Betingelser for bruk av Arbinn
Plikter for brukere
Brukere av Arbinn må kun benytte tjenesten som beskrevet i disse betingelser. Ved å ta i bruk Arbinn, aksepteres disse vilkår. Kun registrerte brukere av Arbinn må gis tilgang til Arbinn, og tjenesten må kun benyttes som beskrevet på Arbinn. Bruk av Arbinn må ikke skje på måte som skader NHO eller som på annen måte, etter en forsiktig vurdering, medfører misbruk eller ikke tillatt bruk av tjenesten.
Rettigheter
Innhold og utforming av NHOs hjemmesider, herunder Arbinn, er beskyttet av lov om opphavsrett til åndsverk mv. (åndsverkloven).
Innhold fra Arbinn kan brukes i egen virksomhet av medlemmer i NHO som har tilgang til Arbinn. Det overføres ingen rettigheter utover rett til bruk av innhold fra Arbinn som nevnt fra NHO til bruker av Arbinn. Bruk utover hva åndsverkloven tillater eller for annet enn bruk i egen virksomhet krever forutgående skriftlig samtykke fra NHO.
Ansvar
NHO etterstreber at innholdet på Arbinn er korrekt og oppdatert, men påtar seg ikke ansvar for eventuelle tap eller problemer feil i innholdet måtte forårsake. Den som benytter innhold fra Arbinn må kontrollere at innhold, dokumenter og materiale som benyttes er tilstrekkelig oppdatert, og anvendes korrekt knyttet til den sammenheng som bruken skal skje.
Det kan ikke rettes krav mot NHO som følge av feil eller mangler i informasjon, dokumenter eller annet som er tilgjengelig i Arbinn.
For bruk av automatiserte tjenester, som f.eks. avtalegenerator, vil innhold som genereres være avhengig av informasjonen som gis av brukeren. Automatiserte tjenester vil ikke kunne dekke alle forhold, og resultatet av slike tjenester må gjennomgås av ekspertise, herunder juridisk ekspertise, innenfor det området resultatet skal benyttes. Brukeren av Arbinn har det fulle og hele ansvar for at resultatet av bruk av Arbinn passer til det formålet som resultatet er tenkt brukt til. NHO tar ikke på noen måte ansvar for de resultater som gis av automatiserte tjenester, og innestår ikke på noen måte for at resultatet av tjenestene dekker det behov som brukeren har, herunder også for innholdet i resultatet.
Det presiseres at informasjon, dokumenter, resultat av automatiserte tjenester eller annet som er tilgjengelig på Arbinn ikke erstatter juridisk rådgivning. Som medlem i NHO har du tilgang på juridisk rådgivning gjennom din landsforening, og dette anbefales benyttet.
NHO tar ikke ansvar for innhold på andres hjemmesider, som det enten er lenket til, vist til på Arbinn eller som lenker eller henviser til Arbinn.
Personvern
Arbinn er en del av NHO, og NHO er behandlingsansvarlig for behandling av personopplysninger i Arbinn. For behandling av personopplysninger i NHO, se NHOs personvernerklæring.
Arbinn benytter seg av informasjonskapsler for å bedre funksjonalitet og brukeropplevelse. Les mer om bruk av informasjonskapsler (cookies) på Arbinn.no
I felter hvor det fritt kan skrives inn informasjon («fritekstfelt») vil det være vanskelig å ha kontroll på personopplysninger. Personopplysninger og sensitive opplysninger bør begrenses i slike felt med mindre dette er nødvendig.
For opplysninger som legges inn i digitale verktøy vil NHO være databehandler, og behandling vil gjøres etter inngått databehandleravtale med NHO. Vilkår for databehandleravtale finnes nedenfor.
Kontakt
For spørsmål om bruk av innhold fra Arbinn.no, vennligst kontakt arbinn@nho.no.
* * * *
Databehandleravtale
Denne databehandleravtalen er inngått mellom bruker av Arbinn, som har tatt i bruk Arbinn og derved akseptert vilkårene ovenfor (heretter kalt «Behandlingsansvarlig») og NHO som behandler personopplysninger på vegne av Behandlingsansvarlig («Databehandler») under vilkårene ovenfor og denne databehandleravtale («Databehandleravtalen») som en følge av de tjenester som Databehandler leverer gjennom Arbinn.
Databehandleravtalens formål
Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn som følger ovenfor. Formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger nedenfor.
Databehandleravtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger, herunder bl.a. personopplysningsloven med eventuelle tilhørende forskrifter, samt kravene etter Europaparlaments- og rådsforordning om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger og om oppheving av direktiv 95/46/EF (personvernforordningen/GDPR).
Databehandler skal behandle personopplysningene på den måte som er beskrevet i vilkårene ovenfor og Databehandleravtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.
Begreper og definisjoner benyttet i Databehandleravtalen skal forstås på samme måte som i personopplysningsloven.
Partenes rettigheter og plikter
Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under Databehandleravtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter nedenfor.
Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den Behandlingsansvarlige.
Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter etter personvernforordningens kapittel III hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, samt bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet og vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.
Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. Den Behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll.
Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punktet er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Den Behandlingsansvarlig har selv det direkte ansvaret overfor aktuelle tilsynsmyndigheter.
Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Databehandleravtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.
Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den Behandlingsansvarlige. Henvendelser til Databehandleren skal Databehandleren videreformidle til den Behandlingsansvarlige så raskt som mulig.
Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernforordningen, personopplysningsloven, eller annen regulering av behandling av personopplysninger, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om dennes oppfatning.
Den Behandlingsansvarlig skal etterleve de forpliktelser som fremkommer av personopplysningsloven, personvernforordningen og annen særlovgivning, samt Databehandleravtalen.
Bruk av underleverandør
Databehandleren skal kun benytte underleverandører til behandling av personopplysninger (underdatabehandler) som er skriftlig godkjent av den Behandlingsansvarlige og som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under Databehandleravtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter.
Godkjente underdatabehandlere ved Databehandleravtalens inngåelse er spesifisert nedenfor.
Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter Databehandleravtalen. I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette den Behandlingsansvarlige om planene og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer.
Underdatabehandler skal være gjort kjent med Databehandlerens forpliktelser etter Databehandleravtalen og regelverket som regulerer behandling av Behandlingsansvarliges personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Databehandleravtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Databehandleravtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.
Sikkerhet og avvik
Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven med forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.
I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde:
1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
2. navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,
3. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
4. beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.
Den Behandlingsansvarlige har ansvaret for at å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.
Overføring til utlandet
Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter instruks fra den Behandlingsansvarlige. Overføring kan likevel skje dersom det foreligger et lovlig grunnlag for overføring til tredjeland. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.
Databehandleravtalens varighet, pålegg om stans, plikter ved opphør/-oppsigelse
Databehandleravtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av den Behandlingsansvarlige etter vilkårene ovenfor.
Ved brudd på Databehandleravtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.
Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er returnert eller slettet i henhold til den Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.
Øvrige plikter og rettigheter
Øvrige plikter og rettigheter følger av vilkårene ovenfor som gjelder mellom Databehandleren og Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og Databehandleravtalen.
Denne Databehandleravtalen skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for Databehandleren, utover det som følger av vilkårene ovenfor.
Spesifisering av behandlingen
Formålet med behandlingen
Formålet med behandlingen er å kunne tilby tjenester gjennom Arbinn etter vilkårene ovenfor.
Varigheten av behandlingen
Behandlingen skal vare så lenge Databehandleren yter tjenestene vilkårene for tilgang til Arbinn til Behandlingsansvarlig.
Behandlingens art
Lagring av personopplysninger eller annet som nødvendiggjør behandlingen som følge av vilkårene.
Typer personopplysninger som skal behandles
Personopplysninger som behandles er avhengig av de opplysninger som legges inn i Arbinns tjenester, men vil være navn på ansatte, stilling/verv, og annet som legges inn i fritekstfelt i Arbinns tjenester.
Kategorier av registrerte
Kategorier av registrerte vil være ansatte hos Behandlingsansvarlig.
Underdatabehandlere
Det benyttes ikke underdatabehandlere for databehandlingen.