtale hvor underdatabehandler skal gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Avtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.

4. SIKKERHET OG AVVIK

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personvernforordningen artikkel 32. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.

Det skal gjennomføres sikkerhetsrevisjoner jevnlig og partene kan avtale seg imellom tidspunkter for sikkerhetsrevisjoner. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Det skal avtales den Behandlingsansvarliges plikt til å dekke eventuelle ressursforbruk forbundet med utøvelse av slik revisjon.

I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde:

1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
2. navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,
3. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
4. beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.

Den Behandlingsansvarlige har ansvaret for at å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.

5. OVERFØRING TIL LAND UTENFOR EU/EØS

Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) dersom det foreligger et gyldig overføringsgrunnlag. Alle aktuelle overføringer er spesifisert i «Tillegg til databehandleravtale.»

6. AVTALENS VARIGHET, PÅLEGG OM STANS, PLIKTER VED OPPHØR/­OPPSIGELSE

Avtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlige etter Tjenesteavtalen.

Ved brudd på denne Avtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Databehandleren skal, etter den Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.

7. ØVRIGE PLIKTER OG RETTIGHETER

Øvrige plikter og rettigheter følger av Tjenesteavtalen som gjelder mellom Databehandleren og Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og denne Avtalen. De samme kontaktpersonene gjelder for Avtalen som etter Tjenesteavtalen.

Denne Avtalen skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for Databehandleren, utover det som følger av Tjenesteavtalen.

Ved eventuell overdragelse av Tjenesteavtalen til andre parter, skal denne Avtalen overdras tilsvarende.

Lisensavtale for Duett Økonomi finnes i hjelpesenteret ↗

Lisensavtale for Taskline  

mellom  

 Taskline AS, Elvegata 3, 2500 Tynset, org.nr. 925 776 653 (heretter kalt “Taskline” eller “Leverandøren”  

og  

[Kundenavn, adresse og org.nr] (heretter kalt “Kunden”)  

om  

 Bruksrett til Taskline  

1. Definisjoner og tolking  

Begrepene i denne avtalen skal ha følgende betydning (unntatt hvis det tydelig framgår noe annet av teksten):  

- Tjenesten består av tilgang til Taskline og med grensesnitt mot eksterne tjenester. 
- Kunden sitt navn framgår i påloggingen til Tjenesten og er registrert hos leverandøren. 
- Hvilke produkter Kundene har tilgang til fremgår av ordrebekreftelsene Kunden og Leverandøren har signert  
- Med «Avtalen» menes i denne sammenheng ordrebekreftelsen, lisensavtalen og tilhørende databehandleravtale. 

2. Inngåelse av avtalen   

Lisensavtalen inngår som en del av Avtalen og signeres før første gangs oppstart av Tjenesten.  

 Ved motstrid mellom lisensavtalen og avgitt tilbud eller ordrebekreftelse så skal tilbud og ordrebekreftelse ha forrang. Det samme gjelder eventuelle vilkår inntatt i rammeavtalen mellom partene. Om det er motstrid mellom avgitt tilbud og ordrebekreftelse så skal ordrebekreftelsen ha forrang.   

 Ved motstrid mellom databehandleravtalen som er inntatt som et vedlegg til denne avtalen, og avtalens øvrige dokumenter, så skal databehandleravtalen ha forrang.  

3. Eiendomsrett   

Taskline har opphavs- og eiendomsretten til tjenester som dekkes av denne avtalen, inklusive eventuelle endringer og tilpasninger. Rettigheter til kildekode samt innarbeidede og registrerte varemerker tilligger også i sin helhet Taskline. Kunden får kun bruksrett til Tjenesten som er beskrevet i pkt. 4 nedenfor.  

4. Bruksrett   

Kunden får en tidsbegrenset, ikke-eksklusiv bruksrett til Tjenesten for en eller flere navngitte brukere og det antall enkeltklienter regnskapskontoret ønsker å følge opp gjennom Tjenesten. Kunden plikter å påse at alle brukere og enkeltklienter er korrekt registrert. samt om enkeltklientene er aktive eller passive/arkiverte. Påloggingsinformasjonen er konfidensiell, og skal ikke formidles til tredjepart.  Bruksretten gir ikke kunden rett til å ha en kopi av Tjenesten på sine lokale servere/PCer. Innholdet i Tjenesten bestemmes av Taskline, og kan endres uten varsel.  

Kunden plikter videre å sikre at Tjenesten eller deler av denne, ikke skal kopieres eller på none annen måte gjøres tilgjengelig for tredjeparter som ikke omfattes av avtalen.  

5. Overdragelse av avtalen    

Kundens rettigheter og forpliktelser etter avtalen kan ikke overdras eller på noen måte overføres til andre uten Tasklines skriftlige forhåndssamtykke.  

6. Behandling av personopplysninger  

Personopplysningsloven, og EU-forordning 2016/679 ("GDPR"), inneholder krav til reguleringen av forholdet mellom databehandler og behandlingsansvarlig, og til de sikkerhetsmessige og organisatoriske tiltakene som må implementeres for å sørge for lovlig og sikker behandling av personopplysninger.   

Som en integrert del av denne avtalen inngår vedlagte Databehandleravtale som beskriver hvordan Taskline forvalter og sikrer personopplysninger registrert i Taskline på vegne av kunden, for å sikre at personopplysninger kun behandles i henhold til gjeldende lover og regler.   

Den til enhver tid gjeldende Databehandleravtale er å finne på Taskline.no/legal/databehandleravtale - og siste versjon skal til enhver tid gjelde mellom partene.  

7. Tekniske forutsetninger   

Taskline er en skytjeneste. Enheter som skal kjøre Taskline må ha stabil internettforbindelse med tilstrekkelig kapasitet og et av de operativsystem/nettlesere som Taskline til enhver tid støtter.  

8. Regnskap Norges kravspesifikasjon 

For kunder som driver regnskapskontor, vil Taskline AS forholde seg til, og sikre etterlevelse av, Regnskap Norges 2021 versjon av «Kravspesifikasjoner ved utkontraktering av hhv. system- og driftsoppgaver fra regnskapsvirksomheten til andre» som finnes her: Taskline.no/legal/kravspesifikasjon.  

9. Sikkerhetskopiering   

Taskline tar daglig sikkerhetskopi av data, og lagrer disse i 30 dager. Taskline kan bistå kunden med å gjenopprette data i dette tidsrommet.  

10. Konsesjoner og tillatelser   

Hver av partene plikter å søke om og bærer risikoen for å få nødvendige konsesjoner og tillatelser for sin virksomhet.  

Hvis kundens virksomhet omfatter registre, dataoverføringer og/eller annet materiale/ytelser som i henhold til lov eller forskrift er konsesjons- eller meldepliktig, er kunden ansvarlig for at nødvendig konsesjon foreligger, eller at melding blir gitt.  

11. Rett til innsyn og kontroll  

Interne og eksterne revisorer, herunder offentlige aktører så som Finanstilsynet og Skatteetaten, samt andre autoriserte personer hos kunden skal ha innsynsrett i Tasklines forvaltning av kundens materiale og data, herunder sikringstiltak, i henhold til gjeldende lov og forskrifter, og i det omfang som forskrifter og god regnskapsskikk tilsier. Taskline kan fakturere kunden iht. Tasklines gjeldende timesatser for medgått tid samt eventuelle øvrige utgifter knyttet til gjennomføring av innsyn, kontroll og kvalitetssikring som kunden, kundens tilsynsmyndigheter eller kundens revisorer finner nødvendig. Taskline vil kunne komme i befatning med kundens data, inkludert personopplysninger, i forbindelse med supporthenvendelser. Dette i tråd med databehandleravtalen.  

12. Support   

Kunden har rett til vederlagsfri bistand fra Tasklines supporttjeneste i situasjoner der Tjenesten ikke fungerer i henhold til veiledninger, og dette ikke skyldes kunden eller forhold som kunden er ansvarlig for. Taskline forplikter seg til å holde veiledninger oppdatert og tilgjengeliggjøre disse via hjelpesenteret og chat.  

Kunden forplikter seg til å søke hjelp i Tasklines hjelpesenter / via chatbot før support kontaktes.  

Taskline kan bistå med andre oppdrag, opplæring, generelle brukerspørsmål og spørsmål om andre feilsituasjoner. Slik bistand vil faktureres kunden iht. Tasklines gjeldende satser.    

13.  Tredjeparts programvare   

Eventuell bistand fra Taskline knyttet til problemer som skyldes kundens bruk av tredjeparts programvare eller andre forhold utenfor Tasklines rimelige kontroll er en betalbar tjeneste, og utføres ikke uten kundens godkjennelse. Taskline er ikke ansvarlig for forpliktelser som en tredjepart har inngått som representerer en konflikt med innholdet i denne lisensavtalen.   

14. Nye programversjoner   

Leverandøren vedlikeholder og videreutvikler Tjenesten løpende. Endringer i Tjenestens funksjonalitet vil bli oppdatert automatisk ved pålogging.  

15. Ansvarsbegrensning  

Kunden aksepterer at Tjenesten leveres som den er, og at Taskline ikke under noen omstendigheter skal holdes ansvarlig overfor kunden eller tredjepart for tap knyttet til kundens bruk av Tjenesten etter denne avtalen. Dette inkluderer, men er ikke begrenset til, merkostnader, krav fra tredjepart eller andre utgifter, tap av fortjeneste, virksomhetsavbrudd, tap av data eller kunder, tap av virksomhetens renommé eller goodwill, anskaffelse eller erstatning av varer eller tjenester, selv om Taskline kan ha vært klar over muligheten for slike tap. Dette inkluderer også eventuelle systemfeil i Tjenesten, feil i brukerveiledninger og feil bruk av Tjenesten. Ansvarsbegrensningene gjelder ikke dersom Taskline har opptrådt grovt uaktsomt eller med forsett. Tasklines erstatningsansvar vil i så tilfelle uansett ikke overstige kundens faktisk betalte vederlag for Tjenesten de foregående tolv (12) måneder før kravet blir framsatt, dog maksimalt kr 100.000.  

16. Kontraktsbrudd fra kundens side   

Ved vesentlig betalingsforsinkelse, definert som 30 dager eller mer etter forfallsdato, eller annet vesentlig kontraktsbrudd fra kundens side kan Taskline heve avtalen. Heving skal medføre at kundens bruksrett opphører umiddelbart.  

Avtalen kan også heves hvis kunden blir insolvent eller går konkurs, med de begrensninger som følger av loven.  

17. Avtalens varighet   

Bruksretten gjelder så lenge kunden betaler vederlag for den avtalte Tjenesten.  Ved eventuelt opphør i bruken av Tjenesten skal kunden uten opphold skriftlig meddele dette til Taskline.  

For oppsigelse av hele Avtalen gjelder en 3 måneders gjensidig oppsigelsesfrist. Oppsigelsesfristen begynner å løpe fra den 1. i påfølgende måned etter at oppsigelsen er mottatt av den andre parten. Taskline skal lagre kundens data tredve (30) dager etter at denne avtalen har utløpt. Etter utløpet av slik periode, kan Taskline slette alle kundens data uten forvarsel.   

18. Priser og betalingsvilkår   

Klientpriser faktureres forskuddsvis pr. måned. Transaksjoner faktureres etterskuddsvis for den måneden de er registrert. Avtales ikke annet, faktureres andre tjenester fortløpende. Kunden aksepterer å motta elektroniske fakturaer. Gjeldende prisliste er til enhver tid tilgjengelig hos Leverandøren. Prisendringer skjer vanligvis hvert årsskifte.   

19. Endring av lisensavtalen   

Taskline kan endre vilkårene i denne avtalen. Dersom avtalen endres på vesentlige punkter, plikter Taskline å informere kunden i forkant av endringene. Slik informasjon vil bli gitt elektronisk. Denne avtalen erstatter alle tidligere avtaler knyttet til Tjenesten.   

20. Taushetsplikt    

Partene skal behandle som bedriftshemmelighet og bevare taushet om alle opplysninger om den andre parten og den andre partens materiale som etter sin natur må anses konfidensielle. Tilsvarende gjelder alt materiale som er merket konfidensielt, samt opplysninger om noens personlige forhold, eller som kan utnyttes av utenforstående i næringsvirksomhet. Taushetsplikten gjelder partenes ansatte og andre som handler på partenes vegne i forbindelse med gjennomføringen av avtalen. Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med pkt. 20, og at det ikke skjer utilsiktet spredning av programmer eller dokumentasjon. Dette gjelder også etter at avtalen er opphørt. Ansatte eller andre som fratrer sin tjeneste hos en av partene skal pålegges taushet om forhold som nevnt ovenfor også etter fratredelsen.  

21. Force majeure  

Dersom avtalens gjennomføring helt eller delvis hindres, eller i vesentlig grad vanskeliggjøres av forhold som ligger utenfor partenes kontroll, suspenderes partenes plikter i den utstrekning forholdet er relevant, og for så lang tid som forholdet varer. Slike forhold inkluderer, men er ikke begrenset til streik, lockout, og ethvert forhold som etter norsk rett vil bli bedømt som force majeure. Hver av partene kan imidlertid si opp avtalen med én måneds varsel dersom force majeure-tilfellet gjør det særlig byrdefullt for vedkommende å opprettholde avtalen.  

22. Informasjon   

Ved å godta denne avtalen, aksepterer kunden å motta informasjon om Tjenesten. Slik informasjon kan leveres via hjelpesenteret, som e-post, linker i Tjenesten eller i andre formater.   

23. Bruks- og driftsstatistikk   

Leverandøren samler inn anonymisert bruks- og driftsstatistikk til bruk i produktutviklingen.  

24. Tvistemål, lovvalg og verneting  

Avtalen skal være underlagt norsk rett. Hvis det oppstår en tvist i forbindelse med tolkningen av denne avtalen, skal partene prøve å løse tvisten gjennom minnelige diskusjoner. Fører slike diskusjoner (forhandlinger) ikke frem kan enhver av partene bringe saken inn for de ordinære domstoler. Verneting er Nord-Østerdal tingrett.  

Sist endret: 18.04.2024