Tjenesteavtale – Introduksjon

Oppdatert: 10.02.2021

Tjenesteavtalen regulerer avtaleforholdet mellom Kunden (den som foretar bestillingen) og Deploi AS – org.nr. 912 676 196 (Deploi).

Ved å bruke Deploi godtar du våre Personvernerklæring og vilkår for Bruk av cookies på Deploi. Under kjøp av tjenester må du godta resterende vilkår som tar for seg Generelle salgsbetingelser, Vilkår for VPS, Vilkår for backup og Akseptert bruk av tjenesten. Kunden plikter å lese igjennom og godta disse vilkårene for å handle hos oss.

Deploi forbeholder seg retten til å endre vilkårene i dette dokumentet ved behov. Ved endringer skal Kunden informeres om dette på våre nettsider, samt via e-post til hovedkontaktperson.

Dersom kunden ikke godtar endringer på vilkår kan kunden velge å avslutte kundeforholdet umiddelbart. Dersom kunden innen rimelig tid ikke har protestert på endringer i vilkårene, men fortsatt å bruke tjenesten, tolkes dette som at nye vilkår aksepteres fra Kundens side.

Kunden skal oppgi korrekt kontaktinformasjon ved bestilling av tjenester. Inkludert fullt navn, telefon og epostadresse. Man skal vedlikeholde kontaktinformasjonen så lenge kundeforholdet eksisterer.

Tjenesteavtalen består av:

Denne avtalen reguleres av norsk rett.

Partene vedtar Oslo tingrett som verneting.

Tjeneste­avtale – Generelle salgs­betingelser

Du må være over 18 år for å handle på Deploi.

Avtalen er bindende for begge parter når en bestilling legges inn via Deploi.

Priser

Prisene på Deploi er oppgitt uten mva. Prisene presentert på Deploi er alltid uten binding utover påbegynt måned eller påbegynt time – alt ettersom hvilken prismodell man har valgt.

Prisendringer

Deploi kan endre prisene forløpende, men vil varsle minimum 2 måneder før endringene inntreffer for eksisterende kunder. Prisendringer vil varsles via e-post til hovedkontakten for Kundeforholdet.

Avtalens varighet

Alle tjenester på Deploi er løpende og tidsubegrensede abonnement. Det vil si at avtaleperioden fortsetter å løpe til du avbryter den. Våre produkter selges ikke med binding utover perioden du alt har betalt for, så sant ikke annet er avtalt i separat kontrakt.

Levering

Levering er skjedd når Kunden har fått tilgang til å bruke tjenesten. Våre tjenester skal i hovedsak leveres innen få minutter etter bestilling, men kan bli forsinket ved tekniske feil og lignende forhold.

Dersom forsinkelser oppstår som ikke skyldes kunden, skal kunden kompenseres for denne tilsvarende kostnaden for tjenesten i forsinkelsesperioden.

Betaling på Deploi

Deploi krever betaling for tjenesten fra det tidspunkt tjenesten er levert.

Dersom Kunden bruker kredittkort eller debetkort ved betaling, vil Deploi reservere kjøpesummen på kortet ved bestilling. Kortet blir belastet på det tidspunkt tjenesten er levert.

Dersom kunde velger faktura vil VPS ikke settes opp før betaling er mottatt. Faktura sendes via e-post, og dukker opp rett etter kjøp.

Alle tjenester faktureres forskuddsvis for 1 måned av gangen med mindre annet er avtalt. Ved tjenester som avregnes per time vil betaling skje etterskuddsvis hver måned.

Angrerett

Med mindre avtalen er unntatt fra angrerett, kan Kunden i forbrukerforhold angre kjøpet av tjenesten i henhold til angrerettloven. Kunden må gi Deploi melding om bruk av angreretten innen 14 dager fra fristen begynner å løpe, via e-post eller post. Ved bruk av angreretten mister man umiddelbart tilgang til tjenestene.

30 dagers fornøyd­garanti

Deploi opererer med fornøydgaranti første 30 dager av et kundeforhold. Dette vil si at nye kunder som opplever at leveransen ikke er som forventet kan avbryte tjenesten og få tilbakeført beløpet for perioden. Fornøydgarantien gjelder ikke ved kjøp av nytt produkt for kundeforhold som er eldre en 30 dager.

Reklamasjon

Dersom det oppdages mangler ved tjenester levert av Deploi må kunden innen rimelig tid varlse om dette. Kunden mister sin rett til å påberope seg manglen dersom Deploi ikke blir varslet innen rimelig tid, eller senest 1 måned.

Reklamasjon kan skje i brevform til:
Deploi AS, Enebakkveien 117, 0680 Oslo

Eller via e-post til: [email protected]

Erstatning

Deploi kan bare holdes ansvarlig for direkte økonomiske tap som skyldes grov uaktsomhet. Deploi sitt erstatningsansvar er begrenset oppad til det tjenesten koster.

Mislighold fra Kunde

Dersom Kunden ikke betaler, bryter øvrige punkter i avtalen eller bryter norsk lov, kan Deploi stenge tjenestene, kreve oppfyllelse av avtalen eller kreve avtalen hevet.

Ved manglende betaling vil Deploi kunne kreve purregebyr og renter ved forsinket betaling, inkassogebyr og gebyr ved gjenoppretting av eventuelt nedstengte tjenester.

Personopp­lysninger

Personopplysninger blir behandlet i henhold til vår personvernserklæring.

Dersom kunden oppevarer persondata på tjenester levert av Deploi, vil Deploi fungere som en databehandler for kunden. I slike tilfeller vil tjenesten være regulert av vår databehandleravtale.

Force majeure

Dersom avtalens gjennomføring helt eller delvis hindres, eller vanskeliggjøres av forhold som ligger utenfor partenes kontroll, suspenderes partenes plikter så lang tid som forholdet varer. Slike forhold inkluderer, men er ikke begrenset til, streik, lockout, linjefeil eller strømbrudd hos aksessleverandør, linjefeil eller strømbrudd hos annen tredjepart, samt andre forhold som vil bli bedømt som force majeure.

Oppsigelse og opphør av tjenester

Dersom kunden ønsker å si opp eller avslutte en tjeneste, gjøres dette via kontrollpanelet. Kunden vil ikke ha rett på refusjon for inneværende abbonementsperiode. Kunde plikter å betale for alt benyttede tjenester som faktureres etterskuddsvis.

Tjenest­eavtale – Vilkår for VPS

Ved bestilling av VPS får Kunden tilgang til en andel av en fysisk server.

Deploi leverer VPS med valgfritt operativsystem eller annen installasjon. Samt strøm og internett. Kunden skal utover dette konfigurere og sette opp VPS etter eget behov. Kunden har selv ansvaret for oppdateringer, innhold, operativsystem og sikkerhet på VPS.

Ansvar

Innhold som legges på en VPS er kundens ansvar. Kunden beholder eventuelt eierskapet og opphavsretten til alt materiell som legges ut på VPS.

Innholdet på en VPS skal til en hver tid følge norsk lov – Deploi kan ikke holdes ansvarlig dersom Kunden ikke overholder dette. Konto vil bli stengt uten varsel dersom det fremkommer at slik er situasjonen.

All bruk av VPS gjøres på egen risiko. Tjenesten tilbys som den er og når den er tilgjengelig. Deploi kan aldri garantere for at tjenesten vil tilfredsstille Kundens krav, at tjenesten vil være uavbrutt, fri for feil eller sikker.

Alt materiell håndtert på og til/fra en VPS gjøres på egen risiko. Deploi står ikke ansvarlig ved eventuelt tap av data, ødeleggelse eller feil som oppstår ved bruk av tjenesten.

Ingen skriftlig eller muntlig garanti som ikke finnes i denne tjenesteavtalen kan gis.

Deploi tar ikke ansvar for:

  • varer eller tjenester som blir bestilt eller mottatt via tjenesten
  • rettslig eller økonomisk forfølgelse Kunden, eller deres Brukere måtte utsettes for gjennom ulovlig eller urettmessig bruk av tjenesten
  • innhold i kommunikasjon gjort via tjenesten
  • brudd på tredjeparts rettigheter
  • kriminelle handlinger
Endring av plan

Man kan fortløpende endre plan på en VPS. Dette gjøres fra kontrollpanelet. En endring vil kunne gjennomføres dersom det er kapasitet i det valgte datasenteret. Endring av plan vil medføre noen minutters nedetid for å eventuelt kunne gjennomføre flytting til annen server.

Endring av plan vil medføre endring i pris. Ny pris gjelder fra endringstidspunktet og avregnes mot det Kunden alt har betalt for eksisterende plan. Ved betaling per time gjelder ny pris fra nærmeste time.

Oppetids­garanti

Deploi garanterer 100 % oppetid på strøm og internett og 100 % generell cloud oppetid. Nedetid er målt i snitt per måned. Dersom vi ikke overholder vår oppetidsgaranti vil Kunden få erstatning per time med nedetid. Timessatsen regnes på følgende måte: Ved betaling per time er satsen lik timesprisen. Ved betaling per måned er timessatsen regnet ut på følgende måte: mnd.pris/31/24.

Deploi kan ikke holdes ansvarlig for nedetid som følge av programvarefeil på kundens VPS. Deploi vil ikke utføre feilretting ved programvarefeil hos kunde hvis ikke dette er nærmere avtalt. Feilretting skjer etter gjeldende timespris.

Planlagt og varslet vedlikehold på servere og datasenter regnes ikke som nedetid. Varsel om vedlikehold skal gjøres i god tid og minimum 3 dager før den utføres. Varsel gjøres på Deploi og til hovedkontakt for kundeforholdet. Ved kritiske feil kan det utføres vedlikehold på kortere varsel.

Med mindre det oppstår kritiske situasjoner som krever vedlikehold vil vedlikehold legges til perioder med antatt lav aktivitet, som oftes mellom 24:00 og 06:00 norsk tid.

Datamengde

Datamengde Kunden kan overføre til/fra tjenesten har ingen begrensning. Men benyttet datamengde utover inkludert datamengde i planen etterfaktureres med 0,10 øre per GB. Benyttet datamengde avregnes per måned.

Hastighet på data­overføring

Hastigheten for dataoverføringer er normalt sett ikke begrenset. Men Deploi kan begrense hastigeheten dersom den medfører feil eller problemer i Deplois nettverk.

Lisensiering

Microsoft kan via sine revisjonspartnere kreve tilgang til servere for å verifisere at all programvare fra Microsoft har blitt lisensiert korrekt. Våre kunder med Microsoftprodukter plikter å samarbeide for at en slik revisjon kan la seg gjennomføre etter programvareleverandørens vilkår.

Kunden må sørge for at programvare kunden selv administrerer, installerer eller distribuerer er lisensiert korrekt knyttet til Microsoft og andre. Kunden plikter til å oppgi informasjon som er nødvendig for å kunne få innsyn i antall lisenser og produkter som benyttes. Dette inkluderer overlevering av relevant data til Deploi innen rimelig tid. Eller på forespørsel fra Deploi installere programvare som utfører denne oppgaven.

Dersom Deploi skulle bli stilt økonomisk ansvarlig ovenfor rettighetshaver (f.eks Microsoft) for ulovlig bruk av programvare, eller ikke-lisensiert programvare, vil kunden være ansvarlig for Deplois tap.

Tjeneste­avtale – Vilkår for backup

Backup utføres i hendhold til backup-produktet kunden har bestilt. Dette er vanligvis enten 1) hver uke, hver backup lagres i fire uker eller 2) hver dag, hver backup lagres i 10 dager. Andre produkter finnes.

Backup bestilles i kombinasjon med VPS. Kostnaden for backup belastes med oppgitte priser.

En backup lagres til et RAID-disksett og sikkerhetskopieres ikke utover dette. Backup til flere lokasjoner kan bestilles.

Deploi er under ingen omstendigheter ansvarlig for datatap eller feil som følge av manglende backup eller feil ved backupsystemet.

Bilag til Tjeneste­avtale – Akseptert bruk av tjenesten

Deplois tjenester kan ikke benyttes til formål, etter eget skjønn, vi finner uakseptabelt. Slike formål kan være, men er ikke begrenset til:

  • Dos-angrep
  • Forsøk på å skaffe seg uautorisert tilgang til interne eller eksterne systemer
  • Portscanning
  • Deling of materiale man ikke har rettigheter til å dele
  • Distribusjon av skadelig programvare (herunder malware, datavirus, trojanere, spyware, ransomware, backdoors, rootkit, keyloggere og lignende)
  • Hacking-sider, programmer eller arkiv
  • Utsendelse av spam (utsendlse av e-poster til brukere som ikke har gitt eksplisitt aktivt samtykke. Utsendelse av epost til adresser mottatt fra tredjepart tillates ikke)
  • Ulisensierte programmer og materiale (herunder piratkopiert materiale og programmer og musikk hvor man ikke selv sitter på distribusjonsrettighetene)
  • Innlogging på enheter som ikke tilhører kunden uten samtykke fra eier
  • Probing, hacking, modifisering eller på annen måte forsøke å bryte ned sikkerhetsmekanismer
  • Opplasting av skadelig programvarer (jfr. avsnittet om hva som er tillatt å lagre på serveren)
  • Forstyrre eller fange opp data/informasjon
  • Forstyrre tjenesten til en hvilken som helst bruker, vert eller nettverk ved overlasting, “flooding”, “mailbombing” og lignende

Innhold som publiseres via tjenesten, eller henvises til fra tjenesten, skal være i henhold til norsk lov og de lands lovgivning kunden driver virksomhet i. Innholdet skal også være i overenstemmelse med tredjeparts rettigheter.

Hvis kunden bryter nevnte punkter vil Deploi fjerne eller slette innholdet, eller stenge tjenesten, uten varsel.

Bilag til Tjeneste­avtale – Databehandler­avtale

Denne Databehandleravtalen er et bilag til Tjenesteavtalen og er relevant i de tilfeller hvor bedriftskunder benytter tjenesten til å lagre personopplysninger.

Partnene:
Deploi AS, Enebakkveien 117, 0680 Oslo, Norge, org. nr. 922 105 006 (heretter «Databehandler»)
og
Kunden (heretter «Behandlingsansvarlig»)
HAR AVTALT følgende databehandleravtale(«Avtalen») med henblikk på å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter.

1. AVTALENS FORMÅL

Formålet med behandlingen er å levere tjenester som følger av Tjenesteavtalen, og utføre kundeservice på forespørsel fra Kunden. Databehandler kan ikke behandle personopplysninger til andre formål enn dette.

Formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger av vedlegg til Avtalen.

Avtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger, herunder bl.a. EU-direktiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger som er implementert i Norge ved lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) med tilhørende forskrifter, samt kravene etter Europaparlaments- og rådsforordning om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger og om oppheving av direktiv 95/46/EF (personvernforordningen) som besluttet 27. april 2016, og norsk lov med tilhørende forskrifter som innføres som en følge av personvernforordningen og erstatter personopplysningsloven (i det følgende er både dagens og ny personopplysningslov omtalt som «personopplysningsloven»).

Databehandler skal behandle personopplysningene på den måte som er beskrevet i Avtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.

Begreper og definisjoner benyttet i Avtalen skal forstås på samme måte som i personopplysningsloven.

2. BEHANDLINGS­ANSVARLIGES RETTIGHETER OG PLIKTER. DATABEHANDLERS PLIKTER

Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter i punkt 4. Den behandlingsansvarlig skal til enhver tid ha full rettslig rådighet over personopplysningene.

Behandlingsansvarlig er behandlingsansvarlig for data som lagres, og behandles, ved bruk av Databehandlers tjenester, og har selv eierskap til, og ansvaret for, disse. Databehandler kan ikke under noen omstendigheter tilordnes rollen som behandlingsansvarlig for disse dataene.

Det er Behandlingsansvarlig sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger Databehander behandler på vegne av Kunden.

Det er Behandlingsansvarlig sitt ansvar å avgi skriftlige instruksjoner om hvordan personopplysninger skal behandles. Nødvendige tilganger skal kun oppgis på forespørsel. Det er Behandlingsansvarlig sitt ansvar å forvalte tilgangene som oppgis, og tilgangene skal straks fjernes når behovet ikke lenger er tilstede.

Behandlingsansvarlig er inneforstått med at tjenestene til Databehehandler i utgangspunktet ikke inkluderer sikkerhetstiltak som er nødvendig for behandling av personopplysninger om barn, og sensitive og konfidensielle personopplysninger, som for eksempel kryptering eller fysisk separasjon, med mindre dette fremgår eksplisitt av produktbeskrivelse og/eller tjenesteavtalen. Det er Kunden sitt ansvar å implementere hensiktsmessige sikkerhetstiltak for personopplysninger som behandles ved hjelp av Databehandler sine tjenester.

Behandlingsansvarlig garanterer at all behandling av personopplysninger som skjer i forbindelse med denne avtalen er, og fortsetter å være, i tråd med alle relevante personvernsbestemmelser, til enhver tid gjeldende lov- og forskriftsregulering, i henhold til eventuelle vedtak fattet av offentlige myndigheter i Norge og EU, og i tråd med denne avtalen.

Behandlingsansvarlig plikter å informere sine brukere om bruken av databehandlere, inkludert Deploi AS.

Behandlingsansvarlig skal sende inn forespørsler som medfører behandling av personopplysninger i god tid før behandlingen skal skje, og plikter å besvare henvendelser fra Databehandler uten unødig opphold.

Behandling av personopplysninger i tråd med Behandlingsansvarlig personvernsertifiseringer kan kun skje etter særskilt avtale.

Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den Behandlingsansvarlige.

Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter etter personvernforordningens kapittel III hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, samt bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet og vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.

Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. Den Behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll.

Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punkt 2 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Den Behandlingsansvarlig har selv det direkte ansvaret overfor aktuelle tilsynsmyndigheter.

Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Avtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Avtalens opphør.

Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den Behandlingsansvarlige. Henvendelser til Databehandleren skal Databehandleren videreformidle til Behandlingsansvarlige så raskt som mulig.

Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernforordningen, personopplysningsloven, eller annen regulering av behandling av personopplysninger, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om dennes oppfatning. Databehandleren plikter å utøve sine plikter etter Avtalen til tross for sin oppfatning.

3. BRUK AV UNDER­LEVERANDØR

Databehandleren skal kun benytte underleverandører til behandling av personopplysninger (underdatabehandler) som er skriftlig godkjent av den Behandlingsansvarlige og som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter.

Godkjente underdatabehandlere ved Avtalens inngåelse er spesifisert i vedlegg til Avtalen.

Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter Avtalen. I tilfelle har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette den Behandlingsansvarlige om planene og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer.

Underdatabehandler skal være gjort kjent med Databehandlerens forpliktelser etter denne Avtalen og regelverket som regulerer behandling av Behandlingsansvarliges personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Avtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Avtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.

4. SIKKERHET OG AVVIK

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven med forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.

Det skal gjennomføres sikkerhetsrevisjoner jevnlig, og partene skal avtale seg imellom tidspunkter for sikkerhetsrevisjoner. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Det skal avtales den Behandlingsansvarliges plikt til å dekke eventuelle ressursforbruk forbundet med utøvelse av slik revisjon.

I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde:

  1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
  2. navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,
  3. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
  4. beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.

Den Behandlingsansvarlige har ansvaret for å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.

5. OVERFØRING TIL UTLANDET

Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter instruks fra den Behandlingsansvarlige. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.

6. AVTALENS VARIGHET, PÅLEGG OM STANS, PLIKTER VED OPPHØR/­-OPPSIGELSE

Avtalen gjelder fra Behandlingsansvarliges aksepterer Tjenesteavtalen. Ved å huke av boksen «Jeg har lest og aksepterer avtalevilkårene» ved opprettelse av en tjeneste og gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlige etter Tjenesteavtalen.

Ved brudd på denne Avtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.

Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er slettet i henhold til den Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.

7. ØVRIGE PLIKTER OG RETTIGHETER

Øvrige plikter og rettigheter følger av Tjenesteavtalen som gjelder mellom Databehandleren og Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og denne Avtale. De samme kontaktpersoner gjelder for Avtalen som etter Tjenesteavtalen.

Denne Avtalen skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for Databehandleren, utover det som følger av Tjenesteavtalen.

Ved eventuell overdragelse av Tjenesteavtalen til andre parter, skal denne Avtale overdras tilsvarende.

VEDLEGG
Formålet med behandlingen

For å levere de tjenester som følger av Tjenesteavtalen.

Behandlingen skal vare så lenge Databehandleren yter tjenestene etter Tjenesteavtalen til Behandlingsansvarlig.

Behandlingens art

Lagring av personopplysninger eller det som nødvendiggjør behandlingen under Tjenesteavtalen.

Det er Behandlingsansvarlig sitt ansvar å holde oversikt over personopplysninger Databehandler behandler på vegne av Behandlingsansvarlig, samt registrerte de berørte.

Personopplysninger som behandles på vegne av Behandlingsansvarlig i forbindelse med levering og administrasjon av tjenestene kan være enhver form for opplysninger, som definert av Behandlingsansvarlig. Opplysningene kan bli brukt alene eller sammen med annen opplysning til å identifisere en fysisk person. Eksempler på personopplysninger som kan lagres er navn, fødselsdato, adresser, telefonnumre, epostadresser, IP-adresser, brukernavn, passord, informasjonskapsler, kundenumre, personnummer eller andre nasjonale identitetsnummer, kredittkortnummer, kjøpshistorikk, loggfiler etc.

Kategorier av registrerte

De registrerte som Databehandler behandler personopplysninger på vegne av i forbindelse med leveranse av tjensten i henhold til Tjenesteavtalen kan være kunder, leverandører, ansatte, studenter, besøkende, medlemmer, deltakere eller enhver annen gruppe av fysiske personer, som definert av Behandlingsansvarlig.