Versjon før 23.3.2026
Databehandleraftale
Databehandleraftale
Denne Databehandleraftale "Databehandleraftalen” "gælder, hvor Databehandleren behandler personoplysninger på vegne af Behandlingsansvarlige, og hvor det ikke er indgået en separat Databehandleraftale. Databehandleraftalen er indgået mellem:
Parterne er enige om følgende for at opnå tilstrækkelige garantier med hensyn til beskyttelse af privatlivets fred og andre grundlæggende rettigheder for dem, der får deres personlige oplysninger, som angivet i denne aftale, overført fra behandling Behandlingsansvarlig for databehandling.
1. Definitioner
Databehandleraftale skal forstås på baggrund af følgende definitioner:
| Databeskyttelseslovgivning: | Med Databeskyttelseslovgivning forstås: 1. Persondataloven fra 2000; gennemføring og implementering af EU-direktivet om databeskyttelse (95/46 / EF) og direktiv om databeskyttelse indenfor elektronisk kommunikation (2002/58 / EF) i norsk ret; 2. GDPR (Generel Privacy forordning); Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016. Medmindre andet er angivet,skal enhver henvisning til GDPR forstås som en henvisning til udførelse og iværksættelse af GDPR i norsk ret; 3. Kommunikationbeskyttelseforordring; forslag til Europa-Parlamentets og Rådets forordning 2017/0003 (forordningen om databeskyttelse inden for elektronisk kommunikation), hvis og fra det tidspunkt, hvor forordningen er vedtaget og gennemført i norsk ret; 4. Alle andre gældende norske love og regler, der styrer databehandler persondataloven, herunder den lov, som implementerer og gennemfører GDPR samt sektorspecifik lovgivning. |
| Personlige oplysninger: | Oplysninger om en identificeret eller identificerbar person ( "den registrerede"), jf GDPR art. 4 (1). |
| Behandling: | Enhver operation eller række af operationer foretaget med persondata, uanset om automatiserede eller ej, for eksempel. opnåelse, organisering, strukturering, lagring, bearbejdning eller ændring, selektion, søgning, videregivelse ved transmission, spredning eller enhver anden form for tilgængelighed, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse, ref. GDPR art. 4 (2). |
| Overtrædelse af personoplysninger Sikkerhed: | Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, omdirigering af eller adgang til persondata, der sendes, lagres eller på anden måde behandles. Sådanne Overtrædelse af persondatalovens sikkerhed er ikke afhængig af, at der er sket en overtrædelse af reglerne om privatlivets fred, se. GDPR art. 4 (12). |
| Behandlingsansvarlig | Fysisk eller juridisk person, der alene eller sammen med andre har det formål at behandle personoplysninger og de midler, der skal anvendes, ref GDPR art.. 4 (7). |
| Databehandler: | Fysisk eller juridisk person, der behandler personoplysninger på vegne af den Behandlingsansvarlige, ref GDPR art.. 4 (8). |
| Underleverandør: | En fysisk eller juridisk person med databehandling begået forsætligt eller ej, til at udføre behandling på vegne af den Behandlingsansvarlig. |
| Tredjeland eller international organisation: | Overførsel af personoplysninger skal forarbejdes ved overførsel til et tredjeland eller en international organisation, der ikke sikrer et tilstrækkeligt beskyttelsesniveau uden at der er en overførsel grundlag, disse lande uden for Det Europæiske Økonomiske Samarbejdsområde. |
2. Bilag og appendiks
Der er ingen tillæg til denne Databehandleraftale.
3. Formål
Databehandleraftale er en vedhæftet fil til licensaftalen og har til formål at regulere Databehandlers Behandling af personoplysninger på vegne af Behandlingsansvarlige i forbindelse med licensaftalen (i det følgende benævnt licensaftalen). Databehandleraftalen vil sikre, at personoplysninger behandles i overensstemmelse med kravene i gældende forskrifter (Privacy Regler, som defineret ovenfor), og behandling af personlige data må kun udføres i henhold til denne Databehandleraftale og dokumenterede instruktioner fra Behandlingsansvarlige.
Databehandlerens behandling af de personlige data skal kun omfatte behandling, der er nødvendig for, at Databehandleren er i stand til at fuldføre licensaftalen med Behandlingsansvarlig.
Databehandleraftalen kan ændres om nødvendigt for at tilpasse sig ufravigelig lovgivning, fortolkninger af GDPR og Privacy Regler (som defineret ovenfor). Alle eventuelle ændringer i denne denne Databehandleraftale skal aftales og registreres skriftligt.
Ud over håndteringen af personlige oplysninger på baggrund af licensaftalen, er parterne også bekendte med, at Databehandleren også kan behandle Personoplysninger som Behandlingsansvarlig, i forbindelse med (i) overensstemmelse med gældende love og bestemmelser, (ii) anmodninger / anmodninger og kommunikation af myndighederne og (iii) af hensyn til administration, regnskabsføring og risikovurdering.
4. Databehandlers behandling af Personoplysninger
4.1 Behandlingens art
Databehandler vil behandle og få adgang til oplysninger i forbindelse med leveringen af EXORLIVE ifølge licensaftalen for den Behandlingsansvarlige.
I opfyldelsen af aftalen vil Databehandleren kunne foretage behandling af personoplysninger i form af støtte, adgang, organisering, strukturering, tilpasning, hentning, omdannelse, lagring, overførsel, konsultation og ødelæggelse af data. En sådan behandling vil kun finde sted i overensstemmelse med bestemmelserne i Databehandleraftalen og Licensaftalen, og først efter anvisning fra Behandlingsansvarlige.
Behandlingen vil foregå i EXORLIVE, som er en cloud-baseret løsning. Persondata er lagret hos Microsofts Azure, og data behandles af ExorLive AS fra hovedkontoret med adresse: Hovfaret 4, 0275 Oslo, Norge.
Databehandler skal ikke behandle personlige oplysninger i et større omfang, end det som er nødvendigt for at opfylde Licensaftalen med Behandlingsansvarlige. Anden behandling kan kun ske i undtagelsestilfælde og for kortvarige tilfælde og kun under instruktion fra Behandlingsansvarlige.
Hvis Databehandler er i tvivl om behandling af visse personlige oplysninger er nødvendig inden for Licensaftalens omfang, skal det straks og inden personoplysningerne behandles, konsulteres med Behandlingsansvarlige.
Under ingen omstændigheder er Databehandler berettiget til at håndtere personlige oplysninger eller andre data tilhørende den Behandlingsansvarlige for egne formål, ud over de formål, som er anført i Databehandleraftalen eller i Licensaftalen.
Hvis Databehandleren er pålagt yderligere behandling ved lov eller lignende ordrer fra offentlige myndigheder, forpligter Databehandler sig til at underrette Behandlingsansvarlige og sikre yderligere fortrolighed og sikkerhed pålagt gennem Databehandleraftalen. I sådanne tilfælde skal Databehandler på forhånd meddele det til Behandlingsansvarlige, medmindre gældende lovgivning forbyder en sådan meddelelse.
4.2 Kategorier af Personoplysninger og dataemner
Med henblik på opfyldelse af Licensaftalen, og afhængigt af Databehandlerens levering, kan Databehandler komme i kontakt med Personoplysninger under den Behandlingsansvarliges ansvar. Dette omfatter blandt andet oplysninger om navn, telefonnummer, e-mailadresse, ID-nummer, oplysninger om sundhed, adresse og aktivitetsdata / adfærddata og billeder.
Behandlingsansvarlige bestemmer selv indstillingerne i ExorLive, således at systemet er tilpasset deres brug af systemet.
Personoplysningskategorierne er:
- Medarbejdere hos Behandlingsansvarlige
- Konsulenter og andre Behandlingsansvarlige giver adgang til ExorLive
- Slutbrugere, patienter, medlemmer og kunder, der modtager motionsprogrammer fra Behandlingsansvarlige.
4.3 Området for behandling
Databehandler skal primært Behandle Personoplysninger indenfor Det Europæiske Økonomiske Samarbejdsområde. Databehandler har ikke ret til at overføre personoplysninger til et tredjeland eller en international organisation, herunder udenfor Det Europæiske Økonomiske Samarbejdsområde, uden at det er nødvendigt for at opfylde Licensaftalen, først efter særlig skriftlig tilladelse fra Behandlingsansvarlige og under forsikring om, at der foreligger tilstrækkeligt overførselsgrundlag i henhold til GDPR art. 44-49.
Al sådan overførsel skal opfylde kravene til sikkerhed og beskyttelse af de rettigheder, der følger af Databehandlereaftalen og i overensstemmelse med Databeskyttelseslovgivningen.
4.4 Anvendelse af underleverandører
Databehandler kan anvende underleverandører til behandling af Personoplysninger, hvis dette er nødvendigt for at behandle Personoplysninger i henhold til Licensaftalen.
Behandlingsansvarlige giver ved underskrivelsen af denne Databehandleraftale Databehandler en generel skriftlig tilladelse til at bruge de Underleverandører, der anvendes af Databehandling ved underskrivelse, samt at foretage udveksling af Underleverandører. Ved udskiftning eller bestilling af nye Underleverandør har Behandlingsansvarlige ret til to måneders varsel forinden.
Behandlingsansvarlige har ret til at modsætte sig Databehandlerens brug eller bytte af Underleverandører, såfremt gyldige årsager foreligger. Behandlingsansvarlige er forpligtet til at afgive skriftlig forklaring og dokumentation inden for en måned efter meddelelsen er modtaget, hvis det påstås, at der objektiv grund til at modsætte sig ændringen i Underleverandører.
Databehandlers Underleverandører for Behandling af Personoplysninger skal være bundet af de samme aftalemæssige og lovbestemte forpligtelser, som Databehandler er underlagt i henhold til denne Databehandleraftale, gennem deres egne Databehandleraftaler.
Behandlingsansvarlige har ret til oplysninger om Underleverandører, herunder indhold i Databehandleraftale og information om de tekniske og organisatoriske foranstaltninger Underleverandør har truffet for at overholde Databeskyttelseslovgivningen. Videregivelse af sådanne oplysninger og information fra Databehandleren kræver underretning fra Behandlingsansvarlige.
Behandlingsansvarlige har forhåndsgodkendt følgende underleverandør:
Opbevaring af personoplysninger:
Microsoft Ireland Operations Ltd,
Att: Databeskyttelse
Carmen Hall Road
Sandyford, Dublin 18,
Irland
Databehandler kan, uden Behandlingsansvarlige godkendelse i henhold til denne bestemmelse, involvere, bytte, eller bestille ny Underleverandør eller andre tredjeparter, der kun har midlertidig og begrænset adgang til Personoplysninger i forbindelse med vedligeholdelse af systemer, såfremt disse ikke er aktivt involveret i Behandling af Personoplysninger eller Behandler Personoplysninger til deres egne formål.
5. Forpligtelser som Databehandler
5.1 Bistand til Behandlingsansvarlig
Databehandler forpligter sig til, og hovedsageligt uden kompensation eller andet vederlag, at:
a) Behandler Personoplysninger kun efter instruks fra Behandlingsansvarlig og kun i henhold til Licensaftalens formål.
b) Tage alle nødvendige tiltag for at varetage sikkerheden i betragtning af Behandlingen, som udføres på vegne af Behandlingsansvarlig, samt regelmæssig og på eget initiativ foretage analyse og test af disse sikkerhedsforanstaltninger, herunder vurdere deres effektivitet;
c) Bistå Behandlingsansvarlige med at sikre overholdelse af sine forpligtelser til at varetage personoplysningssikkerhed og evaluere implikationer for persondatabeskyttelse, idet der tages hensyn til Behandlingens type og de tilgængelige oplysninger for Databehandler;
d) Bistå Behandlingsansvarlige, idet der tages hensyn Behandlingens art og i det omfang det er muligt, med at opfylde dennes pligt til at opfylde anmodninger fra Kunden og Sluttbruger med henblik på at udøve sine rettigheder inden for rammerne for Licensaftalen. Kommer en sådan anmodning fra den registrerede direkte til Databehandler skal den sendes til Behandlingsansvarlige, som reguleret i Databehandlingsaftale meddelelsesbestemmelser;
e) Bistå Behandlingsansvarlige med at løse unormale situationer i samarbejde med Behandlingsansvarlig, såfremt situation nødvendiggør dette, og i henhold til undtagelseshåndteringen, som reguleret i Databehandleraftalen;
f) Efter Behandlingsansvarliges instruks, slette eller tilbagelevere alle personlige data og slette alle eksisterende kopier, medmindre der er en lovbestemt pligt til at fortsætte med at lagre disse;
g) Umiddelbart meddele Behandlingsansvarlige, hvis en instruktion er i strid med Databeskyttelseslovgivningen;
h) Sikre at alle, der Behandler Personoplysninger er forpligtet til fortrolighed eller er genstand for en passende lovbestemt tavshedspligt, og at kun de autoriserede personer, der har de nødvendige krav for at opfylde Licensaftalen har eller vil få adgang til Personoplysninger.
Databehandler er berettiget til at opkræve betaling for den forløbne tid for opfyldelsen af punkterne d, e og f ovenfor. ExorLives vejledende timepriser for konsulenter gælder.
5.2 Tekniske og organisatoriske foranstaltninger
Databehandler skal sørge for, at der er tekniske og organisatoriske foranstaltninger for at sikre og påvise, at Behandlingen udføres i overensstemmelse med Databeskyttelseslovgivningen, denne Databehandleraftale og sikre bistand til opfyldelse af rettighederne for den registrerede.
Databehandler skal forud for påbegyndelse, og derefter en gang om året inden for rammerne af denne Licensaftale og som informeret om på EXORLIVEs hjemmeside, indsende dokumentation på Behandling, som sker på vegne af Behandlingsansvarlige. Denne fil skal indeholde:
- Kategorier af behandlingsaktiviteter;
- Anvendelse af underleverandører;
- Overførsler ud af Det Europæiske Økonomiske Samarbejdsområde;
- En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger;
Databehandler skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger for at opnå et tilstrækkeligt sikkerhedsniveau i forhold til risikoen for Behandlingen. Disse egnede tekniske og organisatoriske foranstaltninger skal også sikre og påvise, at Behandlingen udføres i overensstemmelse med denne Databehandleraftale. Disse foranstaltninger bør revideres og bør ajourføres efter behov. Databehandler kan tage hensyn til den tekniske udvikling, implementeringsomkostninger, art, omfang, formål og sammenhæng, hvori den udføres samt risici af varierende sandsynligheden og alvoren af fysiske personers rettigheder og friheder, men vurderingen skal foretages i overensstemmelse med den vurdering, der skal laves ifølge GDPR art. 32.
Sådanne tekniske og organisatoriske foranstaltninger skal som et minimum omfatte, men er ikke begrænset til, foranstaltninger for:
a) Pseudonymisere og kryptere persondata, hvor det er relevant;
b) Sikre evnen til vedvarende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemerne- og tjenesterne;
c) Sikre evnen til at genoprette tilgængeligheden og adgangen til Personligeoplysninger i tide i tilfælde af en fysisk eller teknisk begivenhed;
d) Varetage en proces for regelmæssig afprøvning, analyse og vurdering af effektiviteten af Behandlingens tekniske og organisatoriske sikkerhedsforanstaltninger;
e) Undgå at computersystemer, der Behandler Personoplysninger bliver brugt eller giver adgang til Personoplysninger til personer, der ikke er godkendt, herunder adgang til at læse, kopiere, ændre eller slette persondata uden tilladelse.
Behandlingsansvarlig er forpligtet til at gennemføre ovennævnte foranstaltninger, og hvis det er nødvendigt, opdatere handlinger, således at de tekniske og organisatoriske foranstaltninger på alle tidspunkter er i overensstemmelse med Databeskyttelseslovgivningen, herunder på den måde, de er opstilt i GDRP artikler 28 og 32.
Sikkerhed i EXORLIVE håndhæves af en streng sikkerhedspolitik, og tillader ikke at enheder får adgang eller manipuleres på tværs af organisationer. Inden for organisationen er sikkerhed rollebaseret og brugerne kan få administrative roller på enheds/afdelingsniveau.
Systemet er altid tilgængeligt via SSL, og varetager de oplysninger, der udveksles mellem klient og server. Systemet giver integritet ved at sikre, at brugerne ikke kan indsætte eller redigere enheder, de ikke er godkendte til.
Alle handlinger er logget. Dette gælder også forsøg på login fra uautoriseret kilde.
Sikkerhedsforanstaltninger og procedurer mod eksterne angreb: EXORLIVE er partner med Microsoft og holder det tekniske personale ajour på det nuværende system og sikkerhedsløsninger. Gennem Microsoft Azure som underleverandør sikrer vi, at vores tjenester er altid up to date på sikkerhed og seneste sikkerhedsopdateringer. EXORLIVE kører altid den nyeste version af vigtig software;
EXORLIVE opfylder kravene til indbygget beskyttelse af personlige oplysninger.
EXORLIVE er klassificeret som medicinsk software i risikoklasse 1. Det er den laveste risikoklasse. ExorLive er CE certificeret.
5.3 Meddelelse
Databehandler skal underretter Behandlingsansvarlige uden unødig forsinkelse, hvis:
- En instruktion fra Behandlingsansvarlige strider mod deres Persondataloven;
- En ordre til videregivelse af personoplysninger fra offentlige myndigheder, medmindre en sådan meddelelse er forbudt;
- Et brud eller potentielt brud på sikkerheden, der kan føre til hændelig eller ulovlig tilintetgørelse, tab, omdirigering af eller adgang til persondata, der sendes, lagres eller på anden måde Behandles, herunder som et minimum, hvor der forekommer en overtrædelse af Persondataloven;
- Henvendelser fra en slutbruger, så Behandlingsansvarlig kan reagere, og uden at Databehandler selv reagerer uden at få udtrykkelig tilladelse til at håndtere henvendelsen selv.
Databehandler er forpligtet til at yde passende bistand til Behandlingsansvarlig i kølvandet på enhver meddelelse til Datatilsynet om Brud på Personoplysningssikkerheden eller til den registreret. Enhver meddelelse eller henvendelse til Datatilsynet skal ske gennem Behandlingsansvarlig. Hvis det er nødvendigt at fastslå omfanget af brud på persondataloven, skal Databehandler hjælpe Behandlingsansvarlig i samarbejde med Datatilsynet.
Umiddelbart efter at have givet besked om overtrædelse af Persondataloven skal Databehandler give yderligere beskrivelse til Behandlingsansvarlige af:
- Alle relevante aspekter i forbindelse med bruddet, som Databehandler har kendskab til, herunder hvad bruddet består af, kategorier og mængder af Personoplysninger. Spørgsmål vedrørende afvigelsen, som Databehandler først bliver bekendt med efter en sådan meddelelse skal meddeles Behandlingsansvarlige så snart Databehandler får sådan viden;
- Hvilke foranstaltninger der er gennemført eller foreslået gennemført for at forebygge konsekvenserne og begrænse omfanget af bruddet på persondatasikkerheden.
Desuden skal Databehandler bistå Behandlingsansvarlige med at vurdere persondatakonsekvenserne ved sådan et brud på persondatasikkerheden.
Databehandler forpligter sig til at meddele Behandlingsansvarlige, hvis det afsløres, at Databehandleren ikke overholder, eller kan se det bliver vanskeligt at overholde, de krav, der stilles i Databeskyttelseslovgivningen og denne Databehandleraftale, uanset årsagen. I et sådant tilfælde, kan Behandlingsansvarlige suspendere yderligere Behandling af Personoplysninger i Databehandler.
6. Ansvar for Behandlingen
Behandlingsansvarlige er ansvarlig for at Personoplysninger, som Databehandler får adgang til er blevet opnået lovligt og har et gyldigt behandlingsgrundlag.
Behandlingsansvarlige har det primære ansvar for Behandlingen af Personoplysninger, som et resultat af Licensaftalen og for at meddele Databehandler, hvis der er behov for assistance i henhold til GDPR artikel 28 (3) bogstav e og f. Databehandler er berettiget til at fakturere betaling for den tid, der kræves for at opfylde kravene, der er anført ovenfor. ExorLives vejledende timepriser for konsulenter gælder.
Behandlingsansvarlige skal holde Databehandler skadesløs mod alle omkostninger, udgifter (herunder omkostninger til juridisk bistand), skader, tab (herunder følgeskader), forpligtelser, krav, handlinger eller retssager, som Databehandler kan komme ud for som et resultat af Behandlingsansvarliges krænkelser af Databeskyttelseslovgivningen, Persondataloven, og instrukser til Databehandler givet i strid med Databeskyttelseslovgivningen.
Ansvar for materiel eller ikke-materiel skade på en eller flere Registrerede skal reguleres i overensstemmelse med betingelserne og retningslinjerne i GDPR art. 82.
Databehandlers maksimale ansvar reguleres i henhold til Licensaftalen.
Ingen ansvarsbegrænsning gælder, hvis skadesvoldende handling er foretaget ved forsætlig eller grov uagtsomhed fra nogen af parterne.
7. Sikkerhedsrevision
Databehandler er forpligtet til at give Behandlingsansvarlig tilstrækkelig adgang og dokumentation til alle oplysninger nødvendige for at påvise overensstemmelse med de forpligtelser, der er fastsat i Databehandleraftalen, og for at kunne udføre sikkerhedsrevisioner. Sådanne sikkerhedsrevisioner omfatter, men er ikke begrænset til, lokal kontrol og evaluering af systemer, organisation og sikkerhedstiltag, samt brug af Underleverandører.
Behandlingsansvarlige er berettiget til at udpege en uafhængig inspektør, der udpeges af Databehandler, til at udføre sikkerhedsrevisioner af Databehandlers overholdelse af denne Databehandleraftale og Persondatalovgivningen.
Inspektøren er underlagt krav om fortrolighed.
Parterne er enige om, at Databehandler med rimelig grund kan tilbagetrække eller tilbageholde godkendelse af enhver uafhængig inspektør, såfremt inspektøren ikke indvilliger til at underskrive aftale om fortrolighed, udarbejdet af Databehandler i forbindelse med sikkerhedsrevisionen.
Denne bestemmelse er ikke ensbetydende med, at Behandlingsansvarlige eller inspektør har ret til indsigt i aktiviteter, protokoller, oplysninger eller andet materiale uanset format som:
- Som vedrører kunder af Databehandler;
- Ikke er relevant for Behandling af personoplysninger;
- Betragtes som en virksomheds- eller forretningshemmeligheder, eller
- er omfattet af tavshedspligt eller konfidentialitet (lov eller aftale) som Databehandler har overfor en tredjepart.
Behandlingsansvarlig skal Behandle alle materialer, uanset format, som Behandlingsansvarlig kommer i besiddelse af eller får adgang til som et resultat af sikkerhedsrevisionen som fortrolige. Under ingen omstændigheder skal sådanne materialer deles med tredjeparter eller anvendes på anden måde, end hvad der er nødvendigt i forbindelse med sikkerhedsrevisionen.
Behandlingsansvarlig er ansvarlig for alle omkostninger knyttet til sikkerhedsrevisioner, herunder afgifter, der påføres Databehandler i dette henseende. ExorLives vejledende timepriser for konsulenter skal betales af Behandlingsansvarlig, samt inspektørens egen faktura.
8. Fortrolighed
Information, som parterne bliver kendte med i forbindelse med denne Databehandleraftale og dens gennemførelse, skal holdes fortroligt og ikke videregives til tredjepart uden samtykke fra den anden Part. Tavshedspligten forhindrer ikke, at informationer bruges, når de er generelt kendte eller generelt tilgængelige andre steder.
Parterne skal tage nødvendige foranstaltninger for at forhindre uautoriserede personer i at få adgang eller kendskab til til fortrolige oplysninger.
Tavshedspligten gælder Parternes ansatte, Underleverandører som handler på Parternes vegne i forbindelse med gennemføringen af denne Databehandleraftale og Licensaftale. Parterne kan kun overføre tavshedsbelagt information til Underleverandører og tredjeparter i den udstrækning dette er nødvendigt for gennemførelsen af denne Databehandleraftale og Licensaftale, forudsat at disse pålægge pligt om konfidentialitet tilsvarende dette punkt.
Tavshedspligten gælder også efter, at Databehandleraftalen og Licensaftalen ophører. Ansatte eller andre, som træder tilbage fra deres positioner med en af parterne, skal fortsat underlægges tavshedspligt, selv efter deres fratræden efter betingelserne nævnt ovenfor. Tavshedspligten ophører 10 (ti) år efter ophør af denne Databehandleraftale og licensaftale, medmindre andet er fastsat ved lov eller forordning.
9. Varighed og opsigelse af Behandling
Databehandleraftalen gælder, så længe Databehandler Behandler eller har adgang til Personoplysninger på vegne af Behandlingsansvarlig, og Behandlingsansvarlig betragtes som Behandlingsansvarlig for Personoplysningerne.
Slutbrugeren kan med henvisning til GDPR artikel 20, beslutte, at de ønsker at beholde deres data i EXORLIVE og de kan beslutte, at disse data skal overføres til en ny Behandlingsansvarlig. Denne ret inkluderer overførsel af træningsprogrammer og træningsdata, også når træningsprogrammet ikke indeholder personlige oplysninger.
Databehandlerens Behandling af Personoplysninger for Behandlingsansvarlig skal afsluttes ved ophør af Licensaftalen. Ved afslutningen af Behandlingen af Personoplysninger skal Databehandler give Slutbrugeren mulighed for at beholde sine data eller få dem overført til egen konto. Hvis slutbrugeren ikke ønsker at beholde sit data kan Behandlingsansvarlig enten kræve at få tilbageleveret eller slette enhver og alle Personlige oplysninger, såfremt yderligere Behandling ikke er påkrævet ved lov. En sådan lovbestemt yderligere Behandling skal anmeldes til Behandlingsansvarlig.
Databehandler er berettiget til at fakturere for den forløbne tid for enhver hjælp i forbindelse med returnering eller sletning af data for denne bestemmelse. ExorLives vejledende timepriser for konsulenter skal betales af Behandlingsansvarlig.
Al adgang til Behandlingsansvarliges systemer skal ved afslutning af Behandlingen lukkes for Databehandler og dets personale. Databehandler er forpligtet til at bistå Behandlingsansvarlig med gennemførelsen af dette.
Dette punkt betyder ikke, at Databehandler skal slette Personoplysninger, som Databehandler besidder som en Behandlingsansvarlig.
10. Lovvalg og værneting
Denne Databehandleraftale er underlagt norsk ret, og Parterne accepterer Databehandlers hjemting som værneting. Dette gælder også efter ophør af Licensaftalen.