Allmänna villkor

Dessa ”Allmänna villkor” utgör en integrerad del av Tjänsteleverantörens tillhandahållande av tjänster till Kunden i enlighet med huvudavtalet.

  1. Definitioner och tolkning
  • Följande termer och akronymer med versaler ska ha den betydelse som anges nedan, om inte annat framgår av sammanhanget:
      • Konto betyder det centrala sättet att få tillgång till Tjänsterna;
      • Med närstående företag avses en enhet som (a) direkt eller indirekt äger eller kontrollerar en part; (b) står under samma direkta eller indirekta ägande eller kontroll som en part; eller (c) direkt eller indirekt kontrolleras av en part; så länge sådant ägande eller sådan kontroll varar. Ägande eller kontroll ska föreligga genom direkt eller indirekt ägande av femtio procent (50 %) eller mer av det nominella värdet av det emitterade aktiekapitalet eller av femtio procent (50 %) eller mer av de aktier som berättigar innehavaren att rösta vid val av styrelseledamöter eller personer med liknande funktioner;
      • Med avtal avses detta avtal om programvara som en tjänst inklusive alla bilagor och andra bifogade dokument som kan komma att ändras och/eller modifieras från tid till annan;
      • Bilaga: en bilaga som är införlivad med detta avtal;
      • Tillämpliga lagar avser alla lokala, delstatliga, nationella och internationella lagar, förordningar och fördrag som gäller för parterna, avtalet och avtalets innehåll. Detta inkluderar, utan begränsning, alla former av stadgar, förordningar, domar, förelägganden, order och dekret, samt alla statliga auktorisationer, licenser och tillstånd;
      • Med Bankdag avses varje dag som inte är lördag, söndag eller allmän helgdag i Estland;
      • Kunddata avser all data, information och material som tillhandahålls, avslöjas eller skickas av eller på uppdrag av Kunden till Tjänsteleverantören i samband med detta Avtal. Detta inkluderar, men är inte begränsat till, personuppgifter, konfidentiell affärsinformation, kundinformation, tekniska data och all annan information som tillhandahålls av Kunden i syfte att göra det möjligt för Tjänsteleverantören att fullgöra sina skyldigheter enligt detta Avtal eller enligt vad som annars överenskommits mellan Parterna;
      • Med konfidentiell information avses avtalet, uppgifter och dokumentation som rör partens och dess närstående bolags affärsverksamhet och kunder, inbegripet know-how och alla andra specifikationer, affärshemligheter, teknisk information, programvara, modeller, mönster, affärsinformation, icke patenterad teknik, forskningsinformation, statistisk information och analyser, information om metoder, processer och anläggningar som rör antingen någon av parternas programvara eller affärsverksamhet. För att undvika tvivel skall kundinformation anses vara konfidentiell. Information som den utlämnande parten hade tillgång till utan skyldighet att iaktta sekretess innan den lämnades ut och information som är allmänt tillgänglig för allmänheten skall dock inte anses vara konfidentiell;
      • Contract Year avses en period om 12 (tolv) månader med början på Ikraftträdandedagen och varje årsdag därav;
      • Med kontroll avses direkt eller indirekt ägande av mer än 50% av aktiekapitalet i ett bolag eller mer än 50% av rösterna;
      • Med Leveranser avses alla resultat av arbete som utförts och specifikt skräddarsytts av Tjänsteleverantören till Kunden enligt detta Avtal eller en SoW i vilken form som helst;
      • Dokumentation avser manualer, användarhandböcker, teknisk dokumentation och annat relevant material som rör de Tjänster och/eller Leverabler som Tjänsteleverantören tillhandahåller Kunden enligt Avtalet och/eller SoWs;
      • Effective Date avses det datum då avtalet ingås;
      • Med avgifter avses de serviceavgifter eller andra avgifter som Kunden ska betala för Tjänsterna och som närmare anges i punkt 6 och de Särskilda Villkoren;
      • Med force majeure-händelse avses oförutsebara omständigheter som den part som har brutit mot förpliktelsen inte kan kontrollera och som parten inte kan förväntas förhindra med stöd av skälighetsprincipen. Force majeure-händelser inkluderar, men är inte begränsade till, allvarliga naturkatastrofer, krig, upplopp, terroristhandlingar, offentliga myndigheters verksamhet (t.ex. staten, lokala myndigheter) och andra omständigheter som är oberoende av parterna (t.ex. strejk, allmänt fel i datorsystemet, fel i kommunikationslinjer eller strömavbrott, överbelastningsattack);
      • GDPR betyder Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) samt andra tillämpliga dataskyddslagar;
      • Immateriella rättigheter eller IPR avser alla immateriella och industriella rättigheter och liknande rättigheter av vilket slag som helst var som helst i världen, oavsett om de existerar för närvarande eller kommer att existera i framtiden, oavsett om de är registrerade eller registrerade på något sätt eller på annat sätt, inklusive (men inte begränsat till) alla upphovsrätter och närstående rättigheter, industriella designrättigheter och andra designrättigheter, registrerade mönster, patent, bruksmodeller, uppfinningar (oavsett om de är patenterbara eller inte), varumärken, servicemärken, databas- och programvarurättigheter, rättigheter till layoutdesign av integrerade kretsar, affärshemligheter, know-how, konfidentiell information, varumärken, domäner och alla andra juridiska rättigheter var som helst i världen som skyddar sådan egendom, varumärken, servicemärken, databas- och programvarurättigheter, rättigheter till layout-design av integrerade kretsar, affärshemligheter, know-how, konfidentiell information, företagsnamn, handelsnamn, varumärken, domännamn och alla andra juridiska rättigheter var som helst i världen som skyddar sådan egendom, inklusive, i förekommande fall, alla förnyelser, förlängningar och ansökningar om registrering, rätten att ansöka om registrering och rätten att kräva skadestånd för tidigare och nuvarande intrång avseende någon av dessa;
      • Med programvara med öppen källkod avses programvara som är, innehåller eller härrör från programvara som distribueras som freeware, shareware eller programvara med öppen källkod, eller enligt liknande licens- eller distributionsmodeller som (a) kräver licensiering, utlämnande eller distribution av källkod till någon annan person; (b) förbjuder eller begränsar mottagandet av ersättning i samband med licensiering eller distribution av programvara; (c) tillåter någon person att dekompilera, demontera eller göra reverse engineering av programvara; (d) kräver licensiering eller distribution av programvara till någon annan person i syfte att göra derivat; (e) identifieras av Open Source Initiative som licensierings- eller distributionsmodeller för öppen källkod på www.opensource.org; eller (f) identifieras av Free Software Foundation som licenser för fri programvara på www.gnu.org;
      • Personuppgifter innebär all information som rör en identifierad eller identifierbar fysisk person enligt definitionen i GDPR;
      • Förnyelseperiod avser den förnyelseperiod som anges i avsnitt 2.
      • Servicenivåer avser de målnivåer som gäller för Tjänsterna och eventuella andra servicenivåer som anges i Servicenivåavtalet;
      • Tjänster avser tjänster som tillhandahålls av Tjänsteleverantören enligt detta Avtal, inklusive den intelligenta transporthanteringslösningen, samt alla andra tjänster och SoWs som Parterna kommer överens om från tid till annan;
      • SoW betyder en arbetsbeskrivning som definierar de tjänster som utförts eller ska utföras och/eller eventuella Leverabler. Alla sådana arbetsbeskrivningar ska betraktas som separata avtal mellan parterna;
      • Med löptid avses den löptid för avtalet som anges i avsnitt 1;
      • Med Användare avses varje person som är auktoriserad av Kunden att få tillgång till och använda Tjänsterna enligt detta Avtal. Detta inkluderar, men är inte begränsat till, Kundens anställda, representanter, konsulter, entreprenörer, ombud eller andra enheter som auktoriserats av Kunden;
    • I detta avtal gäller följande tolkningsregler:
      • hänvisningar till orden ”inkludera” eller ”inklusive” (eller någon liknande term) ska inte tolkas som att de innebär någon begränsning och allmänna ord som inleds med ordet ”annan” (eller någon liknande term) ska inte ges en restriktiv betydelse på grund av att de föregås eller följs av ord som anger en särskild kategori av handlingar, frågor eller saker;
      • Hänvisningar till ”härmed”, ”häri”, ”härav”, ”härunder” eller liknande uttryck ska avse avtalet i dess helhet och inte någon särskild bestämmelse i detta;
      • Om inte sammanhanget uttryckligen kräver annat, skall ord som betyder ett kön anses betyda alla kön, ord som betyder singular skall anses betyda plural och vice versa, och ord som betyder hela skall anses innefatta en hänvisning till någon del därav;
      • hänvisningar till ”form som kan återges skriftligen” inkluderar elektronisk post (inklusive pdf);
      • hänvisningar till ”personer” eller ”individer” omfattar privatpersoner, juridiska personer, icke inkorporerade föreningar och partnerskap och alla andra organisationer, oavsett om de har en separat juridisk personlighet eller inte;
      • De rubriker på avsnitt och punkter som används i detta avtal har endast införts för att underlätta hänvisningen och ska inte på något sätt påverka eller definiera konstruktionen, innebörden eller omfattningen av någon av bestämmelserna i detta avtal;
      • varje hänvisning till ett avsnitt, en punkt eller en bilaga avser en hänvisning till ett avsnitt, en punkt eller en bilaga till detta avtal;
      • Bilagorna utgör en integrerad del av detta avtal och skall ha samma verkan som om de hade angetts i sin helhet i avtalstexten. Alla hänvisningar till detta avtal inbegriper dess bilagor.
  1. Rangordning av företräde
    • Följande bilagor utgör en integrerad del av detta avtal:
      • Avtal om servicenivå;
      • Avtal om behandling av uppgifter;
      • Tekniska och organisatoriska åtgärder;
      • Säkerhet för plattformar.
    • Vid bristande överensstämmelse mellan någon av bestämmelserna i en bilaga och i de allmänna villkoren ska bestämmelserna i de allmänna villkoren ha företräde, om inte annat uttryckligen anges i den tillämpliga bilagan. Detta gäller inte för Databehandlingsavtalet och dess bestämmelser, vilka ska ha företräde vid konflikt med bestämmelserna i någon del av detta Avtal.
  2. Tillgång till och användning av tjänsterna
    • Med förbehåll för alla begränsningar och restriktioner som anges häri, beviljar Tjänsteleverantören Kunden en icke-exklusiv och icke-överförbar prenumerationsrätt för åtkomst till och användning av Tjänsterna. Kunden kan:
      • använda tjänsterna via HTTPS-protokollet och API-slutpunkter;
      • göra Tjänsterna tillgängliga för Användare via mobilapplikationen.
    • För att få tillgång till och använda Tjänsterna ska Kunden ha rätt till ett Konto med administrativ kontroll. Tjänsteleverantören ska skapa ett sådant konto för Kunden och lämna ut inloggningsuppgifterna till Kunden. Kunden ska behålla den yttersta administrativa kontrollen över sitt Konto under Avtalsperioden.
    • Kunden ska ha rätt att skapa, utse och avsluta användarkonton. Användare ska ha tillgång till Tjänsterna med de användarrättigheter som Kunden har tilldelat dem. Kunden samtycker till och bekräftar att de godkänner allt skapande, utpekande och avslutande av användarkonton.
    • Kunden är ansvarig för att hålla Kontot säkert när han eller hon använder Tjänsterna. Kunden är ansvarig för all Klientdata som laddas upp och all aktivitet som sker under Kontot. Tjänsteleverantören kan inte och kommer inte att vara ansvarig för förlust eller skada till följd av Kundens underlåtenhet att uppfylla denna skyldighet. Kunden ska omedelbart meddela Tjänsteleverantören om Kunden får kännedom om obehörig användning av eller tillgång till Tjänsterna via Kontot, inklusive obehörig användning av lösenordet eller Kontot.
    • Kunden är ansvarig för att skaffa alla kommunikationsmedel som krävs för att använda Tjänsterna. Kundens mobilnätverks data- och meddelandetaxor och avgifter kan gälla om Kunden får tillgång till eller använder Tjänsterna från sin enhet. Kunden ansvarar för att skaffa och uppdatera kompatibel maskinvara eller programvara som behövs för att komma åt och använda tjänsterna och applikationerna och eventuella uppdateringar av dessa. Tjänsteleverantören garanterar inte att Tjänsterna, eller någon del därav, kommer att fungera på någon särskild maskinvara eller enhet. Dessutom kan tjänsterna vara föremål för funktionsstörningar och förseningar som är inneboende i användningen av internet och elektronisk kommunikation.
    • Kunden ska endast använda Tjänsterna i enlighet med detta Avtal och Tillämpliga lagar. Om inte annat uttryckligen överenskommits mellan Parterna får Kunden inte:
      • modifiera, kopiera, förstärka, förbättra, ändra, bakåtkompilera, dekompilera, demontera, dekonstruera, översätta, dekryptera, bakåtkompilera eller konvertera till mänskligt läsbar form Tjänsterna eller någon del därav, utom i den utsträckning som tillåts enligt Tillämplig lag;
      • kringgå eventuella tekniska begränsningar i Tjänsterna eller begränsningar i produktdokumentationen för Tjänsterna;
      • modifiera, utöka, förbättra, ändra eller (annat än till Användare) distribuera produktdokumentationen för Tjänsterna;
      • ta bort, förvanska, täcka över eller på annat sätt dölja något meddelande om äganderätt eller identifiering från Tjänsterna eller dokumentationen av Tjänsterna (inklusive utan begränsning något meddelande om upphovsrätt);
      • bemyndiga eller tillåta någon tredje part att delta i ovannämnda aktiviteter.
    • Kunden förbinder sig att avstå från att bedriva verksamhet som är skadlig för Tjänsteleverantören och/eller Tjänsterna. Kunden ska inte:
      • använda Tjänsterna på ett sätt som stör, korrumperar, skadar eller förstör Tjänsterna, inklusive programvara eller servrar som administrerar Tjänsterna, eller data och information i Tjänsterna;
      • använda Tjänsterna på något sätt som är eller kan vara olagligt, illegalt, bedrägligt, skadligt eller i samband med något olagligt, illegalt, bedrägligt eller skadligt syfte eller verksamhet;
      • överföra skadlig kod till tjänsterna eller använda tjänsterna på ett illvilligt sätt;
      • avsevärt öka arbetsbelastningen för Tjänsterna utöver vad som rimligen kan förväntas av Kunden;
      • använda Tjänsterna på något annat sätt som rimligen kan leda till skada för Tjänsteleverantören eller annan kund av Tjänsterna.
  1. Immateriella rättigheter
    • All immateriell äganderätt till Tjänsterna, inklusive dess komponenter, eventuella uppgraderingar, tillägg, korrigeringar, förbättringar och all annan proprietär programvara som Tjänsteleverantören gör tillgänglig för Kunden kommer alltid att förbli Tjänsteleverantörens eller dess licensgivares exklusiva egendom. Detta avtal överför eller förmedlar inte någon immateriell rättighet från tjänsteleverantören till kunden och ger inte heller kunden några rättigheter i eller till tjänsteleverantörens immateriella rättigheter, med undantag för de begränsade rättigheter som uttryckligen beviljas enligt detta avtal.
    • Under förutsättning att alla avgifter betalas i sin helhet och i rätt tid beviljar tjänsteleverantören kunden en icke-exklusiv, icke-överförbar, icke-sublicerbar, begränsad rätt och licens att få tillgång till och använda tjänsterna under hela avtalsperioden. Denna licens tillhandahålls endast för Kundens interna affärsändamål, och Kunden samtycker till att använda Tjänsterna i enlighet med de villkor som anges i detta Avtal.
    • Parterna är medvetna om och överens om att Kunden och/eller dess Närstående bolag ska behålla ensamrätten till alla immateriella rättigheter i och till Kunddata. Detta Avtal utgör inte en överföring av någon immateriell rättighet till Kunddata från Kunden till Tjänsteleverantören. Tjänsteleverantören har rätt att använda Kunddata uteslutande i syfte att tillhandahålla de Tjänster som anges i detta Avtal. All sådan användning ska ske i enlighet med villkoren i detta Avtal, GDPR och Tjänsteleverantörens integritetspolicy. Tjänsteleverantören bekräftar att denne inte har någon rätt att avslöja, kopiera eller använda Kunddata för något annat ändamål än vad som uttryckligen tillåts i detta Avtal.
  2. Tillgänglighet
    • I enlighet med villkoren i detta Avtal åtar sig Tjänsteleverantören att upprätthålla tillgängligheten till Tjänsterna enligt vad som anges i det Tjänstenivåavtal som bifogas detta Avtal.
    • Tjänsteleverantören ska vidta kommersiellt rimliga åtgärder för att säkerställa att Tjänsterna är tillgängliga med den upptid och de prestandastandarder som anges i Servicenivåavtalet. Tjänsteleverantören garanterar dock inte oavbruten eller felfri drift av Tjänsterna och garanterar inte att Tjänsterna kommer att vara tillgängliga 24/7, året runt.
    • Tjänsteleverantören åtar sig att utföra underhålls- eller supportaktiviteter för Tjänsterna med rimlig skicklighet och omsorg, i enlighet med de villkor som anges i Servicenivåavtalet.
    • Tjänsteleverantörens skyldigheter avseende tillgänglighetsnivåer, incidenthantering, supporttjänster och underhåll av Tjänsterna definieras uttömmande i Servicenivåavtalet. I Servicenivåavtalet anges också Kundens enda och uttömmande rättsmedel för det fall Tjänsteleverantören bryter mot sådana skyldigheter.
    • Parterna kan från tid till annan komma överens om ytterligare arbete som rör Tjänsterna baserat på Kundens behov och krav. Sådant ytterligare arbete ska överenskommas av Parterna i separata SoWs, som kommer att beskriva omfattningen, användningen och de avgifter som är förknippade med sådant ytterligare arbete.
  3. Avgifter
    • Kunden ska till tjänsteleverantören som ersättning för tjänsterna betala de avgifter som anges på tjänsteleverantörens webbplats. Avgifterna täcker de totala avgifterna för alla tjänster som ska utföras enligt detta avtal. Parterna kan komma överens om eventuella ytterligare avgifter som ska betalas av Kunden för tilläggstjänster.
    • Alla Avgifter är exklusive tilläggsavgifter och skatter. Om moms eller andra skatter är tillämpliga på någon avgift, ska sådana skatter läggas till på respektive faktura som avser den relevanta avgiften.
    • Tjänsteleverantören fakturerar Kunden enligt de belopp som anges på Tjänsteleverantörens webbplats. Alla fakturor ska skickas elektroniskt till Kundens faktureringsadress.
    • Om Kunden mottar en faktura som Kunden skäligen anser innehålla ett belopp som inte är giltigt och korrekt förfallet, ska Kunden skriftligen meddela Tjänsteleverantören detta inom 10 dagar från mottagandet av fakturan. Tjänsteleverantören ska granska den omtvistade fakturan och meddela Kunden om den omtvistade fakturan är korrekt, eller om den är felaktig, ska Tjänsteleverantören utfärda en korrigerad faktura.
    • Avgiften ska anses vara betald om avgiften krediteras Tjänsteleverantörens bankkonto som anges på fakturan. Kunden ska betala eventuella ytterligare kostnader som krävs för betalning av avgiften, till exempel banköverföringsavgifter.
    • Betalningstiden är 14 kalenderdagar för varje faktura, om inte annat avtalats mellan parterna. Kunden förbinder sig att betala en förseningsavgift till Tjänsteleverantören för obefogat dröjsmål med betalningen. Förseningsavgiften ska beräknas per varje dag som Kunden är i dröjsmål och det dagliga beloppet ska utgöra 0,06 % av huvudskulden.
    • Alla belopp som ska betalas enligt detta Avtal ska betalas i euro (EUR) och ska betalas i sin helhet utan kvittning, motkrav, avdrag eller innehållande, såvida inte detta krävs enligt lag eller om inte annat följer av Servicenivåavtalet.
    • Tjänsteleverantören kan ensidigt höja Avgifterna varje Avtalsår, förutsatt att sådan höjning inte överstiger 10 % eller ökningen av Harmoniserat konsumentprisindex (HCPI) per år i euroområdet enligt Eurostats beräkning, beroende på vilket som är lägst, såvida inte annat överenskommits mellan Parterna.
  4. Konfidentialitet
    • Parterna ska bevara och hålla konfidentiell och får inte direkt eller indirekt avslöja den andra partens konfidentiella information för någon tredje part och ska förhindra att tredje part får tillgång till sådan information. Ingendera parten skall:
      • endast använda Konfidentiell information för att fullgöra Avtalet;
      • behandla all Konfidentiell Information som strikt konfidentiell och implementera och upprätthålla alla sådana tekniska och organisatoriska säkerhetsåtgärder som rimligen kan vara tillgängliga (med hänsyn till den tekniska utvecklingen vid den aktuella tidpunkten) och som är lämpliga under omständigheterna för att skydda Konfidentiell Information mot obehörig eller olaglig behandling, oavsiktlig förlust, distribution eller skada;
      • om Konfidentiell information innehåller personuppgifter, följa den utlämnande partens anvisningar om behandling av personuppgifter och följa dataskyddsförordningen;
      • inte, utan föregående uttryckligt skriftligt medgivande från den utlämnande parten, lämna ut konfidentiell information till någon annan person än sina rådgivare och medlemmar av styrande organ, styrelseledamöter, tjänstemän, medlemmar, anställda, ombud, chefer, konsulter och personer som krävs för att fullgöra avtalet, och ska säkerställa att alla de personer till vilka konfidentiell information lämnas ut är medvetna om och följer villkoren i detta avtal i alla avseenden som om de vore part i detta avtal;
      • inhämta sekretessåtaganden från varje tredje part till vilken Konfidentiell information lämnas ut enligt detta Avtal;
      • endast göra fysiska kopior av Konfidentiell information i den utsträckning som är absolut nödvändig för Ändamålet;
      • inte kopiera eller lagra konfidentiell information elektroniskt eller överföra den utanför den mottagande partens vanliga verksamhetsställe, såvida inte annat skriftligen överenskommits mellan parterna, och
      • inte, utan föregående skriftligt medgivande från den utlämnande parten, använda konfidentiell information till egen fördel, kommersiellt eller på annat sätt.
    • Utan hinder av det föregående ska utlämnande av konfidentiell information inte anses utgöra ett brott mot detta avtal om den mottagande parten är skyldig att lämna ut den enligt tillämplig lag eller en behörig domstol, men endast i den minsta omfattning som krävs enligt ett sådant krav och under förutsättning att den mottagande parten, i den utsträckning som tillåts enligt tillämplig lag, i förväg meddelar den utlämnande parten innan ett sådant utlämnande görs, så att den utlämnande parten ges en rimlig möjlighet att invända mot och erhålla ett skyddsbeslut eller annan lämplig åtgärd avseende ett sådant utlämnande.
    • Den mottagande parten ska omedelbart skriftligen underrätta den utlämnande parten om den får kännedom om att konfidentiell information har lämnats ut till en obehörig tredje part och vidta alla rimliga åtgärder för att förhindra eller begränsa skada för den utlämnande parten.
    • I händelse av rimligt tvivel om huruvida viss information ska behandlas som konfidentiell information och huruvida och i vilken utsträckning den kan komma att lämnas ut till tredje part, ska parterna betrakta sådan information som konfidentiell information.
    • Med undantag för den begränsade rätten att använda Konfidentiell information för att fullgöra detta Avtal, ger detta Avtal inte den mottagande Parten någon rätt till sådan information, inklusive att använda, sälja, kopiera, vidareutveckla eller skapa härledda verk baserade på sådan information. Den utlämnande parten förblir ägare till den konfidentiella informationen, oavsett om den lämnas ut eller inte.
    • Den utlämnande parten gör ingen utfästelse eller lämnar ingen garanti för att den konfidentiella information som tillhandahålls är korrekt, fullständig eller på annat sätt, och den mottagande parten samtycker till att den är ansvarig för att göra sin egen utvärdering av sådan information.
    • Vid uppsägning av detta avtal ska vardera parten
      • återlämna till den andra parten alla dokument och allt material (och alla kopior) som innehåller, återspeglar, införlivar eller baseras på den andra partens konfidentiella information, och
      • radera all den andra partens konfidentiella information från de dator- och kommunikationssystem och den utrustning som parten använder, inklusive sådana system och datalagringstjänster som tillhandahålls av tredje part (i den mån det är tekniskt möjligt).
    • Sekretessåtagandet i detta avsnitt 7 ska fortsätta att gälla på obestämd tid efter det att avtalet har upphört att gälla av någon anledning.
  5. Datasäkerhet
    • Tjänsteleverantören ska vidta tekniska och organisatoriska åtgärder för att säkerställa säkerheten, konfidentialiteten och integriteten för Kunddata, inklusive Personuppgifter. Tjänsteleverantören ska åtminstone uppfylla eller överträffa:
      • uppfylla kraven i detta avtal, särskilt de som anges i de tekniska och organisatoriska åtgärder som bifogas detta avtal;
      • kraven i det databehandlingsavtal som bifogas detta dokument, om företaget behandlar personuppgifter; och
      • god branschstandard och praxis.
    • Tjänsteleverantören ska:
      • alltid säkerställa konfidentialitet, integritet, tillgänglighet, säkerhetskopiering och motståndskraft för system och tjänster som behandlar Kunduppgifter i enlighet med Plattformens säkerhetskrav som bifogas detta dokument;
      • återställa tillgängligheten och åtkomsten till Kunduppgifter i tid i händelse av en säkerhetsöverträdelse som omfattar Kunduppgifter;
      • regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för Kunddata; och
      • när det gäller Personuppgifter, pseudonymisera och/eller kryptera Personuppgifterna om så krävs i enlighet med det Personuppgiftsbiträdesavtal som bifogas detta dokument.
    • Tjänsteleverantören ska utan onödigt dröjsmål informera Kunden om alla incidenter där säkerheten för Kunddata har äventyrats, inklusive alla händelser av oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till Kunddata som överförts till, lagrats eller behandlats av Tjänsteleverantören. Tjänsteleverantören ska informera Kunden om personuppgiftsincidenter i enlighet med Personuppgiftsbiträdesavtalet. Tjänsteleverantören ska vidta lämpliga åtgärder som svar på säkerhetsincidenter för att återställa konfidentialiteten, integriteten och tillgängligheten för Kunddata.
  6. Underleverantörer
    • Tjänsteleverantören ska ha rätt att använda underleverantörer vid utförandet av Tjänsterna under förutsättning att:
      • Innan Tjänsteleverantören anlitar en underleverantör ska Tjänsteleverantören genomföra en grundlig granskningsprocess, som ska omfatta, men inte begränsas till, en bedömning av underleverantörens tekniska kapacitet, efterlevnad av relevanta lagar och andra författningar, finansiella stabilitet, rykte i branschen samt historik avseende tjänsternas kvalitet och tillförlitlighet;
      • Tjänsteleverantören informerar Kunden 30 dagar i förväg om anlitande av en större underleverantör, dvs. de underleverantörer som upprätthåller infrastruktur som är avgörande för tillhandahållandet av Tjänsterna; och
      • Kunden ska ha rätt att invända mot varje föreslagen större underleverantör baserat på rimliga skäl relaterade till datasäkerhet, sekretess eller servicekvalitet. En sådan invändning måste meddelas Tjänsteleverantören skriftligen inom 14 dagar från mottagandet av meddelandet. Om ingen invändning görs inom denna period anses Kunden inte ha några invändningar mot de föreslagna underleverantörerna. Tjänsteleverantören ska inte anlita någon större underleverantör som Kunden rimligen har invänt mot.
    • Om underleverantören kommer att ha tillgång till personuppgifter, ska tjänsteleverantören göra detta:
      • endast använda sådana underleverantörer som kan tillhandahålla lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR och säkerställer skyddet av den registrerades rättigheter; och
      • ålägga underleverantören samma sekretess- och säkerhetskrav som gäller enligt detta avtal.
    • Tjänsteleverantören ska regelbundet, minst en gång per år, utvärdera sina underleverantörer för att säkerställa att de fortlöpande uppfyller de standarder som anges i detta avtal och eventuella ändringar i lagar och andra författningar.
  7. Hantering av förändringar
    • Kunden kan när som helst begära en ändring av omfattningen av Avtalet, de beställda Tjänsterna och/eller nya tjänster genom att lämna in en ändringsbegäran till Tjänsteleverantören ( ändringsbegäran), som ska innehålla:
      • syftet med ändringen;
      • beskrivning av innehållet i ändringen;
      • funktionella krav;
      • icke-funktionella krav, om tillämpligt;
      • beroenden, om tillämpligt, och
      • begärd tidtabell för genomförandet.
    • Tjänsteleverantören ska bekräfta mottagandet av ändringsbegäran inom 14 arbetsdagar och svara antingen med:
      • en avvisning av ändringsbegäran;
      • ett preliminärt godkännande av ändringsbegäran;
      • en rekommendation om förhandsanalys av ändringsbegäran, eller
      • ett utkast till SoW som beskriver ändringen.
    • Tjänsteleverantören kan efter eget gottfinnande avslå en begäran om ändring.
    • Om tjänsteleverantören svarar med ett preliminärt godkännande lägger den till de begärda ändringarna i sin produktplan för att implementeras kostnadsfritt men utan tidsåtagande. I detta fall förbehåller sig tjänsteleverantören rätten att ändra omfattningen av de begärda ändringarna.
    • Om Tjänsteleverantören svarar med en rekommendation för föranalysen kommer dess svar att innehålla en rekommendation till Kunden, innehållande:
      • detaljer om föranalysen, inklusive dess omfattning, Kundens bidrag och resultat;
      • priset för föranalysen;
      • villkor för utförandet av föranalysen;
      • en preliminär tidtabell för föranalysen, och
      • sista dagen för Kundens godkännande.
    • Kunden ska svara på rekommendationen inom den förutbestämda tidsfristen. Om Parterna är överens om villkoren för föranalysen, ska Tjänsteleverantören genomföra föranalysen enligt vad som anges i rekommendationen eller enligt annan överenskommelse. Efter avslutad föranalys kommer Tjänsteleverantören, efter eget gottfinnande, att avvisa Ändringsbegäran, preliminärt acceptera Ändringsbegäran eller förbereda ett utkast till SoW.
    • Om Tjänsteleverantören svarar på ändringsbegäran med ett utkast till SoW, ska svaret innehålla:
      • syftet med ändringen;
      • beskrivning av ändringen;
      • Beroenden;
      • leveranser; och
      • kostnad och tidplan.
    • Kunden ska inom 10 Arbetsdagar svara på utkastet till SoW. Om Kunden accepterar utkastet till SoW, ska Tjänsteleverantören se till att SoW undertecknas av behöriga företrädare för Parterna.
    • Förändringarna ska genomföras i den omfattning och inom den tidsram som anges i SoW. Implementering omfattar analys, utveckling, testning av förändringen och eventuella andra villkor som överenskommits i SoW. Efter leverans och godkännande av förändringen lanseras förändringen i enlighet med tjänsteleverantörens tidslinje för lansering.
  8. Skadeersättning
    • Tjänsteleverantören ska på egen bekostnad försvara och hålla kunden skadeslös mot anspråk och åtgärder som innebär att användningen av tjänsterna gör intrång i en tredje parts immateriella rättigheter (den IPR-anspråk), förutsatt att Kunden utan dröjsmål skriftligen underrättar Tjänsteleverantören efter att ha fått kännedom om sådana anspråk, tillåter Tjänsteleverantören att självständigt försvara eller reglera anspråken, ger Tjänsteleverantören all rimligen nödvändig information och tillgänglig assistans samt alla nödvändiga tillstånd och inte samtycker till reglering av något sådant anspråk innan det har vunnit laga kraft, eller gör något medgivande i förhållande till anspråket, utan föregående skriftligt medgivande från Tjänsteleverantören. Tjänsteleverantören ska i möjligaste mån sträva efter att skydda Kundens goodwill och anseende i samband med sådana anspråk.
    • Om det konstateras att, eller om det enligt Tjänsteleverantörens motiverade åsikt, användningen av Tjänsterna gör intrång i en tredje parts immateriella rättigheter, ska Tjänsteleverantören på egen bekostnad antingen
      • erhålla fortsatt rätt till användning av Tjänsterna för Kunden i enlighet med villkoren i detta Avtal; eller
      • modifiera eller ersätta Tjänsterna för att eliminera intrånget.
    • Tjänsteleverantören ska dock inte vara ansvarig gentemot Kunden för något IPR-krav om det:
      • beror på användning av Tjänsterna i kombination med maskinvara, produkt, programvara eller tjänst från tredje part som inte tillhandahålls av Tjänsteleverantören;
      • följer av att Kundens instruktioner har följts;
      • är baserad på eller uppstår till följd av användning av Tjänsterna utanför den omfattning som anges i Avtalet eller i strid med detta Avtal; eller
      • resultat av efterlevnad av internationella standarder.
    • Detta avsnitt 11 anger Tjänsteleverantörens hela ansvar och Kundens enda och exklusiva rättsmedel för alla IPR-krav. Tjänsteleverantören ska hålla Kunden skadeslös och betala alla direkta skadestånd, kostnader och utgifter (inklusive rimliga juridiska kostnader och utgifter) som utdömts mot eller åsamkats Kunden till följd av IPR-krav, men ska inte vara ansvarig enligt denna skadeslöshet för någon förlikning eller kompromiss som gjorts av Kunden utan dess samtycke.
    • Utan att det påverkar ersättningen enligt punkt 4 ska Kunden hålla Tjänsteleverantören skadeslös från eventuella skadestånd, kostnader eller böter som Tjänsteleverantören tilldöms eller krävs på med anledning av rättsliga åtgärder som vidtas av Kundens kunder i samband med brott mot ett avtal mellan Kunden och dess kunder, förutsatt att Tjänsteleverantören utan dröjsmål skriftligen underrättar Kunden efter att ha fått kännedom om sådana krav.
  9. Begränsningar av ansvar
    • Ingen av parterna ska vara ansvarig gentemot den andra parten för förlust av vinst, användning, goodwill, intäkter eller vinster eller för tillfälliga, indirekta, särskilda, följd- eller exemplifierande skador. Ingen av parterna begränsar dock sitt ansvar för dödsfall eller personskada, bedrägeri och andra handlingar, fel eller försummelser för vilka ansvaret inte kan begränsas enligt tillämplig lagstiftning.
    • Tjänsteleverantören ansvarar inte för fel, otillgänglighet eller funktionsstörningar i Tjänsterna som beror på:
      • Force Majeure-händelser;
      • fel eller brister i datorsystem eller nätverk (inklusive fel eller brister i internet eller något offentligt telekommunikationsnätverk, överbelastning av nätverk, störningar eller funktionsfel);
      • tredjepartsintegrationer eller den programvara eller de system som gör Tjänsterna tillgängliga;
      • förlust, ändring eller obehörig åtkomst till Kunddata; eller
      • fel, buggar eller annan olämplig funktion eller funktionsstörning i Tjänsterna som beror på ändringar eller modifieringar av Tjänsterna som gjorts av Kunden eller tredje part som agerar för Kundens räkning.
    • Tjänsteleverantörens ansvar för tillgängligheten av Tjänsterna ska definieras, styras och begränsas av de villkor som anges i Servicenivåavtalet. Parterna är uttryckligen medvetna om och överens om att Servicenivåavtalet innehåller särskilda bestämmelser om ansvar, inklusive men inte begränsat till, utfästelser, garantier, rättsmedel och ansvarsbegränsningar. I händelse av inkonsekvenser eller konflikter mellan villkoren i detta Avtal och Servicenivåavtalet avseende ansvar, ska villkoren i Servicenivåavtalet ha företräde.
    • Utan att begränsa det ovan sagda är Tjänsteleverantörens ansvar strikt begränsat till skador som direkt orsakats av Tjänsteleverantörens uppsåtliga försummelse. Tjänsteleverantören ansvarar inte för handlingar, fel eller försummelser som inte utgör uppsåtlig försummelse enligt definitionen i Tillämplig lag. Tjänsteleverantören ansvarar inte för skador som drabbat tredje part.
    • Tjänsteleverantörens ansvar är begränsat oavsett om Tjänsteleverantören har informerats om möjligheten till sådana skador eller inte, även om en åtgärd som anges i Avtalet visar sig ha misslyckats med sitt väsentliga syfte. Tjänsteleverantören har inget ansvar för eventuella fel eller förseningar som beror på omständigheter som ligger utanför Tjänsteleverantörens rimliga kontroll. Med förbehåll för punkterna 1 och 12.2 ska Tjänsteleverantörens maximala sammanlagda ansvar inte i något fall överstiga det belopp som motsvarar de avgifter som Kunden betalat till Tjänsteleverantören under de senaste tre månaderna från det att den händelse som resulterade i Tjänsteleverantörens ansvar inträffade, eller om det har gått mindre än tre månader sedan ikraftträdandedatumet, 100 % av de avgifter som är hänförliga till de hela kalendermånader som har gått sedan ikraftträdandedatumet.
  10. Utfästelser och garantier
    • Vardera parten utfäster och garanterar gentemot den andra parten att:
      • Parten är korrekt konstituerad och inkorporerad enligt respektive Tillämpliga lagar;
      • parten har full befogenhet att ingå och fullgöra detta avtal;
      • Partens företrädare har alla rättigheter, inklusive nödvändiga interna företagsgodkännanden (i tillämpliga fall), som krävs för att ingå detta avtal;
      • de skyldigheter för parten som anges i detta avtal är giltiga, bindande för och verkställbara mot den relevanta parten, och
      • varken undertecknandet eller fullgörandet av detta avtal strider mot eller resulterar i en överträdelse av några bestämmelser i (a) rättsakter som parten omfattas av, (b) avtal eller förpliktelser som är bindande för parten (i förekommande fall), (c) dom, order, föreläggande, beslut eller utslag från domstol eller statlig eller lokal myndighet som parten omfattas av, (d) villkoren i någon licens eller något tillstånd som beviljats parten.
    • Tjänsteleverantören försäkrar och garanterar att:
      • de delar av Tjänsterna som utgör programvara med öppen källkod, om sådana finns, levereras på ett sätt som är förenligt med licensvillkoren för dessa, och
      • Tjänsterna levereras på ett sätt som är förenligt med Tillämpliga lagar.
    • Tjänsterna tillhandahålls ”i befintligt skick” och, med undantag för vad som uttryckligen anges i detta Avtal, utan några garantier eller utfästelser av något slag, vare sig uttryckliga eller underförstådda. Tjänsteleverantören frånsäger sig särskilt alla underförstådda garantier, inklusive men inte begränsat till garantier för säljbarhet, icke-intrång och lämplighet för ett visst ändamål. Tjänsteleverantören lämnar inte heller några garantier eller utfästelser om användningen av Tjänsterna eller om de resultat som erhållits eller avses att erhållas genom användningen av Tjänsterna. Kunden bekräftar att denne inte har förlitat sig på några andra garantier än de uttryckliga garantierna i detta Avtal och att inga garantier lämnas av Tjänsteleverantörens ombud, anställda eller representanter.
    • Kunden bekräftar och samtycker till att även om Tjänsteleverantören strävar efter att leverera tjänster av hög kvalitet, kan ingen programvarutjänst garanteras vara helt fri från buggar eller fel. Följaktligen garanterar Tjänsteleverantören inte att Tjänsterna kommer att fungera med 100% drifttid eller vara helt fria från buggar och fel. Dessutom frånsäger sig Tjänsteleverantören alla garantier gällande handlingar och försummelser av tredjepartsleverantörer och värdpartners, inklusive men inte begränsat till deras förmåga att tillhandahålla nödvändig hårdvara, programvara, nätverk, lagring och relaterad teknik som krävs för att leverera Tjänsterna. Tjänsteleverantörens skyldigheter med avseende på tjänsternas tillgänglighet och prestanda gäller endast i enlighet med vad som uttryckligen anges i det servicenivåavtal som bifogas detta avtal.
  11. Meddelanden och kommunikation
    • Alla meddelanden, förfrågningar eller annan kommunikation som enligt detta avtal ska lämnas eller göras till en part ska riktas till respektive parts utsedda kontaktperson(er). Vardera parten är skyldig att utan dröjsmål underrätta den andra parten om eventuella ändringar av den eller de utsedda kontaktpersonerna.
    • Alla handlingar som skall tillhandahållas eller meddelanden som skall lämnas eller göras enligt detta avtal skall åtminstone ha en form som kan återges skriftligen och vara avfattade på engelska, om inte parterna kommer överens om något annat.
    • Parterna har utsett kontaktpersoner i ett separat meddelande.
  12. Uppsägningstid och uppsägning
    • Detta avtal ska träda i kraft och vara bindande för parterna från och med ikraftträdandedagen, oavsett vilket datum parterna faktiskt undertecknar det. Den inledande löptiden för detta avtal är 1 (ett) år.
    • Detta avtal är föremål för en förnyelseperiod på 1 (ett) år. Om inte parterna har sagt upp detta avtal eller uttryckligen anger något annat, kommer detta avtal automatiskt att förnyas för förnyelseperioden vid slutet av löptiden och slutet av varje efterföljande förnyelseperiod.
    • Vardera parten får säga upp avtalet, oavsett orsak, genom att 90 dagar i förväg meddela den andra parten om detta.
    • Vardera parten får säga upp detta avtal med 30 dagars varsel om den part som gör intrång gör sig skyldig till en väsentlig överträdelse:
      • som inte kan avhjälpas, eller
      • som kan åtgärdas, men som inte åtgärdas inom 30 dagar, eller inom en annan period som kan överenskommas mellan parterna, från det att den intrångsgörande parten har mottagit ett meddelande från den förfördelade parten om överträdelsen och om att överträdelsen ska åtgärdas.
    • I händelse av uppsägning:
      • Tjänsteleverantören samtycker till att ge Kunden rimlig assistans för en smidig övergång av Tjänsterna till en annan leverantör eller till Kunden själv, under en period som inte överstiger 3 månader efter uppsägningen. Denna assistans kan innefatta överföring av data, tillhandahållande av nödvändig dokumentation och stöd vid migrering av tjänster;
      • Kunden ska ansvara för att meddela Användarna om förändringen i tillhandahållandet av tjänsten. Tjänsteleverantören ska samarbeta med Kunden för att säkerställa att sådana meddelanden är förenliga med villkoren i Avtalet och inte ger en orättvis eller felaktig bild av Tjänsteleverantörens roll eller ansvar;
      • Tjänsteleverantören ska förse Kunden med all Kunddata inklusive Användardata som den innehar i ett allmänt använt format och säkerställa att lagar och förordningar om dataskydd följs. Tjänsteleverantören ska radera eller anonymisera alla Användaruppgifter i sin besittning efter bekräftelse av framgångsrik överföring, såvida det inte finns lagstadgade krav på att behålla dem; och
      • Alla slutliga uppgörelser, inklusive utestående betalningar eller återbetalningar, mellan parterna ska slutföras inom 30 dagar efter den dag då uppsägningen träder i kraft. Villkoren för sådana uppgörelser skall baseras på de befintliga avtalsförpliktelserna och eventuella ytterligare avtal som ingåtts under uppsägningsprocessen.
    • Uppsägning av avtalet befriar inte parterna från deras utestående skyldigheter enligt avtalet och påverkar inte en parts rättigheter eller rättsmedel till följd av brott mot avtalet.
    • Uppsägning av detta avtal skall dock inte påverka giltigheten av sådana villkor som till sin natur överlever uppsägningen av detta avtal.
  13. Slutliga bestämmelser
    • Detta avtal utgör hela avtalet mellan parterna avseende ämnet för detta avtal och ersätter alla tidigare meddelanden, muntliga eller skriftliga, mellan parterna avseende ämnet för detta avtal.
    • Tjänsteleverantören är en oberoende uppdragstagare och inget i Avtalet ska göra Tjänsteleverantören till anställd eller ombud för Kunden och Tjänsteleverantören ska inte presentera sig som sådan gentemot tredje man.
    • Ingen ändring av detta avtal skall ha verkan om den inte formaliseras skriftligen och undertecknas av parterna.
    • Parterna får inte överföra eller på annat sätt överlåta några av sina rättigheter eller skyldigheter enligt avtalet till tredje part utan föregående skriftligt medgivande från den andra parten.
    • Om någon del av detta avtal är ogiltig skall detta inte innebära att avtalet i sig eller någon annan del av detta är ogiltig. Om någon bestämmelse i Avtalet anses ogiltig eller omöjlig att verkställa, ska de återstående bestämmelserna förbli i full kraft och verkan. Parterna ska vidta lämpliga åtgärder för att ersätta den ogiltiga eller ogenomförbara bestämmelsen med en bestämmelse som bäst återspeglar båda parternas avsikter.
    • Detta avtal styrs av och tolkas i enlighet med Republiken Estlands lagar, med undantag för lagvalsreglerna.
    • Alla tvister som uppstår i samband med avtalet ska lösas genom förhandlingar. Om en uppgörelse i godo inte kan nås ska tvisten avgöras exklusivt i enlighet med Republiken Estlands lagar, vid Harju County Court i Tallinn.
    • Detta avtal har upprättats i ett enda elektroniskt exemplar på engelska.

AVTAL OM DATABEHANDLING

Detta ”Databehandlingsavtal” ( DPA) utgör en integrerad del av Tjänsteleverantörens tillhandahållande av tjänster till Kunden i enlighet med huvudavtalet. De termer med versaler som används i detta databehandlingsavtal ska ha den innebörd som anges i huvudavtalet.

  1. Ämne
    • Ämnet för dataskyddsförordningen, typ av och syfte med databehandlingen, typer av personuppgifter och kategorier av registrerade beskrivs i bilaga 1 till denna dataskyddsförordning.
    • Detta DPA ska, om inte annat överenskommits mellan Parterna, gälla så länge som Tjänsteleverantören behandlar Personuppgifter som personuppgiftsbiträde för Kundens räkning som personuppgiftsansvarig.
  2. Behandling av uppgifter som omfattas av instruktioner
    • Tjänsteleverantören ska behandla personuppgifterna baserat på de instruktioner som tillhandahålls av kunden med hjälp av SaaS-plattformen (Software as a Service) enligt definitionen i huvudavtalet.
    • Kunden är ansvarig för den öppenhet och information som tillhandahålls till sina kunder i sina tjänstevillkor, integritetspolicyer och avtal om detaljerna i de tjänster som tillhandahålls av tjänsteleverantören.
  3. Åtagande om konfidentialitet
    • Tjänsteleverantören ska för genomförandet av detta dataskyddsavtal endast anlita personer som är behöriga att behandla personuppgifterna och som har förbundit sig till sekretess eller som omfattas av en lämplig lagstadgad sekretessförpliktelse.
    • Tjänsteleverantören ska med tillbörlig omsorg verka för att dess anställda följer alla tillämpliga lagkrav för dataskydd och att den information som erhålls från Kunden inte lämnas ut till obehörig tredje part eller på annat sätt används/exploateras.
  4. Säkerhet vid behandling / Tekniska och organisatoriska åtgärder (TOM)
    • Tjänsteleverantören tar alla TOM som krävs i enlighet med artikel 32 i GDPR.
    • TOM är föremål för tekniska framsteg och utveckling. Under giltighetstiden för detta dataskyddsavtal ska tjänsteleverantören kontinuerligt anpassa TOM till kraven i detta dataskyddsavtal och i enlighet med den tekniska utvecklingen.
    • I den mån Tjänsteleverantören tillhandahåller ett tekniskt system/lösning för Kunden måste Tjänsteleverantören säkerställa att det tekniska systemet/lösningen uppfyller kraven i GDPR.
  5. Koppla in en annan processor
    • Tjänsteleverantören kan anlita Underbiträden som anges i Bilaga 2. Kunden ger tillstånd till att anlita dessa Underbiträden.
    • Tjänsteleverantören ska informera Kunden om alla planerade förändringar avseende tillägg eller utbyte av Underbiträden genom att uppdatera Bilaga 2.
    • Tjänsteleverantören ska ålägga underbiträdena samma skyldigheter i fråga om dataskydd som anges i detta dataskyddsavtal. Om underbiträdet inte uppfyller de dataskyddsskyldigheter som anges i detta dataskyddsavtal, ska tjänsteleverantören förbli fullt ansvarig gentemot kunden för att underbiträdets dataskyddsskyldigheter uppfylls.
    • Tjänsteleverantören ska regelbundet och på lämpligt sätt kontrollera att det anlitade Underbiträdet uppfyller sina skyldigheter avseende dataskydd.
    • Varje överföring till ett tredje land (inklusive att ge tillgång till personuppgifter), antingen av Tjänsteleverantören själv eller av en Underbiträde, är föremål för skriftligt förhandsgodkännande, inklusive i elektronisk form, av Kunden. Kunden ger tillstånd för överföring till tredje land till anlitade Underbiträden, vilka anges i Bilaga 2.
    • Om personuppgifter överförs från Tjänsteleverantören som är etablerad i Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES) till ett Underbiträde som är etablerat i ett land som Europeiska kommissionen inte har erkänt som ett land som tillhandahåller en adekvat skyddsnivå för personuppgifter, utser Kunden Tjänsteleverantören och Tjänsteleverantören förbinder sig att för Kundens räkning ingå EU:s standardavtalsklausuler med ett sådant Underbiträde som är etablerat utanför EES eller EU. Tjänsteleverantören kommer att ansluta sig till dessa standardavtalsklausuler som ingåtts mellan Tjänsteleverantören och Underbiträdet.
  6. Samarbets- och stödförpliktelser
    • Tjänsteleverantören bistår Kunden med alla nödvändiga och ekonomiskt lämpliga medel samt med lämpliga tekniska och organisatoriska åtgärder för att fullgöra Kundens skyldighet att svara på begäran om utövande av den registrerades rättigheter.
    • Direkt kommunikation med den registrerade får endast ske efter skriftligt förhandstillstånd från uppdragsgivaren. Tjänsteleverantören ska utan onödigt dröjsmål vidarebefordra alla förfrågningar som rör den registrerades rättigheter till kunden.
  7. Hjälp med att säkerställa att kundens skyldigheter fullgörs
    • Tjänsteleverantören är medveten om att vid en personuppgiftsincident måste Kunden anmäla personuppgiftsincidenten till tillsynsmyndigheten och/eller den registrerade utan onödigt dröjsmål och, om möjligt, senast 72 timmar efter att ha fått kännedom om personuppgiftsincidenten. I händelse av en personuppgiftsincident kommer Tjänsteleverantören att stödja Kunden med alla nödvändiga och ekonomiskt rimliga medel för att utföra sina anmälningsskyldigheter enligt Art. 28 (3) (f) GDPR. Tjänsteleverantören ska informera Kunden om alla personuppgiftsincidenter samt misstänkta fall och tillhandahålla åtminstone följande information:
      • Personuppgiftsincidentens art, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade och berörda personuppgiftsregister;
      • Namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där mer information kan erhållas;
      • de sannolika konsekvenserna av personuppgiftsincidenten;
      • de åtgärder som Kunden vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inklusive, i förekommande fall, åtgärder för att mildra dess eventuella negativa effekter.
  1. Radering och återlämnande av personuppgifter
    • Kunden har möjlighet att konfigurera hur personuppgifter lagras på SaaS-plattformen (Software as a Service) och fastställa en lagringspolicy som anger hur länge uppgifterna ska lagras och därefter raderas automatiskt.
  2. Påvisa efterlevnad av skyldigheterna och bidra till granskningar
    • Tjänsteleverantören gör all information tillgänglig för kunden som är nödvändig för att visa att de skyldigheter som fastställs i artikel 28 i GDPR uppfylls. 28 GDPR.
  3. Ytterligare förpliktelser
    • Vid misstanke om brott mot dataskyddsförpliktelserna eller andra dataintrång eller klagomål avseende behandlingen av personuppgifter eller till följd av inspektioner eller andra åtgärder som vidtagits av tillsynsmyndigheterna ska Kunden omedelbart underrättas.
    • Om lagen kräver det, ska tjänsteleverantören skriftligen utse ett dataskyddsombud enligt art. 37 GDPR och en representant enligt art. 27 GDPR.
  4. Övriga avsättningar
    • Parterna ska hålla konfidentiellt alla affärshemligheter och datasäkerhetsåtgärder som de får kännedom om inom ramen för avtalsförhållandet. Affärshemligheter är alla (men inte begränsade till) affärsrelaterade fakta, omständigheter och aktiviteter som inte är allmänt tillgängliga, utan endast tillgängliga för en begränsad grupp personer, såvida inte tjänsteleverantören inte har något legitimt intresse av icke-spridning. Datasäkerhetsåtgärder är alla TOM som vidtas av en avtalsslutande part. Denna sekretessförpliktelse gäller även efter det att detta DPA har upphört att gälla.
    • Parternas ansvar för överträdelser av dataskyddsbestämmelserna regleras i art. 82 GDPR.
    • I händelse av motsägelser, inkonsekvenser eller avvikelser mellan detta DPA och avtalet ska bestämmelserna i detta DPA ha företräde framför bestämmelserna i huvudavtalet. Dessutom ska bestämmelserna i standardavtalsklausulerna/standardklausulerna om dataskydd ha företräde, om tillämpligt.
    • Om någon av bestämmelserna i detta DPA är eller blir ogiltig, ska de återstående bestämmelserna förbli giltiga och opåverkade.
    • Varje ändring av detta DPA, inklusive dess uppsägning och denna klausul, måste ske i skriftlig form.
    • Oavsett bestämmelserna om dataskyddsavtalets varaktighet ska båda parter ha rätt att säga upp avtalet på goda grunder vid allvarliga överträdelser av de bestämmelser om dataskydd som fastställs i detta dataskyddsavtal.

Bilaga 1. Föremål för detta dataskyddsavtal

Ämne (för detta dataskyddsavtal)

CONTROLLER

PROCESSOR

Kunden (enligt definition i Avtalet)

Tjänsteleverantören (enligt definition i Avtalet)

Behandlingens art och syfte

Bearbetningsoperationer

Kontohantering

Fordonsregistreringar

Hantering av bokningar

Meddelanden

Spårning av plats

Statistik

Återkoppling

Analys

Teknisk support

Typ/kategorier av personuppgifter

Kategorier av data

Uppgifter om användarkonto

Uppgifter om fordonsregistrering

Bokningsuppgifter

Återkopplingsdata

Notifieringsdata

Platsdata

Kommunikationsloggar

Tekniska loggar och användningsdata

Data för teknisk support

Registrerade personer

Registrerade personer

Kundens anställda, ombud, underleverantörer

Bilaga 2. Förteckning över anlitade underbiträden

Underprocessor

Plats för bearbetningen

Typ av tjänst

CITIC Telecom CPC Estland OÜ

Estland

Serverhosting och nätverksanslutningar

AS LHV PANK

Estland

Inkassering av betalningar

AS LHV Paytech (Everypay)

Estland

Lösning för inkassering av betalningar

Google Maps

Irland

Navigering, Platsspårning

Google Play

Irland

Mobil app

App Store

USA

Mobil app

WhatsApp

Irland

WhatsApp-meddelanden

Telia Eesti AS

Estland

SMS-aviseringar

PLATTFORMSSÄKERHET

Denna ”Plattformssäkerhet” utgör en integrerad del av Tjänsteleverantörens tillhandahållande av tjänster till Kunden i enlighet med Huvudavtalet. Termer med versaler ska ha den innebörd som anges i huvudavtalet.

  1. Infrastruktur
    • Tjänsteleverantören använder en separat instans för tillhandahållandet av tjänsterna. Tjänsteleverantören driver inte sina egna routrar, lastbalanserare, DNS-servrar eller fysiska servrar.
    • En lista över alla molnleverantörer som används för att upprätthålla säkerheten och tillhandahålla tjänster finns på www.goswift.eu.
  2. Applikationssäkerhet
    • All kod granskas av en senior ingenjör innan den distribueras till produktionssystem. Kodgranskningarna är utformade för att säkerställa säkerhet, prestanda och kvalitet för kod som släpps till produktion.
    • Tjänsteleverantören skyddar användarinloggningen mot ett antal attackvektorer, inklusive brute force-attacker, genom att använda tjänster från tredje part. Lösenord hashas kryptografiskt och saltas baserat på bästa praxis i branschen av auktoriseringsleverantören och användarens auktoriseringstoken för att hantera anslutningar till tjänsterna.
    • Driftsättningen av tjänsterna är helt automatiserad. Ändringar i både infrastruktur och kod genomgår automatiserad testning med hjälp av ett CI-verktyg (Continuous Integration) innan de släpps till produktion. En ändring som passerar gransknings- och testprocessen distribueras sedan till produktion med hjälp av ett CI-verktyg.
    • Tjänsteleverantören utför regelbundna penetrationstestrevisioner med en kontrakterad tredje part.
    • Tjänsteleverantören krypterar data både i vila och under transport. All nätverkskommunikation använder TLS-kryptering för att skydda den under transport. Tjänsteleverantören använder de krypteringsverktyg som ingår i datalagren i publika moln för att kryptera data i vila.
  3. Policies och efterlevnad
    • Tjänsteleverantören är fast besluten att skydda användarnas information. Även om tjänsteleverantören inte har genomgått en tredjeparts säkerhetsrevision för SOC-2 eller ISO27001, 27018, håller den sig till de säkerhetskontroller som finns i dessa ramverk och har valt molnvärdsleverantörer som är SOC- och ISO-kompatibla.
    • Tjänsteleverantören ger åtkomst till system och infrastruktur endast till personal som behöver åtkomst som en del av sitt arbetsansvar. Processer för borttagning av åtkomst används för att återkalla åtkomst för personal som inte längre behöver den.
    • Tjänsteleverantören tillämpar en lösenordspolicy och ett krav på multifaktorautentisering när det är tillgängligt för att skydda sina konton.
    • Tjänsteleverantören hanterar all sin infrastruktur som kod, vilket gör det möjligt att granska alla ändringar och tillhandahålla en säker och automatiserad process för att tillämpa dessa ändringar.
    • Tjänsteleverantören uppfyller GDPR:s krav på standarder för anmälan av dataintrång. I händelse av ett säkerhetsintrång kommer Tjänsteleverantören att vidta åtgärder för att begränsa, utreda och mildra intrånget. Tjänsteleverantören kommer att meddela kunden skriftligen inom 72 timmar efter att ett brott har bekräftats.
    • En säkerhetsincident utan återverkningar kommer inte att behöva anmälas, dvs. som inte resulterar i någon obehörig åtkomst till personuppgifter eller till utrustning eller anläggningar som lagrar personuppgifter, och kan inkludera, utan begränsning, pingar och andra broadcast-attacker på brandväggar eller edge-servrar, portskanningar, misslyckade inloggningsförsök, överbelastningsattacker, paketsniffning (eller annan obehörig åtkomst till trafikdata som inte resulterar i åtkomst utöver headers) eller liknande incidenter.
  4. Regelbundna säkerhetsuppdateringar och granskningar
    • Tjänsteleverantören åtar sig att göra regelbundna säkerhetsgranskningar och uppdateringar av tjänsterna för att hantera nya cyberhot och tekniska framsteg. Detta omfattar, men är inte begränsat till, uppdateringar av krypteringsstandarder, åtkomstkontroller och mekanismer för att upptäcka hot.
    • Tjänsteleverantören ska genomföra årliga eller halvårsvisa säkerhetsrevisioner av tredje part för att verifiera effektiviteten i de implementerade säkerhetsåtgärderna och identifiera områden som kan förbättras. Resultaten av dessa revisioner kommer att användas för att informera och vägleda efterföljande säkerhetsförbättringar.
  5. Utbildning och program för säkerhetsmedvetenhet
    • Tjänsteleverantören ska genomföra löpande utbildningsprogram för alla anställda, med fokus på bästa praxis för cybersäkerhet, nya hot och vikten av dataskydd. Denna utbildning kommer att uppdateras regelbundet för att återspegla de senaste säkerhetstrenderna och hoten.
    • Tjänsteleverantören kommer att främja en kultur av säkerhetsmedvetenhet genom regelbunden kommunikation, uppdateringar och workshops. Detta innefattar att säkerställa att alla anställda är medvetna om sina roller och sitt ansvar för att upprätthålla plattformssäkerhet och dataskydd.

AVTAL OM SERVICENIVÅ

Detta ”Servicenivåavtal” utgör en integrerad del av Tjänsteleverantörens tillhandahållande av tjänster till Kunden i enlighet med Huvudavtalet. De termer med versaler som används i detta Servicenivåavtal ska ha den betydelse som anges i huvudavtalet.

  1. Omfattning och ämne
    • Tjänsteleverantören förbinder sig att tillhandahålla Kunden följande tilläggstjänster i anslutning till Tjänsterna:
      • Tillgänglighet;
      • Hantering av incidenter;
      • Stöd;
      • Underhåll och uppdateringar.
  1. Tillgänglighet
    • Tjänsteleverantören ska se till att Tjänsterna är tillgängliga minst 99 % av den totala tiden. Tjänsternas tillgänglighet beräknas som den kumulativa tillgängligheten för alla förfrågningar om Tjänsterna, genom att ta hänsyn till framgångsrika förfrågningar dividerat med totala förfrågningar under en kalendermånad (exklusive tid som används för underhåll) ( Tillgängligheten).
  2. Servicekrediter
    • I händelse av att Tjänsteleverantören inte lyckas uppfylla Tillgängligheten kommer Servicekrediter att beviljas Kunden på dennes begäran.
    • Följande belopp ska krediteras Kunden om Tjänsteleverantören inte uppfyller följande tillgänglighetskriterier ( Tjänstekrediterna):
      • om tillgängligheten är lägre än 99% – 5% av månadsavgiften;
      • om tillgängligheten är lägre än 95% – 10% av månadsavgiften;
      • om tillgängligheten är lägre än 90% – 15% av månadsavgiften.
    • Servicekrediterna är inte kontant återbetalning utan tillämpas istället på nästa månads faktura som utfärdas till Kunden för betalning av Avgiften.
    • För att vara berättigad till Servicekrediter måste Kunden meddela Tjänsteleverantören om sin avsikt att göra anspråk på sådana Servicekrediter inom femton (15) dagar efter utgången av den kalendermånad under vilken Kunden först blev berättigad till Servicekrediten. Underlåtenhet att uppfylla detta anmälningskrav inom den angivna tidsramen kommer att leda till att Kunden förlorar rätten att erhålla Servicekrediten för den specifika incidenten.
    • Denna punkt 3 anger Tjänsteleverantörens hela ansvar och Kundens enda och exklusiva rättsmedel avseende Tillgängligheten.
    1. Underhåll och schemalagda avbrott
      • Tjänsteleverantören ska upprätthålla Tjänsterna och dess tillgänglighet under Avtalets giltighetstid.
      • Tjänsteleverantören ska underhålla Lösningen i en molnserver. Underhållskostnaderna bärs av Kunden som en del av Avgiften.
      • Tjänsteleverantören ska i förväg meddela Kunden om planerade avbrott för att förbättra funktionaliteten, lägga till nya funktioner, åtgärda fel eller på annat sätt förbättra driften av Tjänsterna.
    2. Hantering av incidenter
      • Tjänsteleverantören tillhandahåller en incidenthanteringstjänst till Kunden ( Incidenthanteringen), som är differentierad baserat på incidenter som inträffar inom eller utanför arbetstid:

    Prioritet

    Allvarlighetsgrad

    Beskrivning

    Tid att äga

    Rättelse av fel

    Tid att lösa

    Process

    09:00-17:00 (EET)

    1

    Blockering

    1) Användningen är helt blockerad för alla

    2) Viktiga affärskritiska funktioner inte tillgängliga för alla

    30 minuter

    Kontinuerligt under supporttimmarna fram till:

    Problemet löses eller nedgraderas till en lägre svårighetsgrad.

    2 timmar

    Manuell

    2

    Kritisk

    1) Kritisk funktion med stor inverkan på användningen

    2) Helt blockerad användning för ett måttligt antal användare

    3) Kritiskt fel men lösning finns tillgänglig

    2 timmar

    Kontinuerligt under supporttimmarna fram till:

    Problemet löses eller nedgraderas till en lägre svårighetsgrad.

    24 timmar

    Manuell

    3

    Normal (standard)

    1) Felet är mindre; inte kritiskt

    2) Minimalt antal användare som påverkas och/eller inte på ett betydande sätt

    8 timmar

    Kontinuerligt under supporttimmarna fram till:

    Problemet löses eller nedgraderas till en lägre svårighetsgrad.

    120 timmar

    Manuell

    4

    Trivial

    Kosmetisk

    40 timmar

    Utvecklaren kommer att tillhandahålla lösningen med nästa uppdatering, om det är möjligt.

    n/a

    Manuell

    Beredskap, på begäran 24/7/365

    1

    Blockering

    1) Användningen är helt blockerad för alla

    2) Viktiga affärskritiska funktioner inte tillgängliga för alla

    30 minuter

    Kontinuerligt 24/7/365 tills det nedgraderas till en lägre svårighetsgrad.

    2 timmar

    Manuell

    • Om Kunden upptäcker fel i Tjänsterna ska Kundens utsedda personer informera Tjänsteleverantören och lämna åtminstone följande information:
      • tidpunkt för inträffande;
      • Detaljerad beskrivning av felet (med bilder), loggutdrag, relevanta tekniska identifierare;
      • Beskrivning av de aktiviteter som utfördes omedelbart innan felet inträffade.
    • Tjänsteleverantören ska vidta alla kommersiellt rimliga åtgärder för att besvara Kundens felanmälningar i enlighet med ovanstående svarstider.
    • Om Tjänsteleverantören inte uppfyller de mål som anges i punkt 1 har Kunden rätt till ersättning baserad på incidentens allvarlighetsgrad:
      • Blockering – 20% av månadsavgiften;
      • Kritisk – 15% av månadsavgiften;
      • Normal – 10% av månadsavgiften;
      • Trivial – ingen kredit.
    • Den maximala gränsen för den ersättning som Kunden kan tjäna in under en viss månad är 50%.
    • För att göra anspråk på ersättningen måste Kunden lämna in ett meddelande till Tjänsteleverantören med uppgift om den procentandel av ersättningen som Kunden är berättigad till för kalendermånaden.
    • Ersättningen för Incidenthantering är inte en kontant återbetalning utan läggs istället på nästa faktura för betalning av Avgiften som utfärdas till Kunden.
    • I detta avsnitt 5 anges Tjänsteleverantörens hela ansvar och Kundens enda och exklusiva rättsmedel avseende Incidenthanteringen.
    1. Stöd
      • Kunden kan från tid till annan behöva stöd från Tjänsteleverantören ( stödet), t.ex:
        • bemannad telefonsupport;
        • övervakad support via e-post;
        • proaktiv realtidsövervakning av programvaran;
        • fjärrassistans i händelse av systemfel;
        • felsökning av programvara.
      • Eventuella avgifter för dessa supporttjänster anges på tjänsteleverantörens webbplats.
    2. Slutliga bestämmelser
      • Villkoren i huvudavtalet ska i tillämpliga delar gälla för detta Servicenivåavtal.
      • Vid eventuella avvikelser mellan bestämmelserna i detta Servicenivåavtal och huvudavtalet ska bestämmelserna i detta Servicenivåavtal ha företräde.

TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

Dessa ”Tekniska och organisatoriska åtgärder” utgör en integrerad del av Tjänsteleverantörens tillhandahållande av tjänster till Kunden i enlighet med Huvudavtalet. Termer med versaler ska ha den innebörd som anges i huvudavtalet.

  1. Översikt
    • Följande tekniska och organisatoriska åtgärder tillhandahålls i enlighet med artikel 32.1 i dataskyddsförordningen. Tjänsteleverantören upprätthåller sin produktionsmiljö med Web Services och förlitar sig därför till stor del på de tekniska säkerhetsåtgärder som Web Services har vidtagit. Alla fysiska säkerhetskontroller hanteras av de molnhostingleverantörer som tjänsteleverantören använder. I den utsträckning som Tjänsteleverantören behandlar Personuppgifter utanför Web Services-systemet har följande tekniska och organisatoriska åtgärder vidtagits med avseende på Personuppgifterna. Strukturen på innehållet nedan härrör från artikel 32.1 i GDPR.
  2. Pseudonymisering och kryptering
    • Kunddata krypteras både i vila och under transport. Tjänsteleverantören använder TLS-kryptering för att skydda data under transport och använder krypteringsverktyg av branschstandard för att kryptera data i vila.
  3. Tjänsteleverantören använder automatiskt aktiverad konfidentialitet
    • Tjänsteleverantören har åtkomstkontroller som är utformade för att hantera åtkomst till kunddata och systemfunktioner baserat på behörighetsnivåer och arbetsfunktioner. Dokumenterade processer för borttagning av åtkomst används för att återkalla åtkomst för personal som inte längre behöver den.
    • Tjänsteleverantören tillämpar lösenordspolicyer och kräver multifaktorautentisering när det är tillgängligt för att skydda sina konton.
    • Alla personalens bärbara datorer är krypterade och lösenordsskyddade genom en centraliserad lösning för skydd av slutpunkter som upprätthåller bästa praxis för enheter. Tjänsteleverantören använder automatiskt aktiverade och lösenordsskyddade datorlåsningslösningar.
    • Tjänsteleverantören skyddar användarinloggningen mot ett antal attackvektorer, inklusive brute force-attacker, genom att använda tjänster från tredje part som är branschstandard. Lösenord är kryptografiskt hashade och saltade baserat på bästa praxis i branschen av dess auktoriseringsleverantör och användarens auktoriseringstoken för att hantera anslutningar till tjänsterna.
    • Tjänsteleverantören har infört rutiner och regler för säker och permanent förstöring av data som är överflödig.
    • Tjänsteleverantören loggar och övervakar aktiviteten i sina system. Tjänsteleverantören lagrar aktivt dessa loggar från sådana system och analyserar dem för ovanlig aktivitet. Processer finns på plats för att varna det dedikerade säkerhetsteamet om misstänkt aktivitet för granskning.
  4. Integritet
    • Driftsättningen av Tjänsterna är helt automatiserad och ändringar i både infrastruktur och kod är föremål för automatiserade tester med hjälp av verktyget Continuous Integration (CI) innan de släpps till produktion.
    • Infrastrukturen tillhandahålls via kodlösningar, vilket möjliggör konsekventa, tillförlitliga och säkra driftsättningar av molninfrastruktur.
    • Ändringar i tjänsterna granskas av kollegor, och sådana kodgranskningar är utformade för att säkerställa säkerhet, prestanda och kvalitet för kod som släpps till produktion.
    • Tjänsteleverantören anlitar en oberoende organisation för att bedöma säkerheten i tjänsterna, vilket granskas minst en gång var sjätte månad.
  5. Tillgänglighet och motståndskraft
    • Tjänsteleverantören använder helt hanterade tjänster för att leverera tjänsterna och ansvarar för att administrera och patcha sina tjänster.
    • All kunddata lagras i molnbaserade lagringstjänster och säkerhetskopieras minst en gång om dagen.
    • Tjänsteleverantören har en skriftlig plan för kontinuitet och katastrofåterställning som innehåller processer för att återställa Tjänsterna.
  6. Processer för regelbunden testning, bedömning och utvärdering av effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen
    • Tjänsteleverantören granskar regelbundet åtgärder för datasekretess.
    • Tjänsteleverantören har ett särskilt säkerhetsteam som arbetar med alla team för att tillhandahålla säkerhet i alla aspekter av tjänsterna.
    • Alla medlemmar i teamet (inklusive både heltidsanställda och oberoende entreprenörer) måste följa interna säkerhetspolicyer och rutiner, inklusive men inte begränsat till en policy för hantering av incidenter som rör informationssäkerhet, en policy och standarder för informationssäkerhet, en policy för datakryptering, en policy för godtagbar användning, en e-postpolicy och en policy för dataklassificering och åtkomstkontroll.
    • Tjänsteleverantören utför regelbundna penetrationstestrevisioner med en kontrakterad tredje part.