Avtalet på denna sida inkluderar licensavtalet och personuppgiftsbiträdesavtalet för ExorLive AS.

Klikca här för att komma direkt till Licensvillkor

Klicka här för att komma direkt till Personuppgiftsbiträdesavtalet (PUB avtalet).

Klicka här för att läsa vår privacy policy.  

Licensavtal

Inledning

Detta licensavtal har ingåtts mellan ExorLive (“Licensgivaren”) och dig, hädanefter benämnd "Licenstagaren".

Detta avtal är integrerat med och används i samband med det tillhörande Personuppgiftsbiträdesavtalet, Service-level-objectives (SLO) och Licensvillkoren. Tillsammans utgör dessa dokument det fullständiga avtalet mellan parterna och reglerar användningen av ExorLive-systemet (hädanefter ”Systemet”) samt behandlingen av personuppgifter och benämns gemensamt ”Avtalet”.

Genom att installera, kopiera, få åtkomst till eller på annat sätt använda Systemet bekräftar du att du har läst, förstått och accepterat samtliga villkor i detta Avtal samt i det integrerade Personuppgiftsbiträdesavtalet och Licensvillkoren.

Licenstagaren erkänner och accepterar att efterlevnad av vart och ett av dessa avtal är en förutsättning för att använda Systemet.

Vid motstridigheter mellan dokumenten ska villkoren i detta Licensavtal ha företräde, dock med förbehållet att bestämmelser avseende dataskydd i Personuppgiftsbiträdesavtalet ska ha företräde i frågor som rör skydd av personuppgifter.

Licensens omfattning

ExorLive är ett system som erbjuder ett omfattande verktyg för träning och hälsa, riktat till tränare, fysioterapeuter, hälso- och sjukvårdspersonal samt slutanvändare. Plattformen ger användarna tillgång till en stor övningsdatabas som kan anpassas och kombineras till individuella träningsprogram. ExorLive gör det enkelt att skapa och dela personliga träningsplaner med klienter och patienter.

Licenstagaren har, genom att slutföra ett köp via orderformuläret på webbshoppen, köpt en licens att använda Systemet enligt de villkor som framgår av Avtalet och som specificeras i orderbekräftelsen.

Leverans

Systemet tillhandahålls Licenstagaren som en Software as a Service-lösning. Mjukvaran är licensbaserad och Systemet är hostat på en central server.

Licensgivaren levererar systemnyckel/-nycklar till Licenstagaren till den e-postadress som registrerades vid köpet.

Rättigheter – Licenstagare

Licenstagaren innehar alla rättigheter till all data som denne tillhandahåller Licensgivaren eller som genereras eller lagras vid användning av Systemet. Licensgivaren har endast rätt att använda Licenstagarens data för de syften som anges i Avtalet.

Licensgivaren erkänner att data enligt denna bestämmelse betraktas som Licenstagarens konfidentiella information.

Vid helt eller delvis uppsägning eller upphörande av Avtalet, oavsett orsak, är Licensgivaren skyldig att bistå Licenstagaren i den mån det är relevant och nödvändigt vid överföring av all data till Licenstagaren, andra leverantörer eller myndigheter.

Licensgivaren har rätt till ersättning för bistånd i samband med övergång. Ersättning ges enligt gällande timtaxor.

Varaktighet och uppsägning

Licenser träder i kraft på orderdatumet och löper därefter under licensperioden med automatisk förnyelse. 

Licensperiodens längd är specificerad vid köpet.

Licenstagaren kan säga upp detta licensavtal skriftligen till licensperiodens slut.

Om Licensgivaren inte har mottagit Licenstagarens skriftliga uppsägning senast på datumet för licensperiodens utgång, är Licenstagaren bunden av Avtalet för ytterligare en licensperiod.

Licensavgift

Licensavgiften beskrivs i orderformuläret på webbshoppen.

Det aktuella priset för leverans av den licensierade tjänsten justeras årligen från och med datumet för licensens ikraftträdande.

Prisjusteringen sker i syfte att täcka ökade kostnader för drift och utveckling av Systemet och dess funktioner.

Meddelande om prisändringar kan ges genom faktura innan den aktuella abonnemangsperioden löper ut. Om prisändringarna inte kan accepteras har Licenstagaren i detta fall rätt att frånträda Avtalet vid den aktuella abonnemangsperiodens slut, genom skriftligt meddelande till Licensgivaren inom 14 dagar från fakturadatumet.

Fakturering och betalningsvillkor

Licensen förfaller till betalning vid beställningstillfället eller enligt vad som anges i utfärdad faktura.

Om Licenstagaren väljer att köpa till en licenstjänst under licensperioden, kommer denna licens att faktureras vid tidpunkten för köpet. Fakturering sker då för perioden fram till den ursprungliga licensperiodens slut.

Vid en eventuell förnyelse av licensen kommer det genomförda tillköpet att integreras med given webborder, vilket därefter kommer att utgöra den samlade licensen.

Fakturering sker därefter årligen för ett år i taget och förfaller till betalning enligt den elektroniskt utfärdade fakturan.

Om sista betalningsdag inte infaller på en bankdag skjuts betalningsdagen fram till nästkommande bankdag.

Vid försenad betalning har Licensgivaren rätt att ta ut dröjsmålsränta i enlighet med räntelagens bestämmelser.

Service

Licensgivarens servicepolicy och servicenivåer i relation till installation, användning och åtkomst till Systemet för Licenstagaren, dess anställda och kontakter, regleras närmare i Licensgivarens Servicenivåavtal (SLO).

Personuppgifter

Licensgivaren är skyldig att säkerställa att den vid var tid gällande svensk personuppgiftslagstiftning följs vid all behandling som utförs av Licensgivaren – särskilt dataskyddsförordningen (GDPR) och dataskyddslagen.

Eftersom Licensgivarens leverans av Systemet innebär behandling av personuppgifter, förbinder sig Parterna att ingå ett personuppgiftsbiträdesavtal som uppfyller den vid var tid gällande personuppgiftslagstiftningen.

Detta personuppgiftsbiträdesavtal är integrerat i föreliggande Avtal och anses ingånget genom Licenstagarens användning eller godkännande av Avtalet.

Licensgivaren är inte ansvarig för att säkerställa att Licenstagaren uppfyller sina egna skyldigheter enligt gällande lagstiftning, inklusive rollen som personuppgiftsansvarig.

Garanti

Systemet är licensierat, inte sålt. Licensgivaren lämnar inga garantier av något slag, utöver de som uttryckligen anges i Avtalet eller som uttryckligen har överenskommits mellan Licensgivaren och Licenstagaren.

Licensgivarens kontraktsbrott

En brist föreligger från Licensgivarens sida om det levererade inte uppfyller de givna garantierna, eller om det i övrigt inte är eller fungerar i enlighet med Licensgivarens avsedda syfte samt på grundval av Avtalets innehåll.

Licensgivaren är på Licenstagarens begäran skyldig att åtgärda de påtalade bristerna snarast möjligt. Om åtgärd inte är möjlig eller om Licenstagaren utan framgång har försökt åtgärda en brist upprepade gånger, kan Licenstagaren ha rätt till kompensation i form av servicekrediter, vilka krediteras på fakturan för nästa licensperiod. Beloppets storlek fastställs i dialog med Licensgivaren eller i enlighet med Servicenivåerna för tillgänglighet, om bristen omfattas av dessa.

Tystnadsplikt

Parterna ska iaktta sedvanlig tystnadsplikt gällande förhållanden som inte är allmänt kända. Tystnadsplikten är särskilt förstärkt genom ingåendet av personuppgiftsbiträdesavtalet för de uppgifter som omfattas av detta.

Licensgivaren får dock ange Licenstagaren på en referenslista på sin webbplats efter leverans. Licensgivarens övriga marknadsföring rörande Licenstagaren får därefter endast ske med Licenstagarens samtycke.

Licenstagarens kontraktsbrott

Om Licenstagaren åsidosätter sina betalningsförpliktelser enligt Avtalet, har Licensgivaren rätt att ta ut dröjsmålsränta i enlighet med räntelagens bestämmelser.

Licensgivaren har dessutom rätt att säga upp Avtalet, om denne skriftligen har lämnat ett krav till Licenstagaren där det specificeras dels hur Licenstagaren har brutit mot sina skyldigheter enligt Avtalet, dels att underlåtenhet att rätta till detta inom 14 arbetsdagar medför att Avtalet hävs – och om Licenstagaren inte har uppfyllt sina skyldigheter inom den angivna tidsfristen.

Skadeståndsansvar

Parterna är skadeståndsskyldiga enligt svensk rätts allmänna regler.

Parterna är under inga omständigheter ansvariga för driftförlust, följdskador eller andra indirekta förluster. Förlust av data anses vara en indirekt förlust.

Licensgivarens skadeståndsansvar enligt Avtalet kan maximalt uppgå till ett belopp motsvarande tre månaders licensavgift för den specifika modul som orsakat kravet på ersättning.

Ovanstående begränsningar i skadeståndsansvaret gäller dock inte vid grov vårdslöshet eller uppsåtliga handlingar eller underlåtelser.

Försäkring

Licensgivaren ska under hela Avtalets giltighetstid upprätthålla en försäkring som täcker skador som medarbetare kan orsaka i samband med leveransen av licensen, samt vara försäkrad mot felaktig rådgivning, om Avtalet omfattar rådgivningstjänster.

Överlåtelse

Licenstagaren får inte överlåta rättigheter och/eller skyldigheter enligt detta Avtal utan föregående skriftligt godkännande från Licensgivaren. Varje sådant försök till överlåtelse ska anses ogiltigt.

Oavsett ovanstående har Licensgivaren rätt att överlåta vilket avtal som helst, inklusive skyldigheter och prestationer, helt eller delvis, till sina partners eller leverantörer utan ytterligare meddelande.

Force majeure

Ingen av parterna anses ansvarig gentemot den andra parten enligt detta Avtal för omständigheter utanför partens kontroll, som parten inte skäligen kunnat förutse, undvika eller övervinna. Detta inkluderar, men är inte begränsat till, krig och mobilisering, civila oroligheter, naturkatastrofer, strejk, lockout, brist på råmaterial, epidemi, pandemi eller annat utbrott av allvarlig mänsklig sjukdom, brand, skador på produktionsutrustning, avbrott i den allmänna infrastrukturen, inklusive energiförsörjning, samt import- och/eller exportförbud.

Förhållanden hos en parts leverantör anses vara force majeure för parten om leverantören drabbas av motsvarande hinder och inte kunde ha undvikit detta, exempelvis genom att använda en alternativ leverantör.

Sanktioner och exportkontroll

Licensgivaren är skyldig att säkerställa att genomförandet av Licensavtalet inte vid någon tidpunkt innebär ett brott mot sanktioner, exportkontrollregler, embargoer eller liknande, inklusive men inte begränsat till EU-förordning 833/2014, senast ändrad genom EU-förordning 576/2022, artikel 1, punkt 23, samt eventuella framtida ändringar.

Licensgivaren är under hela avtalets löptid skyldig att omedelbart skriftligen meddela om det sker förändringar i Licensgivaren eller eventuella underleverantörers ägarförhållanden, kontrollen över leverantören/underleverantören eller andra relevanta förhållanden som påverkar efterlevnaden av sanktioner, exportregler och liknande.

Tillämplig lag och jurisdiktion

Avtalet ska regleras av svensk rätt.

Om det uppstår en tvist mellan parterna i samband med detta Avtal, ska parterna med en positiv, samarbetsvillig och ansvarstagande inställning försöka inleda förhandlingar i syfte att lösa tvisten. Vid behov ska förhandlingarna föras vidare till högsta ledningsnivå i respektive organisation.

Om parterna, efter försök till medling, inte kan finna en lösning, kan vardera parten inleda rättsliga åtgärder.

Eventuella tvister som uppstår i samband med Avtalet, inklusive tvister rörande Avtalets existens eller giltighet, ska avgöras av behörig domstol i Sverige, med Stockholms tingsrätt som första instans.

 

BILAGA 1 – Licensvillkor

Licensvillkoren utgör ett tillägg till licensavtalet och har som syfte att fastställa de juridiska villkor och förutsättningar under vilka en Licenstagare är berättigad att använda ExorLive-systemet.

1. Definitioner

Vid tolkning och genomförande av Avtalet ska följande begrepp, om inte annat uttryckligen anges, ha följande betydelse:

Avtal: De samlade avtalsvillkoren som reglerar de totala rättigheterna och skyldigheterna mellan parterna.

Licensgivare: ExorLive AS.

Licenstagare: Kunden, inklusive enskilda individer och organisationer som har ingått avtal med licensgivaren om leverans av det Licensierade.

Det Licensierade: De onlineprodukter från Licensgivaren som Licenstagaren fått tillgång till och som lyder under dessa Licensvillkor. Här även kallat ExorLive-systemet eller Systemet.

Licensrätt: Licenstagarens rätt att använda det Licensierade, vilket ges genom accept av Licensvillkoren och betalning av tillhörande avgifter.

Licensvillkor(en): Dessa licensvillkor, tillhörande dokument samt eventuella framtida tillägg eller ändringar.

Licensavgift: Den avgift Licenstagaren betalar för att erhålla tillgång till det Licensierade.

Licensperiod: Den tidsperiod då licensen är aktiv och giltig, och när Licenstagaren har rätt att använda det Licensierade.

Avtalsperiod: Den period då Avtalet mellan Licenstagare och Licensgivare gäller.

Konto: Den slutliga användarens konto i systemet, består av individens användarnamn, lösenord och andra personliga uppgifter för att få tillgång till och använda systemet.

Innehåll: Medieelement som publiceras i Systemet av användaren och/eller slutanvändaren.

Användarinnehåll: Innehåll som laddats upp eller skickats in till Systemet av Användaren eller Slutanvändaren, inklusive teckningar, fotografier, videor, kommentarer och beskrivningar av övningar samt andra medieelement.

Medieelement: Allt innehåll i systemet, inklusive men ej begränsat till text, teckningar, fotografier, videor, ljud- och bildelement, tryckt material och online elektronisk dokumentation.

ExorLive-systemet / System(et): Onlineprogrammet ExorLiveTM, inklusive men ej begränsat till användargränssnitt, API-gränssnitt, programvara, medieelement och tillhörande information, vare sig presenterat i specifik eller icke-specifik form, på webbplatser ägda av ExorLive eller tredje part, på mobila enheter eller surfplattor.

Systemnycklar: Kombination(er) av användarnamn och lösenord, som ger Licenstagaren tillgång till Systemet.

Användare:

• Professionella användare: Hälsopersonal, fysioterapeuter, personliga tränare eller andra yrkespersoner som använder Systemet för att utarbeta träningsprogram eller rehabiliteringsplaner för sina klienter eller patienter.
• Organisationer eller företag: Gym, kliniker, träningsanläggningar eller andra organisationer som använder tjänsten för sina medlemmar eller anställda.

Slutanvändare: 

• Patienten/Medborgaren/Klienten som använder Systemet för personliga eller yrkesmässiga syften, såsom personlig träning, rehabilitering eller andra individuella behov. Detta inkluderar kontakter i Systemet med eller utan användarkonto.

2. Åtkomst

Behörighet att använda det Licensierade har endast de användare som Licensgivaren har gett Licenstagaren enligt Avtalet. En användare får endast logga in på det Licensierade från en enhet åt gången, om inte annat särskilt avtalats. 

Om Licenstagaren är företag, offentlig eller privat institution, organisation etc., får Licenstagaren inte, om inget annat avtalats, ge andra anställda än de användare Licensgivaren gett åtkomst till åtkomst till det Licensierade genom online-tjänster, internet eller intranät, och Licenstagaren får ej på annat sätt överlåta användaråtkomst (utgiven av Licensgivaren) till andra anställda.

3. Bruksrätt till det Licensierade

Vid accept av Licensvillkoren och betalning av licensavgifter erhåller Licenstagaren en tidsbegränsad, icke överlåtbar och icke-exklusiv bruksrätt till det Licensierade samt eventuella framtida uppdateringar av det Licensierade enligt Licensvillkoren. 

Licensen ger användaren rätt att skapa, skriva ut och använda ett obegränsat antal kopior av innehållet i ExorLive-systemet (nedan ”Systemet”), inklusive dokumentation, förutsatt att kopiorna endast används för egna, privata syften och inte publiceras eller distribueras (vare sig på papper eller elektroniskt). 

Det Licensierade eller delar därav får ej ges vidare eller på annat sätt göras tillgängliga för tredje part. Licenstagaren får överlåta tillgång till ExorLive-Go, träningsprogram eller liknande till slutkund som Licenstagaren har licens för enligt Avtalet.

4. Efterlevnad av Licensvillkoren

Licenstagaren är skyldig att informera sina användare om och säkerställa efterlevnad av Licensvillkoren samt respektera Licensgivarens immateriella rättigheter, inklusive upphovsrätt. 

Licensgivaren kontrollerar fortlöpande att licensvillkoren följs. Vid misstanke om överträdelse ska Licenstagaren på Licensgivarens begäran skriftligen redogöra för omständigheter av betydelse för bedömningen av eventuell överträdelse. Licenstagaren är alltid ansvarig för att hans/hennes användare använder det Licensierade i enlighet med Licensvillkoren. Användning i strid med villkoren ska betraktas som ett väsentligt avtalsbrott och kan leda till avtalets upphävande.

5. Ångerrätt

Om Licenstagaren är konsument har denne enligt konsumentavtalslagen i regel 14 dagar på sig att ångra köpet av det Licensierade. Licenstagaren bekräftar att eventuell ångerrätt upphör när det licensierade produkten tas i bruk. Licenstagaren är därmed införstådd med att ångerrätten endast kan utnyttjas fram till den tidpunkt då användningen aktiveras. Om Licenstagaren inte är konsument, har denne ingen ångerrätt av köpet av det Licensierade.

6. Uppdatering och ändring av det Licensierade

Licensgivaren har rätt att löpande uppgradera, uppdatera och ajourhålla det Licensierade när licensgivaren finner det nödvändigt. Sådan uppdatering medför inga begränsningar i Licenstagarens förpliktelser och ger inte Licenstagaren rätt till några påföljder gentemot Licensgivaren.

Licensgivaren är vidare berättigad att ändra funktionaliteten i det Licensierade, inklusive att ta bort eller ändra funktioner, om detta bedöms nödvändigt för att erbjuda bästa möjliga tjänst till sina kunder. Sådana ändringar ger inte Licenstagaren rätt till påföljder eller påverkar dennes förpliktelser.

Dock fråntar sådana ändringar och uppdateringar inte Licenstagaren från att göra påföljder gällande, om ändringarna är så väsentliga att det Licensierade anses ha bytt karaktär i sin helhet.

7. Rättigheter till det Licensierade

Licensgivaren, eller tredje part från vilken Licensgivaren härleder sina rättigheter, har upphovsrätt och alla andra rättigheter till det Licensierade, inklusive till html-kod, text, bilder eller andra medieelement som är publicerade i systemet och som Licenstagaren kan få åtkomst till via ExorLive. 

Licenstagaren ska respektera Licensgivarens rättigheter, och Licenstagaren är ansvarig utan beloppsmässig begränsning för åsidosättande av dessa rättigheter, inklusive obehörig spridning av det Licensierade till tredje part. 

Licenstagaren får inte bryta eller ändra eventuella säkerhetsmekanismer, inklusive säkerhetskoder, och får inte heller ändra eller ta bort angivelser i det Licensierade relaterade till rättighetsförhållanden, varumärken, produktinformation eller liknande.

Om inte annat särskilt avtalats, inkluderar licensen inte följande rättigheter eller tillstånd:

1. Försäljning, underlicensiering, uthyrning, leasing, sändning, inlägg eller någon annan form av distribution av någon del av Systemet, eller som en del av en samling, till tredje part, varken för kommersiella eller icke-kommersiella syften, om inte annat uttryckligen anges i detta avtal eller tillhandahålls av systemet.
2. All härledd eller indirekt användning utanför systemets avsedda syftet, inklusive, men inte begränsat till, att producera resultat från systemet med hjälp av tredjepartsprogramvara och få åtkomst till systemet utanför de normala startprocedurerna.
3. Alla andra försök att använda, få tillgång till eller kopiera källkoden eller databaserna i systemet, inklusive men inte begränsat till handlingar som reverse engineering, omprogrammering, dekompilering eller demontering av mjukvaran.
4. Direkta eller indirekta kopplingar, referenser eller associationer med något annat system, tjänst, enhet eller aktivitet relaterad till ExorLive eller Systemet, inklusive, men inte begränsat till, något medieelement, varumärke eller design, oavsett om dessa är registrerade eller ej.
5. Skapandet av oanständiga eller stötande verk, innehåll eller arbete.

Innehåll uppladdat av kunden

Systemet möjliggör för användaren och slutanvändaren att själva skicka in innehåll till systemet, inklusive teckningar, fotografier, videor, kommentarer och beskrivningar av övningar. 

Användaren och slutanvändaren behåller äganderätten till detta användarinnehåll. Vid uppladdning kommer innehållet som standard endast att vara tillgängligt för Kontakter och Instruktörer i samma organisation. 

Användaren kan välja att göra användarinnehållet tillgängligt globalt i systemet. Därvid ges ExorLive och andra användare av systemet en icke-exklusiv, överlåtbar licens att använda, vara värd för, lagra, reproducera, modifiera, skapa härledda verk, kommunicera, publicera, framföra offentligt, visa offentligt och distribuera sådant innehåll. ExorLive förblir ägare till alla träningsprogram som skapas av och i systemet. 

Licenstagaren och den enskilda användaren är skyldiga att säkerställa att uppladdat användarinnehåll inte kränker några rättigheter och att eventuella nödvändiga tillstånd för att dela användarinnehållet har inhämtats från tredje part. 

Licensgivaren är inte ansvarig för förlust, skada eller kostnader som uppstår vid uppladdning eller användning av användarinnehåll, och Licenstagaren garanterar genom detta avtal att hålla Licensgivaren skadeslös från alla krav som Licensgivaren kan möta från tredje part om kravet relaterar till en kränkning av tredje parts rättigheter till användarinnehållet. 

Licensgivaren förbehåller sig rätten att ta bort vilket innehåll som helst utan förvarning och utan orsak om det bedöms strida mot tredje parts rättigheter eller i övrigt inte vara i enlighet med ExorLives riktlinjer.

8. Avhjälpande av fel

Det Licensierade tillhandahålls i befintligt skick, utan någon form av garanti. Licensgivaren lämnar således ingen garanti för att driften av det Licensierade eller åtkomsten till det Licensierade kommer att vara utan avbrott och felfri. Licensgivaren testar löpande det Licensierade men kan inte utesluta att det Licensierade – likt all annan mjukvara som tillhandahålls online – innehåller fel och brister. 

Sådana fel utgör ingen grund för hävning och berättigar inte Licenstagaren till avhjälpande eller andra avtalsrättsliga påföljder. Detsamma gäller för innehållsfel. Licensgivaren strävar efter att alla fel och brister i det Licensierade åtgärdas löpande, men ger ingen garanti för att varje fel och brist kommer att rättas.

9. Ändring av allmänna villkor 

Licensgivaren kan när som helst ändra Licensvillkoren, men sådana ändringar ska meddelas Licenstagaren senast 30 (trettio) dagar innan ändringen träder i kraft, såvida inte ändringen är nödvändig för att ExorLive ska följa gällande lagstiftning och där en kortare förvarningsperiod är nödvändig för att säkerställa följsamhet. Licensgivarens meddelande till Licenstagaren ska ange vilka ändringar som gjorts. 

Om Licenstagaren inte vill vara bunden av de ändrade Licensvillkoren, ska Licenstagaren före ändringens ikraftträdande meddela Licensgivaren att de ändrade villkoren inte accepteras. Licenstagaren ska ange anledningen till varför villkoren inte kan accepteras. Licensgivaren betraktar då avtalet som uppsagt om inget annat avtalas. 

Om Licenstagaren inte har meddelat Licensgivaren inom 30 (trettio) dagar efter ändringsmeddelandet att de nya licensvillkoren inte accepteras, fortsätter avtalet i enlighet med de ändrade villkoren.

10. Information 

Insamling av icke-identifierbara uppgifter 

Licenstagaren accepterar att Licensgivaren kan samla in, använda och lagra statistiska, tekniska och andra icke-identifierbara uppgifter som samlats in i samband med systemövervakning, analys, förbättring och supportprogram. 

Licensgivaren får endast använda dessa uppgifter för att förbättra ExorLives system eller leverera anpassade tjänster eller teknologier till Licenstagaren.

Insamling av personligt identifierbara uppgifter 

I samband med leveransen av det Licensierade, kommer Licensgivaren att samla in och behandla uppgifter om Licenstagaren, användaren och dennes patienter/medborgare/klienter.

Om inte annat uttryckligen anges är Licensgivaren personuppgiftsbiträde och behandlar personuppgifterna på uppdrag av Licenstagaren, som är personuppgiftsansvarig.

Licensgivaren är endast personuppgiftsansvarig för personuppgifter som förs in i systemet för sina egna anställda och egna projekt. 

Personuppgifter behandlas endast i den utsträckning det är nödvändigt för att leverera det Licensierade och endast de uppgifter som användaren eller slutanvändaren anger i systemet behandlas. 

Hur och när ExorLive samlar in och behandlar personuppgifter framgår av ExorLives integritetspolicy och/eller ingånget personuppgiftsbiträdesavtal.

11. Säkerhet 

Licensgivaren säkerställer att användargenererat innehåll lagras i en datamiljö som uppfyller säkerhetskrav motsvarande kraven för lagring av personuppgifter.

12. Sekretess 

Licensgivaren säkerställer att åtkomst till användargenererat innehåll endast ges till de av Licensgivarens anställda för vilka sådan åtkomst är nödvändig för deras arbetsuppgifter hos Licensgivaren. Licensgivaren säkerställer även att anställda med sådan åtkomst undertecknar en sekretessklausul om tystnadsplikt beträffande information som inhämtas i samband därmed.

13. Ansvarsfriskrivning och ansvarsbegränsning 

Licensgivaren är ansvarig för produktskador i enlighet med de bestämmelser i produktansvarslagstiftningen som inte kan avtalas bort, men friskriver sig från produktansvar på alla andra grunder.

Licensgivaren är under inga omständigheter ansvarig gentemot Licenstagaren för indirekta förluster eller följdskador som uppstått i samband med användningen av det Licensierade, inklusive men inte begränsat till driftförluster, utebliven vinst, förlust och/eller återställande av data, förlust av goodwill samt andra former av följdskador. Licensgivaren ansvarar inte heller gentemot Licenstagaren för fel i Licenstagarens rådgivning till tredje part som beror på fel eller brister i det Licensierade.

Licensgivarens skadeståndsansvar enligt Avtalet kan högst uppgå till ett belopp motsvarande 3 månaders licensavgift för den specifika modul som är orsaken till ersättningskravet.

Licensgivaren friskriver sig från allt ansvar för förlust eller skada som kan härledas till Licenstagarens egen anslutning till Licensgivarens tjänst, inklusive bristande anslutning, systemkrascher m.m. Detsamma gäller för Licenstagarens övriga IT-utrustning, webbläsare, programvara m.m.

Vid Licenstagarens brott mot Licensvillkoren är Licensgivaren, utöver eventuell rätt till ersättning för obehörig användning av det Licensierade, berättigad till skadestånd i enlighet med allmänna bestämmelser i Svensk rätt.

14. Force majeure

Ingen av parterna ska enligt Avtalet anses ansvarig gentemot den andra parten för omständigheter som ligger utanför partens kontroll och som parten vid Avtalets ingående inte rimligen borde ha beaktat eller undvikit eller övervunnit, inklusive men inte begränsat till krig och mobilisering, civila oroligheter, naturkatastrofer, strejk, lockout, bristande tillgång till råvaror, epidemi, pandemi eller annat utbrott av allvarlig mänsklig sjukdom, brand, skada på produktionsanläggning, avbrott i allmän kommunikation, inklusive energiförsörjning samt import- och/eller exportförbud.

Omständigheter hos en parts leverantör anses som force majeure för denna part, om leverantören är utsatt för en motsvarande hinder och leverantören inte borde ha undvikit eller övervunnit hindret, eventuellt genom att anlita en alternativ leverantör.

 

Bilaga 2 – Personuppgiftsbiträdesavtal (PUB)

Data Processor Agreement

Detta personuppgiftsbiträdesavtal "PUB" ska träda i kraft från och med datumet för undertecknandet mellan:

I det följande benämns personuppgiftsansvarige och personuppgiftsbiträde tillsammans som "Parterna" och separat som en "Part".

Parterna har kommit överens om följande avtalsklausuler för att tillhandahålla adekvata garantier med avseende på skyddet av privatlivet och grundläggande rättigheter och friheter för individer för överföringen av den personuppgiftsansvarige till Behandlaren av de personuppgifter som anges i denna PUB.

1        Definitioner

Definitionerna nedan gäller för denna PUB:

Dataskyddslagstiftning:	betyder följande lagstiftning: a) Nationell lagstiftning som genomför dataskyddsdirektivet (95/46/EG) och direktivet om integritet och elektronisk kommunikation (2002/58/EG). b) GDPR; förkortning av EU:s allmänna dataskyddsförordning, som upphäver Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995. Om inget annat anges, inkluderar alla hänvisningar till GDPR hänvisningar till nationell lagstiftning som implementerar GDPR; c) E-integritetsförordningen, dvs. förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i elektronisk kommunikation och om upphävande av direktiv 2002/58/EG, om eller när det genomförs i nationell lagstiftning; och d) annan nationell lagstiftning som reglerar integritet och personuppgifter, inklusive, men inte begränsat till, den norska personuppgiftslagen och tillhörande personuppgiftsförordning som träder i kraft från 2018.
Personlig information:	menar alla personuppgifter enligt definitionen i dataskyddslagstiftningen, inklusive enligt definitionen i GDPR art. 4 (1), "all information som hänför sig till en identifierad eller identifierbar fysisk person (den registrerade), och som personuppgiftsbiträdet behandlar på uppdrag av den personuppgiftsansvarige.
Process/Bearbetning:	betyder aktiviteter som definieras som Behandling i dataskyddslagstiftningen, inklusive enligt definitionen i GDPR art. 4 (2), som varje operation eller uppsättning operationer som utförs på personuppgifter eller på uppsättningar av personuppgifter, oavsett om det är automatiserat eller inte, såsom insamling, registrering, organisation, strukturering, lagring, anpassning eller ändring, hämtning, samråd, användning, avslöjande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse.
Personuppgiftsintrång:	betyder, enligt definitionen i GDPR art. 4 (12), ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller åtkomst till Personuppgifter som överförs, lagras eller på annat sätt behandlas.
Kontroller:	betyder varje fysisk och juridisk person som ensam bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Processor:	betyder varje fysisk och juridisk person som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.
Underbehandlare:	betyder varje annan processor, eller tredje part, som behandlar personuppgifter som bearbetaren anlitar, avsiktligt eller oavsiktligt, för att utföra specifika behandlingsaktiviteter på uppdrag av den personuppgiftsansvarige, inklusive enheter och dotterbolag.
Tredjeland eller internationell organisation:	betyder ett territorium eller en internationell organisation som inte erbjuder en adekvat skyddsnivå som krävs av dataskyddslagstiftningen, till exempel länder utanför Europeiska ekonomiska samarbetsområdet (”EES”).

 

2        Bilagor

Det finns inga bilagor.

3        Syfte

Denna PUB är en Bilaga till Licensavtalet ("Licensavtal") mellan Parterna, när detta Licensavtal omfattar Behandling av Personuppgifter på uppdrag av den personuppgiftsansvarige. Termer med versaler som används men inte definieras i denna PUB ska ha samma innebörd som tillskrivs sådana termer i Licensavtalet, om inte sammanhanget kräver annat. I händelse av konflikter eller inkonsekvenser mellan denna PUB och licensavtalet, ska bestämmelserna i denna PUB ha företräde.
Denna PUB ska reglera rättigheter och skyldigheter för behandlingen mellan parterna i enlighet med relevant dataskyddslagstiftning.
PUB avtalet ska säkerställa att personuppgifter inte används olagligt och inte kommer i någon obehörig parts besittning.
Utöver att behandla personuppgifter som en del av licensavtalet, erkänner parterna att personuppgiftsbiträdet även kan behandla personuppgifter som personuppgiftsansvarig i syftet med, eller i samband med: (i) tillämpliga lag- eller regulatoriska krav; ii) förfrågningar och meddelanden från behöriga myndigheter och (iii) syften med administration, finansiell redovisning, riskanalys och kundrelationer.
Alla ändringar av denna PUB, såväl som eventuella tillägg eller raderingar, måste godkännas skriftligen av båda parter.

4        Bearbetningsaktiviteterna

4.1         Ämnet och syftet med behandlingen

Personuppgiftsbiträdet kommer att få tillgång till personuppgifter från den personuppgiftsansvarige för behandlingsändamål i samband med licensavtalet. Detta inkluderar: Extern hosting, hantering, support och underhåll av systemet och relaterade tjänster , och tillhörande leveranser från processor till kontrollant. Tillhandahålla relevant assistans, såsom fjärråtkomst till personuppgiftsansvarigas personuppgifter på begäran av den registeransvarige och i samband med support och annat underhåll.

Varaktigheten av databehandlingsaktiviteterna är under den period som Licensavtalet är giltigt och i kraft.

Personuppgiftsbiträdets syfte för insamling, behandling och användning av personuppgifter från personuppgiftsansvarig är att tillhandahålla de tjänster som anges ovan. Personuppgiftsbiträdet kommer inte att lagra personuppgifter i större utsträckning än vad som är nödvändigt för att tillhandahålla tjänsterna. Med hänvisning till den allmänna dataskyddsförordningen artikel 20, är ​​Personuppgiftsbiträdet inte längre en databehandlare enligt denna PUB i förhållande till slutanvändaren i fråga, när slutanvändaren ber att få portera sina uppgifter till ett nytt slutanvändarkonto eller till ett ny enhet.

Personuppgiftsbiträdet ska inte använda personuppgifterna för något annat ändamål än vad som beskrivs i denna PUB. 

Behandlingen av personuppgifterna av Personuppgiftsbiträdet ska ske inom ramen av  denna PUB och Tjänsterna enligt ovan, och endast under dokumenterade instruktioner från den personuppgiftsansvarige av den personuppgiftsansvarige.

Personuppgifterna kan behandlas av personuppgiftsbiträdet för ändamålet eller i samband med tillämpliga lag- eller regulatoriska krav, förfrågningar och meddelanden från behöriga myndigheter. Under sådana omständigheter ska personuppgiftsbiträdet lämna förhandsmeddelande till den personuppgiftsansvarige, såvida inte relevant lag eller tillsynsmyndighet förbjuder meddelanden av viktiga skäl av allmänt intresse.

Varje part ska följa dataskyddslagstiftningen vid behandling av personuppgifter.

4.2        Typ av uppgifter och registrerade

Personuppgiftsbiträdet kommer att få tillgång till personuppgifter från den personuppgiftsansvarige genom syftet med licensavtalet. Personuppgiftsbiträdet har inte rätt att behandla personuppgifterna för något annat ändamål.

Kategorierna av Personuppgifter kan innefatta allmän kontaktinformation, telekommunikationsdata, öppna textfält, elektronisk identifiering, särskilda kategorier av personuppgifter, ekonomisk information, personliga egenskaper, beteendedata etc.

Namn och adress

Titel

ID-nummer, personnummer

Hälsoinformation

Professionell adress

Kommersiell adress

Företagsadress

Födelsedatum

Telefonnummer

E-postadress

IP-adresser

Exakt platsdata (GPS-positioner)

Kunden kommer att skapa sin egen interna policy om  vilka personuppgifter som ska tillåtas eller matas in i Systemet vid aktivering av Kontot. Systemet används för att skapa träningsprogram för människor.

De personuppgifter som kommer att behandlas är huvudsakligen registrerade personer såsom: anställda, kunder, leverantörer och potentiella kunder.

4.3        Geografisk plats

Behandlingen av personuppgifterna ska huvudsakligen ske i en medlemsstat inom Europeiska ekonomiska samarbetsområdet. Personuppgiftsbiträdet får endast överföra personuppgifter till tredje land eller internationell organisation där den har en laglig grund för den överföringen enligt artiklarna 44-49 i GDPR, det är nödvändigt för genomförandet av licensavtalet och om det har överenskommits skriftligen av den personuppgiftsansvarige . Inga personuppgifter får överföras utanför EES innan ett skriftligt avtal är på plats.

Enligt denna dataskyddsmyndighet har parterna kommit överens om att Personuppgiftsbiträdet har rätt att behandla personuppgifter på följande geografiska platser;

• Personuppgifterna lagras i Microsofts Azure molnlösning, och data nås av ExorLive AS från huvudkontorets adress: Hovfaret 4, 0275 Oslo, Norge.
• Adress för Microsoft (underbehandlare) är:
•  

Microsoft Ireland Operations Ltd,
Carmenhall Road
Sandyford, Dublin 18,
Irland

Ett undantag är när överföringen krävs enligt nationell lagstiftning som Bearbetaren lyder under. I sådana fall ska Personuppgiftsbiträdet informera den personuppgiftsansvarige om det lagkravet innan Behandlingen äger rum, såvida inte den lagen förbjuder sådan information av viktiga skäl av allmänt intresse.

4.4        Delbearbetning

Personuppgifter kan lämnas ut till och behandlas av underbehandlare i den utsträckning som rimligen är nödvändig. Behandlingen och avslöjandet av personuppgifter som hänvisas till i denna klausul kan innebära överföring av personuppgifter till tredjeländer eller internationella organisationer. I detta fall måste lämpliga skyddsåtgärder i enlighet med relevant dataskyddslagstiftning tillämpas. Behandlaren ska informera den personuppgiftsansvarige om dess avsikt att anlita en ny underbehandlare, tre månader i förväg. Den personuppgiftsansvarige ska ha möjlighet att rimligen invända mot utnämningen av en ny underdatabehandlare. Om den personuppgiftsansvarige motsätter sig kan den personuppgiftsansvarige säga upp Licensavtalet om den registeransvarige inte kan uppvisa tillräcklig dokumentation av skälen till invändningen.

Den personuppgiftsansvarige ska underrätta Personuppgiftsbiträdet om sådana invändningar skriftligen inom 30 dagar efter mottagandet av Personuppgiftsbiträdets meddelande om sådan användning av Underpersonuppgiftsbiträdet.

Den personuppgiftsansvarige har godkänt den eller de underbehandlare som anges i kapitel 4.3 ovan.

Den personuppgiftsansvarige ska på skriftlig begäran ges information från Personuppgiftsbiträdet om innehållet i kontraktet och genomförandet av dataskyddsförpliktelserna inom underkontraktsförhållandet.

Personuppgiftsbiträdet ska säkerställa att den har ett skriftligt avtal med underbehandlare som den anlitar för att behandla personuppgifter. I detta avtal måste underbehandlaren erkänna Bearbetarens avtalsenliga och rättsliga förpliktelser enligt detta personuppgiftsbiträdesavtal och Lagstiftningen om Personuppgiftsskydd och följa motsvarande skyldigheter som Behandlaren. Personuppgiftsbiträdet ska avslöja tillräcklig information angående dessa avtal på den registeransvariges begäran.

Parterna är överens om att Personuppgiftsbiträdet inte är skyldig att erhålla den personuppgiftsansvariges auktorisation enligt denna klausul för att involvera, lägga till eller ersätta Underbehandlare eller andra tredje parter som endast har tillfällig åtkomst till personuppgifter (t.ex. i samband med systemunderhåll), men inte aktivt deltar i behandlingen av personuppgifter eller behandlar personuppgifterna för sina egna syften.

5        Personuppgiftsbiträdets skyldigheter

5.1         Behandling på uppdrag av den registeransvarige

Behandlaren behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Personuppgiftsbiträdet har skyldighet att:

1. Behandlar personuppgifter endast efter dokumenterade instruktioner från den personuppgiftsansvarige;
2. Avslöja endast personuppgifter till sin personal eller underbehandlarpersonal när det är nödvändigt för att utföra sina skyldigheter enligt PUB och säkerställa att sådan personal är föremål för lämpliga lagstadgade eller avtalsenliga sekretessskyldigheter;
3. Vidtar alla åtgärder som krävs enligt GDPR artikel 32;
4. Anlitar en underbehandlare endast i enlighet med denna PUB;
5. Assisterar den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, för fullgörandet av den personuppgiftsansvariges skyldighet att svara på förfrågningar om att utöva den registrerades rättigheter enligt GDPR kapitel III;
6. Assisterar den personuppgiftsansvarige med att säkerställa att de följer skyldigheterna enligt GDPR-artiklarna 32 till 36 med hänsyn till behandlingens natur och den information som är tillgänglig för Personuppgiftsbiträdet;
7. På Bearbetarens bekostnad, tillhandahåller den personuppgiftsansvarige all information som är nödvändig för att visa efterlevnad av skyldigheterna som fastställs i denna PUB och möjliggöra och bidra till revisioner, inklusive inspektioner, enligt ytterligare reglering i avsnitt 7 i denna PUB.
8. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om, enligt dennes uppfattning, en instruktion från den personuppgiftsansvarige bryter mot dataskyddslagstiftningen.

5.2      Tekniska och organisatoriska åtgärder

Personuppgiftsbiträdet ska tillhandahålla tillräckliga garantier för implementering av lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna dataskyddsmyndighet.

Personuppgiftsbiträdet ska föra ett register över Bearbetningsaktiviteter under dennes ansvar för den personuppgiftsansvariges räkning, inklusive föra ett register över kategorier av Bearbetningsaktiviteter som utförs på uppdragsgivarens vägnar.

Personuppgiftsbiträdet ska implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken med behandlingen. Dessa åtgärder ska också kunna visa att Behandlingen utförs i enlighet med denna PUB. Personuppgiftsbiträdet kan ta hänsyn till den senaste tekniken, kostnaderna för genomförandet och bearbetningens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, men sådan redovisning ska vara i enlighet med kraven i GDPR artikel 32.

Personuppgiftsbiträdet har vid behov implementerat tekniska och organisatoriska åtgärder för att säkerställa:

1. Pseudonymisering och kryptering av personuppgifter där så är lämpligt;
2. Förmågan att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster;
3. Möjligheten att återställa tillgängligheten och tillgången till personuppgifter i rätt tid i händelse av en fysisk eller teknisk incident;
4. En process för att regelbundet testa, utvärdera och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen, och ändring där det är nödvändigt;
5. Möjligheten att förhindra att personuppgifter kommer åt eller används, inklusive läsning, kopiering, ändring och radering, utan lämplig auktorisation.

Personuppgiftsbiträdet ska implementera, och vid behov uppdatera, tekniska och organisatoriska åtgärder i enlighet med all relevant dataskyddslagstiftning, inklusive, men inte begränsat till, GDPR artikel 28 och 32.

Säkerheten i EXORLIVE upprätthålls av en strikt säkerhetspolicy och tillåter inte att enheter nås eller manipuleras mellan organisationer. Inom organisationen är säkerheten rollbaserad och användare kan ges administrativa roller på enhets-/avdelningsnivå.

Systemet nås alltid över SSL, vilket skyddar informationen som utbyts mellan klienten och servern. EXORLIVE lagrar endast en hash av användarens lösenord, och vid autentisering via EXORLIVEs vanliga gränssnitt används salt, hash och en kortlivad utmaning för att säkerställa att meddelandeuppspelning inte kan användas för att felaktigt få åtkomst.

Externa tjänster krävs för att använda SSL-aktiverade slutpunkter för att säkerställa transportsäkerhet. Systemet ger integritet genom att säkerställa att användare inte kan infoga eller redigera enheter som de inte är auktoriserade för.

Åtgärder loggas.

Säkerhetsåtgärder och rutiner mot externa attacker: Vi är partner med Microsoft och håller vår tekniska personal uppdaterad om det aktuella systemet och säkerhetslösningarna. Genom Azure som underprocessor säkerställer vi med Microsoft att våra tjänster alltid är uppdaterade om säkerhet och senaste säkerhetskorrigeringar; Kör alltid den senaste versionen av viktig programvara; 

Loggning av alla försök till inloggning; Utförande av manuella sårbarhetstester.

EXORLIVE uppfyller kravet på inbyggd integritet.

EXORLIVE är klassificerad som en medicinsk programvara  (ISO 13485) ExorLive är CE-märkt.

 

5.3        Skyldighet att anmäla

Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela den personuppgiftsansvarige om:

1. Om en instruktion från den personuppgiftsansvarige enligt dess uppfattning bryter mot föreskrifter och bestämmelser om Behandlingen;
2. Varje begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet om inte annat är förbjudet enligt lag; oavsiktlig, obehörig åtkomst eller annan händelse som utgör eller kan utgöra ett personuppgiftsintrång; och
3. Alla förfrågningar som tas emot direkt från de registrerade och utan att svara på den begäran, såvida den inte har fått tillstånd att göra det på annat sätt. Det finns ingen skyldighet att meddela den personuppgiftsansvarige om förfrågningar som tas emot till och från själva systemet, till exempel när slutanvändaren anger förfrågningar som inte avser Kunden eller vårdgivaren, dvs ber om portabilitet.
4. Personuppgiftsbiträdet är skyldig att bistå den personuppgiftsansvarige i dess kontakt med tillsynsmyndighet eller registrerade efter sådan underrättelse. Denna tjänst kommer att faktureras enligt ExorLives prislista.

Efter att ha meddelat om ett personuppgiftsintrång måste Personuppgiftsbiträdet ge ytterligare beskrivning av:

1. Intrångets art inklusive om möjligt kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet personuppgifter som berörs;
2. Och beskriv de åtgärder som vidtagits eller föreslås vidtas för att hantera personuppgiftsintrånget, inklusive, där så är lämpligt, åtgärder för att mildra dess eventuella negativa effekter.

Vidare ska Personuppgiftsbiträdet, om möjligt, bistå den personuppgiftsansvarige med att bedöma de sannolika konsekvenserna av personuppgiftsintrånget.

Om Personuppgiftsbiträdet inte kan tillhandahålla efterlevnad eller förutser att den inte kan uppfylla sina skyldigheter enligt denna dataskyddslagstiftning eller dess skyldigheter enligt dataskyddslagstiftningen, oavsett anledning, samtycker den till att omedelbart informera den personuppgiftsansvarige om sin oförmåga att följa, i vilket fall den personuppgiftsansvarige har rätt att avbryta överföringen och den fortsatta behandlingen av personuppgifter.

6        Ansvar

Den personuppgiftsansvarige kommer att säkerställa att alla personuppgifter som lämnas till Personuppgiftsbiträdet av eller på uppdrag av den personuppgiftsansvarige har samlats in lagligt, rättvist och på ett öppet sätt så att personuppgifter kan behandlas av Personuppgiftsbiträdet och underbehandlare.

Den personuppgiftsansvarige erkänner att den har det primära ansvaret för behandlingen av personuppgifter som en del av licensavtalet och ska meddela personuppgiftsbiträde om all hjälp den behöver enligt GDPR artikel 28.3 e och f. Den personuppgiftsansvarige ska betala Personuppgiftsbiträdet för alla rimliga kostnader som uppstår för att tillhandahålla sådan assistans inom 30 dagar efter att ha mottagit en faktura för sådana kostnader.

Den personuppgiftsansvarige håller Personuppgiftsbiträdet skadeslös från alla kostnader, utgifter (inklusive rättsliga kostnader), skador, förluster (inklusive förlust av affärer eller utebliven vinst), skulder, krav, anspråk, åtgärder eller förfaranden som Personuppgiftsbiträdet kan ådra sig till följd av:

1. Behandlarens efterlevnad av alla instruktioner som den personuppgiftsansvarige har gett till bearbetaren i samband med behandlingen av personuppgifter (inklusive instruktioner i samband med förfrågningar från individer som utövar sina rättigheter enligt dataskyddslagstiftningen och alla instruktioner för att behålla, avslöja, ändra eller på annat sätt behandla personuppgifter Data);
2. varje brott från den personuppgiftsansvarige av dataskyddslagstiftningen; eller

• Personuppgiftsintrång orsakat av den personuppgiftsansvarige.

Personuppgiftsbiträdets ansvar regleras av Licensavtalet.

Ingen begränsning av ansvar ska gälla för någon Part i händelse av bedrägeri, uppsåt, dödsfall och fysisk skada till följd av en parts vårdslöshet.

Ansvar för materiell eller icke-materiell skada på en registrerad ska regleras enligt GDPR art. 82.

Om bearbetaren bryter mot dataskyddslagstiftningen genom att fastställa ändamålen och medlen för behandlingen i strid med denna PUB, ska bearbetaren anses vara en personuppgiftsansvarig med avseende på den behandlingen.

7        Säkerhetsrevisioner

Personuppgiftsbiträdet förbinder sig att ge den personuppgiftsansvarige tillgång till all information som är nödvändig för att visa efterlevnad av de skyldigheter som fastställs i denna PUB och för att utföra säkerhetsrevisioner.

Sådana säkerhetsrevisioner kan vid behov inkludera inspektioner och utvärderingar av system, organisation, säkerhetsåtgärder och all användning av kommunikationspartners och leverantörer som omfattas av denna PUB.

När ytterligare granskning och/eller information för att påvisa Personuppgiftsbiträdets efterlevnad av denna PUB krävs av registeransvarig som ett resultat av en rättslig skyldighet, ska Personuppgiftsbiträdet, på registeransvarigs skriftliga begäran, tillåta en oberoende revisor utsedd av Personuppgiftsbiträdet att utföra en säkerhetsrevision av denna efterlevnad på uppdrag av den registeransvarige.

Ingenting i denna klausul ska ge den personuppgiftsansvarige, eller någon revisor, rätt att få tillgång till aktiviteter, register, information eller annat material i någon form:

1. relaterade till andra klienter till Personuppgiftsbiträdet;
2. inte relevant för behandling av personuppgifter;
3. som är kommersiellt känslig information; eller
4. som är juridiskt privilegierad eller föremål för sekretessskyldigheter (antingen enligt lag eller kontrakt) som bearbetaren är skyldig en tredje part.

Den personuppgiftsansvarige ska behandla alla register, information eller annat material i någon form (tillsammans "materialet") som erhållits av eller tillgängligt för den personuppgiftsansvarige som härrör från säkerhetsrevisionen som bearbetarens konfidentiella information och ska behandla materialet som strikt konfidentiellt och inte avslöja materialet till tredje part eller använda materialet på annat sätt än i samband med dokumentrevisionen.

Säkerhetsrevisionen får endast utföras efter skriftlig överenskommelse mellan den personuppgiftsansvarige och personuppgiftsbiträdet om påbörjandet, varaktigheten och omfattningen av sådan revision.

Den personuppgiftsansvarige ska betala revisorns kostnader och alla rimliga kostnader som Personuppgiftsbiträdet ådrar sig i samband med säkerhetsrevision och/eller tillgängliggörande av information eller material för att visa att Personuppgiftsbiträdet följer denna klausul.

8        Sekretess

Personuppgifter ska alltid betraktas som konfidentiell information. Personuppgifter som kommer i parternas besittning i samband med PUB- och licensavtalet ska hållas konfidentiella och ska inte lämnas ut till någon tredje part utan samtycke från den personuppgiftsansvarige.

Parterna ska vidta alla nödvändiga försiktighetsåtgärder för att förhindra att obehöriga får tillgång till eller kännedom om konfidentiell information.

Sekretessskyldigheten ska gälla för Parternas anställda och Underleverantörer som agerar på uppdrag av Parterna i samband med genomförandet av PUB och Licensavtalet. Personuppgiftsbiträdet får endast överföra konfidentiell information till sådana underbehandlare i den utsträckning som är nödvändig för genomförandet av PUB- och licensavtalet, och under förutsättning att de omfattas av ett avtal enligt detta PUB avsnitt 4.4, och en sekretessskyldighet motsvarande den föreskrivs i denna PUB. Innan någon av dess underbehandlare kan ges tillgång till konfidentiell information, ska varje underbehandlare samtycka till att vara bunden av ett konfidentialitetsåtagande som är jämförbart med villkoren i denna PUB.

Sekretessskyldigheten ska fortsätta att gälla efter utgången av PUB. Anställda eller andra som säger upp sig från sina befattningar hos Parterna ska, såvitt avser ovan nämnda faktorer, omfattas av tystnadsplikt även efter sin avgång. Sekretessskyldigheten ska upphöra tio (10) år efter det att PUB upphört, om inte annat föreskrivs i lag eller förordningar.

9      Varaktighet och uppsägning

Denna dataskyddsförordning träder i kraft från dagen för undertecknandet av parterna och ska fortsätta med full kraft och verkan tills behandlingen avslutas på uppdrag av den personuppgiftsansvarige.

Den personuppgiftsansvarige har rätt att revidera denna PUB vid behov.

Med hänvisning till den allmänna dataskyddsförordningen artikel 20, kan slutanvändaren ge instruktioner om att behålla personuppgifter i systemet, antingen under en ny personuppgiftsansvarig (EXORLIVE eller en ny kund eller hälsoleverantör), eller att fortsätta ha kontot i systemet . Denna rätt ska omfatta rätten till hamnövningsprogram, även i de fall dessa övningsprogram inte inkluderar personuppgifter.

Parterna är överens om att vid uppsägning av tillhandahållandet av Licensavtalet ska Personuppgiftsbiträdet och UnderPersonuppgiftsbiträdet, efter val och instruktion av den personuppgiftsansvarige,

1. Antingen returnera alla personuppgifter, antingen överförda till personuppgiftsbitrådet och/eller behandlade på uppdrag av den personuppgiftsansvarige, eller;
2. Förstör alla personuppgifter och intyg för den personuppgiftsansvarige att den har gjort det.
3. Om slutanvändaren själv har gett instruktioner att portera sina uppgifter till ett annat konto, eller skapat ett nytt konto, kan dessa uppgifter inte krävas tillbaka eller raderas.

Vid upphörande av Behandlingsaktiviteter ansvarar den personuppgiftsansvarige för att all åtkomst till de personuppgiftsansvarigas system är stängd för Personuppgiftsbiträdet och dess personal.

Om tvingande lagstiftning som ålagts Bearbetaren hindrar denne från att returnera eller förstöra alla eller delar av Personuppgifter som överförts, garanterar Behandlaren att den kommer att garantera konfidentialitet och Behandling av Personuppgifter i enlighet med denna PUB, och inte aktivt bearbeta Personuppgifterna längre. Den personuppgiftsansvarige ska underrättas om sådant förhindrande av radering och/eller förstörelse av personuppgifter.

Personuppgiftsbiträdet har rätt till skälig ersättning för fullgörande av de skyldigheter som nämns ovan i (i) och (ii).

För att undvika tvivel ska ingenting i denna klausul kräva att Personuppgiftsbiträdet raderar kopior av uppgifter som den innehar för egen räkning som registeransvarig.

10      Val av lag och domstol

Denna dataskyddsmyndighet ska styras av och tolkas i enlighet med norsk lag och parterna accepterar Oslos kommunalrätt, Norge, som domstol. Detta gäller även efter det att PUB löper ut.

Reviderad den 25 juni 2025