1. ExorLive Hjälpcenter
  2. Juridisk
  3. Juridisk

Personuppgiftsbiträdesavtal (PUB)

Avatar
Print Friendly and PDF

Version före den 23.3.2026

Personuppgiftsbiträdesavtal (PUB)

Data Processor Agreement

Detta personuppgiftsbiträdesavtal "PUB" ska träda i kraft från och med datumet för undertecknandet mellan:Skærmbillede 2025-08-04 134202.png

I det följande benämns personuppgiftsansvarige och personuppgiftsbiträde tillsammans som "Parterna" och separat som en "Part".

Parterna har kommit överens om följande avtalsklausuler för att tillhandahålla adekvata garantier med avseende på skyddet av privatlivet och grundläggande rättigheter och friheter för individer för överföringen av den personuppgiftsansvarige till Behandlaren av de personuppgifter som anges i denna PUB.

1        Definitioner

Definitionerna nedan gäller för denna PUB:

Dataskyddslagstiftning:

betyder följande lagstiftning:

a) Nationell lagstiftning som genomför dataskyddsdirektivet (95/46/EG) och direktivet om integritet och elektronisk kommunikation (2002/58/EG).

b) GDPR; förkortning av EU:s allmänna dataskyddsförordning, som upphäver Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995. Om inget annat anges, inkluderar alla hänvisningar till GDPR hänvisningar till nationell lagstiftning som implementerar GDPR;

c) E-integritetsförordningen, dvs. förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i elektronisk kommunikation och om upphävande av direktiv 2002/58/EG, om eller när det genomförs i nationell lagstiftning; och

d) annan nationell lagstiftning som reglerar integritet och personuppgifter, inklusive, men inte begränsat till, den norska personuppgiftslagen och tillhörande personuppgiftsförordning som träder i kraft från 2018.

Personlig information:menar alla personuppgifter enligt definitionen i dataskyddslagstiftningen, inklusive enligt definitionen i GDPR art. 4 (1), "all information som hänför sig till en identifierad eller identifierbar fysisk person (den registrerade), och som personuppgiftsbiträdet behandlar på uppdrag av den personuppgiftsansvarige.
Process/Bearbetning:betyder aktiviteter som definieras som Behandling i dataskyddslagstiftningen, inklusive enligt definitionen i GDPR art. 4 (2), som varje operation eller uppsättning operationer som utförs på personuppgifter eller på uppsättningar av personuppgifter, oavsett om det är automatiserat eller inte, såsom insamling, registrering, organisation, strukturering, lagring, anpassning eller ändring, hämtning, samråd, användning, avslöjande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse.
Personuppgiftsintrång:betyder, enligt definitionen i GDPR art. 4 (12), ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller åtkomst till Personuppgifter som överförs, lagras eller på annat sätt behandlas.
Kontroller:betyder varje fysisk och juridisk person som ensam bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Processor:betyder varje fysisk och juridisk person som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.
Underbehandlare:betyder varje annan processor, eller tredje part, som behandlar personuppgifter som bearbetaren anlitar, avsiktligt eller oavsiktligt, för att utföra specifika behandlingsaktiviteter på uppdrag av den personuppgiftsansvarige, inklusive enheter och dotterbolag.
Tredjeland eller internationell organisation:betyder ett territorium eller en internationell organisation som inte erbjuder en adekvat skyddsnivå som krävs av dataskyddslagstiftningen, till exempel länder utanför Europeiska ekonomiska samarbetsområdet (”EES”).

 

2        Bilagor

Det finns inga bilagor.

3        Syfte

Denna PUB är en Bilaga till Licensavtalet ("Licensavtal") mellan Parterna, när detta Licensavtal omfattar Behandling av Personuppgifter på uppdrag av den personuppgiftsansvarige. Termer med versaler som används men inte definieras i denna PUB ska ha samma innebörd som tillskrivs sådana termer i Licensavtalet, om inte sammanhanget kräver annat. I händelse av konflikter eller inkonsekvenser mellan denna PUB och licensavtalet, ska bestämmelserna i denna PUB ha företräde.
Denna PUB ska reglera rättigheter och skyldigheter för behandlingen mellan parterna i enlighet med relevant dataskyddslagstiftning.
PUB avtalet ska säkerställa att personuppgifter inte används olagligt och inte kommer i någon obehörig parts besittning.
Utöver att behandla personuppgifter som en del av licensavtalet, erkänner parterna att personuppgiftsbiträdet även kan behandla personuppgifter som personuppgiftsansvarig i syftet med, eller i samband med: (i) tillämpliga lag- eller regulatoriska krav; ii) förfrågningar och meddelanden från behöriga myndigheter och (iii) syften med administration, finansiell redovisning, riskanalys och kundrelationer.
Alla ändringar av denna PUB, såväl som eventuella tillägg eller raderingar, måste godkännas skriftligen av båda parter.

4        Bearbetningsaktiviteterna

4.1         Ämnet och syftet med behandlingen

Personuppgiftsbiträdet kommer att få tillgång till personuppgifter från den personuppgiftsansvarige för behandlingsändamål i samband med licensavtalet. Detta inkluderar: Extern hosting, hantering, support och underhåll av systemet och relaterade tjänster , och tillhörande leveranser från processor till kontrollant. Tillhandahålla relevant assistans, såsom fjärråtkomst till personuppgiftsansvarigas personuppgifter på begäran av den registeransvarige och i samband med support och annat underhåll.

Varaktigheten av databehandlingsaktiviteterna är under den period som Licensavtalet är giltigt och i kraft.

Personuppgiftsbiträdets syfte för insamling, behandling och användning av personuppgifter från personuppgiftsansvarig är att tillhandahålla de tjänster som anges ovan. Personuppgiftsbiträdet kommer inte att lagra personuppgifter i större utsträckning än vad som är nödvändigt för att tillhandahålla tjänsterna. Med hänvisning till den allmänna dataskyddsförordningen artikel 20, är ​​Personuppgiftsbiträdet inte längre en databehandlare enligt denna PUB i förhållande till slutanvändaren i fråga, när slutanvändaren ber att få portera sina uppgifter till ett nytt slutanvändarkonto eller till ett ny enhet.

Personuppgiftsbiträdet ska inte använda personuppgifterna för något annat ändamål än vad som beskrivs i denna PUB. 

Behandlingen av personuppgifterna av Personuppgiftsbiträdet ska ske inom ramen av  denna PUB och Tjänsterna enligt ovan, och endast under dokumenterade instruktioner från den personuppgiftsansvarige av den personuppgiftsansvarige.

Personuppgifterna kan behandlas av personuppgiftsbiträdet för ändamålet eller i samband med tillämpliga lag- eller regulatoriska krav, förfrågningar och meddelanden från behöriga myndigheter. Under sådana omständigheter ska personuppgiftsbiträdet lämna förhandsmeddelande till den personuppgiftsansvarige, såvida inte relevant lag eller tillsynsmyndighet förbjuder meddelanden av viktiga skäl av allmänt intresse.

Varje part ska följa dataskyddslagstiftningen vid behandling av personuppgifter.

4.2        Typ av uppgifter och registrerade

Personuppgiftsbiträdet kommer att få tillgång till personuppgifter från den personuppgiftsansvarige genom syftet med licensavtalet. Personuppgiftsbiträdet har inte rätt att behandla personuppgifterna för något annat ändamål.

Kategorierna av Personuppgifter kan innefatta allmän kontaktinformation, telekommunikationsdata, öppna textfält, elektronisk identifiering, särskilda kategorier av personuppgifter, ekonomisk information, personliga egenskaper, beteendedata etc.

Namn och adress

Titel

ID-nummer, personnummer

Hälsoinformation

Professionell adress

Kommersiell adress

Företagsadress

Födelsedatum

Telefonnummer

E-postadress

IP-adresser

Exakt platsdata (GPS-positioner)

Kunden kommer att skapa sin egen interna policy om  vilka personuppgifter som ska tillåtas eller matas in i Systemet vid aktivering av Kontot. Systemet används för att skapa träningsprogram för människor.

De personuppgifter som kommer att behandlas är huvudsakligen registrerade personer såsom: anställda, kunder, leverantörer och potentiella kunder.

4.3        Geografisk plats

Behandlingen av personuppgifterna ska huvudsakligen ske i en medlemsstat inom Europeiska ekonomiska samarbetsområdet. Personuppgiftsbiträdet får endast överföra personuppgifter till tredje land eller internationell organisation där den har en laglig grund för den överföringen enligt artiklarna 44-49 i GDPR, det är nödvändigt för genomförandet av licensavtalet och om det har överenskommits skriftligen av den personuppgiftsansvarige . Inga personuppgifter får överföras utanför EES innan ett skriftligt avtal är på plats.

Enligt denna dataskyddsmyndighet har parterna kommit överens om att Personuppgiftsbiträdet har rätt att behandla personuppgifter på följande geografiska platser;

  • Personuppgifterna lagras i Microsofts Azure molnlösning, och data nås av ExorLive AS från huvudkontorets adress: Hovfaret 4, 0275 Oslo, Norge.
  • Adress för Microsoft (underbehandlare) är:
  •  

Microsoft Ireland Operations Ltd,
Carmenhall Road
Sandyford, Dublin 18,
Irland

Ett undantag är när överföringen krävs enligt nationell lagstiftning som Bearbetaren lyder under. I sådana fall ska Personuppgiftsbiträdet informera den personuppgiftsansvarige om det lagkravet innan Behandlingen äger rum, såvida inte den lagen förbjuder sådan information av viktiga skäl av allmänt intresse.

4.4        Delbearbetning

Personuppgifter kan lämnas ut till och behandlas av underbehandlare i den utsträckning som rimligen är nödvändig. Behandlingen och avslöjandet av personuppgifter som hänvisas till i denna klausul kan innebära överföring av personuppgifter till tredjeländer eller internationella organisationer. I detta fall måste lämpliga skyddsåtgärder i enlighet med relevant dataskyddslagstiftning tillämpas. Behandlaren ska informera den personuppgiftsansvarige om dess avsikt att anlita en ny underbehandlare, tre månader i förväg. Den personuppgiftsansvarige ska ha möjlighet att rimligen invända mot utnämningen av en ny underdatabehandlare. Om den personuppgiftsansvarige motsätter sig kan den personuppgiftsansvarige säga upp Licensavtalet om den registeransvarige inte kan uppvisa tillräcklig dokumentation av skälen till invändningen.

Den personuppgiftsansvarige ska underrätta Personuppgiftsbiträdet om sådana invändningar skriftligen inom 30 dagar efter mottagandet av Personuppgiftsbiträdets meddelande om sådan användning av Underpersonuppgiftsbiträdet.

Den personuppgiftsansvarige har godkänt den eller de underbehandlare som anges i kapitel 4.3 ovan.

Den personuppgiftsansvarige ska på skriftlig begäran ges information från Personuppgiftsbiträdet om innehållet i kontraktet och genomförandet av dataskyddsförpliktelserna inom underkontraktsförhållandet.

Personuppgiftsbiträdet ska säkerställa att den har ett skriftligt avtal med underbehandlare som den anlitar för att behandla personuppgifter. I detta avtal måste underbehandlaren erkänna Bearbetarens avtalsenliga och rättsliga förpliktelser enligt detta personuppgiftsbiträdesavtal och Lagstiftningen om Personuppgiftsskydd och följa motsvarande skyldigheter som Behandlaren. Personuppgiftsbiträdet ska avslöja tillräcklig information angående dessa avtal på den registeransvariges begäran.

Parterna är överens om att Personuppgiftsbiträdet inte är skyldig att erhålla den personuppgiftsansvariges auktorisation enligt denna klausul för att involvera, lägga till eller ersätta Underbehandlare eller andra tredje parter som endast har tillfällig åtkomst till personuppgifter (t.ex. i samband med systemunderhåll), men inte aktivt deltar i behandlingen av personuppgifter eller behandlar personuppgifterna för sina egna syften.

5        Personuppgiftsbiträdets skyldigheter

5.1         Behandling på uppdrag av den registeransvarige

Behandlaren behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Personuppgiftsbiträdet har skyldighet att:

  1. Behandlar personuppgifter endast efter dokumenterade instruktioner från den personuppgiftsansvarige;
  2. Avslöja endast personuppgifter till sin personal eller underbehandlarpersonal när det är nödvändigt för att utföra sina skyldigheter enligt PUB och säkerställa att sådan personal är föremål för lämpliga lagstadgade eller avtalsenliga sekretessskyldigheter;
  3. Vidtar alla åtgärder som krävs enligt GDPR artikel 32;
  4. Anlitar en underbehandlare endast i enlighet med denna PUB;
  5. Assisterar den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, för fullgörandet av den personuppgiftsansvariges skyldighet att svara på förfrågningar om att utöva den registrerades rättigheter enligt GDPR kapitel III;
  6. Assisterar den personuppgiftsansvarige med att säkerställa att de följer skyldigheterna enligt GDPR-artiklarna 32 till 36 med hänsyn till behandlingens natur och den information som är tillgänglig för Personuppgiftsbiträdet;
  7. På Bearbetarens bekostnad, tillhandahåller den personuppgiftsansvarige all information som är nödvändig för att visa efterlevnad av skyldigheterna som fastställs i denna PUB och möjliggöra och bidra till revisioner, inklusive inspektioner, enligt ytterligare reglering i avsnitt 7 i denna PUB.
  8. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om, enligt dennes uppfattning, en instruktion från den personuppgiftsansvarige bryter mot dataskyddslagstiftningen.

5.2      Tekniska och organisatoriska åtgärder

Personuppgiftsbiträdet ska tillhandahålla tillräckliga garantier för implementering av lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna dataskyddsmyndighet.

Personuppgiftsbiträdet ska föra ett register över Bearbetningsaktiviteter under dennes ansvar för den personuppgiftsansvariges räkning, inklusive föra ett register över kategorier av Bearbetningsaktiviteter som utförs på uppdragsgivarens vägnar.

Personuppgiftsbiträdet ska implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken med behandlingen. Dessa åtgärder ska också kunna visa att Behandlingen utförs i enlighet med denna PUB. Personuppgiftsbiträdet kan ta hänsyn till den senaste tekniken, kostnaderna för genomförandet och bearbetningens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, men sådan redovisning ska vara i enlighet med kraven i GDPR artikel 32.

Personuppgiftsbiträdet har vid behov implementerat tekniska och organisatoriska åtgärder för att säkerställa:

  1. Pseudonymisering och kryptering av personuppgifter där så är lämpligt;
  2. Förmågan att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster;
  3. Möjligheten att återställa tillgängligheten och tillgången till personuppgifter i rätt tid i händelse av en fysisk eller teknisk incident;
  4. En process för att regelbundet testa, utvärdera och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen, och ändring där det är nödvändigt;
  5. Möjligheten att förhindra att personuppgifter kommer åt eller används, inklusive läsning, kopiering, ändring och radering, utan lämplig auktorisation.

Personuppgiftsbiträdet ska implementera, och vid behov uppdatera, tekniska och organisatoriska åtgärder i enlighet med all relevant dataskyddslagstiftning, inklusive, men inte begränsat till, GDPR artikel 28 och 32.

Säkerheten i EXORLIVE upprätthålls av en strikt säkerhetspolicy och tillåter inte att enheter nås eller manipuleras mellan organisationer. Inom organisationen är säkerheten rollbaserad och användare kan ges administrativa roller på enhets-/avdelningsnivå.

Systemet nås alltid över SSL, vilket skyddar informationen som utbyts mellan klienten och servern. EXORLIVE lagrar endast en hash av användarens lösenord, och vid autentisering via EXORLIVEs vanliga gränssnitt används salt, hash och en kortlivad utmaning för att säkerställa att meddelandeuppspelning inte kan användas för att felaktigt få åtkomst.

Externa tjänster krävs för att använda SSL-aktiverade slutpunkter för att säkerställa transportsäkerhet. Systemet ger integritet genom att säkerställa att användare inte kan infoga eller redigera enheter som de inte är auktoriserade för.

Åtgärder loggas.

Säkerhetsåtgärder och rutiner mot externa attacker: Vi är partner med Microsoft och håller vår tekniska personal uppdaterad om det aktuella systemet och säkerhetslösningarna. Genom Azure som underprocessor säkerställer vi med Microsoft att våra tjänster alltid är uppdaterade om säkerhet och senaste säkerhetskorrigeringar; Kör alltid den senaste versionen av viktig programvara; 

Loggning av alla försök till inloggning; Utförande av manuella sårbarhetstester.

EXORLIVE uppfyller kravet på inbyggd integritet.

EXORLIVE är klassificerad som en medicinsk programvara  (ISO 13485) ExorLive är CE-märkt.

 

5.3        Skyldighet att anmäla

Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela den personuppgiftsansvarige om:

  1. Om en instruktion från den personuppgiftsansvarige enligt dess uppfattning bryter mot föreskrifter och bestämmelser om Behandlingen;
  2. Varje begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet om inte annat är förbjudet enligt lag; oavsiktlig, obehörig åtkomst eller annan händelse som utgör eller kan utgöra ett personuppgiftsintrång; och
  3. Alla förfrågningar som tas emot direkt från de registrerade och utan att svara på den begäran, såvida den inte har fått tillstånd att göra det på annat sätt. Det finns ingen skyldighet att meddela den personuppgiftsansvarige om förfrågningar som tas emot till och från själva systemet, till exempel när slutanvändaren anger förfrågningar som inte avser Kunden eller vårdgivaren, dvs ber om portabilitet.
  4. Personuppgiftsbiträdet är skyldig att bistå den personuppgiftsansvarige i dess kontakt med tillsynsmyndighet eller registrerade efter sådan underrättelse. Denna tjänst kommer att faktureras enligt ExorLives prislista.

Efter att ha meddelat om ett personuppgiftsintrång måste Personuppgiftsbiträdet ge ytterligare beskrivning av:

  1. Intrångets art inklusive om möjligt kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet personuppgifter som berörs;
  2. Och beskriv de åtgärder som vidtagits eller föreslås vidtas för att hantera personuppgiftsintrånget, inklusive, där så är lämpligt, åtgärder för att mildra dess eventuella negativa effekter.

Vidare ska Personuppgiftsbiträdet, om möjligt, bistå den personuppgiftsansvarige med att bedöma de sannolika konsekvenserna av personuppgiftsintrånget.

Om Personuppgiftsbiträdet inte kan tillhandahålla efterlevnad eller förutser att den inte kan uppfylla sina skyldigheter enligt denna dataskyddslagstiftning eller dess skyldigheter enligt dataskyddslagstiftningen, oavsett anledning, samtycker den till att omedelbart informera den personuppgiftsansvarige om sin oförmåga att följa, i vilket fall den personuppgiftsansvarige har rätt att avbryta överföringen och den fortsatta behandlingen av personuppgifter.

6        Ansvar

Den personuppgiftsansvarige kommer att säkerställa att alla personuppgifter som lämnas till Personuppgiftsbiträdet av eller på uppdrag av den personuppgiftsansvarige har samlats in lagligt, rättvist och på ett öppet sätt så att personuppgifter kan behandlas av Personuppgiftsbiträdet och underbehandlare.

Den personuppgiftsansvarige erkänner att den har det primära ansvaret för behandlingen av personuppgifter som en del av licensavtalet och ska meddela personuppgiftsbiträde om all hjälp den behöver enligt GDPR artikel 28.3 e och f. Den personuppgiftsansvarige ska betala Personuppgiftsbiträdet för alla rimliga kostnader som uppstår för att tillhandahålla sådan assistans inom 30 dagar efter att ha mottagit en faktura för sådana kostnader.

Den personuppgiftsansvarige håller Personuppgiftsbiträdet skadeslös från alla kostnader, utgifter (inklusive rättsliga kostnader), skador, förluster (inklusive förlust av affärer eller utebliven vinst), skulder, krav, anspråk, åtgärder eller förfaranden som Personuppgiftsbiträdet kan ådra sig till följd av:

  1. Behandlarens efterlevnad av alla instruktioner som den personuppgiftsansvarige har gett till bearbetaren i samband med behandlingen av personuppgifter (inklusive instruktioner i samband med förfrågningar från individer som utövar sina rättigheter enligt dataskyddslagstiftningen och alla instruktioner för att behålla, avslöja, ändra eller på annat sätt behandla personuppgifter Data);
  2. varje brott från den personuppgiftsansvarige av dataskyddslagstiftningen; eller
  • Personuppgiftsintrång orsakat av den personuppgiftsansvarige.

Personuppgiftsbiträdets ansvar regleras av Licensavtalet.

Ingen begränsning av ansvar ska gälla för någon Part i händelse av bedrägeri, uppsåt, dödsfall och fysisk skada till följd av en parts vårdslöshet.

Ansvar för materiell eller icke-materiell skada på en registrerad ska regleras enligt GDPR art. 82.

Om bearbetaren bryter mot dataskyddslagstiftningen genom att fastställa ändamålen och medlen för behandlingen i strid med denna PUB, ska bearbetaren anses vara en personuppgiftsansvarig med avseende på den behandlingen.

7        Säkerhetsrevisioner

Personuppgiftsbiträdet förbinder sig att ge den personuppgiftsansvarige tillgång till all information som är nödvändig för att visa efterlevnad av de skyldigheter som fastställs i denna PUB och för att utföra säkerhetsrevisioner.

Sådana säkerhetsrevisioner kan vid behov inkludera inspektioner och utvärderingar av system, organisation, säkerhetsåtgärder och all användning av kommunikationspartners och leverantörer som omfattas av denna PUB.

När ytterligare granskning och/eller information för att påvisa Personuppgiftsbiträdets efterlevnad av denna PUB krävs av registeransvarig som ett resultat av en rättslig skyldighet, ska Personuppgiftsbiträdet, på registeransvarigs skriftliga begäran, tillåta en oberoende revisor utsedd av Personuppgiftsbiträdet att utföra en säkerhetsrevision av denna efterlevnad på uppdrag av den registeransvarige.

Ingenting i denna klausul ska ge den personuppgiftsansvarige, eller någon revisor, rätt att få tillgång till aktiviteter, register, information eller annat material i någon form:

  1. relaterade till andra klienter till Personuppgiftsbiträdet;
  2. inte relevant för behandling av personuppgifter;
  3. som är kommersiellt känslig information; eller
  4. som är juridiskt privilegierad eller föremål för sekretessskyldigheter (antingen enligt lag eller kontrakt) som bearbetaren är skyldig en tredje part.

Den personuppgiftsansvarige ska behandla alla register, information eller annat material i någon form (tillsammans "materialet") som erhållits av eller tillgängligt för den personuppgiftsansvarige som härrör från säkerhetsrevisionen som bearbetarens konfidentiella information och ska behandla materialet som strikt konfidentiellt och inte avslöja materialet till tredje part eller använda materialet på annat sätt än i samband med dokumentrevisionen.

Säkerhetsrevisionen får endast utföras efter skriftlig överenskommelse mellan den personuppgiftsansvarige och personuppgiftsbiträdet om påbörjandet, varaktigheten och omfattningen av sådan revision.

Den personuppgiftsansvarige ska betala revisorns kostnader och alla rimliga kostnader som Personuppgiftsbiträdet ådrar sig i samband med säkerhetsrevision och/eller tillgängliggörande av information eller material för att visa att Personuppgiftsbiträdet följer denna klausul.

8        Sekretess

Personuppgifter ska alltid betraktas som konfidentiell information. Personuppgifter som kommer i parternas besittning i samband med PUB- och licensavtalet ska hållas konfidentiella och ska inte lämnas ut till någon tredje part utan samtycke från den personuppgiftsansvarige.

Parterna ska vidta alla nödvändiga försiktighetsåtgärder för att förhindra att obehöriga får tillgång till eller kännedom om konfidentiell information.

Sekretessskyldigheten ska gälla för Parternas anställda och Underleverantörer som agerar på uppdrag av Parterna i samband med genomförandet av PUB och Licensavtalet. Personuppgiftsbiträdet får endast överföra konfidentiell information till sådana underbehandlare i den utsträckning som är nödvändig för genomförandet av PUB- och licensavtalet, och under förutsättning att de omfattas av ett avtal enligt detta PUB avsnitt 4.4, och en sekretessskyldighet motsvarande den föreskrivs i denna PUB. Innan någon av dess underbehandlare kan ges tillgång till konfidentiell information, ska varje underbehandlare samtycka till att vara bunden av ett konfidentialitetsåtagande som är jämförbart med villkoren i denna PUB.

Sekretessskyldigheten ska fortsätta att gälla efter utgången av PUB. Anställda eller andra som säger upp sig från sina befattningar hos Parterna ska, såvitt avser ovan nämnda faktorer, omfattas av tystnadsplikt även efter sin avgång. Sekretessskyldigheten ska upphöra tio (10) år efter det att PUB upphört, om inte annat föreskrivs i lag eller förordningar.

9      Varaktighet och uppsägning

Denna dataskyddsförordning träder i kraft från dagen för undertecknandet av parterna och ska fortsätta med full kraft och verkan tills behandlingen avslutas på uppdrag av den personuppgiftsansvarige.

Den personuppgiftsansvarige har rätt att revidera denna PUB vid behov.

Med hänvisning till den allmänna dataskyddsförordningen artikel 20, kan slutanvändaren ge instruktioner om att behålla personuppgifter i systemet, antingen under en ny personuppgiftsansvarig (EXORLIVE eller en ny kund eller hälsoleverantör), eller att fortsätta ha kontot i systemet . Denna rätt ska omfatta rätten till hamnövningsprogram, även i de fall dessa övningsprogram inte inkluderar personuppgifter.

Parterna är överens om att vid uppsägning av tillhandahållandet av Licensavtalet ska Personuppgiftsbiträdet och UnderPersonuppgiftsbiträdet, efter val och instruktion av den personuppgiftsansvarige,

  1. Antingen returnera alla personuppgifter, antingen överförda till personuppgiftsbitrådet och/eller behandlade på uppdrag av den personuppgiftsansvarige, eller;
  2. Förstör alla personuppgifter och intyg för den personuppgiftsansvarige att den har gjort det.
  3. Om slutanvändaren själv har gett instruktioner att portera sina uppgifter till ett annat konto, eller skapat ett nytt konto, kan dessa uppgifter inte krävas tillbaka eller raderas.

Vid upphörande av Behandlingsaktiviteter ansvarar den personuppgiftsansvarige för att all åtkomst till de personuppgiftsansvarigas system är stängd för Personuppgiftsbiträdet och dess personal.

Om tvingande lagstiftning som ålagts Bearbetaren hindrar denne från att returnera eller förstöra alla eller delar av Personuppgifter som överförts, garanterar Behandlaren att den kommer att garantera konfidentialitet och Behandling av Personuppgifter i enlighet med denna PUB, och inte aktivt bearbeta Personuppgifterna längre. Den personuppgiftsansvarige ska underrättas om sådant förhindrande av radering och/eller förstörelse av personuppgifter.

Personuppgiftsbiträdet har rätt till skälig ersättning för fullgörande av de skyldigheter som nämns ovan i (i) och (ii).

För att undvika tvivel ska ingenting i denna klausul kräva att Personuppgiftsbiträdet raderar kopior av uppgifter som den innehar för egen räkning som registeransvarig.

10      Val av lag och domstol

Denna dataskyddsmyndighet ska styras av och tolkas i enlighet med norsk lag och parterna accepterar Oslos kommunalrätt, Norge, som domstol. Detta gäller även efter det att PUB löper ut.

Artiklar i detta avsnitt

Se fler