Denne avtalen ("Avtalen") gjelder din bruk av webløsningen Bård ("Løsningen"). Avtalen aksepteres ved å ta i bruk Løsningen. Løsningen utvikles og leveres av Restack Software AS ("Leverandøren"). Selskaper som benytter Løsningen regnes som en "Sluttkunde". Sluttkunden kan gi tilgang til flere brukere ("Sluttbruker").

Løsningen

Løsningen er en webbasert programvareløsning, som gjøres tilgjengelig for Kunden ved bruk av en nettleser. Løsningen leveres som den er.

Pålogging gjøres av Sluttbruker med brukernavn og passord. Sluttkunden kan invitere Sluttbrukere til å bruke Løsningen ved å registrere Sluttbrukeren i styret til Sluttkunden i Løsningen. Sluttkunden vil da få tilgang til informasjonen som er lagret av Sluttkunden.

Kundens ansvar

Kunden er ansvarlig for at dokumentasjon som lagres eller genereres i Løsningen, samt at styrearbeid som utføres er i henhold til gjeldende lovverk. Bruk av Løsningen skjer på eget ansvar for Sluttkunden.

Sluttkunden kan opprette flere Sluttbrukere som har tilgang til Sluttkundens opplysninger i Løsningen. Opplysninger om brukernavn og passord må oppbevares på en sikker måte, og skal ikke gis videre til andre personer.

Det er ikke tillatt å kopiere Løsningen (reverse engineering), å forsøke å tilegne seg urettmessige tilganger i Løsningen, eller forsøke å gjøre skade på Løsningen ved å laste opp skadelige filer eller lignende.

Leverandørens ansvar

Løsningen er under kontinuerlig utvikling, og feil i løsningen vil kunne forekomme. Leverandøren skal raskest mulig rette eventuelle feil som oppstår i Løsningen, og til enhver tid gjøre rimelige tiltak for å sikre høy oppetid for Løsningen.

Leverandørens ansvar for feil i systemet er begrenset til direkte tap kunden kan dokumentere å ha blitt påført som en direkte følge av uaktsomhet hos Leverandøren. Ansvaret er under enhver omstendighet begrenset til summen av ett års abonnement for kunden, med mindre det foreligger grov uaktsomhet eller forsett - da er ansvaret begrenset til summen av to års abonnement. Leverandøren er under ingen omstendigheter ansvarlig for indirekte tap. Leverandøren har ikke noe ansvar for kundens utøvelse av styreverv eller oppfyllelse av sitt generelle styreansvar.

Noen Sluttkunder vil kunne få tidlig tilgang til nye funksjoner i Løsningen. Disse vil merkes "Beta", "Tidlig tilgang" eller lignende for å gjøre det tydelig at det er funksjonalitet som er under utprøving. Dette gjøres for å kunne prøve ut nye funksjoner gradvis og sikre tilbakemeldinger fra Sluttbrukere.

Leverandøren vil sørge for at tilfredsstillende backup- og disaster recovery-rutiner er på plass.

Eierskap til løsningen

Sluttkunden er eier av sine egne data som registreres eller lastes opp i Løsningen. Leverandøren kan få innsyn til Sluttkundens data hvis Sluttkunden eksplisitt gir Leverandøren tilgang.

Leverandøren gis tillatelse til å sikkerhetskopiere Sluttkundens data for å sikre en trygg drift av Løsningen.

Leverandøren eier ellers alle deler av Løsningen - dette inkluderer både varemerker, innhold, databaser, kildekode, prosesser og analysemodeller.

Konfidensialitet

Leverandøren vil behandle all informasjon som registreres i Løsningen, eller som Leverandøren blir kjent med gjennom kommunikasjon med Sluttkunden konfidensielt. Leverandøren tar nødvendige forholdsregler for å sikre at ikke uvedkommende får tilgang til informasjon som registreres.

Betaling

Sluttkunden mottar faktura årlig eller halvårlig (Fakturaperioden). Leverandøren fakturerer Sluttkunden for bruk av Løsningen etter gjeldende priser, og prisene reguleres årlig. Lisenser faktureres forskuddsvis i starten av Fakturaperioden, mens transaksjoner faktureres etterskuddsvis. Fakturaperioden starter når abonnementet opprettes.

Transaksjoner vil normalt faktureres sammen med neste faktura for lisenser, men dersom total pris for transaksjoner overgår halvparten av lisensprisen kan Leverandøren fakturere transaksjoner for seg selv.

Faktura sendes per EHF til Sluttkundens organisasjonsnummer, eller per e-post til adressen Sluttkunden har oppgitt. Betalingsfrist er 14 dager.

Noen av funksjonene i Løsningen kan kreve egne avtaler/abonnementer med tredjeparter, f.eks. regnskapssystemer. Dette vil eventuelt faktureres fra tredjeparten, og er ikke en del av denne Avtalen.

Oppsigelse

Avtalen forlenges automatisk hvis den ikke sies opp av en av Partene før neste Fakturaperiode starter. Oppsigelse av avtalen gjøres ved å avslutte abonnementet under Innstillinger i Løsningen, eller ved å sende en skriftlig henvendelse til Leverandøren.

Ved oppsigelse løper avtalen frem til utløp av inneværende Fakturaperiode. Påløpte transaksjonskostnader faktureres ved oppsigelse etter utløp av inneværende Fakturaperioden.

Endringer i Avtalen

Leverandøren kan endre Avtalen. I så fall vil Sluttkunden varsles ved neste pålogging, og må godta oppdaterte vilkår for å fortsette å bruke Løsningen.

Brudd på vilkår for bruk

Leverandøren kan stenge Sluttkundens tilgang til løsningen hvis det foreligger vesentlig brudd på Avtalen. Ved manglende betaling kan Leverandøren stenge Sluttkundens tilgang til løsningen.

Tvisteløsning

La oss først og fremst prøve å finne en løsning. Er det noe du ikke er fornøyd med så ta det opp med oss, og vi vil prøve å løse det på minnelig vis.

Avtalen skal reguleres av norsk rett, og eventuelle tvister som skulle oppstå i forbindelse med Avtalen som ikke kan løses ved forhandlinger skal behandles ved alminnelige domstoler, med Haugaland Tingrett som verneting.

Personvern

Leverandøren er behandlingsansvarlig for personopplysninger knyttet til Sluttkundens tilganger til Løsningen. Opplysningene behandles i tråd med Leverandørens Personvernerklæring, samt gjeldende personvernlovgivning.

Dersom Sluttkunden lagrer personopplysninger i Løsningen, gjelder vår Databehandleravtale (Vedlegg 1) for Leverandørens behandling av opplysningene på vegne av Sluttkunden. Databehandleravtalen inngår som en del av denne Avtalen.

Vedlegg 1: Databehandleravtale

Databehandleravtale – inngått mellom Sluttkunden (heretter “Behandlingsansvarlig”) og Restack Software AS (heretter “Databehandler”), som et vedlegg og integrert del av Bårds vilkår for bruk.

1. Bakgrunn

Behandlingsansvarlig benytter webløsningen Bård (“Løsningen”), levert av Databehandler, til å lagre og administrere dokumenter og opplysninger knyttet til styrearbeid. Disse kan inneholde personopplysninger (f.eks. navn og kontaktinfo om styremedlemmer, aksjeeiere eller andre involverte). I den grad Behandlingsansvarlig lagrer personopplysninger i Løsningen, vil Databehandler behandle slike opplysninger på vegne av Behandlingsansvarlig. Formålet med denne Databehandleravtalen (“Avtalen”) er å regulere partenes rettigheter og plikter ved slik behandling av personopplysninger, i samsvar med gjeldende personvernlovgivning, herunder EUs personvernforordning (GDPR).

2. Definisjoner

Begreper i denne Avtalen skal forstås slik de er definert i GDPR artikkel 4. “Personopplysninger” betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. “Behandling”, “Behandlingsansvarlig”, “Databehandler” osv. skal tolkes i tråd med definisjonene i personvernregelverket.

3. Den behandlingsansvarliges ansvar

Behandlingsansvarlig bestemmer formålet med og midlene for behandlingen av personopplysningene som legges inn i Løsningen. Behandlingsansvarlig er ansvarlig for at all bruk av Løsningen og tilhørende behandling av personopplysninger skjer i samsvar med gjeldende lovgivning. Dette innebærer blant annet at Behandlingsansvarlig skal påse at det finnes gyldig behandlingsgrunnlag for personopplysningene (f.eks. samtykke eller annet lovlig grunnlag), og at eventuelle rettigheter de registrerte har, ivaretas. Alle henvendelser fra registrerte personer vedrørende innsyn, retting, sletting eller andre rettigheter knyttet til personopplysningene skal behandles av Behandlingsansvarlig. Databehandler skal ikke besvare slike henvendelser direkte, men skal uten ugrunnet opphold informere Behandlingsansvarlig om mottatte forespørsler (jf. punkt 8 og 10 nedenfor).

4. Databehandlers plikter

Databehandler skal kun behandle personopplysninger i den utstrekning det er nødvendig for å levere Løsningen slik det er avtalt, og i henhold til dokumenterte instruksjoner fra Behandlingsansvarlig. Tjenestevilkårene og denne Avtalen utgjør samlet Behandlingsansvarliges instruks for behandlingen. Databehandler skal ikke bruke personopplysningene til egne formål eller formål utover det som følger av instruksjonene. Databehandler skal også overholde de plikter som påhviler en databehandler etter personvernregelverket. Hvis Databehandler mener at en instruks er i strid med personvernlovgivningen, skal Databehandler varsle Behandlingsansvarlig om dette.

5. Konfidensialitet og sikkerhet

Databehandler skal sørge for at kun autoriserte personer med tjenstlig behov har tilgang til personopplysningene som behandles på vegne av Behandlingsansvarlig. Alle som får tilgang til opplysningene (ansatte hos Databehandler eller eventuelle underleverandører) skal være underlagt en lov- eller avtalefestet taushetsplikt. Taushetsplikten gjelder også etter at Avtalen opphører.

Databehandler plikter å gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene, i henhold til kravene i GDPR artikkel 32. Dette omfatter blant annet å ha forsvarlig tilgangskontroll, kryptering eller tilsvarende sikring der det er relevant, og rutiner for konfidensialitet, integritet og tilgjengelighet. Databehandler skal dokumentere sine sikkerhetsrutiner og –tiltak, og gjøre slik dokumentasjon tilgjengelig for Behandlingsansvarlig på forespørsel. Databehandler skal regelmessig vurdere og oppdatere sikkerhetstiltakene for å opprettholde et tilfredsstillende sikkerhetsnivå.

6. Bruk av underdatabehandlere

Databehandler benytter underleverandører (“Underdatabehandlere”) for å levere Løsningen og tilhørende tjenester (for eksempel drift av servere, e-postutsendelser, backup osv.). En oppdatert oversikt over godkjente Underdatabehandlere til enhver tid vil være tilgjengelig på vår databehandler-oversikt. Behandlingsansvarlig anses å ha godkjent bruken av de oppførte Underdatabehandlerne ved å ta Løsningen i bruk.

Behandlingsansvarlig gir videre en generell forhåndsgodkjennelse til at Databehandler kan engasjere nye eller bytte ut eksisterende Underdatabehandlere i fremtiden, forutsatt at Databehandler gir forhåndsvarsel. Databehandler skal varsle Behandlingsansvarlig om planlagte endringer ved bruk av nye eller endrede Underdatabehandlere senest 4 uker før endringen trer i kraft. Varsel kan gis via e-post, nettsiden eller inne i Løsningen.

Behandlingsansvarlig har rett til å protestere skriftlig mot en ny Underdatabehandler innen 2 uker etter mottatt varsel dersom det foreligger berettigede grunner til å nekte. I så fall vil Partene forsøke å finne en løsning. Dersom Behandlingsansvarlig ikke aksepterer ny Underdatabehandler og Databehandler ikke kan tilby et alternativ som tilfredsstiller Behandlingsansvarlig, kan Behandlingsansvarlig avslutte bruken av Løsningen (og dermed Avtalen) før den nye Underdatabehandleren tas i bruk.

Databehandler er fullt ut ansvarlig overfor Behandlingsansvarlig for eventuelle Underdatabehandleres behandling av personopplysningene. Databehandler skal sikre at alle Underdatabehandlere pålegges de samme forpliktelser som følger av denne Avtalen, herunder krav til konfidensialitet, sikkerhet og etterlevelse av personvernregelverket. Databehandler skal inngå tilfredsstillende databehandleravtaler med alle Underdatabehandlere.

7. Overføring av personopplysninger ut av EU/EØS

Databehandler skal som hovedregel behandle og lagre personopplysninger innenfor EU/EØS. Dersom Databehandler eller godkjente Underdatabehandlere behandler personopplysninger i et tredjeland (utenfor EU/EØS), skal Databehandler påse at lovlige overføringsmekanismer er på plass. Dette kan inkludere bruk av EUs standard personvernbestemmelser (Standard Contractual Clauses) eller at landet har et gyldig vedtak fra EU-kommisjonen om adekvat beskyttelsesnivå. Databehandler skal på forespørsel opplyse hvilke overføringsgrunnlag som benyttes for eventuelle tredjelands-overføringer.

Med mindre slik overføring er nødvendig for å oppfylle denne Avtalen (f.eks. bruk av en oppgitt Underdatabehandler i et tredjeland, som da er godkjent i henhold til punkt 6), vil Databehandler ikke overføre personopplysninger til land utenfor EU/EØS uten at Behandlingsansvarlig på forhånd har godkjent det skriftlig. Uansett skal alle overføringer til tredjeland ivareta kravene i kapittel V i GDPR, slik at de registrertes rettigheter og vern opprettholdes.

8. Bistand til den behandlingsansvarlige

Databehandler skal, så langt det er mulig og under hensyn til behandlingens art, bistå Behandlingsansvarlig i å oppfylle sine forpliktelser etter personvernregelverket. Dette inkluderer blant annet å hjelpe Behandlingsansvarlig med å sikre oppfyllelse av kravene til informasjonssikkerhet, varsling og kommunikasjon ved brudd (jf. punkt 9), gjennomføring av konsekvensanalyser (DPIA) og eventuell forhåndsdrøfting med tilsynsmyndigheter (GDPR art. 32–36). Databehandler skal også, ved forespørsel, bistå med å gjøre nødvendig informasjon tilgjengelig slik at Behandlingsansvarlig kan svare på henvendelser fra registrerte (jf. punkt 10).

Dersom Behandlingsansvarlig trenger bistand utover det som normalt følger av bruken av Løsningen, kan Databehandler avtale et rimelig vederlag for slik tilleggsbistand. Slik bistand vil i så fall bli utført etter nærmere avtale mellom partene. Databehandler skal uansett alltid uten ugrunnet opphold gi nødvendig informasjon og rimelig hjelp ved sikkerhetsbrudd og henvendelser som beskrevet ellers i denne Avtalen.

9. Varsling om brudd på personopplysningssikkerheten

Hvis Databehandler blir kjent med at det har oppstått et brudd på personopplysningssikkerheten hos Databehandler eller en Underdatabehandler (for eksempel uautorisert tilgang til eller tap av personopplysninger), skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig. Slik varsling skal skje senest innen 48 timer etter at Databehandler fikk kunnskap om bruddet. Varslet skal inneholde relevant informasjon så langt tilgjengelig, herunder en beskrivelse av arten av bruddet og, om mulig, anslått antall berørte registrerte og poster, hvilke konsekvenser bruddet kan ha, samt hvilke tiltak som er iverksatt eller foreslås iverksatt for å håndtere bruddet og begrense skadevirkningene.

Dersom ikke all informasjon kan gis umiddelbart, skal Databehandler sende supplerende informasjon fortløpende så snart den foreligger. Behandlingsansvarlig er ansvarlig for eventuell melding til Datatilsynet og/eller berørte registrerte i henhold til GDPR artikkel 33 og 34, men Databehandler skal bistå med informasjon og nødvendig hjelp for at Behandlingsansvarlig kan oppfylle sine varslingsplikter.

10. Håndtering av henvendelser fra registrerte

Behandlingsansvarlig har ansvaret for å håndtere forespørsler fra de registrerte om innsyn, retting, sletting, dataportabilitet, reservasjon mot behandling m.v. Databehandler skal ikke selv besvare slike henvendelser med mindre Behandlingsansvarlig har gitt skriftlig instruks om det. Databehandler skal imidlertid hjelpe til med å legge til rette for at Behandlingsansvarlig kan oppfylle sine plikter overfor den registrerte:

• Varsling: Hvis Databehandler mottar en henvendelse direkte fra en registrert angående personopplysninger som omfattes av denne Avtalen, skal Databehandler videresende henvendelsen til Behandlingsansvarlig uten ugrunnet opphold.
• Innsyn og dataportabilitet: På forespørsel fra Behandlingsansvarlig skal Databehandler utlevere eller gjøre tilgjengelig de personopplysninger om en registrert som er lagret i Løsningen, i et strukturert format, slik at Behandlingsansvarlig kan etterkomme krav om innsyn eller dataportabilitet.
• Rettelse og sletting: Hvis Behandlingsansvarlig ber om det, skal Databehandler assistere med retting eller sletting av personopplysninger som er lagret i Løsningen, slik at Behandlingsansvarlig kan oppfylle sine forpliktelser overfor den registrerte. Alternativt kan Behandlingsansvarlig selv utføre slike endringer gjennom tilgjengelige funksjoner i Løsningen.

Databehandler kan kreve kompensasjon for omfattende eller gjentatte bistandstiltak som går ut over det ordinære (jf. punkt 8 andre ledd). Uansett skal all bistand skje innen rimelig tid og i tråd med gjeldende lovkrav.

11. Ikrafttredelse, varighet og opphør

Denne Databehandleravtalen trer i kraft når Behandlingsansvarlig aksepterer den elektronisk. For nye kunder presenteres Avtalen for digital aksept ved registrering eller første gangs innlogging i Bård. For eksisterende kunder kan Avtalen gjøres tilgjengelig for aksept inne i Løsningen (for eksempel via et pop-up varsel eller innstillinger) – i begge tilfeller anses fortsatt bruk av Løsningen som samtykke til de oppdaterte vilkårene.

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruken av Løsningen. Opphør av hovedavtalen om bruk av Løsningen (tjenestevilkårene) innebærer også opphør av denne Databehandleravtalen. Uansett opphør skal Databehandleravtalen anses å gjelde så lenge Databehandler besitter eller behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved opphør av kundeforholdet skal Databehandler på Behandlingsansvarligs forespørsel, enten returnere alle personopplysninger som er mottatt på vegne av Behandlingsansvarlig, eller slette opplysningene på en sikker måte. Sletting (inkludert anonymisering) av personopplysninger hos Databehandler og eventuelle Underdatabehandlere skal skje innen rimelig tid, med mindre Databehandler er lovpålagt å lagre opplysningene lenger. Dette gjelder også for eventuelle sikkerhetskopier, men det defineres som tilstrekkelig å overskrive disse etter de etablerte rutiner for sikkerhetskopiering.

Ved brudd på denne Databehandleravtalen eller relevant personvernlovgivning, kan Behandlingsansvarlig pålegge Databehandler å stanse videre behandling av personopplysninger med umiddelbar virkning inntil bruddet er utbedret. Brudd på Avtalen anses som brudd på tjenestevilkårene. Partenes ansvarsbegrensninger og øvrige relevante bestemmelser i hovedavtalen gjelder også for denne Avtalen. Taushetsplikt og sikkerhetsforpliktelser består etter Avtalens opphør så lenge Databehandler håndterer opplysninger og deretter så lenge loven krever.