1. ExorLive Hjälpcenter
  2. Juridisk
  3. Juridisk

Licensavtal (LA) inklusive Personuppgiftsbiträdesavtal (PUB)

Avatar
Print Friendly and PDF

Avtalet på denna sida inkluderar licensavtalet, Licensvillkor och personuppgiftsbiträdesavtalet för ExorLive AS.

Klikca här för att komma direkt till Licensvillkor

Klicka här för att komma direkt till Personuppgiftsbiträdesavtalet (PUB avtalet).

Klicka här för att läsa vår privacy policy.  

Klikca här för att komma direkt till API Terms of Service

Licensavtal

Inledning

Detta licensavtal har ingåtts mellan ExorLive (“Licensgivaren”) och dig, hädanefter benämnd "Licenstagaren".

Detta avtal är integrerat med och används tillsammans med den tillhörande Personuppgiftsbiträdesavtalet, Service Level Agreement (SLA), API-villkoren (API Terms) och licensvillkoren. Dessa dokument utgör tillsammans hela avtalet mellan Parterna och reglerar användningen av ExorLive-systemet (hädanefter kallat ”Systemet”), inklusive relaterade funktioner och integrationer samt behandling av personuppgifter. Dokumenten benämns gemensamt som ”Avtalet”.

Genom att installera, kopiera, få åtkomst till eller på annat sätt använda Systemet - inklusive via API -åtkomst - bekräftar du att du har läst, förstått och accepterat samtliga villkor i detta licensavtal samt i det tillhörande personuppgiftsbiträdesavtalet, licensvillkoren, API-villkoren och eventuella tilläggsavtal.

Licenstagaren erkänner och accepterar att efterlevnad av vart och ett av dessa avtal är en förutsättning för att använda Systemet.

Vid motstridigheter mellan dokumenten ska villkoren i detta Licensavtal ha företräde, dock med förbehållet att bestämmelser avseende dataskydd i Personuppgiftsbiträdesavtalet ska ha företräde i frågor som rör skydd av personuppgifter.

Licensens omfattning

ExorLive är ett system som erbjuder ett omfattande verktyg för träning och hälsa, riktat till tränare, fysioterapeuter, hälso- och sjukvårdspersonal samt slutanvändare. Plattformen ger användarna tillgång till en stor övningsdatabas som kan anpassas och kombineras till individuella träningsprogram. ExorLive gör det enkelt att skapa och dela personliga träningsplaner med klienter och patienter.

Licenstagaren har, genom att slutföra ett köp via orderformuläret på webbshoppen, köpt en licens att använda Systemet enligt de villkor som framgår av Avtalet och som specificeras i orderbekräftelsen.

Leverans

Systemet tillhandahålls Licenstagaren som en Software as a Service-lösning. Mjukvaran är licensbaserad och Systemet är hostat på en central server.

Licensgivaren levererar systemnyckel/-nycklar till Licenstagaren till den e-postadress som registrerades vid köpet.

Rättigheter – Licenstagare

Licenstagaren innehar alla rättigheter till all data som denne tillhandahåller Licensgivaren eller som genereras eller lagras vid användning av Systemet. Licensgivaren har endast rätt att använda Licenstagarens data för de syften som anges i Avtalet.

Licensgivaren erkänner att data enligt denna bestämmelse betraktas som Licenstagarens konfidentiella information.

Vid helt eller delvis uppsägning eller upphörande av Avtalet, oavsett orsak, är Licensgivaren skyldig att bistå Licenstagaren i den mån det är relevant och nödvändigt vid överföring av all data till Licenstagaren, andra leverantörer eller myndigheter.

Licensgivaren har rätt till ersättning för bistånd i samband med övergång. Ersättning ges enligt gällande timtaxor.

Varaktighet och uppsägning

Licenser träder i kraft på orderdatumet och löper därefter under licensperioden med automatisk förnyelse. 

Licensperiodens längd är specificerad vid köpet.

Licenstagaren kan säga upp detta licensavtal skriftligen till licensperiodens slut.

Om Licensgivaren inte har mottagit Licenstagarens skriftliga uppsägning senast på datumet för licensperiodens utgång, är Licenstagaren bunden av Avtalet för ytterligare en licensperiod.

Licensavgift

Licensavgiften beskrivs i orderformuläret på webbshoppen.

Det aktuella priset för leverans av den licensierade tjänsten justeras årligen från och med datumet för licensens ikraftträdande.

Prisjusteringen sker i syfte att täcka ökade kostnader för drift och utveckling av Systemet och dess funktioner.

Meddelande om prisändringar kan ges genom faktura innan den aktuella abonnemangsperioden löper ut. Om prisändringarna inte kan accepteras har Licenstagaren i detta fall rätt att frånträda Avtalet vid den aktuella abonnemangsperiodens slut, genom skriftligt meddelande till Licensgivaren inom 14 dagar från fakturadatumet.

Fakturering och betalningsvillkor

Licensen förfaller till betalning vid beställningstillfället eller enligt vad som anges i utfärdad faktura.

Om Licenstagaren väljer att köpa till en licenstjänst under licensperioden, kommer denna licens att faktureras vid tidpunkten för köpet. Fakturering sker då för perioden fram till den ursprungliga licensperiodens slut.

Vid en eventuell förnyelse av licensen kommer det genomförda tillköpet att integreras med given webborder, vilket därefter kommer att utgöra den samlade licensen.

Fakturering sker därefter årligen för ett år i taget och förfaller till betalning enligt den elektroniskt utfärdade fakturan.

Om sista betalningsdag inte infaller på en bankdag skjuts betalningsdagen fram till nästkommande bankdag.

Vid försenad betalning har Licensgivaren rätt att ta ut dröjsmålsränta i enlighet med räntelagens bestämmelser.

Service

Licensgivarens servicepolicy och servicenivåer i relation till installation, användning och åtkomst till Systemet för Licenstagaren, dess anställda och kontakter, regleras närmare i Licensgivarens Servicenivåavtal (SLO).

Personuppgifter

Licensgivaren är skyldig att säkerställa att den vid var tid gällande svensk personuppgiftslagstiftning följs vid all behandling som utförs av Licensgivaren – särskilt dataskyddsförordningen (GDPR) och dataskyddslagen.

Eftersom Licensgivarens leverans av Systemet innebär behandling av personuppgifter, förbinder sig Parterna att ingå ett personuppgiftsbiträdesavtal som uppfyller den vid var tid gällande personuppgiftslagstiftningen.

Detta personuppgiftsbiträdesavtal är integrerat i föreliggande Avtal och anses ingånget genom Licenstagarens användning eller godkännande av Avtalet.

Licensgivaren är inte ansvarig för att säkerställa att Licenstagaren uppfyller sina egna skyldigheter enligt gällande lagstiftning, inklusive rollen som personuppgiftsansvarig.

Garanti

Systemet är licensierat, inte sålt. Licensgivaren lämnar inga garantier av något slag, utöver de som uttryckligen anges i Avtalet eller som uttryckligen har överenskommits mellan Licensgivaren och Licenstagaren.

Licensgivarens kontraktsbrott

En brist föreligger från Licensgivarens sida om det levererade inte uppfyller de givna garantierna, eller om det i övrigt inte är eller fungerar i enlighet med Licensgivarens avsedda syfte samt på grundval av Avtalets innehåll.

Licensgivaren är på Licenstagarens begäran skyldig att åtgärda de påtalade bristerna snarast möjligt. Om åtgärd inte är möjlig eller om Licenstagaren utan framgång har försökt åtgärda en brist upprepade gånger, kan Licenstagaren ha rätt till kompensation i form av servicekrediter, vilka krediteras på fakturan för nästa licensperiod. Beloppets storlek fastställs i dialog med Licensgivaren eller i enlighet med Servicenivåerna för tillgänglighet, om bristen omfattas av dessa.

Tystnadsplikt

Parterna ska iaktta sedvanlig tystnadsplikt gällande förhållanden som inte är allmänt kända. Tystnadsplikten är särskilt förstärkt genom ingåendet av personuppgiftsbiträdesavtalet för de uppgifter som omfattas av detta.

Licensgivaren får dock ange Licenstagaren på en referenslista på sin webbplats efter leverans. Licensgivarens övriga marknadsföring rörande Licenstagaren får därefter endast ske med Licenstagarens samtycke.

Licenstagarens kontraktsbrott

Om Licenstagaren åsidosätter sina betalningsförpliktelser enligt Avtalet, har Licensgivaren rätt att ta ut dröjsmålsränta i enlighet med räntelagens bestämmelser.

Licensgivaren har dessutom rätt att säga upp Avtalet, om denne skriftligen har lämnat ett krav till Licenstagaren där det specificeras dels hur Licenstagaren har brutit mot sina skyldigheter enligt Avtalet, dels att underlåtenhet att rätta till detta inom 14 arbetsdagar medför att Avtalet hävs – och om Licenstagaren inte har uppfyllt sina skyldigheter inom den angivna tidsfristen.

Skadeståndsansvar

Parterna är skadeståndsskyldiga enligt svensk rätts allmänna regler.

Parterna är under inga omständigheter ansvariga för driftförlust, följdskador eller andra indirekta förluster. Förlust av data anses vara en indirekt förlust.

Licensgivarens skadeståndsansvar enligt Avtalet kan maximalt uppgå till ett belopp motsvarande tre månaders licensavgift för den specifika modul som orsakat kravet på ersättning.

Ovanstående begränsningar i skadeståndsansvaret gäller dock inte vid grov vårdslöshet eller uppsåtliga handlingar eller underlåtelser.

Försäkring

Licensgivaren ska under hela Avtalets giltighetstid upprätthålla en försäkring som täcker skador som medarbetare kan orsaka i samband med leveransen av licensen, samt vara försäkrad mot felaktig rådgivning, om Avtalet omfattar rådgivningstjänster.

Överlåtelse

Licenstagaren får inte överlåta rättigheter och/eller skyldigheter enligt detta Avtal utan föregående skriftligt godkännande från Licensgivaren. Varje sådant försök till överlåtelse ska anses ogiltigt.

Oavsett ovanstående har Licensgivaren rätt att överlåta vilket avtal som helst, inklusive skyldigheter och prestationer, helt eller delvis, till sina partners eller leverantörer utan ytterligare meddelande.

Force majeure

Ingen av parterna anses ansvarig gentemot den andra parten enligt detta Avtal för omständigheter utanför partens kontroll, som parten inte skäligen kunnat förutse, undvika eller övervinna. Detta inkluderar, men är inte begränsat till, krig och mobilisering, civila oroligheter, naturkatastrofer, strejk, lockout, brist på råmaterial, epidemi, pandemi eller annat utbrott av allvarlig mänsklig sjukdom, brand, skador på produktionsutrustning, avbrott i den allmänna infrastrukturen, inklusive energiförsörjning, samt import- och/eller exportförbud.

Förhållanden hos en parts leverantör anses vara force majeure för parten om leverantören drabbas av motsvarande hinder och inte kunde ha undvikit detta, exempelvis genom att använda en alternativ leverantör.

Sanktioner och exportkontroll

Licensgivaren är skyldig att säkerställa att genomförandet av Licensavtalet inte vid någon tidpunkt innebär ett brott mot sanktioner, exportkontrollregler, embargoer eller liknande, inklusive men inte begränsat till EU-förordning 833/2014, senast ändrad genom EU-förordning 576/2022, artikel 1, punkt 23, samt eventuella framtida ändringar.

Licensgivaren är under hela avtalets löptid skyldig att omedelbart skriftligen meddela om det sker förändringar i Licensgivaren eller eventuella underleverantörers ägarförhållanden, kontrollen över leverantören/underleverantören eller andra relevanta förhållanden som påverkar efterlevnaden av sanktioner, exportregler och liknande.

Tillämplig lag och jurisdiktion

Avtalet ska regleras av svensk rätt.

Om det uppstår en tvist mellan parterna i samband med detta Avtal, ska parterna med en positiv, samarbetsvillig och ansvarstagande inställning försöka inleda förhandlingar i syfte att lösa tvisten. Vid behov ska förhandlingarna föras vidare till högsta ledningsnivå i respektive organisation.

Om parterna, efter försök till medling, inte kan finna en lösning, kan vardera parten inleda rättsliga åtgärder.

Eventuella tvister som uppstår i samband med Avtalet, inklusive tvister rörande Avtalets existens eller giltighet, ska avgöras av behörig domstol i Sverige, med Stockholms tingsrätt som första instans.

 

Licensvillkor

Licensvillkoren utgör ett tillägg till licensavtalet och har som syfte att fastställa de juridiska villkor och förutsättningar under vilka en Licenstagare är berättigad att använda ExorLive-systemet.

1. Definitioner

Vid tolkning och genomförande av Avtalet ska följande begrepp, om inte annat uttryckligen anges, ha följande betydelse:

Avtal: De samlade avtalsvillkoren som reglerar de totala rättigheterna och skyldigheterna mellan parterna.

Licensgivare: ExorLive AS.

Licenstagare: Kunden, inklusive enskilda individer och organisationer som har ingått avtal med licensgivaren om leverans av det Licensierade.

Det Licensierade: De onlineprodukter från Licensgivaren som Licenstagaren fått tillgång till och som lyder under dessa Licensvillkor. Här även kallat ExorLive-systemet eller Systemet.

Licensrätt: Licenstagarens rätt att använda det Licensierade, vilket ges genom accept av Licensvillkoren och betalning av tillhörande avgifter.

Licensvillkor(en): Dessa licensvillkor, tillhörande dokument samt eventuella framtida tillägg eller ändringar.

Licensavgift: Den avgift Licenstagaren betalar för att erhålla tillgång till det Licensierade.

Licensperiod: Den tidsperiod då licensen är aktiv och giltig, och när Licenstagaren har rätt att använda det Licensierade.

Avtalsperiod: Den period då Avtalet mellan Licenstagare och Licensgivare gäller.

Konto: Den slutliga användarens konto i systemet, består av individens användarnamn, lösenord och andra personliga uppgifter för att få tillgång till och använda systemet.

Innehåll: Medieelement som publiceras i Systemet av användaren och/eller slutanvändaren.

Användarinnehåll: Innehåll som laddats upp eller skickats in till Systemet av Användaren eller Slutanvändaren, inklusive teckningar, fotografier, videor, kommentarer och beskrivningar av övningar samt andra medieelement.

Medieelement: Allt innehåll i systemet, inklusive men ej begränsat till text, teckningar, fotografier, videor, ljud- och bildelement, tryckt material och online elektronisk dokumentation.

ExorLive-systemet / System(et): Onlineprogrammet ExorLiveTM, inklusive men ej begränsat till användargränssnitt, API-gränssnitt, programvara, medieelement och tillhörande information, vare sig presenterat i specifik eller icke-specifik form, på webbplatser ägda av ExorLive eller tredje part, på mobila enheter eller surfplattor.

Systemnycklar: Kombination(er) av användarnamn och lösenord, som ger Licenstagaren tillgång till Systemet.

Användare:

  • Professionella användare: Hälsopersonal, fysioterapeuter, personliga tränare eller andra yrkespersoner som använder Systemet för att utarbeta träningsprogram eller rehabiliteringsplaner för sina klienter eller patienter.
  • Organisationer eller företag: Gym, kliniker, träningsanläggningar eller andra organisationer som använder tjänsten för sina medlemmar eller anställda.

Slutanvändare

  • Patienten/Medborgaren/Klienten som använder Systemet för personliga eller yrkesmässiga syften, såsom personlig träning, rehabilitering eller andra individuella behov. Detta inkluderar kontakter i Systemet med eller utan användarkonto.

2. Åtkomst

Behörighet att använda det Licensierade har endast de användare som Licensgivaren har gett Licenstagaren enligt Avtalet. En användare får endast logga in på det Licensierade från en enhet åt gången, om inte annat särskilt avtalats. 

Om Licenstagaren är företag, offentlig eller privat institution, organisation etc., får Licenstagaren inte, om inget annat avtalats, ge andra anställda än de användare Licensgivaren gett åtkomst till åtkomst till det Licensierade genom online-tjänster, internet eller intranät, och Licenstagaren får ej på annat sätt överlåta användaråtkomst (utgiven av Licensgivaren) till andra anställda.

3. Bruksrätt till det Licensierade

Vid accept av Licensvillkoren och betalning av licensavgifter erhåller Licenstagaren en tidsbegränsad, icke överlåtbar och icke-exklusiv bruksrätt till det Licensierade samt eventuella framtida uppdateringar av det Licensierade enligt Licensvillkoren. 

Licensen ger användaren rätt att skapa, skriva ut och använda ett obegränsat antal kopior av innehållet i ExorLive-systemet (nedan ”Systemet”), inklusive dokumentation, förutsatt att kopiorna endast används för egna, privata syften och inte publiceras eller distribueras (vare sig på papper eller elektroniskt). 

Det Licensierade eller delar därav får ej ges vidare eller på annat sätt göras tillgängliga för tredje part. Licenstagaren får överlåta tillgång till ExorLive-Go, träningsprogram eller liknande till slutkund som Licenstagaren har licens för enligt Avtalet.

4. Efterlevnad av Licensvillkoren

Licenstagaren är skyldig att informera sina användare om och säkerställa efterlevnad av Licensvillkoren samt respektera Licensgivarens immateriella rättigheter, inklusive upphovsrätt. 

Licensgivaren kontrollerar fortlöpande att licensvillkoren följs. Vid misstanke om överträdelse ska Licenstagaren på Licensgivarens begäran skriftligen redogöra för omständigheter av betydelse för bedömningen av eventuell överträdelse. Licenstagaren är alltid ansvarig för att hans/hennes användare använder det Licensierade i enlighet med Licensvillkoren. Användning i strid med villkoren ska betraktas som ett väsentligt avtalsbrott och kan leda till avtalets upphävande.

5. Ångerrätt

Om Licenstagaren är konsument har denne enligt konsumentavtalslagen i regel 14 dagar på sig att ångra köpet av det Licensierade. Licenstagaren bekräftar att eventuell ångerrätt upphör när det licensierade produkten tas i bruk. Licenstagaren är därmed införstådd med att ångerrätten endast kan utnyttjas fram till den tidpunkt då användningen aktiveras. Om Licenstagaren inte är konsument, har denne ingen ångerrätt av köpet av det Licensierade.

6. Uppdatering och ändring av det Licensierade

Licensgivaren har rätt att löpande uppgradera, uppdatera och ajourhålla det Licensierade när licensgivaren finner det nödvändigt. Sådan uppdatering medför inga begränsningar i Licenstagarens förpliktelser och ger inte Licenstagaren rätt till några påföljder gentemot Licensgivaren.

Licensgivaren är vidare berättigad att ändra funktionaliteten i det Licensierade, inklusive att ta bort eller ändra funktioner, om detta bedöms nödvändigt för att erbjuda bästa möjliga tjänst till sina kunder. Sådana ändringar ger inte Licenstagaren rätt till påföljder eller påverkar dennes förpliktelser.

Dock fråntar sådana ändringar och uppdateringar inte Licenstagaren från att göra påföljder gällande, om ändringarna är så väsentliga att det Licensierade anses ha bytt karaktär i sin helhet.

7. Rättigheter till det Licensierade

Licensgivaren, eller tredje part från vilken Licensgivaren härleder sina rättigheter, har upphovsrätt och alla andra rättigheter till det Licensierade, inklusive till html-kod, text, bilder eller andra medieelement som är publicerade i systemet och som Licenstagaren kan få åtkomst till via ExorLive. 

Licenstagaren ska respektera Licensgivarens rättigheter, och Licenstagaren är ansvarig utan beloppsmässig begränsning för åsidosättande av dessa rättigheter, inklusive obehörig spridning av det Licensierade till tredje part. 

Licenstagaren får inte bryta eller ändra eventuella säkerhetsmekanismer, inklusive säkerhetskoder, och får inte heller ändra eller ta bort angivelser i det Licensierade relaterade till rättighetsförhållanden, varumärken, produktinformation eller liknande.

Om inte annat särskilt avtalats, inkluderar licensen inte följande rättigheter eller tillstånd:

  1. Försäljning, underlicensiering, uthyrning, leasing, sändning, inlägg eller någon annan form av distribution av någon del av Systemet, eller som en del av en samling, till tredje part, varken för kommersiella eller icke-kommersiella syften, om inte annat uttryckligen anges i detta avtal eller tillhandahålls av systemet.
  2. All härledd eller indirekt användning utanför systemets avsedda syftet, inklusive, men inte begränsat till, att producera resultat från systemet med hjälp av tredjepartsprogramvara och få åtkomst till systemet utanför de normala startprocedurerna.
  3. Alla andra försök att använda, få tillgång till eller kopiera källkoden eller databaserna i systemet, inklusive men inte begränsat till handlingar som reverse engineering, omprogrammering, dekompilering eller demontering av mjukvaran.
  4. Direkta eller indirekta kopplingar, referenser eller associationer med något annat system, tjänst, enhet eller aktivitet relaterad till ExorLive eller Systemet, inklusive, men inte begränsat till, något medieelement, varumärke eller design, oavsett om dessa är registrerade eller ej.
  5. Skapandet av oanständiga eller stötande verk, innehåll eller arbete.

Innehåll uppladdat av kunden

Systemet möjliggör för användaren och slutanvändaren att själva skicka in innehåll till systemet, inklusive teckningar, fotografier, videor, kommentarer och beskrivningar av övningar. 

Användaren och slutanvändaren behåller äganderätten till detta användarinnehåll. Vid uppladdning kommer innehållet som standard endast att vara tillgängligt för Kontakter och Instruktörer i samma organisation. 

Användaren kan välja att göra användarinnehållet tillgängligt globalt i systemet. Därvid ges ExorLive och andra användare av systemet en icke-exklusiv, överlåtbar licens att använda, vara värd för, lagra, reproducera, modifiera, skapa härledda verk, kommunicera, publicera, framföra offentligt, visa offentligt och distribuera sådant innehåll. ExorLive förblir ägare till alla träningsprogram som skapas av och i systemet. 

Licenstagaren och den enskilda användaren är skyldiga att säkerställa att uppladdat användarinnehåll inte kränker några rättigheter och att eventuella nödvändiga tillstånd för att dela användarinnehållet har inhämtats från tredje part. 

Licensgivaren är inte ansvarig för förlust, skada eller kostnader som uppstår vid uppladdning eller användning av användarinnehåll, och Licenstagaren garanterar genom detta avtal att hålla Licensgivaren skadeslös från alla krav som Licensgivaren kan möta från tredje part om kravet relaterar till en kränkning av tredje parts rättigheter till användarinnehållet. 

Licensgivaren förbehåller sig rätten att ta bort vilket innehåll som helst utan förvarning och utan orsak om det bedöms strida mot tredje parts rättigheter eller i övrigt inte vara i enlighet med ExorLives riktlinjer.

8. Avhjälpande av fel

Det Licensierade tillhandahålls i befintligt skick, utan någon form av garanti. Licensgivaren lämnar således ingen garanti för att driften av det Licensierade eller åtkomsten till det Licensierade kommer att vara utan avbrott och felfri. Licensgivaren testar löpande det Licensierade men kan inte utesluta att det Licensierade – likt all annan mjukvara som tillhandahålls online – innehåller fel och brister. 

Sådana fel utgör ingen grund för hävning och berättigar inte Licenstagaren till avhjälpande eller andra avtalsrättsliga påföljder. Detsamma gäller för innehållsfel. Licensgivaren strävar efter att alla fel och brister i det Licensierade åtgärdas löpande, men ger ingen garanti för att varje fel och brist kommer att rättas.

9. Ändring av allmänna villkor 

Licensgivaren kan när som helst ändra Licensvillkoren, men sådana ändringar ska meddelas Licenstagaren senast 30 (trettio) dagar innan ändringen träder i kraft, såvida inte ändringen är nödvändig för att ExorLive ska följa gällande lagstiftning och där en kortare förvarningsperiod är nödvändig för att säkerställa följsamhet. Licensgivarens meddelande till Licenstagaren ska ange vilka ändringar som gjorts. 

Om Licenstagaren inte vill vara bunden av de ändrade Licensvillkoren, ska Licenstagaren före ändringens ikraftträdande meddela Licensgivaren att de ändrade villkoren inte accepteras. Licenstagaren ska ange anledningen till varför villkoren inte kan accepteras. Licensgivaren betraktar då avtalet som uppsagt om inget annat avtalas. 

Om Licenstagaren inte har meddelat Licensgivaren inom 30 (trettio) dagar efter ändringsmeddelandet att de nya licensvillkoren inte accepteras, fortsätter avtalet i enlighet med de ändrade villkoren.

10. Information 

Insamling av icke-identifierbara uppgifter 

Licenstagaren accepterar att Licensgivaren kan samla in, använda och lagra statistiska, tekniska och andra icke-identifierbara uppgifter som samlats in i samband med systemövervakning, analys, förbättring och supportprogram. 

Licensgivaren får endast använda dessa uppgifter för att förbättra ExorLives system eller leverera anpassade tjänster eller teknologier till Licenstagaren.

Insamling av personligt identifierbara uppgifter 

I samband med leveransen av det Licensierade, kommer Licensgivaren att samla in och behandla uppgifter om Licenstagaren, användaren och dennes patienter/medborgare/klienter.

Om inte annat uttryckligen anges är Licensgivaren personuppgiftsbiträde och behandlar personuppgifterna på uppdrag av Licenstagaren, som är personuppgiftsansvarig.

Licensgivaren är endast personuppgiftsansvarig för personuppgifter som förs in i systemet för sina egna anställda och egna projekt. 

Personuppgifter behandlas endast i den utsträckning det är nödvändigt för att leverera det Licensierade och endast de uppgifter som användaren eller slutanvändaren anger i systemet behandlas. 

Hur och när ExorLive samlar in och behandlar personuppgifter framgår av ExorLives integritetspolicy och/eller ingånget personuppgiftsbiträdesavtal.

11. Säkerhet 

Licensgivaren säkerställer att användargenererat innehåll lagras i en datamiljö som uppfyller säkerhetskrav motsvarande kraven för lagring av personuppgifter.

12. Sekretess 

Licensgivaren säkerställer att åtkomst till användargenererat innehåll endast ges till de av Licensgivarens anställda för vilka sådan åtkomst är nödvändig för deras arbetsuppgifter hos Licensgivaren. Licensgivaren säkerställer även att anställda med sådan åtkomst undertecknar en sekretessklausul om tystnadsplikt beträffande information som inhämtas i samband därmed.

13. Ansvarsfriskrivning och ansvarsbegränsning 

Licensgivaren är ansvarig för produktskador i enlighet med de bestämmelser i produktansvarslagstiftningen som inte kan avtalas bort, men friskriver sig från produktansvar på alla andra grunder.

Licensgivaren är under inga omständigheter ansvarig gentemot Licenstagaren för indirekta förluster eller följdskador som uppstått i samband med användningen av det Licensierade, inklusive men inte begränsat till driftförluster, utebliven vinst, förlust och/eller återställande av data, förlust av goodwill samt andra former av följdskador. Licensgivaren ansvarar inte heller gentemot Licenstagaren för fel i Licenstagarens rådgivning till tredje part som beror på fel eller brister i det Licensierade.

Licensgivarens skadeståndsansvar enligt Avtalet kan högst uppgå till ett belopp motsvarande 3 månaders licensavgift för den specifika modul som är orsaken till ersättningskravet.

Licensgivaren friskriver sig från allt ansvar för förlust eller skada som kan härledas till Licenstagarens egen anslutning till Licensgivarens tjänst, inklusive bristande anslutning, systemkrascher m.m. Detsamma gäller för Licenstagarens övriga IT-utrustning, webbläsare, programvara m.m.

Vid Licenstagarens brott mot Licensvillkoren är Licensgivaren, utöver eventuell rätt till ersättning för obehörig användning av det Licensierade, berättigad till skadestånd i enlighet med allmänna bestämmelser i Svensk rätt.

14. Force majeure

Ingen av parterna ska enligt Avtalet anses ansvarig gentemot den andra parten för omständigheter som ligger utanför partens kontroll och som parten vid Avtalets ingående inte rimligen borde ha beaktat eller undvikit eller övervunnit, inklusive men inte begränsat till krig och mobilisering, civila oroligheter, naturkatastrofer, strejk, lockout, bristande tillgång till råvaror, epidemi, pandemi eller annat utbrott av allvarlig mänsklig sjukdom, brand, skada på produktionsanläggning, avbrott i allmän kommunikation, inklusive energiförsörjning samt import- och/eller exportförbud.

Omständigheter hos en parts leverantör anses som force majeure för denna part, om leverantören är utsatt för en motsvarande hinder och leverantören inte borde ha undvikit eller övervunnit hindret, eventuellt genom att anlita en alternativ leverantör.

 

Personuppgiftsbiträdesavtal (PUB)

Detta personuppgiftsbiträdesavtal (“Personuppgiftsbiträdesavtalet”) reglerar ExorLive AS behandling av personuppgifter för kundens räkning i enlighet med dataskyddsförordningen (GDPR) artikel 28.

Parter

Personuppgiftsbiträdesavtalet ingås mellan:

Personuppgiftsansvarig
Den juridiska enheten (kunden) som har köpt licens till och accepterat villkoren för användning av ExorLive-systemet.

Personuppgiftsbiträde
ExorLive AS
Org.nr.: 985 542 597
Adress: Hovfaret 4, 0275 Oslo, Norge

Personuppgiftsansvarig och Personuppgiftsbiträde benämns var för sig “Part” och gemensamt “Parterna”.

Giltighet och accept

Personuppgiftsbiträdesavtalet träder i kraft när kunden accepterar ExorLives användarvillkor i samband med registrering eller köp av licens till ExorLive-systemet.

Personuppgiftsbiträdesavtalet utgör en integrerad del av avtalet mellan Parterna och gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Om Parterna har ingått ett separat, skriftligt personuppgiftsbiträdesavtal, har detta företräde.

Dokumentation

Den vid var tid gällande versionen av Personuppgiftsbiträdesavtalet finns tillgänglig på ExorLives webbplats.

Personuppgiftsansvarig kan när som helst ladda ner en kopia av avtalet. På begäran kan en undertecknad version tillhandahållas om detta krävs.

 

0. Definitioner

  • Behandling: Varje åtgärd eller serie av åtgärder som utförs på personuppgifter eller uppsättningar av personuppgifter, oavsett om det sker automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, framtagning, läsning, användning, utlämnande genom överföring, spridning eller annat tillhandahållande, justering eller sammanförande, begränsning, radering eller förstöring.
  • Dataskyddslagstiftning: All tillämplig lagstiftning, förordning och föreskrift rörande skydd av personuppgifter och integritet, inklusive EU:s allmänna dataskyddsförordning (GDPR), nationell lagstiftning och tillhörande genomförandebestämmelser.
  • Personuppgiftsansvarig: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
  • Instruktion: De skriftliga instruktioner som närmare anger behandlingens föremål, varaktighet, art och syfte, typer av personuppgifter samt kategorier av registrerade och eventuella särskilda krav.
  • Logg: Resultatet av loggning.
  • Loggning: Löpande registrering av uppgifter om den behandling av personuppgifter som utförs enligt detta avtal och som kan knytas till en identifierad eller identifierbar fysisk person.
  • Personuppgiftsbiträde: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
  • Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en online-identifikator eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
  • Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter som har överförts, lagrats eller på annat sätt behandlats.
  • Registrerad: Den fysiska person vars personuppgifter behandlas.
  • Tredjeland: En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
  • Underbiträde: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

1. Ändamål

Bestämmelserna i detta personuppgiftsbiträdesavtal fastställer personuppgiftsbiträdets rättigheter och skyldigheter vid behandling av personuppgifter för den personuppgiftsansvariges räkning.

Bestämmelserna har utformats i syfte att säkerställa att parterna efterlever artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt om upphävande av direktiv 95/46/EG.

Bestämmelserna befriar inte personuppgiftsbiträdet från skyldigheter som följer av dataskyddsförordningen eller annan tillämplig lagstiftning.

2. Den personuppgiftsansvariges rättigheter och skyldigheter

Den personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter sker i enlighet med GDPR, annan tillämplig EU-rätt, nationell lagstiftning och detta personuppgiftsbiträdesavtal.

Den personuppgiftsansvarige fastställer ändamålen med och medlen för behandlingen av personuppgifter.

Den personuppgiftsansvarige ansvarar för att det finns en giltig rättslig grund för den behandling av personuppgifter som personuppgiftsbiträdet instrueras att utföra.

3. Personuppgiftsbiträdet handlar enligt instruktion

Personuppgiftsbiträdet får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte behandlingen krävs enligt unionsrätten eller nationell rätt i en medlemsstat som personuppgiftsbiträdet omfattas av.

Instruktioner kan även lämnas i efterhand av den personuppgiftsansvarige under pågående behandling, men instruktionerna ska alltid vara dokumenterade och bevaras skriftligen – inklusive i elektroniskt format – tillsammans med dessa bestämmelser.

Personuppgiftsbiträdet ska omedelbart underrätta den personuppgiftsansvarige om det anser att en given instruktion strider mot dataskyddsförordningen eller annan tillämplig EU- eller nationell lagstiftning.

Vid ingåendet av detta personuppgiftsbiträdesavtal föreligger en tydlig instruktion för behandlingens genomförande, såsom beskrivet i punkt 4.

4. Personuppgiftsbiträdets behandling av personuppgifter

4.1 Allmänt om behandlingen

Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning i samband med leveransen av ExorLive-systemet i enlighet med licensavtalet.

Personuppgiftsbiträdet får endast behandla personuppgifter i den utsträckning som är nödvändig för att uppfylla licensavtalet och i enlighet med den personuppgiftsansvariges dokumenterade instruktioner.

Personuppgiftsbiträdet har inte rätt att behandla personuppgifter för egna ändamål, såvida detta inte följer av tillämplig lagstiftning eller uttryckligen har avtalats mellan parterna.

4.2 Behandlingsinstruktion och kategorier av personuppgifter

Personuppgiftsbiträdet behandlar personuppgifter i enlighet med den personuppgiftsansvariges dokumenterade instruktioner, såsom framgår av detta avtal och av Bilaga 1 (Behandlingsinstruktion).

Bilaga 1 reglerar närmare ändamålet med behandlingen, behandlingens art, kategorier av personuppgifter, kategorier av registrerade samt behandlingens varaktighet och utgör den bindande instruktionen enligt dataskyddsförordningen artikel 28.3.

Den personuppgiftsansvariges användning, konfiguration och administration av systemet (inklusive val av funktionalitet, åtkomstkontroll och inställningar) ska också anses utgöra dokumenterad instruktion.

Personuppgiftsbiträdet får endast behandla de personuppgifter som den personuppgiftsansvarige registrerar, laddar upp eller på annat sätt gör tillgängliga i systemet och ska inte själv fastställa ändamål eller medel för behandlingen.

Behandlingen kan omfatta både vanliga personuppgifter och, beroende på den personuppgiftsansvariges användning av systemet, särskilda kategorier av personuppgifter, inklusive hälsouppgifter.

Eventuella ändringar i behandlingens omfattning eller karaktär ska dokumenteras och anses utgöra instruktion från den personuppgiftsansvarige när de har bekräftats skriftligen.

4.3 Behandlingens geografiska omfattning och överföring till tredjeland

Behandling och lagring av personuppgifter sker inom EU/EES.

Om personuppgiftsbiträdet i samband med leveransen använder underbiträden eller koncernstrukturer som kan medföra överföring av eller åtkomst till personuppgifter från länder utanför EU/EES, ska sådan överföring ske i enlighet med dataskyddsförordningens kapitel V och på grundval av den personuppgiftsansvariges dokumenterade instruktioner.

Personuppgiftsbiträdet ska i sådana fall säkerställa att det finns en giltig överföringsgrund, inklusive EU-kommissionens standardavtalsklausuler (SCC 2021), giltigt beslut om adekvat skyddsnivå, inklusive EU–US Data Privacy Framework där detta är relevant, samt eventuella kompletterande åtgärder baserade på genomförd Transfer Impact Assessment (TIA).

Dokumentation av överföringsgrund och eventuella riskbedömningar ska kunna tillhandahållas på begäran.

4.4 Användning av underbiträden

Personuppgiftsbiträdet får använda underbiträden i enlighet med dataskyddsförordningen artikel 28.2 och 28.4 för att uppfylla sina skyldigheter enligt licensavtalet och detta personuppgiftsbiträdesavtal.

Den personuppgiftsansvarige lämnar genom ingåendet av detta avtal ett allmänt förhandsgodkännande till användning av de underbiträden som anges i Bilaga 3 (Underbiträden).

Bilaga 3 anger vilka underbiträden som används, vilken behandling de utför samt eventuella överföringsgrunder vid åtkomst från tredjeland.

Vid planerade ändringar som innebär tillägg eller utbyte av underbiträden ska personuppgiftsbiträdet skriftligen underrätta den personuppgiftsansvarige minst 30 dagar innan ändringen träder i kraft.

Den personuppgiftsansvarige kan inom denna tidsfrist framföra saklig och motiverad invändning relaterad till dataskydd eller informationssäkerhet. Om sådan invändning framställs ska parterna i god tro försöka nå en lösning.

Personuppgiftsbiträdet ska genom avtal eller annan rättslig grund säkerställa att underbiträdet åläggs samma dataskyddsförpliktelser som följer av detta personuppgiftsbiträdesavtal, inklusive krav på konfidentialitet, säkerhet, bistånd och radering.

Personuppgiftsbiträdet förblir fullt ansvarigt gentemot den personuppgiftsansvarige för underbiträdets uppfyllelse av sina skyldigheter.

Tillfällig och begränsad åtkomst till personuppgifter i samband med tekniskt underhåll eller support anses som behandling för den personuppgiftsansvariges räkning och ska omfattas av motsvarande konfidentialitets- och säkerhetsförpliktelser.

4.5 Begäran från myndigheter

Personuppgiftsbiträdet får inte lämna ut personuppgifter till offentliga myndigheter, inklusive polis, skattemyndigheter eller andra organ, utan att först skriftligen informera den personuppgiftsansvarige, såvida inte biträdet enligt lag är förhindrat att göra det – till exempel vid brottsutredningar eller liknande.

Om personuppgiftsbiträdet mottar en rättsligt bindande begäran om åtkomst till personuppgifter, ska biträdet:

  • Dokumentera begäran och bevara kopia av all relevant korrespondens
  • Omedelbart underrätta den personuppgiftsansvarige om begäran och dess rättsliga grund, om detta inte är förbjudet enligt gällande lag
  • Vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de registrerades uppgifter och minimera åtkomsten

Personuppgiftsbiträdet ska säkerställa att motsvarande skyldigheter även kontraktsmässigt åläggs eventuella underbiträden.

5. Personuppgiftsbiträdets skyldigheter

5.1 Biträde till den personuppgiftsansvarige

Personuppgiftsbiträdet ska, med beaktande av behandlingens art och i den mån det är möjligt, bistå den personuppgiftsansvarige med hjälp av lämpliga tekniska och organisatoriska åtgärder för att uppfylla den personuppgiftsansvariges skyldighet att besvara begäranden om utövande av de registrerades rättigheter enligt kapitel III i GDPR.

Biträdet ska lämnas på grundval av den personuppgiftsansvariges dokumenterade instruktioner och inom ramen för parternas avtal.

Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige i den mån det är nödvändigt och proportionerligt, och endast avseende de personuppgifter och behandlingsaktiviteter som personuppgiftsbiträdet faktiskt behandlar för den personuppgiftsansvariges räkning.

Personuppgiftsbiträdet ska vidare, med beaktande av behandlingens art och den information som finns tillgänglig för biträdet, bistå den personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna enligt artiklarna 32–36 i GDPR, inklusive:

  • hantering och anmälan av personuppgiftsincidenter
  • underrättelse till registrerade vid personuppgiftsincidenter
  • genomförande av konsekvensbedömningar avseende dataskydd (DPIA)
  • förhandssamråd med tillsynsmyndigheten

Biträde enligt denna punkt ska lämnas i den mån den personuppgiftsansvarige inte själv har tillgång till de relevanta uppgifterna och kan medföra särskild ersättning om biträdet går utöver personuppgiftsbiträdets standardfunktionalitet eller avtalade tjänster.

5.2 Tekniska och organisatoriska åtgärder

Personuppgiftsbiträdet ska vid varje tidpunkt genomföra och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa och visa att behandlingen sker i enlighet med dataskyddsregelverket och detta personuppgiftsbiträdesavtal.

Åtgärderna ska säkerställa en säkerhetsnivå som är lämplig med hänsyn till behandlingens art, omfattning, ändamål och riskerna för de registrerades rättigheter och friheter, enligt artikel 32 i GDPR. Detta omfattar bland annat åtgärder för att:

  • säkerställa personuppgifternas konfidentialitet, integritet, tillgänglighet och robusthet
  • förebygga och upptäcka obehörig åtkomst, ändring, radering eller utlämnande
  • återställa tillgänglighet och åtkomst till personuppgifter vid incidenter
  • regelbundet testa, bedöma och utvärdera effektiviteten av säkerhetsåtgärderna

Personuppgiftsbiträdet ska fortlöpande bedöma och uppdatera säkerhetsåtgärderna i ljuset av teknisk utveckling, identifierade risker och branschstandarder.

Dokumentation av vidtagna åtgärder ska kunna tillhandahållas på begäran inom ramen för licensavtalet och revisionsbestämmelserna.

Personuppgiftsbiträdet arbetar enligt erkända standarder för informationssäkerhet och har implementerat principer för inbyggt dataskydd och dataskydd som standard.

6. Underrättelse om personuppgiftsincident

Personuppgiftsbiträdet ska utan onödigt dröjsmål informera den Personuppgiftsansvarige efter att ha blivit medveten om en personuppgiftsincident.

Underrättelsen från Personuppgiftsbiträdet till den Personuppgiftsansvarige ska, om möjligt, ske senast inom 24 timmar efter att biträdet fått kännedom om incidenten, så att den Personuppgiftsansvarige kan uppfylla sin skyldighet att anmäla personuppgiftsincidenten till Integritetsskyddsmyndigheten i enlighet med artikel 33 i Dataskyddsförordningen.

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att anmäla incidenten till tillsynsmyndigheten. Detta innebär att Personuppgiftsbiträdet ska bistå med att ta fram följande information som enligt artikel 33.3 ska inkluderas i anmälan:

  1. arten av personuppgiftsincidenten, inklusive, om möjligt, de berörda kategorierna och det ungefärliga antalet registrerade samt antalet berörda personuppgiftsregister

  2. sannolika konsekvenser av incidenten

  3. vilka åtgärder som vidtagits eller föreslås vidtas av den Personuppgiftsansvarige för att hantera incidenten, inklusive, om det är relevant, åtgärder för att mildra dess eventuella negativa effekter

Omedelbart efter att ha informerat om incidenten ska Personuppgiftsbiträdet dessutom ge den Personuppgiftsansvarige en ytterligare beskrivning av:

  • alla relevanta aspekter relaterade till incidenten som är kända för Personuppgiftsbiträdet, inklusive vad incidenten består av, kategorier och mängder av personuppgifter. Uppgifter som Personuppgiftsbiträdet blir medveten om först efter den första underrättelsen ska omedelbart meddelas till den Personuppgiftsansvarige
  • vilka åtgärder som har genomförts eller föreslagits för att förebygga konsekvenser och begränsa incidentens omfattning

Personuppgiftsbiträdet ska även bistå den Personuppgiftsansvarige med att bedöma konsekvenserna för personuppgiftsskyddet till följd av incidenten.

Personuppgiftsbiträdet förbinder sig att informera den Personuppgiftsansvarige om det visar sig att biträdet inte följer, eller befarar att det inte kommer kunna följa, kraven i Dataskyddsförordningen eller detta Avtal, oavsett orsak. I ett sådant fall har den Personuppgiftsansvarige rätt att omedelbart avbryta ytterligare behandling av personuppgifter.

7. Ansvar för behandlingen

Den Personuppgiftsansvarige är ansvarig för att de personuppgifter som Personuppgiftsbiträdet får tillgång till har samlats in lagligt och att det finns en giltig rättslig grund för behandlingen.

Den Personuppgiftsansvarige har det huvudsakliga ansvaret för behandlingen av personuppgifter och ska informera Personuppgiftsbiträdet om behov av bistånd i enlighet med artikel 28 i Dataskyddsförordningen.

Den Personuppgiftsansvarige ska hålla Personuppgiftsbiträdet skadeslös från alla kostnader, utgifter, skador, förluster (inklusive indirekta skador), förpliktelser och krav som Personuppgiftsbiträdet kan komma att utsättas för från tredje part, förutsatt att omständigheterna uppstått som en följd av den Personuppgiftsansvariges överträdelse av Dataskyddsförordningen eller andra skyldigheter enligt detta Avtal.

Ansvar för materiell eller immateriell skada gentemot en eller flera registrerade ska regleras i enlighet med villkoren och riktlinjerna i artikel 82 i Dataskyddsförordningen.

Personuppgiftsbiträdet är ansvarigt för skador, administrativa sanktionsavgifter eller förluster som kan hänföras till egna handlingar eller underlåtelser som utgör brott mot detta avtal eller gällande dataskyddslagstiftning, inklusive vårdslöshet vid genomförandet av lämpliga tekniska och organisatoriska åtgärder.

Personuppgiftsbiträdets maximala ansvar regleras enligt vad som framgår av licensavtalet och dess villkor.

Ingen ansvarsbegränsning gäller om den skadeståndsgrundande handlingen har begåtts med uppsåt eller genom grov vårdslöshet från endera parten.

8. Säkerhetsrevision

Personuppgiftsbiträdet ska tillhandahålla den information som är nödvändig för att dokumentera efterlevnad av GDPR artikel 28 och detta avtal.

Som huvudregel uppfylls revisionsskyldigheten genom att personuppgiftsbiträdet årligen inhämtar en relevant revisionsrapport och/eller certifiering från en oberoende tredje part, som görs tillgänglig för den personuppgiftsansvarige. Sådan dokumentation anses vara tillräcklig för att uppfylla den personuppgiftsansvariges kontrollbehov, om inte särskilda omständigheter talar för något annat.

Den personuppgiftsansvarige kan begära ytterligare dokumentation om det finns konkreta och sakliga skäl att anta väsentliga överträdelser av dataskyddsregelverket eller detta avtal.

Om revisionsrapporter och tillgänglig dokumentation inte anses tillräckliga kan den personuppgiftsansvarige kräva en ytterligare revision. Innan en sådan revision genomförs ska parterna skriftligen komma överens om omfattning, metod, varaktighet, tidpunkt och praktiskt genomförande. Revisionen ska:

  • aviseras med minst 30 dagars skriftligt varsel
  • genomföras under normal arbetstid
  • inte störa personuppgiftsbiträdets verksamhet
  • begränsas till förhållanden som är relevanta för behandlingen av personuppgifter
  • genomföras av en oberoende och kvalificerad tredje part under tystnadsplikt
  • genomföras på den personuppgiftsansvariges bekostnad

Revisionen ska inte ge tillgång till andra kunders data, affärshemligheter eller säkerhetskritisk information som inte är relevant för den aktuella behandlingen.

Inspektionsrätten omfattar inte fysiska platser eller datacenter som drivs av tredje part. Dokumentation för sådana miljöer tillhandahålls genom tillgänglig tredjepartsdokumentation. Om en revision visar väsentliga avvikelser från detta avtal eller gällande dataskyddslagstiftning ska personuppgiftsbiträdet utan onödigt dröjsmål vidta nödvändiga korrigerande åtgärder.

Inget i denna bestämmelse begränsar tillsynsmyndigheters lagstadgade rättigheter.

9. Sekretess

Personuppgiftsbiträdet får endast ge åtkomst till personuppgifter som behandlas för den Personuppgiftsansvariges räkning till personer som är underställda Personuppgiftsbiträdets instruktioner, som har förbundit sig till tystnadsplikt eller är föremål för en lämplig lagstadgad sekretessplikt – och endast i den omfattning det är nödvändigt. Listan över personer som har beviljats åtkomst ska granskas löpande. Baserat på denna granskning kan åtkomst till personuppgifter tas bort om den inte längre är nödvändig, och uppgifterna ska därefter inte längre vara tillgängliga för dessa personer.

Personuppgiftsbiträdet ska, på begäran från den Personuppgiftsansvarige, kunna påvisa att de personer som är underställda Personuppgiftsbiträdets instruktioner är bundna av ovannämnda sekretessplikt.

Sekretessplikten gäller för Parternas anställda samt för underbiträden som agerar på Parternas vägnar vid fullgörandet av detta Personuppgiftsbiträdesavtal och licensavtalet. Parterna får endast överföra sekretessbelagd information till underbiträden eller tredje parter i den utsträckning det är nödvändigt för att fullgöra detta Personuppgiftsbiträdesavtal och licensavtalet, under förutsättning att de åläggs en tystnadsplikt som motsvarar denna punkt.

Sekretessplikten gäller även efter det att Personuppgiftsbiträdesavtalet och licensavtalet upphört. Anställda eller andra personer som lämnar sina positioner hos en av Parterna ska fortsätta omfattas av sekretessplikten även efter att de lämnat sina uppdrag, enligt villkoren ovan. Sekretessplikten upphör först tio (10) år efter att detta Personuppgiftsbiträdesavtal och licensavtalet har upphört, såvida inte annat följer av lag eller förordning.

10. Varaktighet och upphörande av behandlingen

Personuppgifter lagras hos personuppgiftsbiträdet så länge licensavtalet är aktivt och behandlas i enlighet med den personuppgiftsansvariges dokumenterade instruktioner. Personuppgiftsbiträdet raderar inte uppgifter på eget initiativ, såvida detta inte följer av lag, säkerhetsskäl eller uttrycklig instruktion från den personuppgiftsansvarige.

Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning upphör när licensavtalet upphör.

Vid licensavtalets upphörande ska personuppgiftsbiträdet utan onödigt dröjsmål och senast inom 90 dagar efter licensförhållandets upphörande radera personuppgifterna, om inte den personuppgiftsansvarige inom samma tidsfrist skriftligen har instruerat om återlämnande enligt punkt 11.

Under perioden fram till radering eller återlämnande får personuppgifterna inte behandlas aktivt, såvida detta inte är nödvändigt för att genomföra återlämnandet eller uppfylla rättsliga förpliktelser.

Före radering får personuppgiftsbiträdet anonymisera personuppgifter, förutsatt att anonymiseringen är irreversibel och genomförd i enlighet med tillämplig dataskyddslagstiftning, så att uppgifterna inte längre kan hänföras till en identifierad eller identifierbar fysisk person. Fullständigt anonymiserade uppgifter anses inte vara personuppgifter och får bevaras för statistiska, säkerhetsrelaterade eller dokumentationsändamål.

11. Återlämnande av personuppgifter

Om den personuppgiftsansvarige skriftligen instruerar personuppgiftsbiträdet att återlämna personuppgifter vid licensavtalets upphörande, ska återlämnande ske inom 30 dagar efter mottagen begäran, om inte annat särskilt avtalats.

Återlämnande sker i ett strukturerat och maskinläsbart format. Standardformat är CSV, om inte annat särskilt avtalats mellan parterna.

Personuppgiftsbiträdet har rätt till skälig ersättning för bistånd i samband med återlämnande eller utlämnande av personuppgifter som går utöver systemets ordinarie funktionalitet. Sådant bistånd debiteras enligt gällande prislista.

Krav på annat filformat, särskild strukturering, migrationsstöd eller anpassningar till tredjepartssystem betraktas som tilläggstjänster och debiteras separat.

Personuppgiftsbiträdet får endast återlämna personuppgifter direkt till den personuppgiftsansvarige eller till en tredje part som den personuppgiftsansvarige skriftligen har utsett.

Bilaga 1 – Information om behandlingen

1. Ändamål

Ändamålet med behandlingen är att tillhandahålla åtkomst till och driva ExorLives digitala tränings- och rehabiliteringsplattform.

Behandlingen gör det möjligt för den personuppgiftsansvarige att:

  • skapa och administrera tränings- och rehabiliteringsprogram
  • ge slutanvändare tillgång till digitala träningsprogram
  • dokumentera, följa upp och utvärdera träningsförlopp
  • administrera användarkonton och åtkomstkontroll
  • säkerställa loggning och spårbarhet

2. Behandlingens art

Behandlingen består av:

  • insamling
  • registrering
  • strukturering
  • lagring
  • tillgängliggörande
  • överföring
  • radering
  • analys

3. Kategorier av personuppgifter

Kan omfatta:

  • identifikationsuppgifter (namn, födelsedatum)
  • kontaktuppgifter (e-post, telefon)
  • användardata och loggdata
  • tränings- och rehabiliteringsdata
  • hälsouppgifter (beroende på kundens användning)
  • uppladdade bilder och videor

Personuppgiftsbiträdet behandlar endast uppgifter som registreras av den personuppgiftsansvarige.

4. Kategorier av registrerade

  • anställda
  • patienter / klienter / medlemmar / medborgare
  • slutanvändare av träningsprogram

5. Automatiserad behandling och AI-funktionalitet

ExorLive-plattformen kan innehålla funktioner som använder automatiserad behandling, inklusive artificiell intelligens (“AI-funktioner”), som stödverktyg för användare.

AI-funktioner genererar förslag eller annat stödjande innehåll baserat på information som registreras i systemet av den personuppgiftsansvarige eller dennes användare. Resultat som genereras av AI-funktioner är endast vägledande och ska alltid bedömas och vid behov justeras av kvalificerad fackperson.

AI-funktioner behandlar endast information som den personuppgiftsansvarige eller dennes användare aktivt registrerar i systemet (inklusive fritextfält). Personuppgiftsbiträdet har inte kontroll över vilken information som registreras, och den personuppgiftsansvarige ansvarar för att personuppgifter inte registreras i strid med tillämplig dataskyddslagstiftning.

Personuppgiftsbiträdet behandlar personuppgifter via AI-funktioner uteslutande för den personuppgiftsansvariges räkning och enligt dennes instruktioner, i enlighet med detta personuppgiftsbiträdesavtal och artikel 28 i dataskyddsförordningen (GDPR).

Den personuppgiftsansvarige kan när som helst inaktivera AI-funktioner i systemets administrationsinställningar.

Ytterligare information om ExorLives användning av AI, inklusive teknisk funktion, säkerhetsåtgärder och efterlevnad av tillämplig lagstiftning, framgår av ExorLives dokumentation:

ExorLive AI – Allmän information

Detaljerad dokumentation för enskilda AI-funktioner finns i ExorLives användardokumentation och supportportal.

Personuppgiftsbiträdet kan löpande introducera nya AI-funktioner. Sådana funktioner omfattas av detta avtal och den personuppgiftsansvariges instruktioner, om inte annat särskilt avtalats.

6. Varaktighet

Behandlingen pågår så länge licensavtalet är aktivt. Den personuppgiftsansvarige kan vid behov själv konfigurera inställningar för löpande radering direkt i administrationspanelen.

Vid upphörande gäller raderingsreglerna i huvudavtalet.

Bilaga 2 – Tekniska och organisatoriska åtgärder

1. Certifieringar och ledningssystem

Personuppgiftsbiträdet upprätthåller ett ledningssystem för informationssäkerhet och dataskydd. Personuppgiftsbiträdet är certifierat enligt ISO 27001 och ISO 13485. Certifieringar kan uppvisas på begäran.

2. Organisation, roller och riktlinjer

Personuppgiftsbiträdet har fastställt roller, ansvar och befogenheter för informationssäkerhet och dataskydd. Dataskyddsombud (DPO) involveras i relevanta frågor och vid hantering av säkerhetsincidenter. Personuppgiftsbiträdet har etablerade och av ledningen godkända riktlinjer och rutiner för behandling av personuppgifter, vilka kommuniceras till berörda medarbetare.

3. Sekretess och utbildning

Medarbetare och andra som agerar under personuppgiftsbiträdets instruktion och som får tillgång till personuppgifter omfattas av tystnadsplikt eller motsvarande sekretessförpliktelser.

Personuppgiftsbiträdet genomför utbildning i informationssäkerhet och dataskydd vid introduktion och löpande därefter, inklusive utbildning om aktuella hot såsom phishing och social engineering samt hantering av säkerhets- och personuppgiftsincidenter.

4. Åtkomstkontroll och autentisering

Tillgång till system och personuppgifter ges enligt roll- och behovsprincipen (minsta privilegium). Åtkomst baseras på individuell autentisering, och multifaktorautentisering används där det är relevant. Åtkomster granskas regelbundet och tas bort vid förändrat behov.

5. Loggning och spårbarhet

Personuppgiftsbiträdet för loggar i den utsträckning som krävs för att säkerställa spårbarhet och säkerhet. Loggning omfattar relevanta händelser avseende autentisering, administrativa åtgärder samt ändringar i systemkonfiguration och/eller behandling av personuppgifter.

Loggdata skyddas mot obehörig ändring och hanteras i enlighet med interna riktlinjer för lagring och radering.

6. Säkerhet för system, enheter och nätverk

Personuppgiftsbiträdet tillämpar säkerhetsåtgärder för att förebygga, upptäcka och hantera obehörig åtkomst och skadlig aktivitet, inklusive rutiner för uppdateringar och patchning, skydd mot skadlig kod samt nätverkssäkerhet.

Kritiska säkerhetsuppdateringar hanteras utan onödigt dröjsmål. Fjärråtkomst för administration eller underhåll sker via säkra anslutningar och omfattas av åtkomstkontroll.

7. Kryptering

Personuppgiftsbiträdet använder kryptering där det är nödvändigt för att uppnå en lämplig säkerhetsnivå, inklusive vid överföring av konfidentiella och/eller känsliga personuppgifter via externa anslutningar.

Krypteringslösningar och nyckelhantering regleras i interna riktlinjer och uppdateras vid behov.

8. Dataseparation

Kunddata är logiskt separerade från andra kunders data.

9. Utveckling, test och ändringshantering

Personuppgiftsbiträdet har etablerade rutiner för ändringshantering som säkerställer att ändringar auktoriseras, testas och godkänns före implementering.

Test- och utvecklingsmiljöer är separerade från produktionsmiljöer. Personuppgiftsbiträdet arbetar enligt principerna om inbyggt dataskydd och dataskydd som standard.

10. Backup, återställning och kontinuitet

Personuppgiftsbiträdet genomför regelbunden backup och har rutiner för återställning.

Personuppgiftsbiträdet har beredskapsrutiner som stödjer återställning av tillgänglighet och åtkomst vid driftstörningar, och genomför löpande test och utvärdering av dessa.

11. Hantering av säkerhets- och personuppgiftsincidenter

Personuppgiftsbiträdet har rutiner för att upptäcka, hantera, dokumentera och följa upp säkerhets- och personuppgiftsincidenter, inklusive rutiner som stödjer anmälningsskyldigheter enligt GDPR artiklarna 33 och 34.

12. Underbiträden

Personuppgiftsbiträdet bedömer säkerhetsnivå och lämplighet hos underbiträden före användning och säkerställer att dessa åläggs motsvarande skyldigheter som i databehandlingsavtalet.

Personuppgiftsbiträdet följer löpande upp underbiträden i enlighet med interna rutiner.

13. Ändringar i åtgärder

Personuppgiftsbiträdet kan vidareutveckla och ändra säkerhetsåtgärder under avtalstiden, förutsatt att den övergripande säkerhetsnivån inte försämras.

Bilaga 3 – Underbiträden

Detta bilaga utgör den vid var tid gällande översikten över underbiträden som personuppgiftsbiträdet använder enligt punkt 4.4 i databehandlingsavtalet.

Den personuppgiftsansvarige lämnar genom ingående av databehandlingsavtalet ett allmänt förhandsgodkännande till användning av de underbiträden som framgår av detta bilaga.

1. Underbiträden

1.1 Microsoft Ireland Operations Ltd
Att: Data Protection
Carmenhall Road
Sandyford, Dublin 18
Irland

Ändamål:
Tillhandahållande av molninfrastruktur och lagring av personuppgifter.

Behandlingsplats:
EU/EES

Tredjelandsöverföring:
Kan förekomma till följd av koncernstruktur eller fjärrsupport. Överföring sker i enlighet med GDPR kapitel V baserat på giltig överföringsgrund, inklusive EU-kommissionens standardavtalsklausuler och/eller giltigt beslut om adekvat skyddsnivå.

1.2 Atlassian (används via molninfrastruktur inom EU/EES)
Atlassian via Amazon Web Services
(Behandling sker via datacenter inom EU/EES)

Ändamål:
Support- och ärendehanteringssystem för hantering av kundförfrågningar.

Behandlingsplats:
EU/EES

Tredjelandsöverföring:
Kan förekomma till följd av koncernstruktur eller supportåtkomst. Överföring sker i enlighet med GDPR kapitel V.

2. Överföringsgrund vid tredjelandsöverföring

Om behandling eller åtkomst innebär överföring till tredjeland säkerställer personuppgiftsbiträdet giltig överföringsgrund i enlighet med GDPR kapitel V.

Detta kan omfatta:

  • EU-kommissionens standardavtalsklausuler (SCC 2021)
  • giltigt beslut om adekvat skyddsnivå
  • EU–US Data Privacy Framework (där tillämpligt)

Dokumentation kan tillhandahållas på begäran.

3. Ändringar av underbiträden

Vid ändringar av underbiträden följs proceduren i punkt 4.4 i databehandlingsavtalet.

Uppdaterad lista över underbiträden kommer vid var tid att vara tillgänglig via skriftlig kundkommunikation.

 

Länk till v1: Personuppgiftsbiträdesavtal gällande före 23.3.2026

 

Artiklar i detta avsnitt

Se fler