Avtalevilkår
- Tjenesteavtale
- Tjenestebeskrivelser og tekniske krav
- Priser og betalingsbetingelser
- Tjenestenivåer
- Retningslinjer for akseptabel bruk
- Sikkerhetsretningslinjer
- Proprietær lisens
- API - Terms of use (Business)
- PRIVACY POLICY
Denne versjonen er gyldig fra 14.02.2024
TJENESTEAVTALE
1. Bakgrunn
Tjenesteleverandøren og Kunden identifisert i Ordrebekreftelsen ("Partene") har inngått følgende tjenesteavtale (heretter «Avtalen»).
2. Generelle vilkår
2.1. Avtaledokumenter
Følgende Ordrebekreftelse og Vedlegg utgjør en integrert del av Avtalen:
Ordrebekreftelse: Parter, Varighet, Valgte Tjenester og Særskilte Vilkår
Vedlegg 1: Tjenestebeskrivelser (servicepakker) og Tekniske krav
Vedlegg 2: Priser og betalingsbetingelser
Vedlegg 3: Tjenestenivåer
Vedlegg 4: Retningslinjer for akseptabel bruk (AUP)
Vedlegg 5: Databehandleravtale
Vedlegg 6: Sikkerhetsretningslinjer
Vedlegg 7: Proprietær Lisens
Vedlegg 8: API - Brukervilkår
Vedlegg 9: Tilleggsordre
I tilfelle konflikt mellom denne Avtalen, Ordrebekreftelsen og Vedleggene, skal følgende prinsipper om prioritering og forrang gjelde:
- Tilleggsordren
- Ordrebekreftelsen
- Vedlegg 5
- Vedlegg 1
- Vedlegg 4
- Vedlegg 3
- Ordlyden i de øvrige Vedleggene.
- Den generelle ordlyden i denne Avtalen
2.2. Prinsipper
Denne Avtalen, inkludert Ordrebekreftelsen og Vedleggene, beskriver Tjenestene som Tjenesteleverandøren forplikter å levere, vilkårene som gjelder for Tjenestene som leveres, og Partenes respektive rettigheter og forpliktelser i forhold til dette.
Tjenesteleverandøren tilbyr "Tjenestene" (både programvare og maskinvare) som angitt i Vedlegg 1[1] . (
Kunden har, ved inngåelsen av denne Avtalen, abonnert på Tjenestene, som angitt i Ordrebekreftelsen.
2.3. Inngåelse av Avtale
Kunden anses å ha akseptert - og inngått - Avtalen i følgende, ikke uttømmende, tilfeller:
- Når en Kunde bestiller (en eller flere) av Tjenesteleverandørens Tjenester fra en av Tjenesteleverandørens ansatte, og Kunden gir all nødvendig informasjon knyttet til dette, for eksempel informasjon om kjøretøy(er),
- Når en Kunde bestiller (en av flere) av Tjenesteleverandørens Tjenester ved å registrere en bestilling på Tjenesteleverandørens nettsted.
- Ved å inngå en Avtale med en autorisert forhandler av Tjenesteleverandøren om bruk av Tjenesteleverandørens Tjenester, eller
- ved på annet vis å ta Tjenesteleverandørens Tjenester i bruk.
Ved inngåelse av Avtale vil Tjenesteleverandøren foreta en kredittsjekk av Kunden. Inngåelse av Avtale forutsetter positiv kredittvurdering av Kunden. Ved enhver form for bestilling av Tjenesten, slik nevnt over eller på annen måte, samtykker Kunden til at det blir foretatt en kredittvurdering.
Tjenesteleverandøren forbeholder seg retten til å akseptere eller avslå bestillinger etter eget skjønn.
Dersom Tjenesteleverandørens Tjenester brukes uten inngåelse av en skriftlig Avtale, anses Kunden å ha akseptert denne Avtalen, inkludert Vedleggene.
2.4. Endringer i Tjenestene
Tjenesteleverandøren forbeholder seg retten til, når som helst å gjøre endringer i, og permanent eller midlertidig avbryte Tjenesten, eller deler av disse.
Tjenesteleverandøren forbeholder seg også retten til å endre denne Avtalen (inkludert dens Vedlegg) for å sikre samsvar med aktuelle regulatoriske endringer og med tredjeparters lisenser som Tjenesten er avhengig av.
Tjenesteleverandøren vil bestrebe seg på å informere Kunden om enhver planlagt endring som vil ha en ikke ubetydelig/vesentlig innvirkning på Tjenestene før implementeringen (tretti (30) dager i forveien). Unnlatelse av å gjøre dette skal ikke anses som et kontraktsbrudd.
2.5. Tjenesteleverandørens Garanti
Tjenesteleverandøren er ansvarlig for å levere Tjenestene i samsvar med denne Avtalen, herunder oppfylle kravene og beskrivelsene som spesifisert i Avtalen, og sikre at Tjenestene overholder relevante regulatoriske krav i Norge og EU.
Tjenesteleverandøren er videre ansvarlig for å yte brukerstøtte (support) og reparere feil som påvirker Tjenesten som hindrer Kunden i å bruke Tjenestene i samsvar med denne Avtalen (se punkt 2.6).
Tjenestene vil bli levert «som de er» (as-is).
Tjenesteleverandørens garanti varierer avhengig av Tjenestenivå som er valgt av Kunde i Ordrebekreftelsen.
- Kunden kan kun bruke Tjenestene i samsvar med denne Avtalen, og i samsvar med Tjenesteleverandørens Retningslinjer for akseptabel bruk. I tilfelle Kunden ikke handler i samsvar med denne Avtalen eller Tjenesteleverandørens Retningslinjer for akseptabel bruk, forbeholder Tjenesteleverandøren seg retten til å suspendere Kundens tilgang til Tjenesten. I slike tilfeller vil Tjenesteyter gi Kunden varsel før suspensjon, dersom dette er mulig. Et brudd på denne Avtalen eller tjenesteleverandørens Retningslinjer for akseptabel bruk kan regnes for å være vesentlig mislighold av Avtalen og danne grunnlag for Tjenesteleverandøren å heve Avtalen i tråd med denne Avtalen.
- Denne klausulen gjelder også i alle tilfeller for Kundens sluttbrukere.
- Tjenesteleverandøren er ikke ansvarlig for Kundens egne applikasjoner, inkludert Kundens egen kode, og eventuell tredjepartskode eller applikasjoner som brukes av Kunden.
- Med unntak for det som er angitt under klausul 2.5, fraskriver Tjenesteleverandøren seg uttrykkelig anvendelse av § 17 i kjøpsloven og enhver underforstått garanti om egnethet for et bestemt formål, eller tilsvarende i det landet Kunden holder til.
2.6. Brukerstøtte (Support)
Support og feilretting vil bli utført i samsvar med denne Avtalen og Vedlegg 3 Tjenestenivåer .
Tjenesteleverandøren skal være ansvarlig for å sikre at Tjenestens oppetid oppfyller parameterne beskrevet i Vedlegg 3 Tjenestenivåer Tjenesteleverandøren gir imidlertid ingen garanti for at Tjenestene alltid vil være fri for feil eller avbrudd.
For at Tjenesteleverandøren skal kunne yte support og reparere feil, må Kunden varsle Tjenesteleverandøren innen rimelig tid fra feil eller mangel blir oppdaget. Til tross for det foregående, i tilfelle en feil er forårsaket av tredjepartsleveranser, vil Tjenesteleverandøren kun være forpliktet til å rapportere feilen til Kunden og foreslå (når det er mulig), en alternativ løsning til Kunden. Kunden skal bære kostnadene ved å implementere en eventuell alternativ løsning.
2.7. Kundens Ansvar
Kunden må gi Tjenesteleverandøren all relevant og nødvendig informasjon og data (inkludert personopplysninger) som er nødvendig for å oppfylle Tjenesteleverandørens forpliktelser i henhold til denne Avtalen. Klikk her for å få full oversikt over all informasjon og data som Tjenesteleverandøren må få tilgang til, for å komme i gang med onboarding av Kunden når en Avtale er inngått med Tjenesteleverandøren.
Kunden er forpliktet til å betale den avtalte prisen, som angitt i Ordrebekreftelsen, etter avtalt frekvens og i henhold til Vedlegg 2 Priser og betalingsbetingelser . Med mindre en "fakturerings startdato" for de valgte Tjenestene og den avtalte prisen knyttet dertil er blitt avtalt eksplisitt i Ordrebekreftelsen, vil "fakturerings startdato" for alle Avtalte Tjenester (som standard) være 10 dager etter at en Avtale er inngått med Tjenesteleverandøren.
Kunden er forpliktet til å varsle Tjenesteleverandøren skriftlig om enhver endring knyttet til Kundens kontaktinformasjon og/eller Kundens betalingsinformasjon.
Kunden forplikter seg til å sørge for at Tjenestebeskrivelser og tekniske krav, som angitt i Avtalen (inkludert i Vedlegg 1), oppfylles i hele Avtaleperioden. Videre forplikter Kunden seg til å sikre at enhver brukermanual eller veiledning gitt av Tjenesteleverandøren, og knyttet til bruken av Tjenestene, følges.
Kunden er selv ansvarlig for tilgangsstyring i forbindelse med Tjenesten, dette inkluderer, men er ikke begrenset til, ansatte, tilknyttede selskaper, utviklere og sluttbrukere.
Kunden må utpeke og sørge for rimelig tilgjengelighet av en representant som har det tekniske ansvaret for varsling av feil eller forespørsler fra Kundens side.
Varsel om feil eller begrenset tilgjengelighet skal sendes av Kunden til Tjenesteleverandøren per e-post til: kontakt@autogear.no. Varselet skal inneholde en beskrivelse av problemet på en detaljert måte. Tjenesteleverandøren er ikke under noen omstendigheter ansvarlig for forsinket tjenesteleveranse relatert til feil der Kunden ikke gir detaljert informasjon.
Kunden er ansvarlig for å returnere alt utleid utstyr knyttet til Tjenestene, til Tjenesteleverandøren ved (i) oppsigelse av Avtalen, eller på annen måte (ii) hvis utstyr knyttet til Tjenestene er utdatert og må erstattes (hvis Kunden har blitt informert om dette skriftlig). Kunden aksepterer å betale et administrasjonsgebyr med hensyn til utskifting og/eller retur av utstyr knyttet til Tjenestene, i samsvar med vilkårene i Vedlegg 2 Priser og betalingsbetingelser .
Kunden tillater herved Tjenesteleverandøren å bruke ikke-personlige data, slik som, men ikke begrenset til, aggregerte og/eller anonymiserte statistikkdata vedrørende Kundens bruk og Kundens sluttbrukeres bruk av Tjenesten, uten tidsbegrensning. Dette er forutsatt at Tjenesteleverandøren forsikrer at slikt datasett ikke kan brukes for det formål å re-identifisere et individ, verken direkte eller indirekte.
2.8. Immaterielle Rettigheter
Med mindre særlig inntatt i denne Avtalen, eller følger av lisensene, vil denne Avtalen ikke overføre eller lisensiere immaterielle rettigheter fra Kunden til Tjenesteleverandøren eller fra Tjenesteleverandøren til Kunden. Dette gjelder teknologi eller programvare, herunder, men ikke begrenset til, design, dataprogrammer, beskrivelser, kildekoder, brukergrensesnitt, modifikasjoner og forretningshemmeligheter hentet fra Tjenestene, inkludert den delen av Tjenesten som ble utviklet før datoen for denne Avtalen og fremtidig utvikling av Tjenesten.
Alle rettigheter, tittel og interesse i og til Tjenesteleverandørens programvare og i eventuell tredjepartsprogramvare, forblir utelukkende hos Tjenesteleverandøren og/eller den aktuelle tredjeparten.
Dersom Tjenesteleverandøren utvikler, eller tilpasser, applikasjoner, verktøy, prosedyrer, rapporter, design eller annen leveranse eller programvare, skal alle opphavsrettigheter og andre immaterielle rettigheter til leveransen forbli hos Tjenesteleverandøren.
All generell kunnskap og “know how” utviklet av Tjenesteleverandøren under utførelsen av forpliktelsene i henhold til Avtalen, skal forbli hos Tjenesteleverandøren.
2.9. Skadesløsholdelse
Med forbehold om ansvarsbegrensningene i denne Avtalen, er Partene enige om å holde hverandre og deres respektive ansatte og representanter skadesløse fra og mot alle tap, ansvar, mangler, kostnader, skader og utgifter som kreves av en tredjepart, og som oppstår direkte eller indirekte av en Parts forsettlige eller grovt uaktsomme handling / eller unnlatelse fra å handle.
I tilfelle det rettes et krav knyttet til Tjenesteleverandørens påståtte brudd på en tredjeparts immaterielle rettigheter, skal Tjenesteleverandøren være ansvarlig for å erstatte den berørte Tjenesten eller deler av Tjenesten for å sikre videre levering av Tjenesten i henhold til Avtale.
Kunden skal holde Tjenesteleverandøren, dens aksjonærer, ansatte, agenter og tilknyttede selskaper skadesløs for ethvert krav og utgifter knyttet til Kundens brudd på tredjeparts immaterielle rettigheter.
2.10. Avtaleperiode, Fornyelse og Oppsigelse
Avtaleperioden vil være som angitt i Ordrebekreftelsen, og fornyes automatisk med en tilsvarende ny Avtaleperiode som den Avtaleperioden Kunden opprinnelig har tegnet Avtale for (med mindre den sies opp tidlig i samsvar med bestemmelsene i denne Avtalen, eller med mindre Kunden har tegnet seg for en annen Fornyelsesperiode i Ordrebekreftelsen).
For å unngå automatisk fornyet(e) Avtaleperiode(r), med en tilsvarende ny Avtaleperiode som den Avtaleperioden Kunden opprinnelig har tegnet Avtale for, må Kunden sende skriftlig oppsigelse på e-post til: kontakt@autogear.no senest førtifem (45) dager før utløpsdatoen for den første Avtaleperioden (eller den aktuelle Fornyelsesperioden); ellers vil en Fornyelsesperiode automatisk gjelde.
Dersom Kunden velger å si opp avtalen før avtaleperiodens utløp:
Kunden forplikter seg til å betale beløp tilsvarende gjenværende forpliktelser i avtaleperioden, som beregnes ut fra de resterende månedene i avtalen.
Beløpet kan enten betales i sin helhet ved oppsigelsen, eller fordeles og faktureres i henhold til valgt faktureringsintervall gjennom den resterende avtaleperioden.
***Til tross for det foregående vil en Fornyelsesperiode på tolv (12) måneder automatisk gjelde for Kunder som inngikk en avtale med Tjenesteleverandøren før 15.02.2024. For å unngå slik automatisk fornyet Avtaleperiode(r) for Kunder som har inngått Avtale med Tjenesteleverandøren før 15.02.2024, må Kunden sende skriftlig oppsigelse på e-post til: kontakt@autogear.no senest førtifem (45) dager før utløpsdatoen for den første Avtaleperioden (eller den aktuelle Fornyelsesperioden).
Kunden har i alle tilfeller ikke krav på å få tilbakebetalt deler av et forhåndsbetalt abonnement vederlag ved tidlig oppsigelse. Det vil si at dersom Kunden ønsker å si opp en Avtaleperiode før utløpet av en konkret, gjeldende Avtaleperiode (eller en eventuell Fornyelsesperiode), vil ikke Kunden ha krav på å få tilbakebetalt en forholdsmessig andel av et forhåndsbetalt abonnement vederlag, men Kunden vil fortsette å ha tilgang til Tjenesten ut den gjeldende Avtaleperioden (eller ut den aktuelle Fornyelsesperioden).
2.11. Begrensning av ansvar
Tjenesteleverandøren skal ikke holdes ansvarlig for eventuelle skader med mindre slike skader utelukkende kan tilskrives Tjenestens funksjonsfeil.
Kunden erkjenner at tjenesteleverandøren ikke er ansvarlig for eventuelle indirekte, spesielle, tilfeldige eller følgeskader, enten det er i henhold til avtale eller ved uaktsomhet (inkludert, men ikke begrenset til, skader som følge av avbrudd i virksomheten, tap av virksomhet, tap av fortjeneste og tap av data) realtert til eller oppstått som følge av denne avtalen, i den utstrekning loven tillater det. Denne bestemmelsen gjelder ikke for brudd på den eme parts immaterielle rettigheter til den andre parten.
Kunden godtar at denne Avtalen inneholder Kundens uttømmende og eksklusive misligholdsbeføyelser for avbrudd, mangler, delvis utilgjengelighet og fullstendig utilgjengelighet av Tjenesten.
2.12. Force Majeure
Ingen av partene skal holdes ansvarlig for svikt i ytelse i tilfeller hvor avtalebrudd oppstår som følge av forhold som ikke Partene har rimelig kontroll over (som brann, eksplosjon, strømavbrudd, naturkatastrofer, krig, terrorhandlinger, pandemi og lignende). Dette gjelder imidlertid ikke for Kundens betalingsplikt, slik den følger av denne Avtalen.
Omstendigheter som påvirker internett eller skyinfrastruktur, eller leverandøren av skyinfrastruktur vil anses for å utgjøre force majeure begivenhet for Tjenesteleverandøren. Videre, dersom det oppstår vesentlige endringer i gjeldende lovgivning, gjeldende regelverk eller tolkninger av disse av kompetente domstoler, eller i materielle forhold, som resulterer i at det blir umulig å utføre Tjenesteleverandørens forpliktelser eller fastslå en uforutsett betydelig forsinkelse i Tjenesteleverandørens leveranser og/eller uforutsette prisøkninger, skal den resulterende forsinkelsen eller manglende ytelsen anses som en force majeure begivenhet, og Tjenesteleverandøren skal ha rett til å forhandle i god tro om bestemmelsene som påvirkes av en slik vesentlig endring.
2.13. Avtalebrudd og Misligholdsbeføyelser
2.13.1. Varslingsplikt
Hvis en av Partene ikke kan oppfylle sine plikter som Avtalt, må denne Parten skriftlig varsle den andre Parten uten ugrunnet opphold. Varselet må inneholde en begrunnelse for hvorfor Parten ikke klarer å oppfylle sine forpliktelser, videre, så langt det er mulig, når manglende oppfyllelse kan rettes. Det samme vil gjelde dersom det kan antas at ytterligere forsinkelser vil skje etter at første varsel er gitt.
2.13.2. Kundens Avtalebrudd
Dersom Kunden, eksplisitt skriftlig, ikke har sagt opp Avtalen før fristen angitt i punkt 2.10 i Avtalen (innen førtifem (45) dager før utløpet av den opprinnelige Avtaleperioden (eller en Fornyelsesperiode), og Kunden ikke har betalt det betalbare beløpet for en Fornyelsesperiode, senest innen ny Fornyelsesperioden starter å løpe i samsvar med punkt 2.10, har Tjenesteleverandøren rett til å holde tilbake leveransen av sine Tjenester (herunder å suspendere Kundens tilgang til Tjenesten i henhold til punkt 2.5) inntil forfalt beløp, inklusive eventuelle påløpte renter og omkostninger, er betalt i sin helhet av Kunden.
Kunden må ved suspensjon som beskrevet i dette punkt, påregne å betale et gjenåpningsgebyr i henhold til vilkårene i Priser og betalingsbetingelser (Vedlegg 2). En rimelig gjenåpningsperiode må påregnes i tillegg. Dersom Kunden ikke har betalt det forfalte beløpet for en ny Fornyelsesperiode, senest 90 dager etter forfallsdatoen, har Tjenesteleverandøren rett til å si opp Avtalen å kreve at alt utleid utstyr knyttet til Tjenestene, returneres til Tjenesteleverandøren, som angitt i punkt 2.7 ovenfor. Ved oppsigelse i henhold til denne bestemmelsen vil Tjenesteleverandøren ha rett til å motta betaling for hele den gjeldende Avtaleperioden.
Følgende omstendigheter anses som et vesentlig mislighold fra Kundens side, som gir Tjenesteleverandøren rett til å si opp Avtalen med umiddelbar virkning:
- Kundens manglende betaling eller forsinket betaling av et pengekrav / betalingskrav, med mer enn 90 dager etter gjeldende forfallsdato/betalingsfrist.
- Dersom Kunden blir insolvent, eller dersom Kundens økonomiske situasjon er slik at det må antas at Kunden ikke vil være i stand til å oppfylle sine forpliktelser etter Avtalen (forventet mislighold).
- Kundens ulovlige handlinger eller unnlatelser ved bruk av produktene og Tjenestene (inkludert bruk av utstyr knyttet til Tjenestene) dekket av denne Avtalen, inkludert ved brudd på de Tekniske Kravene og Retningslinjene for akseptabel bruk (AUP).
- Kundens brudd på andre vesentlige forpliktelser som påhviler Kunden under denne Avtalen.
- Dersom levering av Tjenester til Kunden blir ulovlig, f.eks. ved at Kunden innføres på en norsk eller EU svarteliste.
Kunden har ikke krav på kompensasjon for avbrudd i leveranse av Tjenester eller avslutning av Avtalen som følge av Kundens betalingsmislighold eller andre vesentlige mislighold fra Kundens side.
Kunden er ansvarlig for uaktsom bruk av materiale, produkter eller utstyr knyttet til Tjenestene. Kundens ansvar for skader forårsaket av Kunden vil bli beregnet basert på det økonomiske tapet Tjenesteleverandøren har lidt som følge av en skade.
2.13.3. Tjenesteleverandørens Avtalebrudd
Følgende omstendigheter anses som et vesentlig mislighold fra Tjenesteleverandøren, som gir Kunden rett til å si opp Avtalen med umiddelbar virkning:
- Hvis den avtalte "tilgjengeligheten" med Tjenestene ikke har blitt overholdt i henhold til Tjenestenivåer i to (2) påfølgende kvartaler, eller hvis Tjenesteleverandøren ikke klarer å løse nivå A eller nivå B feil (i henhold til avtalt Tjenestenivå), som Tjenesteleverandøren er ansvarlig for, i en sammenhengende periode på 3 måneder.
- Hvis Tjenesteleverandørens levering av Tjenester er ulovlig eller på annen måte er i strid med en tredjeparts immaterielle rettigheter, og Tjenesteleverandøren, etter å ha mottatt 30 dagers varsel om dette, har unnlatt å tilby en alternativ løsning eller å avhjelpe ulovligheten eller bruddet innen en rimelig tid.
Kunden har rett til å kreve rimelig prisavslag (Tjenesteleverandøren kan etter eget skjønn velge å gi Kunden Service Credits i stedet) i samsvar med denne Avtalen (inkludert Vedleggene), hvis en av de to omstendighetene nevnt under klausul 2.13.3, som gir grunnlag for oppsigelse, inntreffer.
Til tross for det foregående, skal Tjenesteleverandørens samlede erstatningsansvar overfor Kunden, for ethvert krav som oppstår under eller i forbindelse med denne Avtalen (inkludert Vedleggene), under enhver omstendighet ikke overskride et beløp tilsvarende det vederlag Kunden har betalt for de seneste tre (3) månedene [ved månedlig abonnement] eller 12 måneders bruk av Tjenesten [for årlig abonnement]. Den nevnte ansvarsgrensen skal inkludere ethvert prisavslag og/eller Service Credit gitt til Kunden i henhold til denne Avtalen og/eller Vedlegg 3 Tjenestenivåer. Under ingen omstendigheter vil Tjenesteleverandørens samlede erstatningsansvar under denne Avtalen overstige de nevnte beløpene.
Misligholdsbeføyelsene beskrevet i denne Avtalen og særlig de som er beskrevet under klausul 2.13 og i Vedlegg 3 Tjenestenivåer, er eksklusive. Avtalen inneholder en uttømmende regulering av misligholdsbeføyelser som er tilgjengelig for Kunden i tilfelle Tjenesteleverandørens manglende oppfyllelse eller mislighold av en hvilken som helst art.
Kunden skal holde Tjenesteleverandøren fullstendig skadesløs fra tredjepartskrav (inkludert krav fra Kundens ansatte, sluttbrukere og andre parter som handler på vegne av Kunden) som overskrider grensene i denne Avtalen.
2.14. Konfidensialitet
Partene og deres respektive ansatte, representanter og underleverandører skal holde all informasjon, inkludert, men ikke begrenset til, teknisk og kommersiell informasjon, eller annen informasjon som de blir kjent med som et resultat av Avtalen strengt konfidensielt, uten tidsbegrensning, med mindre slik informasjon er allerede offentlig kjent.
2.15. Gjeldende lov, Tvisteløsning og Jurisdiksjon
Partenes rettigheter og forpliktelser i henhold til denne Avtalen skal i sin helhet være underlagt norsk rett.
Skulle det oppstå en tvist mellom Partene om tolkningen eller virkningene av denne Avtalen, skal Partene søke å løse dette i minnelighet gjennom forhandlinger. Dersom en tvist ikke løses gjennom forhandlinger, skal den være underlagt jurisdiksjonen til Ringerike, Asker og Bærum tingrett.
TJENESTEBESKRIVELSER (SERVICEPAKKER)
AUTOGEAR ELEKTRONISK KJØREBOK
(Ⅰ)
AUTOGEAR BASIC (Mileage tracking)
For enkeltpersoner og ansatte
Autogear Basic inkluderer følgende funksjoner og funksjonaliteter:
- Manuell registrering av turene (tid og sted for start og stopp)
- Automatisk registrering av bompenger og ferger
- Automatisk kartvisning av kjøreruten
- Automatisk sortering av turer (privat eller jobb)
- Rapport for kjøregodtgjørelse (reiseregning)
(ⅠⅠ)
AUTOGEAR PREMIUM (Mileage tracking)
For enkeltpersoner og ansatte
Autogear Premium inkluderer følgende funksjoner og funksjonaliteter:
- Registrering av adresser, dato, tid, distanse og varighet per tur
- Automatisk registrering av bompenger og ferger
- Automatisk sortering av turer (privat eller jobb)
- Rapport for kjøregodtgjørelse (reiseregning)
- Automatisk registrering av turene (start- og stopptidspunkt for turene)
(ⅠⅠⅠ)
AUTOGEAR BUSINESS (Vehicle & Milage Tracking):
For bedrifter og selvstendig næringsdrivende
Autogear Business inkluderer følgende funksjoner og funksjoner:
- Registrering av adresser, dato, tid, distanse og varighet per tur.
- Automatisk registrering av bompenger og ferger.
- Automatisk sortering av turer (privat eller jobb).
- Rapport for kjøregodtgjørelse (reiseregning).
- Automatisk registrering av turene (start- og stopptidspunkt for turene).
- Rapport for redusert og variabel firmabilbeskatning.
- Rapport som viser spesifikke turer, f.eks. til fakturering.
- Lønnsrapport som viser sammenlagt kjøring per ansatt.
- Flåtestyring med kart som viser hvor bilen(e) befinner seg i sanntid.
- Integrasjoner (PowerOffice, Tripletex, Visma.net Expense).
- Utvidet support, inkl. personlig oppstartshjelp og opplæring.
- Personvernfunksjoner (påkrevd for bedrifter).
- Merke og rapportere turer basert på prosjekter.
- Innebygget funksjon for leders godkjenning av kjøregodtgjørelse.
- Geofence vil gi varsel hvis en bil kjører inn eller ut av et område. Autogear Driver ID. Dette produktet er et tilbehør kun for Autogear Business, og inkluderer:
- Sjåførgodkjenning for selskap hvor flere ansatte deler på bilene.
- Hver sjåfør har sin egen sjåførbrikke og blir automatisk sjåfør på turen.
AUTOGEAR TAG
En liten Bluetooth-enhet som kobles til din GPS eller mobiltelefon.
Autogear Tag (Tool Tracking) inkluderer følgende funksjoner og funksjonaliteter:
- Verktøysporing.
- Liten Bluetooth (BLE) tag som kan festes til små og store verdigjenstander.
- samhandler med Kjørebok, Asset eller Locator, som vidererapporterer TAG-posisjonen.
- Robust og vanntett casing.
- Ulike typer varslinger som gir beskjed dersom det har gått mer enn 24 timer eller 7 dager siden et verktøy sist ble automatisk lokalisert.
- Rekkevidden på en Tag er 80-100 meter under optimale forhold.
- Kan festes på ulike måter: Skru fast, strips, lime og på andre (liknende) måter.
AUTOGEAR ASSET
GPS med SIM-kort. Ingen ledninger og ingen montering er nødvendig.
Autogear Asset (Asset Tracking) inkluderer følgende funksjoner og funksjonaliteter:
- Utstyrskontroll av verdigjenstander.
- Trådløs GPS med SIM-kort og innebygd batteri.
- Med standardinnstillingene vil GPS sende sin posisjon én gang i døgnet, og ved bevegelse.
- Robust, liten og enkel å ta i bruk.
- Vann- og støvtett for utendørs bruk.
AUTOGEAR API
Autogear API gir dine applikasjoner mulighet til å integrere sømløst med vårt system for å hente relevant informasjon, og for å få verdifull innsikt.
Som en del av vårt fokus om å oppnå kontinuerlig forbedringer er denne API-en en modul i kontinuerlig utvikling. Forvent regelmessige oppdateringer, nye funksjoner og optimaliseringer.
Les API – Brukervilkår (i Vedlegg 8 til Avtalen) API - Terms of use
TEKNISKE KRAV
Denne delen inneholder tekniske krav til Kunden og dennes sluttbrukere ved bruk av Autogear sine Tjenester.
Disse kravene må oppfylles av Kunden og dens sluttbrukere, til enhver tid, under enhver abonnementsperiode, for at Tjenestene og de tilhørende modulene skal fungere. Kravene gjelder for alle omgivelser der Tjenestene kjøres.
WEB-APPLIKASJONEN
Har offisiell støtte for følgende nettlesere:
Microsoft Edge, nyeste versjon
Mozilla Firefox, nyeste versjon
Google Chrome, nyeste versjon
Safari, nyeste versjon
MOBILAPPLIKASJONEN
Har offisiell støtte for følgende operativsystemer:
IOS 13 og nyere
Android 5 Lollipop og nyere
GPS-ENHET
For eksterne systemer (utviklet av tredjeparter) integrert i Tjenesten, kan det være unntak fra kravene ovenfor.
PRISER OG BETALINGSBETINGELSER
1. Innledning
Innholdet i dette vedlegget beskriver vederlaget som skal betales av Kunden (slik definert i Ordrebekreftelsen) for Kundens og sluttbrukernes bruk av Tjenestene som er valgt i Ordrebekreftelsen.
Alle priser er i norske kroner (NOK) eksklusiv merverdiavgift.
2. Priser
Tjenesteleverandørens til enhver tid gjeldende (og til enhver tid sist oppdaterte) abonnementspriser fremgår av Ecit Autogears prisliste på: https://www.ecit.com/no/autogear/#priser
Prisene for Tjenesteleverandørens Tjenester kan justeres en gang i året.
Alle prisjusteringer / prisendringer vil være effektive og bindende med minimum én måneds skriftlig varsel.
Det kan oppstå tilleggskostnader (til prislistene ovenfor) for trafikk (SMS osv.) og bruk av eksterne leverandører (Bank-ID).
3. Fakturering
Det vil påløpe et fakturagebyr på (for tiden) kr. 31,- eks. mva. ved både papirfaktura og elektronisk faktura.
Faktura for en Fornyelsesperiode / fornyet Abonnementsperiode (se punkt 2.12 i Avtalevilkårene) vil bli utstedt tretti (30) dager før utløpsdatoen for den primære avtaleperioden eller fornyelsesperioden (det som er aktuelt), med ti (10) dager betalingsfrist.
4. Fakturerbare konsulenttjenester
Tjenesteleverandøren skal, innenfor rimelighetens grenser og i samsvar med Tjenesteleverandørens til enhver tid ordinære rutiner, yte grunnleggende opplæring og bistand til Kunden for standard kontooppsett, vederlagsfritt.
Utover den grunnleggende opplæringen og bistand med standard kontooppsett, har Tjenesteleverandøren rett til å fakturere Kunden for ytterligere tjenester slik som, men ikke begrenset til rådgivning, endringer i kontooppsett for Kunden og andre produkttilpasninger for Kunden. Slike tjenester skal faktureres i henhold til følgende sats:
Det faktureres for minimum 15 minutter, og deretter for hvert påbegynte kvarter. Timepris: NOK 950,- eks. mva.
Kunden skal informeres om behovet for slike tjenester før Tjenesteleverandøren påbegynner arbeidet, med mindre omstendighetene er av en slik karakter at umiddelbar handling er påkrevd.
Tjenesteleverandøren forplikter seg til å utføre alle tjenester i henhold til bransjestandard og med nødvendig faglig kompetanse.
Kunden forplikter seg til å samarbeide med Tjenesteleverandøren for å lette levering av tjenester under dette punktet, herunder å gi nødvendig informasjon og dokumentasjon.
Eventuelle tvister knyttet til konsulenttjenester under dette punktet skal løses i samsvar med Tjenesteavtalens bestemmelser om tvisteløsning.
Partene erkjenner at utførelsen av mer omfattende tjenester og/eller bestillinger av endringer til avtalte tjenester, skal avtales separat ved bruk av en «Tilleggsordre», jf. Tjenesteavtalens Vedlegg 9.
Omstendigheter knyttet til tilgjengeligheten til Tjenestene (tjenester knyttet til brukerstøtte / feilretting) skal håndteres i henhold til bestemmelsene i Tjenesteavtalens Vedlegg 3 («Tjenestenivåer»).
5. Gjenåpningsgebyr ved mislighold
Dersom en Abonnementsperiode sperres/suspenderes som følge av Kundens mislighold, herunder betalingsmislighold, vil kunden ved eventuell gjenåpning bli belastet gjeldende gjenåpningsgebyr på kr. 200 eks. mva. Faste avgifter faktureres som normalt i den perioden abonnementet er sperret /sperret.
6. Erstatning for tapt utstyr / sen retur av utstyr knyttet til Tjenestene.
2.399 kr eks. MVA (per enhet) skal betales som kompensasjon av Kunden dersom en leid GPS-enhet knyttet til Tjenestene går tapt / ikke returneres 60 dager etter avtalens utløp.
399 kr eks. MVA (per enhet) skal betales som kompensasjon av Kunden dersom returen av en leid GPS-enhet tilknyttet Tjenestene forsinkes med mer enn 30 dager.
7. Frakt (frakt i Norge)
Frakt bedriftspakke kr 130,- eks. mva.
Frakt utland kr 115,- eks. mva.
Frakt servicepakke kr 95,- eks. mva.
Frakt postkasse 79 kr eks. mva.
*Ved frakt utenfor Norge avtales prisen konkret, separat i Ordrebekreftelsen.
8. Administrasjonsgebyr ved utskiftning av GPS-enhet ved utfasing av GSM-nett
Kunden aksepterer å betale et administrasjonsgebyr ved utskifting av GPS-enhet ved utfasing av GSM-nett.
Slikt administrasjonsgebyr vil ha en størrelsesorden på maksimalt beløpet for Gebyr for tapt GPS.
9. Volumrabatt
Volumrabatt kan være aktuelt for volumkunder, dette vil i så fall avtales nærmere, særskilt mellom Tjenesteleverandør og Kunde, i Ordrebekreftelsen, under "Særskilte vilkår".
10. Betalingsbetingelser
Betaling skal utføres i norske kroner (NOK) innen 10 dager etter fakturadato.
11. Forsinkelsesrenter
Ved forsinket betaling påløper forsinkelsesrenter i henhold til norsk lov.
TJENESTENIVÅER
Med mindre annet er definert her, skal alle termer som begynner med stor bokstav som er definert i Avtalevilkårene, ha samme betydning her som der, med mindre sammenhengen her krever noe annet.
1. GENERELT
1.1. ÅPNINGSTIDER
Kunden kan varsle om feil via e-post til e-postadressen nedenfor, uavhengig av «Åpningstider» som er angitt i tjenestenivåkategoriene.
1.2. TILGJENGELIGHET
Tjenesteleverandør skal etter beste evne forsøke å sikre at Tjenesten er tilgjengelig.
Tjenesteleverandøren garanterer minimum tilgjengelighet i samsvar med tjenestenivået, som beskrevet i punkt 2.
Tilgjengelighet måles ved bruk av Amazon Web Services (rapporter og administrasjonsverktøy gjennom AWS).
1.3. STANDARDKOMPENSASJON
For det tilfelle at den garanterte tilgjengeligheten ikke er oppnådd i den målte måned, skal Tjenesteleverandøren gi Kunden et Prisavslag (alternativt Service Credit) i samsvar med tilgjengeligheten som er angitt i punkt 2.
Tilgjengelighet | Prisavslag / Service Credit |
< 97% | 25% av prisen for funksjonalitet |
Maksimalt Prisavslag / Service Credit for ett enkelt kvartal i henhold til denne Avtalen er 25% av prisen for funksjonalitet.
Tjenestenivået gjelder ikke: (a) funksjoner eller tjenester som er utpekt Alpha- eller Beta-versjoner (med mindre annet er angitt i den tilknyttede dokumentasjonen), (b) funksjoner eller tjenester ekskludert fra tjenestenivået (i tilhørende dokumentasjon), (c) funksjoner eller Tjenester som er avviklet, eller (d) feil: (i) forårsaket av faktorer utenfor Tjenesteleverandørens rimelige kontroll; (ii) som stammer fra Kundens programvare eller maskinvare eller tredjeparts programvare eller maskinvare, eller begge deler; (iii) som skyldes misbruk eller annen atferd som bryter Avtalen.
2. SUPPORT OG HENDELSER
Hver support-henvendelse og andre problemer, feil og hendelser som oppdages av Tjenesteleverandøren skal klassifiseres i henhold til følgende alvorlighetstabell:
Prioritet | Beskrivelse |
Kritisk (nivå A) |
- Kritiske feil i tjenestene som hindrer tjenestene i å fungere som avtalt (f.eks. hvis tjenestene slutter å fungere, tap av data eller tap av viktige funksjoner som er kritiske for kunden). - Hvis dokumentasjonen (f.eks. brukermanualen) knyttet til tjenestene er ufullstendig eller villedende og kunden er forhindret fra å bruke vesentlige deler av tjenesten. |
Alvorlig (nivå B) |
– Feil som fører til at funksjonalitet knyttet til Tjenestene ikke fungerer som beskrevet i Avtalen, og det krever både tid og ressurser å omgå. - Hvis dokumentasjonen (f.eks. brukermanualen) knyttet til de forskjellige funksjonene er ufullstendig eller villedende og Kunden er forhindret fra å bruke den aktuelle funksjonaliteten knyttet til Tjenestene.
|
Normal (nivå C) |
- Mindre feil som fører til at visse funksjonaliter knyttet til Tjenestene ikke fungerer som beskrevet i Avtalen (med liten innvirkning på ordinær drift), hvor Kunden enkelt kan omgå den aktuelle feilen (løsning er mulig). - Hvis dokumentasjonen (f.eks. brukermanualen) knyttet til Tjenestene er mangelfull eller upresis.
|
Følgende SLA-kategorier er tilgjengelige og gjeldende (som standard) med mindre Kunden har godtatt andre vilkår (avtalt separat og eksplisitt) i Ordrebekreftelsen:
Tjenestenivåer | |
Åpningstider |
Norske virkedager, GMT+01/02 8:00 til 16:00 |
Tilgjengelighet | 97 % |
|
Maksimal responsstid for support-henvendelser og andre problemer, feil og hendelser.
|
Kritisk (Nivå A) | En (1) time i åpningstiden. |
Alvorlig (Nivå B) | To og en halv (2,5) time i åpningstiden. |
Normal (Nivå C) | Tre (3) timer i åpningstiden |
Standardkompensasjon
|
|
25 % av den totale abonnementsavgiften, under én abonnementsperiode |
Tilgjengelighet < 97 % |
"Responstiden" skal måles fra det tidspunktet Tjenesteleverandøren har mottatt en support-henvendelse fra Kunden, eller oppdaget problemer, feil eller hendelser, innenfor de aktuelle åpningstidene, til tidspunktet Tjenesteleverandøren svarer (dvs. til tidspunktet Tjenesteleverandøren bekrefter mottak av supporthenvendelse). Tiltakene skal starte så snart som mulig deretter. Supporthenvendelser sendes til kontakt@autogear.no.
Tjenesteleverandøren skal utføre nødvendig aktivitet og innsats for å løse og rette opp feil i samsvar med den gjeldende SLA-kategorien.
TJENESTELEVERANDØRENS RETNINGSLINJER FOR AKSEPTABEL BRUK (AUP)
Oppdatert 22.12.2023.
Ord og uttrykk som ikke er definert på annen måte i dette vedlegget skal ha samme betydning som i Tjenesteavtalen, med mindre sammenhengen krever noe annet.
Disse retningslinjene for akseptabel bruk («Retningslinjene») styrer din bruk av Tjenestene som tilbys av Tjenesteleverandøren og dens tilknyttede selskaper ("Tjenestene"), inkludert nettstedet https://app.autogear.com/login.
Eksemplene beskrevet i Retningslinjene er ikke uttømmende. Tjenesteleverandøren forbeholder seg retten til å endre disse Retningslinjene når som helst ved å legge ut den siste versjonen av Retningslinjene på nettstedet: https://support.autogear.no/hc/no/categories/9712607989404-Kontoinformasjon-og-feilmeldinger . Kunden er ansvarlig for å varsle sine sluttbrukere. Ved å bruke Tjenestene godtar du den siste versjonen av disse Retningslinjene, til enhver tid, inkludert etter inngåelsen av Avtalen og i Avtaleperioden.
Hvis du eller noen av dine tilknyttede brukere eller en tredjepart som du gir tilgang til Tjenesten til, opptrer i strid med Retningslinjene, eller autoriserer eller hjelper andre til å bryte Retningslinjene, forbeholder vi oss retten til å stanse eller avslutte din bruk av Tjenesten.
Rapportering av brudd på Retningslinjene
Hvis du blir oppmerksom på brudd på disse Retningslinjene, er du forpliktet til å varsle Tjenesteleverandøren umiddelbart og bistå Tjenesteleverandøren med å identifisere og lokalisere bruddet, for å stoppe eller rette opp bruddet. Rapportering av eventuelle brudd på disse Retningslinjene sendes til e-post: [kontakt@autogear.no]
Ulovlig, skadelig eller støtende bruk eller innhold
Du kan ikke bruke, oppfordre, markedsføre, tilrettelegge eller instruere andre om å bruke Tjenesten for ulovlig, skadelig, uredelig, krenkende eller støtende bruk, eller for å overføre, lagre, vise, distribuere eller på annen måte gjøre tilgjengelig innhold som er ulovlig, skadelig, uredelig, krenkende eller støtende. Forbudte handlinger eller innhold inkluderer, men er ikke begrenset til:
- Ulovlige, skadelige eller bedragerske handlinger. Alle aktiviteter som er ulovlige, som krenker andres rettigheter, eller som kan være skadelige for andre, vår virksomhet eller omdømme, inkludert spredning, markedsføring eller tilrettelegging av barnepornografi, tilbud eller formidling av falske varer, tjenester, ordninger eller kampanjer, tjene penger - raske ordninger, ponzi- og pyramidespill, phishing eller pharming eller engasjement i annen villedende praksis, terrorhandlinger, involverende eller på annen måte i forhold til organisasjoner som fremmer eller involverer seg i terrorhandlinger.
- Krenkende innhold. Innhold som krenker eller misbruker andres immaterielle rettigheter eller eiendomsrett. Dette inkluderer, men ikke begrenset til dekompilering eller demontering av Tjenestene eller på annen måte å utføre handlinger som vil undergrave Tjenesteleverandørens immaterielle rettigheter eller teknologi, lisensvilkår eller omgå tekniske begrensninger i Tjenesten eller skytjenesten eller begrensninger i dokumentasjonen.
- Støtende innhold. Innhold som er ærekrenkende, uanstendig, krenkende, krenkende mot personvern, eller på annen måte klanderverdig, inkludert innhold som utgjør barnepornografi, er relatert til bestialitet eller skildrer ikke-samtykkende seksuelle handlinger.
- Skadelig innhold. Innhold eller annen datateknologi som kan skade, forstyrre, avskjære eller ekspropriere ethvert system, program eller data, inkludert, men ikke begrenset til, virus, trojanske hester, ormer, tidsbomber eller cancelbots.
Sikkerhetsbrudd
Du kan ikke bruke Tjenesten til å bryte sikkerheten eller integriteten til noe nettverk, datamaskin eller kommunikasjonssystem, programvare eller nettverk eller databehandlingsenhet. Forbudte aktiviteter inkluderer, men er ikke begrenset til:
- Uautorisert tilgang. Å få tilgang til eller bruke et hvilket som helst system uten tillatelse, inkludert forsøk på å undersøke, skanne eller teste sårbarheten til et system eller å bryte sikkerhets- eller godkjenningstiltak som brukes av et system.
- Avlytting. Overvåking av data eller trafikk på et system uten tillatelse.
- Forfalskning av opprinnelse. Forfalske TCP-IP packet headers, e-post overskrifter, eller enhver del av en beskjed som beskriver dens rute eller opprinnelse. Legitimt bruk av aliaser og anonyme videresendere er ikke ulovlig etter Retningslinjene.
Nettverksmisbruk
Du kan ikke opprette nettverkstilkoblinger til brukere, verter eller nettverk med mindre du har tillatelse til å kommunisere med dem. Forbudte aktiviteter inkluderer:
- Overvåking eller gjennomgang. Overvåking eller gjennomgang av et system som forringer eller forstyrrer systemet.
- Denial of Service (DoS). Å oversvømme et mål med kommunikasjonsforespørsler slik at målet ikke kan svare på legitim trafikk eller svare så sakte at det blir ineffektivt.
- Forsettlig forstyrrelse. Forstyrre riktig funksjon av ethvert system, inkludert ethvert bevisst forsøk på å overbelaste et system ved postbombing, nyhetsbombing, kringkastingsangrep eller flomteknikk.
- Drift av visse nettverkstjenester. Opererer nettverkstjenester som åpne proxyer, åpne e-post-releer eller åpne rekursive domenenavnservere.
- Unngå systembegrensninger. Bruke manuelle eller elektroniske midler for å unngå bruksbegrensninger som er plassert i et system, for eksempel tilgangs- og lagringsbegrensninger.
E-post eller annet misbruk av meldinger
Du vil ikke distribuere, publisere, sende eller legge til rette for sending av uønsket masse-e-post eller andre meldinger, kampanjer, reklame eller anmodninger (som "spam"), inkludert kommersiell reklame og informasjonsannonser. Du vil ikke endre eller tilsløre e-postoverskrifter eller anta en avsenders identitet uten avsenderens eksplisitte tillatelse. Du vil ikke samle svar på meldinger sendt fra en annen internettleverandør hvis disse meldingene bryter med disse Retningslinjene eller retningslinjene for akseptabelt bruk til den leverandøren det gjelder.
Vår rett til overvåking og håndhevelse
Vi forbeholder oss retten til, men er ikke forpliktet, til å undersøke brudd på Retningslinjene eller misbruk av Tjenesten. Tjenesteleverandøren kan:
- Undersøke brudd på Retningslinjene eller misbruk av Tjenesten; eller fjerne, deaktivere tilgang til eller endre innhold eller ressurser som bryter med Retningslinjene eller andre avtaler som Tjenesteleverandøren har med deg for bruk av Tjenesten.
Vi kan rapportere enhver aktivitet som vi mistenker er i strid med lov eller forskrift til relevante myndigheter eller andre aktuelle tredjeparter. Vår rapportering kan omfatte kundeinformasjon.
Vi kan også samarbeide med myndigheter eller andre aktuelle tredjeparter for å hjelpe til med etterforskning og påtale av ulovlig oppførsel ved å levere nettverks- og systeminformasjon knyttet til påståtte brudd på Retningslinjene.
SIKKERHETSRETNINGSLINJER
Ord og uttrykk som ikke er definert på annen måte i dette vedlegget skal ha samme betydning som i Tjenesteavtalen, med mindre sammenhengen krever noe annet.
1. Omfang
Retningslinjene for informasjonssikkerhet gjelder all informasjonsbehandling som foregår internt hos Tjenesteleverandøren og all informasjon som Tjenesteleverandøren er ansvarlig for eksternt. Dette inkluderer, men er ikke begrenset til, situasjonen der Tjenesteleverandørens Tjeneste er inkludert i en større IKT-operasjon, i samsvar med punkt 5 i vedlegget. Dette inkluderer også all behandling, lagring og kommunikasjon av informasjon både muntlig, på papir og digitalt. All bruk av IKT-verktøy er også inkludert.
Disse sikkerhetsretningslinjene vil bli gjennomgått årlig.
2. Viktige lover og forskrifter
Informasjonssikkerhet angående Tjenesteleverandørs Tjeneste er regulert av en rekke lover og regler. Dette er noen av de viktigste:
- Personopplysningsloven / GDPR
- Sikkerhetsloven
- Forskrift om sikkerhetsloven
3. Sikkerhetsmål
Tjenesteleverandørens informasjonsbehandling vil være i samsvar med regulatoriske, interne og kontraktsrettslige krav for informasjonssikkerhet. Personlig og annen beskyttet informasjon vil bli sikret gjennom fysiske, tekniske og organisatoriske tiltak.
3.1. Konfidensialitet
Personlig informasjon og annen sensitiv informasjon behandlet av Tjenesteleverandøren vil bli beskyttet mot uautorisert tilgang. Personopplysninger holdes konfidensielle og kan bare deles med Tjenesteleverandørens andre ansatte i den grad det er nødvendig i forhold til Tjenesten som tilbys.
Alle Tjenesteleverandørens medarbeidere har signert en konfidensialitetsavtale og vil overholde denne konfidensialitetsavtalen i samsvar med relevante handlinger, ansettelsesavtale og lignende.
Når et ansettelsesforhold opphører, skal all maskinvare som leveres av Tjenesteleverandøren til den ansatte i samsvar med ansettelsen, leveres tilbake til Tjenesteleverandøren. Tjenesteleverandøren vil da fjerne all informasjon fra nevnte maskinvare.
3.2. Integritet
Informasjon som Tjenesteleverandøren er ansvarlig for, blir bare tilgjengelig, håndtert og modifisert av ansatte, eller av eksterne myndigheter som er autorisert til å gjøre det.
Tjenesteleverandøren skal fatte rimelige tiltak med sikte på å forhindre utilsiktet endring av sensitiv informasjon.
3.3. Tilgjengelighet
Informasjonssystemet er tilgjengelig for autoriserte brukere når det er nødvendig.
3.4. Robusthet
Når uønskede fysiske eller tekniske hendelser oppstår, vil nødhjelpstiltak iverksettes for å bidra til å begrense skaden og hjelpe Tjenesteleverandøren raskt å komme tilbake til normal drift. Dette inkluderer å gjenopprette tilgjengelighet og tilgang til personlig informasjon i tide.
4. Generelle krav – prosedyre
Tjenesteleverandøren har sine egne dokumenterte prosedyrer for viktige sikkerhetsrelaterte prosesser. Prosedyrene nevnt i dette punktet skal være gjenstand for årlig gjennomgang og oppdatering.
4.1. Regulatoriske krav
Tjenesteleverandør må til enhver tid dokumentere og overholde gjeldende regulatoriske krav i samsvar med punkt 2 i dette vedlegget.
4.2. Risikovurdering og styring
Tjenesteleverandørens krav til informasjonssikkerhet vedrørende IKT-systemer og prosessene for linjestyring og prosjekter er basert på en risikovurdering. Risikovurderingen inkluderer vurdering av risiko knyttet til egne ansatte og personer som er berørt av selskapets aktiviteter.
Tjenesteyter klassifiserer - eller kvantifiserer - uønskede hendelser basert på to elementer gitt en numerisk verdi: sannsynlighet og konsekvens. Produktet av disse to elementene definerer risikoen for hendelsen.
Både sannsynligheten og konsekvensen av en hendelse er gitt et tall i området 1 til 5 basert på definisjoner relatert til hendelsen. Høyere antall representerer mer sannsynlige og alvorlige hendelser.
Identifiserte uønskede hendelser skal vurderes og kvantifiseres av et panel bestående av minst to personer med tilstrekkelig kunnskap om sannsynligheten og konsekvensen av hendelsen. Årsaker til valg av sannsynlighet og konsekvensnivå må dokumenteres. Risiko som er vanskelig å evaluere kan indikere at hendelsen ikke er spesifikk nok og bør deles i flere separate hendelser eller omskrives.
Målet er ikke å eliminere all risiko - da dette er umulig - men heller holde Tjenesteleverandørens nåværende profil på et akseptabelt nivå. Tjenesteleverandørens Kunde aksepterer herved risikoprofilen og det faktum at Tjenesteleverandøren kun er ansvarlig for risiko direkte som følge av Tjenesteleverandørens egne Tjenester.
4.3. Klassifisering av systemer og informasjon
Avhengig av det aktuelle systemet og informasjonen som behandles, vil de forskjellige aspektene ved sikkerhet (konfidensialitet, integritet, tilgjengelighet og robusthet) ha forskjellige betydninger. Følgende kategorisering brukes til beskyttelsesbehov:
- Høy - bare gitt system og informasjon med oppdragskritiske beskyttelsesbehov
- Moderat system og informasjon med beskyttelsesbehov
- Lav (lave sikkerhetskrav) - kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov.
Ulike delsystemer kan ha forskjellige beskyttelsesbehov.
4.4. Adgangskontroll
Tilgang til Tjenesteleverandørens Tjenester og systemer er basert på roller og privilegier. Tilgangskontroll - lister over systemer har minst kvartalsvis gjennomgang av brukere og ansattes rettigheter, og rettigheter som ikke lenger er behov for blir tilbakekalt. Tjenesteleverandør har implementert operasjonell tilgang til applikasjonsdata begrenset til et overvåket delsett av Tjenesteleverandørens ansatte, med flerfaktorautentisering aktivert.
4.5. Tekniske sikkerhetstiltak
Tjenesteleverandøren har implementert følgende tekniske sikkerhetstiltak:
- Tiltak som hindrer ansatte i å uaktsomt eller forsettlig skade informasjonssystemet eller informasjonen som er lagret.
- Tiltak for å forhindre at skadelig programvare kommer inn i bedriftsinformasjonssystemet.
- Operasjonell tilgang til applikasjonsdata begrenset til et overvåket delsett av Tjenesteleverandørens ansatte, med flerfaktorautentisering.
- All kommunikasjon med applikasjoner gjennom eksterne endepunkter logges.
- Minimum daglig backup av alle applikasjonsdata, med rutiner på plass for gjenoppretting.
4.6. Organisatoriske tiltak
Tjenesteleverandøren har implementert følgende organisatoriske tiltak:
- Prosedyrer for håndtering av tilgang til Tjenesteleverandørens informasjonssystem. Dette inkluderer kontroll av passord, rettigheter og applikasjoner.
- Prosedyrer med hensyn til ansattes håndtering av bærbare lagringsmedier, som bærbare datamaskiner, for å forhindre at informasjon kommer på avveie.
- Rutiner for låsing av lokalene, håndtering av gjester og bruk av alarmer utenfor arbeidstid.
- Prosedyrer for plassering og sikring av komponenter, lagringsenheter, dokumenter eller andre komponenter som er viktige for Tjenesteleverandørens Tjeneste.
4.7. Fysiske tiltak
Tjenesteleverandørens lokaler er beskyttet mot blant annet innbrudd, brann, vannskader osv. Videre vil Tjenesteleverandøren forhindre at uvedkommende får tilgang til lokaler der informasjon som er verneverdig er lagret. Maskiner, lagringsmedier og sentrale nettverkskomponenter er fysisk sikret slik at uvedkommende ikke kan bringe disse ut av Tjenesteleverandørens lokaler. Bærbare enheter som skal bringes utenfor Tjenesteleverandørens lokaler, må sikres med kryptering.
4.8. Risikohåndtering
For både betydelige og uakseptable risikoer, må risikoreduserende oppgaver identifiseres og plasseres i backloggen. For uakseptable risikoer må avbøtende oppgaver ha en frist.
Risikoreduserende oppgaver får en poengsum basert på hvor mange risikopoeng det reduserer berørte risikoer, og oppgaver prioriteres slik at oppgavene som tar bort flest risikopunkter blir utført først. For avbøtende oppgaver som påvirker flere risikoer, blir de reduserte risikopunktene samlet.
Når risikoreduserende oppgaver er fullført, skal de berørte risikoene oppdateres for å gjenspeile deres nye sannsynlighet og konsekvenspoeng, og ytterligere reduserende tiltak evaluert.
4.9. Tjenesteleverandørens rolle som databehandler og bruk av underleverandører
Tjenesteleverandørens rolle som databehandler og Tjenesteleverandørs bruk av underleverandører er regulert av avtale (Vedlegg 5 Databehandleravtalen) i samsvar med personopplysningsloven. Denne Avtalen inneholder også bestemmelser om informasjonssikkerhet med henvisning til disse sikkerhetsretningslinjene.
5. Tjenesteleverandørens tjeneste som en del av en større IKT-drift
Ansvaret for informasjonssikkerhet ligger hos eieren av IKT-operasjonen.
Tjenesteleverandøren er kun ansvarlig for den delen av informasjonssikkerhet som følger av Tjenesten som tilbys av Tjenesteleverandøren. Tjenesteleverandør er ikke ansvarlig for risiko i forbindelse med informasjonssikkerhet som overskrider Tjenesteleverandørens Tjeneste og disse sikkerhetsretningslinjene eller annen avtale mellom avtalepartene, så langt gjeldende lover tillater dette.
PROPRIETÆR LISENS
Copyright 2023 ECIT Autogear AS («Lisensgiver»)
"Lisensiert Programvare" betyr Lisensiert Verk i objektkode, maskinspråk eller i annen form og skriftlig dokumentasjon knyttet til dette som er lisensiert av Lisensgiver til Kunden (som definert i Ordrebekreftelsen og Vedlegg 1 til Tjenesteavtalen) og dets underlisensinnehavere.
"Lisensierte Verk" betyr den proprietære autogear.no programvaren som beskrevet i Ordrebekreftelsen, Vedlegg 1, og tilknyttet programvare-dokumentasjon, som fra tid til annen kan endres.
1. Tildeling av Lisens
I henhold til vilkårene og betingelsene angitt her, og forutsatt rettidig betaling av abonnementsavgift, kostnader og gebyrer som beskrevet i Ordrebekreftelsen og Vedlegg 2 til Tjenesteavtalen, gir Lisensgiver herved Kunden:
(a) en ikke-eksklusiv rettighet og lisens til å bruke, få tilgang til, lagre, utføre og lisensiere visning av de Lisensierte Verkene i Norge, Sverige og Danmark.
1.1. Den Lisensierte Programvaren som Kunden videre-lisensierer til sine underlisensinnehavere skal kun videre-lisensieres for den aktuelle underlisenstakers egen bruk, uten noen rett til ytterligere videre-lisensiering.
2. Eierskap til Lisensierte Verk og Forbedringer.
Lisensgiver har enerett og eksklusivt eierskap til alle rettigheter, titler og interesser i og til de Lisensierte Verkene, og alle kopier og deler av disse, som eksisterer på dagens dato, og alle modifikasjoner, forbedringer og oppdateringer til, og avledede verk (samlet, "Forbedringer”) utført av Lisensgiver, eller på vegne av Lisensgiver, basert på de Lisensierte Verkene.
Kunden erkjenner gyldigheten av de Lisensierte Verkene og at de Lisensierte Verkene er og vil forbli den eksklusive eiendommen til Lisensgiveren, og Kunden godtar at den ikke, direkte eller indirekte, vil utfordre gyldigheten av de Lisensierte Verkene, eller noen opphavsrett eller annen immaterielle rettighetsregistreringer eller søknader i noen jurisdiksjon, eller rettighetene, titlene og interessene til Lisensgiveren dertil, og Kunden skal heller ikke kreve noe eierskap eller annen interesse i de Lisensierte Verkene annet enn de rettighetene som uttrykkelig er gitt her. Lisenstaker samtykker i at den ikke på noe tidspunkt, med viten, skal handle eller unnlate fra å handle på noen måte som vil svekke rettighetene til Lisensgiver i og til de Lisensierte Verkene. Ingenting i denne avtalen gir, og heller ikke skal Kunden erverve, noen rettigheter, eiendomsrett eller interesser i eller til de Lisensierte Verkene annet enn de rettighetene som uttrykkelig er gitt under denne avtalen.
3. Overtredelse
Kunden skal umiddelbart varsle Lisensgiver når Kunden blir oppmerksom på krenkelse eller urettmessig tilegnelse av de Lisensierte Verkene eller enhver krenkelse eller misbruk av andre immaterielle eiendeler knyttet til de Lisensierte Verkene. Lisensgiver har den eksklusive eneretten til å iverksette, og skal iverksette, de tiltakene som må anses rimelig nødvendig, etter Lisensgivers rimelige vurdering, for å beskytte de Lisensierte Verkene og Lisensgiverens annen immateriell eiendom knyttet til dette. Kunden skal selv, og skal også pålegge sine underlisensinnehavere å, samarbeide fullt ut med Lisensgiver for å stoppe slik krenkelse.
4. ANSVARSFRASKRIVELSE.
De lisensierte verkene er lisenser "som de er, hvor de er" og med alle og, med unntak av garantiene uttrykkelig gitt av lisensgiver i henhold til tjenesteavtalen, gir lisensgiver ingen og kunden mottar ingen andre garantier, verken uttrykt eller underforstått, og alle garantier om salgbarhet, egnethet for et bestemt formål, ikke-krenkelse av tredjeparts rettigheter eller overensstemmelse med lov, er uttrykkelig fraskrevet i den maksimale utstrekning loven tillater, ink. anvendelsen av kjøpsloven § 19 (1) C. Lisensgiver garanterer ikke for at de lisensierte verkene vil tilfredsstille kundens krav, eller at de lisensierte verkene vil være uavbrutt eller feilfri.
5. Avslutning
Lisensgiver kan si opp denne avtalen etter skriftlig varsel til Kunden, hvis:
5.1 Kunde misligholder en bestemmelse i denne avtalen og ikke er i stand til å rette opp et slikt mislighold innen tjue (20) dager etter datoen for Lisensgivers skriftlige varsel om dette.
5.2 Uten at det påvirker Lisensgivers rett til å si opp avtalen i henhold til andre bestemmelser i denne avtalen, kan Lisensgiver si opp en underlisens med en hvilken som helst underlisenstaker av Kunden etter skriftlig varsel til Kunden, hvis Kunden ikke er i stand til å få slik underlisenstaker til å rette opp slikt mislighold innen tjue (20) dager etter datoen for Lisensgivers skriftlige varsel til Kunden om dette.
DATABEHANDLERAVTALE
1. Innledning, Formål og Definisjoner
Når oppfyllelse av Tjenesteavtalen og dens vedlegg vil innebære behandling av personopplysninger, vil slik behandling være underlagt lovbestemmelser og forpliktelser i henhold til gjeldende personvernlovgivning.
Tjenesteleverandør, heretter "Databehandler", og Kunden, heretter "Behandlingsansvarlig", har inngått denne Databehandleravtalen for å regulere Databehandlers rettigheter og plikter, med hensyn til all behandling av personopplysninger på vegne av Behandlingsansvarlig under Tjenesteavtalen og dens Vedlegg, inkludert under denne databehandlingsavtalen, for å sikre at all behandling av personopplysninger utføres i samsvar med gjeldende personvernregelverk.
Denne Databehandleravtalen skal sikre at Behandlingsansvarliges personopplysninger behandles i samsvar med:
- EU-forordningen 2016/679 («General Data Protection Regulation» eller «GDPR») som endret fra tid til annen og all relevant nasjonal lovgivning, inkludert nasjonale implementeringer av GDPR.
Denne Databehandleravtalen er ment å oppfylle kravene i GDPR. Partene er enige om at hvis lover, forskrifter etter retningslinjer fra tilsynsmyndighetene endres i vesentlig grad, skal vilkårene i denne Databehandleravtalen revideres i god tro, med slik intensjon om at bestemmelsene og innholdet i Databehandleravtalen, løpende, skal oppfylle kravene som følger av personvernforordningen.
Denne Databehandleravtalen gjelder i tillegg til Databehandlerens personvernerklæring.
«Kunde» betyr den part som inngår en Tjenesteavtale med ECIT Autogear AS (Databehandler) for levering av en eller flere av Tjenestene som Databehandler tilbyr. «Kunde» omfatter både privatkunder (enkeltpersoner) og bedriftskunder.
«Personopplysninger» skal bety enhver opplysning om en identifisert eller identifiserbar fysisk person, som nærmere definert i GDPR artikkel 4 (1).
«Behandling av personopplysninger» skal bety enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, som nærmere definert i GDPR artikkel 4 (2).
«Underdatabehandler» skal bety enhver annen databehandler eller tredjepart som behandler Personopplysninger på Databehandler sitt initiativ, vitende eller utilsiktet, for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, inkludert programvare enheter og tilknyttede selskaper.
Med «Tredjeland» menes land utenfor EU/EØS-området.
Denne Avtalen inkluderer:
- Vedlegg A: Informasjon om behandlingen
- Vedlegg B: Autoriserte Underdatabehandlere
Databehandleren og den Behandlingsansvarlige vil heretter samlet bli referert til som «Partene» eller hver for seg som en «Part».
2. Den Behandlingsansvarliges Rettigheter og Plikter
Behandlingsansvarlig er ansvarlig for å sikre at behandlingen av Personopplysninger skjer i samsvar med GDPR (jf. GDPR artikkel 24), inkludert gjeldende nasjonal personvernlovgivning og denne Databehandleravtalen.
Den Behandlingsansvarlige har rett og plikt til å ta beslutninger om formål og midlene som skal benyttes ved behandling av Personopplysninger.
Behandlingsansvarlig skal være ansvarlig for at Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og personvernregelverket.
Behandlingsansvarlig skal informere de aktuelle registrerte (data subjektene) om behandlingsaktivitetene som Databehandler vil utføre på vegne av Behandlingsansvarlig under denne Databehandleravtalen.
Behandlingsansvarlig skal iverksette tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere samsvar med GDPR.
Den Behandlingsansvarlige skal varsle eventuelle personvernbrudd til relevante myndigheter og om nødvendig de registrerte uten ugrunnet opphold i samsvar med gjeldende lov.
3. Instrukser fra Behandlingsansvarlig
Databehandleren skal kun behandle Personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig, med mindre annet er påkrevd i EU- eller nasjonal lovgivning som Databehandleren er underlagt. Tjenesteavtalen (inkludert dens Vedlegg) utgjør instruksene på datoen for inngåelse av denne Databehandleravtalen. Instrukser kan også være gitt etter tidspunkt for avtaleinngåelse av Tjenesteavtalen og Databehandleravtalen. Databehandler skal til enhver tid kunne dokumentere slike instrukser.
Med mindre annet er spesifisert i Databehandleravtalen, kan Databehandler benytte alle relevante tekniske hjelpemidler (inkl. IT-systemer og software) for å oppfylle forpliktelsene som påhviler Databehandleren.
Er Databehandler av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med personvernregelverket, skal Databehandler umiddelbart underrette Behandlingsansvarlig om dennes oppfatning.
4. Konfidensialitet
Databehandleren skal sikre at ansatte og andre som har tilgang til Personopplysninger er autorisert til å behandle slike Personopplysninger på Databehandlerens vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til Personopplysningene opphøre uten ugrunnet opphold.
Databehandler skal sikre at personer som er autorisert til å behandle Personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør. Databehandleren skal på forespørsel fra Behandlingsansvarlig kunne dokumentere det samme.
5. Sikkerhet ved Behandlingen
Hensyntatt den tekniske utviklingen og gjennomføringskostnadene, behandlingens art, omfang, formål og i hvilken sammenheng den utføres, i tillegg til den varierende sannsynlighets- og alvorlighetsgraden for fysiske personers rettigheter og friheter, skal Behandlingsansvarlig og Databehandler vurdere å gjennomføre et eller flere av følgende tekniske og organisatoriske tiltak:
- pseudonymisering og kryptering av Personopplysninger;
- evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene;
- evne til å gjenopprette tilgjengeligheten og tilgangen til Personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;
- en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
I henhold til GDPR artikkel 32 skal Databehandleren også – uavhengig av Behandlingsansvarlig – vurdere risikoen for rettighetene og frihetene til fysiske personer i forbindelse med behandlingen, og iverksette tiltak for å redusere disse risikoene. For dette formål skal Behandlingsansvarlig gi Databehandleren all informasjon som er nødvendig for å identifisere og evaluere slike risikoer.
Videre skal Databehandleren bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 32, ved blant annet å gi Behandlingsansvarlig informasjon om de tekniske og organisatoriske tiltak som er implementert av Databehandleren i henhold til GDPR artikkel 32 sammen med annen informasjon som er nødvendig for Behandlingsansvarlig å ha tilgang til for å overholde Behandlingsansvarliges forpliktelse i henhold til GDPR artikkel 32.
Ytterligere sikkerhetstiltak vil bli implementert av Databehandleren, i samsvar med vedlegg 6 [6], til Tjenesteavtalen.
6. Bruk av Underdatabehandlere
Databehandleren skal oppfylle kravene i GDPR artikkel 28 (2) og (4) for å engasjere en annen databehandler (en Underdatabehandler). Databehandleren skal ikke engasjere en annen Underdatabehandler under denne Databehandleravtalen uten forutgående skriftlig tillatelse fra Behandlingsansvarlig.
Databehandler har ved tidspunkt for inngåelsen av Databehandleravtalen den Behandlingsansvarliges generelle autorisasjon til å engasjere Underbehandlere. Databehandleren skal skriftlig informere Behandlingsansvarlig om eventuelle tiltenkte endringer vedrørende tillegg eller utskifting av Underdatabehandlere minst fjorten (14) dager i forkant, og dermed gi Behandlingsansvarlig mulighet til å motsette seg slike endringer før den aktuelle Underdatabehandleren engasjeres. Godkjente Underdatabehandlere ved Databehandleravtalens inngåelse er spesifisert i vedlegg B til Databehandleravtalen.
Underdatabehandlere skal være gjort kjent med Databehandlerens forpliktelser etter denne Databehandleravtalen og regelverket som regulerer behandling av Behandlingsansvarliges Personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av Personopplysninger som er fastsatt i denne Databehandleravtalen, hvor Underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav.
Behandlingsansvarlig har også rett til, etter skriftlig forespørsel, å motta kopier av de relevante vilkårene i Databehandlerens avtale med underleverandører som skal behandle personopplysninger på vegne av Behandlingsansvarlig, med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt.
7. Overføring av Personopplysninger til Tredjeland eller Internasjonale Organisasjoner
Enhver overføring av Personopplysninger til Tredjeland eller Internasjonale Organisasjoner skal kun skje på grunnlag av dokumenterte instrukser fra Behandlingsansvarlig og skal alltid skje i samsvar med GDPR kapittel V.
I tilfelle overføringer til Tredjeland eller Internasjonale Organisasjoner, som Databehandleren ikke har blitt instruert om å utføre av Behandlingsansvarlig, er påkrevd i henhold til EU- eller nasjonal lovgivning som Databehandleren er underlagt, skal Databehandleren informere Behandlingsansvarlig om det juridiske grunnlaget før overføringen finner sted, med mindre loven forbyr dette av viktige hensyn til allmenn interesse.
Den Behandlingsansvarliges instrukser angående overføring av Personopplysninger til et Tredjeland inkludert, hvis aktuelt, overføringsgrunnlaget under GDPR kapittel V som overføringen er basert på, skal angis i vedlegg B.1.
Denne Databehandleravtalen skal ikke forveksles med standard personvernbestemmelser i henhold til GDPR artikkel 46 (2) (c) og (d), og denne Databehandleravtalen kan ikke anses som et overføringsgrunnlag under GDPR kapittel V.
8. Bistand til Behandlingsansvarlig
Hensyntatt behandlingens art, skal Databehandler bistå Behandlingsansvarlig med passende tekniske og organisatoriske tiltak, så langt dette er mulig, med å oppfylle Behandlingsansvarliges forpliktelser til å svare på forespørsler om å utøve den registrertes rettigheter i henhold til GDPR kapittel III.
Dette innebærer at Databehandler, så langt dette er mulig, skal bistå Behandlingsansvarlig i Behandlingsansvarliges etterlevelse av:
- retten til å bli informert når Personopplysninger samles inn fra den registrerte
- retten til å bli informert når Personopplysninger ikke er innhentet fra den registrerte
- den registrertes rett til innsyn
- rett til retting
- rett til sletting («retten til å bli glemt»)
- rett til begrensning av behandling
- underretningsplikt ifm. retting eller sletting av Personopplysninger eller begrensning av behandling
- rett til dataportabilitet
- rett til å protestere
- rett til ikke å bli underlagt en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering
I tillegg til Databehandlers plikt til å bistå den Behandlingsansvarlige etter pkt. 5, skal Databehandleren videre, hensyntatt behandlingens art og informasjonen som er tilgjengelig for Databehandleren, bistå Behandlingsansvarlig med å sikre overholdelse av:
- Den Behandlingsansvarliges plikt til uten ugrunnet opphold og, der det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter;
- Behandlingsansvarliges forpliktelse til uten ugrunnet opphold å informere om bruddet til den registrerte, når bruddet sannsynligvis vil resultere i en høy risiko for fysiske personers rettigheter og friheter;
- Behandlingsansvarliges forpliktelse til å gjennomføre personvernkonsekvens vurderinger (Data Protection Impact Assesment);
- Behandlingsansvarliges forpliktelse til å konsultere den kompetente tilsynsmyndigheten før behandling der en personvernkonsekvens vurdering indikerer at en behandling vil resultere i en høy risiko i fravær av tiltak fra Behandlingsansvarlig for å redusere den identifiserte risikoen.
9. Melding om Personvernbrudd
I tilfelle et personvernbrudd oppstår skal Databehandleren, uten unødig opphold etter å ha blitt kjent med det, varsle Behandlingsansvarlig om personvernbruddet.
Databehandlerens varsling til Behandlingsansvarlig skal om mulig skje senest innen 48 timer etter at Databehandler har fått kjennskap til personvernbruddet for å tilrettelegge for at Behandlingsansvarlig kan overholde Behandlingsansvarliges plikt til å melde i fra om personvernbruddet til kompetent tilsynsmyndighet, jfr. GDPR artikkel 33.
I samsvar med punkt 8 skal Databehandleren bistå Behandlingsansvarlig med å varsle om personvernbrudd til den kompetente tilsynsmyndigheten, det innebærer at Databehandleren er pålagt å bistå med å innhente informasjonen som beskrevet nedenfor, i henhold til artikkel GDPR 33 (3):
- beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt;
- navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes;
- beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten;
- beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger uten unødig opphold.
10. Sletting og Retur av Personopplysninger
Partene er enige om at ved oppsigelse av Tjenesteavtalen, vil denne Databehandleravtalen også anses som opphørt.
Ved oppsigelse av Tjenesteavtalen er Databehandleren forpliktet til å returnere alle Personopplysningene til Behandlingsansvarlig og slette eksisterende kopier innen seksti (60) dager etter avtale med Behandlingsansvarlig opphører, med mindre EU- eller nasjonal lovgivning krever lagring av Personopplysningene.
For å unngå tvil skal ingenting i denne Databehandleravtalen forplikte Databehandleren til å slette kopier av Personopplysninger som den har på egne vegne som Behandlingsansvarlig (hvis noen). Videre skal ingenting i denne Databehandleravtalen forplikte Databehandler til å slette data som ikke er Personopplysninger (verken direkte eller indirekte) slik som, men ikke begrenset til, aggregerte og/eller anonymiserte statistikkdata vedrørende Behandlingsansvarliges bruk og Behandlingsansvarliges sluttbrukeres bruk av Tjenestene som tilbys under Tjenesteavtalen (inkludert Ordrebekreftelsen og Vedlegg).
11. Revisjon og Inspeksjon
Databehandleren skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i GDPR artikkel 28 og denne Databehandleravtalen, og bidra til revisjoner, inkludert inspeksjoner, utført av Behandlingsansvarlig selv eller av en revisor på oppdrag av den Behandlingsansvarlige.
Databehandler er pålagt å gi tilsynsmyndighetene, som i henhold til gjeldende lovgivning har tilgang til Behandlingsansvarliges og Databehandlerens fasiliteter, eller representanter som opptrer på vegne av slike tilsynsmyndigheter, tilgang til Databehandlerens fysiske fasiliteter mot fremvisning av passende identifikasjon.
12. Øvrige Plikter og Rettigheter
Øvrige plikter og rettigheter mellom Partene er fastsatt i Tjenesteavtalen, inkl. Ordrebekreftelsen og Vedleggene.
De samme kontaktpersonene under Tjenesteavtalen vil være kontaktpersonene under denne Databehandleravtalen.
Begge Parter erkjenner at denne Databehandleravtalen ikke skal utvide Behandlingsansvarliges sanksjonsmuligheter, inkludert erstatningsansvar for Databehandleren, utover det som følger av Tjenesteavtalen.
Ved overføring av Tjenesteavtalen til andre parter, vil Databehandleravtalen anses som overført samtidig.
13. Tvist og Jurisdiksjon
Denne Databehandleravtalen skal tolkes i sin helhet i samsvar med norsk lov, med unntak av ufravikelige bestemmelser i gjeldende personvernlovgivning.
Enhver tvist vedrørende Databehandleravtalen, eller tvist som oppstår som følge av denne Databehandleravtalen, skal i første omgang løses av Partene gjennom forhandlinger.
Dersom en tvist ikke kan løses gjennom forhandlinger, skal en tvist være underlagt Oslo Tingrett, dersom ingen annen obligatorisk jurisdiksjon gjelder i gjeldende personvernlovgivning.
Vedlegg A. Informasjon om behandlingen
A.1. Formålet med Behandlerens behandling av Personopplysninger på vegne av Behandlingsansvarlig er:
Databehandler vil få tilgang til og behandle Personopplysninger på vegne av Behandlingsansvarlig, for det formål å oppfylle sine forpliktelser i henhold til Tjenesteavtalen (inkludert Ordrebekreftelsen og Vedleggene).
Databehandler vil ikke behandle eller lagre Personopplysninger i større grad enn det som er nødvendig for å kunne levere de avtalte Tjenestene.
A.2. Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig skal i hovedsak gjelde (behandlingens art):
Behandlingens art vil kunne variere. Behandlingens art vil inkludere, men er ikke begrenset til, innsamling av Personopplysninger, strukturering av Personopplysninger, lagring av Personopplysninger, tilpasning eller endring av Personopplysninger, overføring av Personopplysninger, analysering av personopplysninger, eller kombinasjoner av disse.
Andre behandlingsaktiviteter kan utføres av Databehandleren for det formål å oppfylle Databehandlerens forpliktelser i henhold til Tjenesteavtalen (inkl. Ordrebekreftelsen og Vedleggene).
A.3. Behandlingen inkluderer følgende typer Personopplysninger om registrerte personer:
A.3.1. Privatkunder (enkeltpersoner)
- Navn (fornavn og etternavn).
- Fødselsdato.
- Faktureringsadresse og/eller leveringsadresse.
- E-postadresse (brukes som brukernavn for pålogging og tilgang til Tjenestene).
- Passord for å gi tilgang til Tjenestene.
- Telefonnummer.
- Bilde(r).
- Informasjon om abonnementslisenser (inkl. abonnementstype og periode).
- Kjøretøyets registreringsnummer.
- Bankkontonummer for utbetaling av kjøregodtgjørelse.
- Rapporter for vederlag og beskatning på grunnlag av registrert bruk av kjøretøy.
- Lokasjonsinformasjon, inkludert nåværende og historisk posisjon og turer for kjøretøy som Tjenesten brukes på.
- Korrespondanse med kunden (f.eks. support relatert korrespondanse).
- IP adresse.
- Informasjon om kundenes interaksjoner med Tjenestene (f.eks. påloggingstid).
- Annen personlig informasjon som den enkelte valgfritt oppgir i sin egen brukerprofil/brukerkonto, som er knyttet til Tjenestene.
I tilfelle det blir nødvendig å behandle flere Personopplysninger enn de som er oppført ovenfor, vil slik behandling skje i samsvar med instrukser fra Behandlingsansvarlig, og/eller fordi slik behandling er nødvendig for å oppfylle Databehandlerens forpliktelser i henhold til Tjenesteavtalen (inkl. Ordrebekreftelsen og Vedleggene).
A.3.2 Bedriftskunder (enterprises)
I tillegg til alle Personopplysningene nevnt under punkt A.3.1 ovenfor, vil Databehandleren behandle følgende Personopplysninger og ikke-personlige data ved inngåelse av avtale med en bedriftskunde:
- Navn på arbeidsgiver (ikke-personlige data)
- Arbeidstid
- Stillingstittel og stillingsfunksjon, samt rolle hos arbeidsgiver
- Navn på arbeidsgivers avdeling der den enkelte / arbeidstaker jobber.
I tilfelle det blir nødvendig å behandle flere Personopplysninger enn de som er oppført ovenfor, vil slik behandling skje i samsvar med instrukser fra Behandlingsansvarlig, og/eller fordi slik behandling er nødvendig for å oppfylle Databehandlerens forpliktelser i henhold til Tjenesteavtalen (inkl. Ordrebekreftelsen og Vedleggene).
A.4. Behandling inkluderer følgende kategorier av registrerte:
- Dersom det inngås avtale med en bedriftskunde, vil bedriftskunden bli ansett som Behandlingsansvarlig under denne Databehandleravtalen, og behandling i denne sammenheng vil omfatte følgende kategorier av registrerte:
- Ansatte hos Behandlingsansvarlig
- Andre sluttbrukere av Behandlingsansvarlig, som Behandlingsansvarlig gir tilgang til Tjenestene.
- Dersom det inngås avtale med en privatkunde (enkeltperson), vil privatkunde anses som Behandlingsansvarlig under denne Databehandleravtalen, og behandling vil i denne sammenheng omfatte følgende kategorier av registrerte:
- Privatkunder (enkeltpersoner)
I tilfelle det blir nødvendig å behandle Personopplysninger om flere kategorier av registrerte personer enn de som er oppført ovenfor, vil slik behandling finne sted i samsvar med instrukser fra Behandlingsansvarlig, og/eller fordi slik behandling er nødvendig for å oppfylle Databehandlerens forpliktelser i henhold til Tjenesteavtalen (inkl. Ordrebekreftelsen og Vedleggene).
A.5. Databehandlerens behandling av Personopplysninger på vegne av Behandlingsansvarlig igangsettes når denne avtalen trer i kraft. Behandlingen har følgende varighet:
For hele varigheten/perioden til Tjenesteavtalen, inkl. Ordrebekreftelsen og Vedleggene, og inntil seksti (60) dager etter avtale med Behandlingsansvarlig opphører.
Vedlegg B. Autoriserte underbehandlere.
B.1. Godkjente underbehandlere.
Ved tidspunktet for inngåelsen av Tjenesteavtalen og denne Databehandleravtalen har Behandingsansvarlig godkjent bruken av følgende underdatabehandlere:
Sub-Processors name | Company address | Description | Data Processing Location |
Segment | 1407 Broadway 26th floor, New York, USA | Segment is a Customer Data Platform (CDP), which means that it provide a service that simplifies collecting and using data from the users of your digital properties (websites, apps, etc). With Segment, you can collect, transform, send, and archive your first-party customer data. Segment simplifies the process of collecting data and hooking up new tools, allowing you to spend more time using your data, and less time trying to collect it. |
EU / EEA (Dublin, Ireland) |
Userguiding | 112 Capitol Trail Suite A199 Newark DE, 19711 | Online training / guiding | US |
AWS | 410 Terry Avenue North Seattle, WA 98109 United States | AWS provides servers, storage, networking, remote computing, email, mobile development, and security. |
EU / EEA (Dublin, Ireland) |
Hubspot |
HubSpot, Inc Street: 25 First St City: Cambridge State: Massachusetts ZIP Code: 02141 |
Marketing / communication / meetings |
EU / EEA |
24Sevenoffice | Inkognitogata 33, 0256 Oslo | ERP / CRM |
EU / EEA (Norway) |
Here Maps |
Kennedyplein 222 -226 5611 ZT Eindhoven Netherlands |
Provider of Map services, and address lookup
|
EU / EEA (Frankfurt, Germany) |
Google Maps |
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA And its representant in EU, Google Ireland Ltd., Gordon House, Barrow Street, D04 E5W5, Dublin, Irland |
Provider of Map services, and address lookup | US |
Satismeter | Boudníkova 3, 180 00 Praha 8-Palmovka, Tsjekkia |
Data collection (NPS survey) |
US |
Zendesk | 989 Market St, San Francisco, San Francisco | Helpdesk | EU / EEA |
Slack |
500 Howard Street San Francisco, CA 94105 USA
|
Internal communication tool and platform |
EU / EEA Frankfurt, Germany) |
Wialon | Lithuania, Vilnius, LT-08200 | Telematics and IoT platform. For streaming data from GPS devices and sensors) |
EU / EEA (Groningen, Germany |
Ruptela | Perkūnkiemio str. 6. LT-12130 Vilnius, Lithuania |
Telematics and IoT platform (For streaming data from our GPS devices)
|
Data centers within EU/EEA |
Google Analytics
|
Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Ireland | Data analysis | US |
Google Tag Manager | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google") | Collect information about user behavior and manage tags / Samle inn informasjon om brukeratferd og administrere tagger | US |
Den Behandlingsansvarlige har ved påbegynnelsen av Tjenesteavtalen og denne Databehandleravtalen godkjent bruken av de ovennevnte Underbehandlerne for behandlingen som er beskrevet for den parten.
B.2. Generell autorisasjon av Behandlingsansvarlig
Med forbehold om begrensningene som eksplisitt er nevnt i denne Databehandleravtalen, og underlagt gjeldende begrensninger i henhold til GDPR, gir Behandlingsansvarlig et generelt samtykke til at Databehandler kan, i løpet av Tjenesteavtalens løpetid, bruke standardprogramvare(r) fra Amazon, Google og de andre Underbehandlerne som er oppført under vedlegg B, punkt B.1, for å oppfylle Databehandlerens forpliktelser i henhold til Tjenesteavtalen (inkl. Ordrebekreftelsen og Vedleggene). Videre samtykker Behandlingsansvarlig til at slik behandling understøttes av servere i Tredjeland.
De avtalte tidsperiodene for forhåndsvarsel for autorisasjon til å legge til og/eller endre Underbehandlere er minst fjorten (14) dager. Behandlingsansvarlige har mulighet til å motsette seg slike endringer innen nevnte frist. Dersom ingen innsigelse fra den Behandlingsansvarlige er mottatt senest innen fristen nevnt ovenfor, skal den aktuelle Underdatabehandleren anses som akseptert av den Behandlingsansvarlige.
English version
Terms of agreement
- Service Agreement
- Description of Services and Technical Requirements
- Prices and Payment Terms
- Service Level Agreement
- Acceptable Use Policy
- Security Policy
- Proprietary License
- API - Terms of use (Business)
- PRIVACY POLICY
This version is valid from 14.02.2024
SERVICE AGREEMENT
1. Background
The Service Provider and the Client identified in the Order Confirmation (the “Parties”) have entered into the following service agreement (hereinafter the “Agreement”).
2. General Terms
2.1 Agreement Documents
The following Order Confirmation and the Appendices form an integral part of the Agreement:
Order Confirmation: Parties, Duration, Selected Services, and Additional Terms
Appendix 1: Description of Services (service package) and Technical Requirements
Appendix 2: Prices and Payment Terms
Appendix 3: Service Level Agreement
Appendix 4: Acceptable Use Policy
Appendix 5: Data Processing Agreement
Appendix 6: Security Policy
Appendix 7: Proprietary Licence
Appendix 8: API - Terms of Use
Appendix 9: Change order
In the event of conflict between this Agreement, the Order Confirmation and the Appendices, the order of precedence shall be the following:
- The Change order
- The Order Confirmation
- Appendix 5
- Appendix 1
- Appendix 4
- Appendix 3
- The wording in the other Appendices.
- The general wording of the Agreement
2.2. Principles
This Agreement, including the Order Confirmation and Appendices, defines the services that the Service Provider undertakes to provide, the terms under which such services are provided and the Parties’ respective rights and obligations in respect thereof.
The Service Provider offers the “Services” (both software and hardware) as set out in Appendix 1 Description of Services and Technical Requirements .
The Client has, with the conclusion of this Agreement, subscribed for the Services, as set out in Order Confirmation.
2.3. Conclusion of Agreement
An Agreement is considered concluded with the Service Provider in the following non-exhaustive cases:
- When a Client orders (one or more) of the Service Provider’s Services from one of Service Provider’s employees, and the Client provides all the necessary information related thereto, such as information about vehicle(s)
- When a Client orders (one of more) of the Service Provider’s Services by registering an order at the Service Provider’s website
- By entering into an Agreement with an authorized dealer of the Service Provider regarding the use of the Service Provider’s Services, or
- by otherwise using the Service Provider’s Services.
The Service Provider will carry out a credit check when entering into an Agreement with the Client. Entering into an agreement requires a positive credit assessment of the Client. The Client consents to a credit assessment being carried out when an Agreement is concluded with the Service Provider.
The Service Provider reserves the right to accept or refuse orders in its sole discretion.
If the Service Provider’s Services are used without the conclusion of a written Agreement, the Client is deemed to have accepted this Agreement, including the Appendices.
2.4. Changes to the Services
The Service Provider reserves the right to make changes to and permanently or temporarily discontinue at any time the Services or any part thereof.
The Service Provider, furthermore, reserves the right to amend this Agreement (including its Appendices) to ensure its compliance with relevant regulatory changes and with third parties’ licences upon which the Service relies.
The Service Provider will strive to inform the Client of any planned change that will have a non-negligible/material impact on the delivered Services before its implementation (thirty (30) days in advance). Failure to do so shall not be considered a breach of contract.
2.5. The Service Provider’s Warranty
The Service Provider is responsible for delivering the Services in accordance with this Agreement, including fulfilling the requirements and descriptions as specified in the Agreement, and to ensure that the Services comply with relevant regulatory requirements in Norway and the EU.
The Service Provider is also responsible for providing support and repairing errors affecting the Service that prevent the Client from using the Services in accordance with this Agreement (see clause 2.6).
The Services will be provided on an as-is basis.
The Service Provider’s warranty varies depending on the Service package selected by the Client in the Order Confirmation.
- The Client may only use the Services in accordance with this Agreement, and in accordance with the Acceptable Use Policy. In the event the Client does not act in accordance with this Agreement or the Acceptable Use Policy, the Service Provider reserves the right to suspend the Client's access to the Service. In such cases, the Service Provider will give the Client notice before suspension, if this is possible. A breach of this Agreement or the Acceptable Use Policy can be considered a material breach of the Agreement and lead to termination of the Agreement, in accordance with this Agreement.
- This clause also applies, in all cases, to the Client's end users.
- The Service Provider is not responsible for the Client’s own applications, including the Client’s own code, and any third-party code or application used by the Client.
- Save as provided under this section 2.5, the Service Provider expressly disclaims the application of § 17 of the Norwegian Sales Act and any implied warranty of fitness for a particular purpose, or any equivalents in Client’s country of operation.
2.6. Support
Support and repair will be provided in accordance with this Agreement and Appendix 3 Service Agreement .
The Service Provider shall be responsible for ensuring that the Service’s uptime meets the parameters outlined in Appendix 3 Service Agreement . However, the Service Provider gives no guarantee that the Services will always be free of errors or interruptions.
For the Service Provider to be able to provide support and repair issues the Client must notify the Service Provider of any issues within a reasonable amount of time.
Notwithstanding the foregoing, in case of errors caused by third-party deliverables, the Service Provider will only be obliged to report the error to the Client and to suggest (whenever possible), an alternative solution to the Client. The Client shall bear the costs of implementing any alternative solution.
2.7. Client’s responsibility
The Client must provide the Service Provider with all the relevant and necessary information and data (including personal data) that is needed to fulfil the Service Provider’s obligations in accordance with this Agreement. Click here to get a full overview of all information and data needed by the Service Provider, to get started with onboarding the Client, once an Agreement is concluded with the Service Provider.
The Client undertakes to pay the agreed price, as indicated in the Order Confirmation at the agreed interval and in accordance with Appendix 2 Prices and Payment Terms . Unless an “invoicing start date” for the Selected Services and the agreed price related thereto, have been agreed to explicitly under the Order Confirmation, then the “invoicing start date” for any agreed Services shall be (by default) 10 days after an Agreement is concluded with the Service Provider.
The Client is obliged to notify the Service Provider in writing, of any change related to Client contact information and/or Client payment information.
The Client undertakes to ensure that the Description of Services and Technical Requirements, as stated in the Agreement (including in Appendix 1), are met during the entire agreement period. Furthermore, the Client undertakes to ensure that any user manual or guidance provided by the Service Provider, and connected to the use of the Services, is adhered to.
The Client is in charge and responsible for internal access management in connection with the Services, this includes, but is not limited to, access management control related to employees, affiliated companies, developers, and end users.
The Client will appoint and provide reasonable availability of a technical representative when raising a service-related issue or request. Notification of errors or limited availability must be sent by the Client to the Service Provider by e-mail to: kontakt@autogear.no. The notification must contain a description of the error in a detailed manner. The Service Provider is under no circumstances responsible for delayed services related to insufficient or incorrect information provided by the Client.
The Client is responsible for returning any leased equipment associated with the Services, to the Service Provider upon (i) termination of the Agreement, or otherwise (ii) if any equipment associated with the Services is outdated and must be replaced (if the Client has been informed about such occurrence in writing). The Client accepts to pay an administration fee with respect to the replacement and/or return of any equipment associated with the Services, in accordance with the terms in Appendix 2 Prices and Payment Terms .
The Client hereby allows the Service Provider to use non-personal data, such as but not limited to, aggregated and/or anonymized statistics data regarding the Client’s use and Client’s end users use, of the Service, without limitation in time. The aforementioned is subject to the Service Provider assuring that such data set cannot be used for the purpose of re-identification of a data subject, neither directly nor indirectly.
2.8. Intellectual Property Rights
Except as expressly provided herein, this Agreement does not transfer or licence intellectual property rights from the Client to the Service Provider or from the Service Provider to the Client regarding any technology or software, including but not limited to the design, computer programs, descriptions, source codes, user interface, modifications, and trade secrets derived from the Services, including the part of the Services developed prior to the date of this Agreement and future developments of the Services.
All right, title, and interest in and to the Service Provider’s software and in any third-party software will remain solely with the Service Provider and/or third party, as applicable.
If in the course of providing its Services the Service Provider creates, or customises, any applications, tools, procedures, reports, designs or any other deliverable or software, all copyrights and other intellectual property rights in the deliverables shall be vested in the Service Provider.
Any general knowledge and “know how” developed by the Service Provider in the performance of its obligations under the Agreement shall be vested with the Service Provider.
2.9. Indemnity
Subject to the liability limitations contained in this Agreement, the Parties herein agree to indemnify and hold each other and their respective employees and representatives harmless from and against any and all losses, liabilities, deficiencies, costs, damages and expenses claimed by a third party arising directly or indirectly from such Party’s wilful or grossly negligent misconduct.
In case of claims relating to the purported violation by Service Provider of any third-party intellectual property right, the Service Provider shall be solely responsible for replacing the affected Service or part of the Service so as to ensure the continuing delivery of the Service.
The Client agrees to indemnify and hold the Service Provider, its shareholders, employees, agents, and affiliates, harmless from any and all claims and expenses related to the Client’s violation of any third-party intellectual property rights.
2.10. Contract Period, Renewal and Termination
The Contract Period (the Term for this Agreement) will be as set out in the Order Confirmation and is automatically renewed with consecutive renewal terms each equal to the length of the initial term (unless terminated early in accordance with the provisions of this Agreement, or unless the Client has subscripted for a different renewal term in the Order Confirmation).
To avoid automatically renewed Contract Period(s), with consecutive renewal terms each equal to the length of the initial term, the Client must send a written notice of termination by e-mail to: kontakt@autogear.no no later than forty-five (45) days before the expiry date of the initial term or renewal term (as applicable); otherwise, a renewal term will automatically apply.
***Notwithstanding the foregoing, a twelve (12) - month renewal period will automatically be applicable to Clients who entered into an Agreement with the Service Provider before 15.02.2024 To avoid such automatically renewed Contract Period(s) for Clients who entered into an Agreement with the Service Provider before 15.02.2024, the Client must send a written notice of termination by e-mail to: kontakt@autogear.no no later than forty-five (45) days before the expiry date of the initial term or renewal term (as applicable).
In all cases, the Client is not entitled to a refund of part of a prepaid subscription fee in the event of early termination. This means that if the Client wishes to terminate the Agreement before the expiration of the initial term (or any renewal term), The Client will not be entitled to be reimbursed a proportionate share of a pre-paid subscription fee, but the Client will continue to have access to the applicable Service, until the end of (as applicable) the initial term, or any renewal term.
2.11. Mitigation of Liability
The Service provider shall not be held liable for any damages unless such damages are solely attributable to the Service malfunctioning.
The client acknowledges that the service provider is not responsible for any indirect, special, incidental, or consequential damages whether under contract or in tort (including, but not limited to, damages for interruption of the business, loss of business, loss of profits and loss of data) related to or arising out of this agreement, to the maximum extent permitted by law. This section does not apply to violations by either party of the other party`s intellectual property rights.
The Client agrees that this Agreement contains the Client’s sole and exclusive remedy for interruption, deficiencies, partial unavailability, and complete unavailability of the Services.
2.12. Force Majeure
Neither Party will be liable for any failure in performance due to causes beyond the Parties reasonable control (such as fire, explosion, power blackout, strikes, lockouts, epidemics, war, acts of terrorism, acts of God and similar). This section will not, however, apply to the Client's payment obligation under this Agreement.
Circumstances affecting the internet or cloud infrastructure, or the cloud infrastructure provider will be deemed to constitute force majeure for the Service Provider. Furthermore, if material changes occur in existing legislation, applicable regulations or their interpretations by competent courts, or in material conditions, resulting in the impossibility to perform Service Provider’s obligations or determining an unforeseen substantial delay in Service Provider’s deliveries and/or unforeseen price increases, the resulting delay or non-performance shall be regarded as force majeure and the Service Provider shall be entitled to negotiate in good faith the provisions affected by such material change.
2.13. Non-compliance and Remedies
2.13.1. Notice Obligation
If any of the Parties is unable to fulfil its obligations as agreed, that Party must give the other Party written notice of this as soon as possible. The notice must specify the reason for the problem and, as far as possible, when the problem can be expected to be rectified. The same will apply if it can be assumed that further delays will occur after the first notice has been given.
2.13.2. The Client’s breach of Contract
If the Client, explicitly in writing, has not terminated the Agreement before the deadline stated in clause 2.10 of the Agreement (within forty-five (45) days before the expiration of the initial term or a renewal term (as applicable)), and the Client has not paid the payable amount for a renewal term, at the latest before the applicable renewal term begins to run in accordance section 2.10, the Service Provider has the right to withhold the delivery of its Services (including suspending the Client's access to the Service in accordance with clause 2.5) until the due, payable amount, including any accrued interest and costs, has been paid in full by the Client. In case of suspension as described in this clause, the Client must expect to pay an administration fee in accordance with the Prices and Payment terms (Appendix 2). A reasonable re-opening period must also be expected. If the Client has not paid the due, payable amount for any applicable renewal term, no later than 90 days after the due date, the Service Provider has the right to terminate the Agreement and, request that any leased equipment connected to the Services, to be returned to the Service Provider, as stated in clause 2.7 above. In case of termination under this provision, the Service Provider will be entitled to receive payment for the entire, applicable Contract Period.
The following circumstances are considered a material breach by the Client, that gives the Service Provider the right to terminate the Agreement with immediate effect:
- The Client´s non-payment or delayed payment of a monetary instalment / payment, with more than 90 days of the applicable due date / payment deadline.
- The Client’s bankruptcy, or if the Client’s financial situation is such that it must be assumed that the Client will be unable to fulfil its obligations under the Agreement (anticipated default).
- The Client’s unlawful acts or omissions in using the products and Services (including the use of equipment associated with the Services) covered by this Agreement, including the Technical Requirements and the Acceptable Use Policy.
- The Client's breach of any other material obligations incumbent on the Client under this Agreement.
- If the provision of Services to the Client becomes unlawful, e.g., in case of inclusion of the Client in a Norwegian or EU blacklist.
The Client is not entitled to compensation for interruptions in the delivery of Services or termination of the Agreement as a result of the Client's payment default or other material breach on the Client’s side.
The Client is liable for negligent use of any material, product or equipment associated with the Services. The Client’s liability for damages caused by the Client, will be calculated based on the economic loss the Service Provider has suffered.
2.13.3. The Service Provider’s breach of Contract
The following circumstances are considered a material breach by the Service Provider, that gives the Client the right to terminate the Agreement with immediate effect:
- If the agreed ‘uptime’ with the Services has not been complied with according to the Service Level Agreement for two (2) consecutive quarters, or if the Service Provider fails to solve a Level A or Level B error (subject to the Service Level Agreement), that the Service Provider is responsible for, for a continuous period of 3 months.
- If the Service Provider’ Service delivery is unlawful or otherwise in breach of a third-party intellectual property right, and Service Provider, having received a 30 days’ notice in respect thereof, has failed to provide an alternative solution or to remedy the unlawfulness or breach within a reasonable time.
The Client is entitled to claim a reasonable Price Reduction (or Service Provider can choose to grant Service Credits instead, upon its sole direction) in accordance with this Agreement (including the Appendices), if one of the two circumstances mentioned under this clause 2.13.3, that gives basis for termination, occur.
Notwithstanding the foregoing, the total aggregate liability of the Service Provider for any claims arising under or in connection with this Agreement (including the Appendices), is limited to a maximum amount equal to the remuneration (the subscription fee) the Client has paid for (i) the last three (3) months [applicable for Client’s with monthly subscription plans], or for (ii) the last twelve (12) months [applicable for Client’s with annual subscription plans]. The aforesaid liability limit shall include any Price Reduction and/or Service Credits granted to the Client under this Agreement and/or Appendix 3. In no event will Service Provider’s aggregate liability under this Agreement exceed the aforementioned amounts.
The remedies contained in this Agreement and particularly those contained in this section 2.13 and those contained in Appendix 3 are mutually exclusive. The Agreement contains an exhaustive regulation of remedies available to the Client in case of Service Provider’s non-performance or default of whatsoever description.
The Client shall hold the Service Provider fully harmless from any third-party claim (including claims from Client’s employees, end users and parties acting through the Client) exceeding the limits of this Agreement.
2.14. Confidentiality
The Parties and their respective employees, representatives and subcontractors shall maintain any information, including but not limited to technical and commercial information, disclosed or of which they become aware of as a result of the Agreement in the strictest confidence, without limitation in time, unless such information is already publicly known.
2.15. Governing Law, Dispute Resolution and Litigation
The rights and obligations of the Parties under this Agreement shall in their entirety be governed by Norwegian Law.
Should a dispute arise between the Parties as to the interpretation or the effects of this Agreement, the Parties shall seek to resolve such dispute through negotiations. If a dispute is not resolved through negotiations, it shall be subject to the jurisdiction of Ringerike, Asker and Bærum District Court.
DESCRIPTION OF SERVICES (SERVICE PACKAGES)
AUTOGEAR MILEAGE TRACKING
(I)
AUTOGEAR BASIC (Mileage tracking)
For individuals and employees
Autogear Basic includes the following functionalities and features:
- Manual registration of the trips (time and place of start and stop)
- Automatic registration of tolls and ferries
- Automatic map display of the driving route
- Automatic sorting of trips (private or work)
- Report for driving allowance (travel receipt)
(II)
AUTOGEAR PREMIUM (Mileage tracking)
For individuals and employees
Autogear Premium includes the following functionalities and features:
- Registration of addresses, date, time, distance, and duration per trip
- Automatic registration of tolls and ferries
- Automatic sorting of trips (private or work)
- Report for driving allowance (travel receipt)
- Automatic registration of the trips (start-time and stop-time of trips)
(III)
AUTOGEAR BUSINESS (Vehicle & Mileage tracking):
For companies and the self-employed
Autogear Business includes the following functionalities and features:
- Registration of addresses, date, time, distance, and duration per trip.
- Automatic registration of tolls and ferries.
- Automatic sorting of trips (private or work).
- Report for driving allowance (travel receipt).
- Automatic registration of the trips (start-time and stop-time of trips).
- Report for reduced and variable company car taxation.
- Report showing specific trips, e.g., for invoicing.
- Salary report showing total driving per employee.
- Fleet management with maps that show where the car(s) are in real time.
- Integrations (PowerOffice, Tripletex, Visma.net Expense).
- Extended support, including personal help to get started and training.
- Privacy Features (required for businesses).
- Label and report trips based on projects.
- Built-in function for managers approval of travel allowance.
- Geofence will give a warning if a car drives into or out of an area. Autogear Driver ID. This product is an accessory for Autogear Business only, and includes:
- Driver recognition for companies where several employees share the cars.
- Each driver has his own driver Tag and automatically becomes the driver on the trip.
AUTOGEAR TAG
A Small Bluetooth device that connects to your GPS or mobile phone.
Autogear Tag (Tool Tracking) includes the following functionalities and features:
- Tool Tracking.
- Small Bluetooth (BLE) tag that can be attached to small and large valuables.
- interacts with Logbook, Asset, or Locator, which reports the TAG position.
- Robust and waterproof casing.
- Different types of notifications that notify if it has been more than 24h or 7 days since a tool was last automatically located.
- The range of a Tag is 80-100 meters under optimal conditions.
- Can be attached in various ways: Screws, strips, glue and by other (similar) means.
AUTOGEAR ASSET
GPS with sim card. No wiring and no assembly needed.
Autogear Asset (Asset Tracking) includes the following functionalities and features:
- Equipment control of valuables.
- Wireless GPS with SIM card and built-in battery.
- With the standard settings, GPS will send its position once a day, and when moving.
- Robust, small and easy to use.
- Water - and dustproof for outdoor use.
AUTOGEAR API
Autogear API empowers your applications to seamlessly integrate with our system and retrieve relevant information and gain valuable insights.
As part of our commitment to continuous improvement, this API is a module in constant development. Expect regular updates, new features, and optimizations.
Read the API - Terms of Use (in Appendix 8 to this Agreement).
TECHNICAL REQUIREMENTS
This section contains technical requirements for the Client and its end users, when using Autogear Services.
These requirements must be met by the Client and its end users, at all times, during any and all Subscription Period, for the Services and the associated modules to function. The requirements apply to all environments where the Services is run.
THE WEB APPLICATION
Has official support for the following browsers:
Microsoft Edge, latest version
Mozilla Firefox, latest version
Google Chrome, latest version
Safari, latest version
THE MOBILE APPLICATION
Has official support for the following operating systems:
IOS 13 and newer
Android 5 Lollipop and above
GPS DEVICE
For external systems (developed by third parties) integrated into the Service, there may be exceptions to the above requirements.
PRICES AND PAYMENT TERMS
1. Introduction.
The contents of this appendix describe the compensation payable by the Client (as defined in the Order Confirmation to the Service Agreement) for its and its end users use of the Services Selected in the Order Confirmation and more precisely described in Appendix 1.
All figures are in Norwegian Kroners (NOK) excluding VAT.
2. Prices.
The Service Provider’s applicable (and at all times last updated) Subscription Prices can be found in the Service Provider’s publicly available price list at: https://www.ecit.com/no/autogear/#priser
The prices for the Service Provider’s Services can be adjusted once a year.
All adjustments to The Service Provider’s prices will be effective and binding with a minimum of one month's prior written notice.
Additional costs (to the price lists above) may arise for traffic (SMS etc.) and the use of external providers (Bank-ID).
3. Invoicing.
An invoice fee of (currently) NOK 31,- ex. VAT will be added to the Subscription Prices, for both paper invoices and electronic invoices.
The invoice for a renewal term / renewed subscription period (see clause 2.12 of the Service Agreement) will be issued thirty (30) days before the expiry date of the initial term or renewal term (as applicable), with a ten (10) day due date.
4. Billable consulting services
The Service Provider will, to a reasonable extent and in accordance with the Service Provider’s regular procedures at any given time, provide basic training and assistance to the Client for standard account setup, free of charge.
For services beyond the basic training and assistance with standard account setup, the Service Provider is entitled to invoice the Client for additional services such as, but not limited to, consulting, changes in the Client’s account setup, and other product customizations for the Client. Such services shall be invoiced at the following rate:
Billing is for a minimum of 15 minutes, and thereafter for each commenced quarter-hour. Hourly rate: NOK 950 ex. VAT.
The Client shall be informed of the need for such services before the Service Provider commences the work, unless the circumstances are of such a nature that immediate action is required.
The Service Provider undertakes to perform all services in accordance with industry standards and with the necessary professional skill.
The Client undertakes to cooperate with the Service Provider to facilitate the delivery of services under this clause, including providing the necessary information and documentation.
Any disputes relating to consulting services under this clause shall be resolved in accordance with the dispute resolution provisions of the Service Agreement.
The parties acknowledge that the execution of more extensive services and/or change orders to agreed services shall be separately agreed upon through the use of a "Change Order", as per Appendix 9 of the Service Agreement.
Circumstances related to the availability of the Services (services related to support / repair) shall be handled in accordance with the provisions of Appendix 3 of the Service Agreement ("Service Level Agreement").
4. Reopening fee in case of default.
If a Subscription Period is suspended as a result of the Client’s default, including payment default, the Client will be charged (the currently applicable re-opening fee) of NOK 200,- ex. VAT, to re-open access to the applicable Services, to the Client. Fixed fees (e.g Subscription Prices), are invoiced as normal during the period the Subscription is suspended.
5. Payable compensation for lost equipment / late return of equipment associated with the Services.
NOK 2,399 ex. VAT (per unit) is payable as compensation by the Client if a leased GPS device associated with the Services is lost.
NOK 399 ex. VAT (per unit) is payable as compensation by the Client if the return of a leased GPS device associated with the Services is delayed with more than 30 days.
6. Freight (Shipping in Norway).
Shipping business package NOK 130,- ex. VAT.
FCA (free carrier) NOK 115,- ex. VAT.
Package to pick-up location NOK 95,- ex. VAT.
Postbox shipping NOK 79 ex. VAT.
*For shipping outside Norway, the price is agreed separately in the Order Confirmation.
7. Administration fee.
The Client accepts to pay an Administration Fee when the Service Provider need to replace an equipment associated with the Services (e.g a leased GPS device when the GSM network is phased out).
The amount of such Admiration Fee will in any case not be higher than the compensation payable by a Client for a lost GPS device.
8. Volume discount.
A volume discount may be applicable for volume customers, in which case (if applicable) this will be agreed in detail, separately between the Service Provider and the Client, in the Order Confirmation, under “Special Terms”.
9. Payment terms.
Payments shall be made in Norwegian Kroners (NOK) within 10 days of the date of invoice.
10. Overdue payments.
Overdue payments are subject to delay interest according to Norwegian law.
SERVICE LEVEL AGREEMENT
Unless otherwise defined herein, all terms beginning with a capital letter which are defined in the Service Agreement shall have the same meanings herein as therein unless the context hereof otherwise requires.
1. GENERAL
1.1. OPENING HOURS
The Client may submit a Ticket to the email set out in this Appendix, section 2, regardless of the “Opening Hours” stipulated in the SLA categories.
1.2. AVAILABILITY
Service Provider shall use its best effort to ensure that the Services are available.
Service Provider guarantees a minimum availability in accordance with the applicable SLA category, as set out in section 2 of this Appendix.
Availability is measured with the use of Amazon Web Services (reports and management tools through AWS).
1.3. STANDARD COMPENSATION
If the guaranteed availability is not met in a measuring month, the Service Provider shall grant the Client a credit in accordance with the availability set out in section 2 of this Appendix.
Availability | Price Discount / Service Credit |
< 97% | 25% of the Price for Functionality |
The maximal total Price Discount / Service Credit for one individual quarter according to this contract is 25% of the Price for the affected Functionality.
The SLA does not apply to any: (a) features or Services designated Alpha or Beta (unless otherwise set forth in the associated Documentation), (b) features or Services excluded from the SLA (in the associated Documentation), (c) features or Services that have been deprecated, or (d) errors: (i) caused by factors outside of the Service Provider’s reasonable control; (ii) that resulted from Client’s software or hardware or third party software or hardware, or both; (iii) that resulted from abuses or other behaviors that violate the Agreemen
2. SUPPORT AND INCIDENTS
Each Ticket and other issues, errors, and incidents discovered by Service Provider shall be classified in accordance with the following severity table:
Priority | Description |
Critical (Level A) |
- Critical errors in the Services that prevents the Services to function as agreed (e.g., if the Services stop to function, loss of data or loss of important functionalities that are critical for the Client). - If the documentation (e.g., user manual) associated with the Services are incomplete or misleading and the Client is prevented from using significant parts of the Service. |
Urgent (Level B) |
- Errors that lead to functionalities connected to the Services do not work as described in the Agreement, and that requires both time and resources to bypass. - If the documentation (e.g., user manual) associated to the different functionalities are incomplete or misleading and the Client is prevented from using the applicable functionalities connected to the Services.
|
Normal (Level C) |
- Minor errors that lead to certain functionalities connected to the Services do not work as described in the Agreement (with low impact on regular business), where the Client easily can bypass the applicable errors (workaround is possible). - If the documentation (e.g., user manual) associated with the Services is deficient or imprecise.
|
The following SLA categories are available and applicable (by default) unless the Client have agreed to any different terms (agreed separately and explicitly) in the Order Confirmation:
Service Level | |
Opening Hours |
Norwegian business days, GMT+01/02 8:00 AM to 4:00 PM |
Availability | 97% |
|
Maximum Response Time for submitted Tickets and other issues, errors, and incidents.
|
Critical (Level A) | One (1) hour during Opening Hours. |
Urgent (Level B) | Two and a half (2,5) hours during Opening Hours. |
Normal (Level C) | Three (3) hours during Opening Hours |
Standard Compensation
|
|
25 % of the total subscription fee, under one subscription period |
Availability < 97 % |
The “Response Time” shall be measured from the time when Service Provider has received a Ticket from the Client, or discovered issues, errors, or incident, within the relevant Opening Hours, to the time Service Provider responds (i.e., acknowledges receipt of the Ticket) Remedial action to commence as soon as possible thereafter. Tickets are sent to kontakt@autogear.no.
Service Provider shall conduct necessary activity and effort to resolve and rectify Tickets in accordance with the relevant SLA category.
The Service Provider’s Acceptable Use Policy (“AUP”)
Updated 22.11.2023.
Words and expressions not otherwise defined in this Appendix shall have the same meaning as in the Service Agreement unless the context otherwise requires.
This Acceptable Use Policy (this “Policy”) describes prohibited uses of the services offered by the Service Provider and its affiliates (the “Services”), including the website https://app.autogear.com/login.
The examples described in this Policy are not exhaustive. Service Provider reserves the right to modify this Policy at any time, by posting the latest version of this Policy at the website: https://support.autogear.no/hc/no/categories/9712607989404-Kontoinformasjon-og-feilmeldinger. The Client is responsible to notify its end-users. By using the Services, you agree to the latest version of this Policy, at any given time, including after the execution of the Agreement and during the term of the Agreement.
If you or any of your affiliates or any party to whom you grant access to the Services violate the Policy, or authorise or help others to do so, the Service Provider reserves the right to suspend or terminate your use of the Services.
Reporting of Violations of this Policy
If you become aware of any violation of this Policy, you are obliged to notify the Service Provider immediately and provide the Service Provider with assistance, as requested, to identify the location of, to stop or remedy the violation. Please report any violation of this Policy to kontakt@autogear.no.
Illegal, Harmful, or Offensive Use or Content
You may not use, or encourage, promote, facilitate or instruct others to use the Services for any illegal, harmful, fraudulent, infringing or offensive use, or to transmit, store, display, distribute or otherwise make available content that is illegal, harmful, fraudulent, infringing or offensive. Prohibited activities or content include, but are not limited to:
- Illegal, Harmful or Fraudulent Activities. Any activities that are illegal, that violate the rights of others, or that may be harmful to others, our operations or reputation, including disseminating, promoting or facilitating child pornography, offering or disseminating fraudulent goods, services, schemes or promotions, make-money-fast schemes, ponzi and pyramid schemes, phishing, or pharming or engaging in other deceptive practices, any acts of terrorism, involving, or otherwise in relation to organizations that promote or involve themselves in acts of terrorism.
- Infringing content. Content that infringes or misappropriate the intellectual property or proprietary rights of others. This includes, but not limited to, reverse engineering, decompiling or disassembling the Services or otherwise undertaking any actions that would subject the Service Provider’s intellectual property or technology to any other license terms or work around any technical limitations in the Services or the cloud service or restrictions in the documentation.
- Offensive content. Content that is defamatory, obscene, abusive, invasive of privacy, or otherwise objectionable, including content that constitutes child pornography, relates to bestiality, or depicts non-consensual sexual acts.
- Harmful content. Content or other computer technology that may damage, interfere with, surreptitiously intercept, or expropriate any system, program, or data, including, but not limited to, viruses, Trojan horses, worms, time bombs, or cancelbots.
Security Violations
You may not use the Services to violate the security or integrity of any network, computer or communications system, software application, or network or computing device. Prohibited activities include, but are not limited to:
- Unauthorized Access. Accessing or using any system without permission, including attempting to probe, scan, or test the vulnerability of a system or to breach any security or authentication measures used by a system.
- Interception. Monitoring of data or traffic on a system without permission.
- Falsification of Origin. Forging TCP-IP packet headers, e-mail headers, or any part of a message describing its route or origin. The legitimate use of aliases and anonymous remailers is not prohibited by this provision.
Network Abuse
You may not make network connections to any users, hosts, or networks unless you have permission to communicate with them. Prohibited activities include:
- Monitoring or Crawling. Monitoring or crawling of a system that impairs or disrupts the system.
- Denial of Service (DoS). Inundating a target with communications requests so the target either cannot respond to legitimate traffic or responds so slowly that it becomes ineffective.
- Intentional Interference. Interfering with the proper functioning of any system, including any deliberate attempt to overload a system by mail bombing, news bombing, broadcast attacks, or flooding techniques.
- Operation of Certain Network Services. Operating network services like open proxies, open mail relays, or open recursive domain name servers.
- Avoiding System Restrictions. Using manual or electronic means to avoid any use limitations placed on a system, such as access and storage restrictions.
E-Mail or Other Message Abuse
You will not distribute, publish, send, or facilitate the sending of unsolicited mass e-mail or other messages, promotions, advertising, or solicitations (like “spam”), including commercial advertising and informational announcements. You will not alter or obscure mail headers or assume a sender’s identity without the sender’s explicit permission. You will not collect replies to messages sent from another internet service provider if those messages violate this Policy or the acceptable use policy of that provider.
Service Provider’s Monitoring and Enforcement
The Service Provider reserves the right, but does not assume the obligation, to investigate any violation of this Policy or misuse of the Service. The Service Provider may:
- Investigate violations of this Policy or misuse of the Services; or
- remove, disable access to, or modify any content or resource that violates this Policy or any other agreement the Service Provider has with you for use of the Services.
The Service Provider may report any activity that the Service Provider suspects violates any law or regulation to appropriate law enforcement officials, regulators, or other appropriate third parties. Our reporting may include disclosing appropriate customer information. The Service Provider also may cooperate with appropriate law enforcement agencies, regulators, or other appropriate third parties to help with the investigations and prosecution of illegal conduct by providing network and systems information related to alleged violations of this Policy.
SECURITY POLICY
Words and expressions not otherwise defined in this Appendix shall have the same meaning as in the Service Agreement, unless the context otherwise requires.
1. Scope
This information security policy applies to all information processing that takes place internally in Service Provider and to all information which Service Provider is responsible for externally. This includes, but is not limited to, the situation where Service Provider’s service is included in a bigger ICT operation, in accordance with section 5. This also includes all processing, storage and communication of information both orally, on paper and digitally. All use of ICT tools is also included.
This policy will be reviewed annually.
2. Key laws and regulations
Information security regarding Service Provider’s Service is regulated by a number of laws and regulations. These are some of the most important:
- The Personal Data Act / GDPR
- Security Act
- Regulations on the Security Act
3. Security objectives
Service Provider’s information processing will be in compliance with regulatory, internal and contract law requirements for information security. Personal and other protective information will be secured through physical, technical and organisational measures.
3.1. Confidentiality
Personal information and other sensitive information processed by Service Provider will be protected against unauthorised access. Personal data is kept confidential and can only be shared with Service Provider’s employees and third party’s to the extent that this is needed in relation to the Service provided.
All Service Provider’s employees have signed an NDA and will comply with this NDA in accordance with relevant acts, agreement of employment and similar.
When an employment relationship ceases to exist, all hardware provided by Service Provider in accordance with the employment shall be delivered back to Service Provider. The Service Provider will then wipe all information from the said hardware.
3.2. Integrity
Information that the Service Provider is responsible for, will only be accessed, handled, and modified by employees, or by external authorities authorised to do so.
The Service Provider shall adopt reasonable measures with the aim to prevent unintentional modification of sensitive information.
3.3. Availability
The information system is available to authorised users when required.
3.4. Robustness
When unwanted physical or technical incidents occur, emergency response measures will be implemented to help limit the damage and help the Service Provider quickly return to normal operation. This includes restoring availability and access to personal information in a timely manner.
4. General requirements - procedures
Service Provider has its own documented procedures for important security related processes, as followed. The procedures mentioned in this section shall be subject to annual review and updating.
4.1. Regulatory requirements
Service Provider must at all times document and comply with current regulatory requirements in accordance with section 2 of this policy.
4.2. Risk assessment and management
Service Provider’s requirements for information security regarding ICT systems and the processes for line management and projects are based on risk assessment. Risk assessment includes assessing risks related to own employees and persons who are affected by the company's activities.
Service Provider classifies – or quantifies – unwanted incidents based on two elements given a numeric value: probability and consequence. The product of these two elements defines the risk of the incident.
Both the probability and consequence of an incident is given a number in the range 1 through 5 based on definitions related to the nature of the incident. Higher numbers represent more likely and severe incidents.
Identified unwanted incidents shall be evaluated and quantified by a panel consisting of at least two people with appropriate knowledge of the probability and consequence of the incident. Reasons for choice of probability and consequence level must be documented. Risks that are hard to evaluate might indicate that the incident is not specific enough and should be split into multiple separate incidents or rewritten.
The goal is not to eliminate all risk – as this is impossible – but rather keep Service Provider’s current profile at an acceptable level. Service Provider’s Client hereby accepts the risk profile herein and the fact that Service Provider is only responsible for risks directly arising from Service Provider’s own services.
4.3. Classification of systems and information
Depending on the system in question and the information being processed, the various aspects of security (confidentiality, integrity, availability and robustness) will have different meanings. The following categorization is used for protection needs:
- High - given only system and information with mission-critical protection needs
- Mediated system and information with protection needs
- Low (low security requirements) - can apply to all systems and information with little or no protection needs.
Different subsystems may have different protection needs.
4.4. Access control
Access to Service Provider’s Services and systems is based on roles and privileges. Access control - lists of systems have at least quarterly reviews of users and employee rights, and rights that are no longer needed are revoked. Service Provider has implemented operational access to application data limited to a monitored subset of Service Provider’s employees, with multi factor authentication enabled.
4.5. Technical security measures
Service Provider has implemented the following technical security measures:
- Measures that prevent employees from negligently or intentionally damaging the information system or information stored.
- Measures to prevent malicious software from entering the enterprise information system.
- Operational access to application data limited to a monitored subset of Service Provider’s employees, with multi factor authentication.
- All transactions with applications through external endpoints are logged.
- Minimum daily backups of all application data, with routines in place for restoring.
4.6. Organisational measures
Service Provider has implemented the following organisational measures:
- Procedures for handling access to Service Provider’s information system. This includes checking passwords, rights and applications.
- Procedures with regard to employee handling of portable storage media, such as laptops, to prevent information from going astray.
- Routines for locking the premises, handling of guests and use of alarms outside working hours.
- Procedures for placing and securing components, storage devices, documents or other components that are vital for Service Provider’s Service.
4.7. Physical measures
Service Provider’s premises are protected against, among other things, burglary, fire, water damage, etc. Furthermore, the Service Provider will prevent unauthorised persons from being given access to premises where information that is worthy of protection is stored. Machinery, storage media and central network components are physically secured so that unauthorised persons cannot bring these out of the Service Provider’s premises. Portable devices that are supposed to be brought outside the Service Provider’s premises must be secured with encryption.
4.8. Risk management
For both considerable and unacceptable risks, risk mitigating tasks must be identified and placed in the backlog. For unacceptable risks, the mitigating tasks must have a deadline.
Risk mitigation tasks are given a score based on how many risk-points it reduces affected risks, and tasks are prioritised so that the tasks that take away the most risk-points are performed first. For mitigation tasks that affect multiple risks, the reduced risk-points are aggregated.
When risk mitigation tasks are completed, the affected risks shall be updated to reflect their new probability and consequence score, and further mitigating actions evaluated.
4.9. Service Provider’s role as a data processor and use of sub-processors
Service Provider’s role as a data processor and Service Provider’s use of sub-processors is regulated by contract (Appendix 5), in accordance with the Personal Data Act. This contract also includes provisions on information security with a reference to this policy.
5. Service Provider’s service as part of a bigger ICT-operation
The responsibility for information security lies with the owner of the ICT-operation.
Service Provider is only responsible for the part of information security resulting from the Services provided by Service Provider. Service Provider is not liable for risk in relation to information security exceeding Service Provider’s Services and this policy or any other agreement between the contracting parties, to the maximum extent permitted by law.
PROPRIETARY LICENSE
Copyright 2023 ECIT Autogear AS («Licensor»)
“Licensed Software” means the object code form of Licensed Works and written documentation relating thereto that is licensed by Licensor to the Client (as defined in the Order Confirmation and Appendix 1 to the Service Agreement) and its sublicensees.
“Licensed Works” means the proprietary autogear.no software as described in the Order Confirmation, Appendix 1, and the connect software documentation, as from time to time modified and/or amended.
1. Granting of License
Subject to the terms and conditions contained herein, and to the payment of subscription fees, costs and fees outlined in the Order Confirmation and Appendix 2 to the Service Agreement, Licensor hereby grants to Client:
(a) a nonexclusive, right and license to use, access, store, perform, sublicense display, the Licensed Works in Norway, Sweden and Denmark.
1.1. The Licensed Software that Client sublicenses to its sub licensees shall be licensed only for said sublicensee’s own use, without any right of further sublicensing.
2. Ownership of Licensed Works and Improvements.
Licensor shall have sole and exclusive ownership of all right, title and interest in and to the Licensed Works, and all copies and portions thereof, existing as of the date hereof, and all modifications, enhancements and updates to and derivative works (collectively, “Improvements”) made by Licensor, or on Licensor’s behalf, based upon the Licensed Works.
Client acknowledges the validity of the Licensed Works and that the Licensed Works are and will remain the exclusive property of Licensor, and Client agrees that it will not, directly or indirectly, challenge the validity of the Licensed Works, or any copyright or other intellectual property registrations or applications thereof in any jurisdiction, or the right, title and interest of Licensor therein and thereto, nor will it claim any ownership or other interest in the Licensed Works in any jurisdiction, other than the rights expressly granted hereunder. Licensee agrees that it shall not at any time knowingly do or suffer to be done any act or thing that will in any way impair the rights of Licensor in and to the Licensed Works. Nothing in this Agreement grants, nor shall Client acquire hereby, any right, title or interest in or to the Licensed Works other than those rights expressly granted hereunder.
3. Infringement
Client shall promptly notify Licensor upon becoming aware of any infringement or misappropriation of the Licensed Works or any infringement or misappropriation of any other intellectual property pertaining to the Licensed Works. Licensor has the exclusive right to take, and shall take, such steps to stop such infringement as may be reasonably necessary in its reasonable determination to protect the Licensed Works and Licensor’s other intellectual property related thereto. Client shall, and shall cause its sublicensees to, cooperate fully with Licensor to stop such infringement.
4. DISCLAIMER.
The licensed works are licendsed "as is, where is" and with all faults and, with the exception of the warranties expressly made by licensor under the Service Agreement, licensor makes and client receives no other warranty, express or implied, and any and all warranties of merchantability, fitness for a particular purpose, title, noninfringement or compliance with law are expressly excluded to the maximum extent permitted by law. Licensor does not represent that the licensed works will meet client`s requirements, or that the operation of the licensed works will be uninterrupted or error free.
5. Termination
Licensor may terminate this Agreement upon written notice to Client, if:
5.1 Client breaches any provision of this agreement and fails to cure such breach within twenty (20) days after the date of Licensor’s written notice thereof.
5.2 Without prejudice for Licensor’s right to terminate this agreement pursuant to other provisions herein, Licensor may terminate a sublicense with any sublicensee of Client upon written notice to Client, if Client fails to cause such sublicensee to cure such breach within twenty (20) days after the date of Licensor’s written notice to Client thereof.
________________________________________________________________________________________________________________
API – TERMS OF USE
1. Preamble
These Application Programming Interface terms of use (“Terms of Use”), govern access to and use of the AUTOGEAR application programming interface and any documentation or other materials made available by AUTOGEAR, including, without limitation, any Updates (collectively “API”). By accessing the API, you agree to be bound by these Terms of Use.
Use of the APIs and associated materials made available in connection thereof is subject to and must comply with these Terms of Use, Autogear’s Service Agreement, including the Privacy Policy, any applicable additional terms, and the user documentation that Autogear generally makes available in paper or electronic form to the customer base in connection with the APIs ("Documentation").
By accessing or using the API you (a) acknowledge that you have read and understand these terms of use; (b) represent and warrant that you have the right, power, and authority to enter into these terms of use; and (c) accept these terms of use and agree that you are legally bound by them.
In these Terms of Use, you and Autogear are each referred to as a “Party” and collectively the “Parties”.
2. Registration
In order to access the API, you and any of your users may be required to provide certain information (such as identification or contact details) as part of the registration process for the APIs.
3. License.
a) Limited License. Subject to the terms and conditions set forth in these Terms of Use, Autogear hereby grants you a limited, revocable, non-exclusive, non-transferable, non-sublicensable license during the term of these Terms of Use to:
i. (i) use the API solely for the purposes of internally developing applications to interact with the API (the “Applications”); and
ii. display Autogear proprietary trademarks, trade names, branding, or logos made available for use in connection with the API pursuant to these Terms of Use (the “Trademarks”) in compliance with usage guidelines Autogear may specify from time to time solely in connection with the use of the API and not in connection with the advertising, promotion, distribution, or sale of any other products or services. If you use the API as an interface or in conjunction with Autogear Products, then the Terms of Use applicable to Autogear’s products and services available via the API (the “Products”) shall also apply to your end users.
b) Use Restrictions. You shall not use the API or any Trademark for any purposes beyond the scope of the license granted in these Terms of Use. Without limiting the foregoing and except as expressly set forth in these Terms of Use, you may not at any time, and shall not permit others to:
i. copy, modify, or create derivative works of the API;
ii. obtain any commercial or financial benefit from the API or the data provided by the API, including, but not limited to, selling, sublicensing, transfering, or otherwise making available the API or any data provided by the API;
iii. not use the API in violation of any law or regulation, or rights of any person, including but not limited to intellectual property rights, rights of privacy, or rights of personality, or in any manner inconsistent with the Terms of Use;
iv. reverse engineer, disassemble, decompile, decode, or otherwise attempt to derive or gain access to any software component of the API;
v. remove any proprietary notices or other notices from the API;
vi. use the API in any manner or for any purpose that infringes any intellectual property right or other right of any person, or that violates any applicable law;
vii. combine or integrate the API with any software, technology, services, or materials not authorized by Autogear;
viii. design or permit the Applications to disable, override, or otherwise interfere with any communications to end users, consent screens, warning, or similar;
ix. use the API to replicate or attempt to replicate in whole or in part any of the Autogear products;
x. improperly use the API, including creating links to any part of the API, framing or mirroring any part of the API on any other websites or systems, or “scraping” or otherwise improperly obtaining data from the API;
xi. attempt to conceal, disguise, alter or mask your identity when accessing the API;
xii. use the data you access via the API for any purpose other than to connect to the Autogear products including, competitive analysis, benchmarking or aggregation of such data with competitors of Autogear.
xiii. Use the APIs to introduce viruses, worms, defects, trojans, malware, or elements that are destructive or harmful;
xiv. Access or use the APIs for fraudulent or illegal purposes, or for any other purpose that may be harmful (in Autogear’s sole discretion) to Autogear, its services or customers or to any third party, or to otherwise communicate messages or materials deemed to be harassing, obscene or otherwise unlawful;
xv. Access or use the APIs in a manner that exceeds a reasonable requested volume or constitutes excessive or improper use, overburdens, impairs or substantially disrupts the networks, security systems or services and/or website, or affects any other party's use of the services;
xvi. Interfere with or disrupt the APIs or the servers or networks that provide APIs;
Autogear may, in its sole discretion, determine whether your access to or use of the APIs violates restrictions imposed under the Terms of Use and Autogear reserves the right to suspend or terminate your account and/or your access to the APIs if Autogear determines or has grounds to believe that a violation has occurred or may occur.
c) Reservation of Rights. Autogear reserves all rights not expressly granted under the Terms of Use. Except for the limited rights and licenses expressly granted under these Terms of Use, nothing in these Terms of Use grants, by implication, waiver, or otherwise, to you or any third party any intellectual property rights or other right, title, or interest in or to the API.
4. User’s Responsibilities.
a) You are responsible for any and all uses of the API made directly by you or resulting from access provided by you, directly or indirectly, regardless of whether such or use is permitted by or in violation of these Terms of Use.
b) Without limiting the generality of the foregoing, you are responsible for all acts and omissions of your end users in connection with the use of the API. Any act or omission by your end user that would constitute a breach of these Terms of Use if taken by you will be deemed a breach of these Terms of Use by you. You shall make reasonable efforts to make all of your end users aware of these Terms of Use’s provisions and undertake to cause your end users to comply with such provisions.
c) You must obtain a security key and/or token (hereinafter “Key”) through a registration process communicated by Autogear, to use and access the API. You may not share the Key with any third party (including by embedding the API Key in any products), and undertake to keep the Key and all log-in information secure. Autogear reserves the right to revoke any Key at any time at its sole discretion.
d) You shall comply with these Terms of Use, all applicable laws and regulations, guidelines and instructions that may be issued by Autogear from time to time.
e) You undertake to post any privacy notices and to obtain any consents from your end users required under applicable laws and regulations for their use of the APIs.
f) You will use commercially reasonable efforts to safeguard the API, Autogear’s Trademarks and intellectual property from infringement. You undertake to promptly notify Autogear if you become aware of any infringement of any intellectual property rights and will fully cooperate with Autogear, in any legal action taken by Autogear to enforce its intellectual property rights or the rights of any third party from which Autogear’s rights are derived.
g) All use by you of the Autogear Trademarks and intellectual property will comply with any usage guidelines that Autogear may issue from time to time.
h) You agree that your use of the Autogear Trademarks and intellectual property will not create any right, title, or interest in or to the Autogear Trademarks and/or intellectual property.
5. Support and Updates.
a) No Support. You acknowledge that you are not entitled to any support in respect of the APIs or their use.
b) Updates. You are not entitled to any update and/or to receive the most recent version of the API. However, Autogear may require you to obtain and use the most recent version of the API. Updates may adversely affect how the Applications communicate with the API. You are further required to make any changes that are required for integration as a result of such updates.
6. Fee and Payments.
a) Price. The price for the use of the API shall be the price agreed from time to time or, if no price is quoted, the price set out in Autogear’s published price list as at the date of delivery.
b) Taxes. All Fees compensations and other amounts of whatsoever description payable under these Terms of Use or in connection with the use of and/or access to the APIs are exclusive of taxes and similar assessments. You are responsible for all value added, sales, use, and excise taxes, and any other similar taxes, duties, and charges of any kind imposed by any local governmental or regulatory authority on any amounts payable by you hereunder, other than any taxes imposed on Autogear’s income. For the sake of good order, you should be aware that VAT or other charges may accrue regardless of whether the access to the APIs are made available to you free of charge. You are solely responsible for assessing and complying with your tax obligations in respect thereof.
7. Confidential Information.
Autogear may disclose or make available to you information about its business affairs, products, confidential intellectual property, trade secrets, third-party confidential information, and other sensitive or proprietary information (“Confidential Information”), regardless of whether such information is in any way marked as confidential.
You shall only use such Confidential Information for the purposes set out in these Terms of Use and shall not disclose such Confidential Information to any person or entity.
Notwithstanding the foregoing, you may disclose Confidential Information to the limited extent required in order to comply with the order of a court or other governmental body, or as otherwise necessary to comply with applicable law, provided that you shall first give written notice to Autogear and made a reasonable effort to obtain a protective order.
8. Collection and Use of Information.
Autogear may collect certain information through the API about you or any of your employees, contractors, or agents. By accessing, using, and providing information to or through the API, you consent to all actions taken by Autogear with respect to your information in compliance with the then-current version of Autogear’s privacy policy and data protection requirements.
The data provided to you via the API shall not include any Personal Data (as defined in the General Data Protection Regulation 2016/679). Should the Parties determine that any access to Personal Data is provided via the API, you agree that you will enter into a data processing agreement with Autogear in the form and manner prescribed by Autogear and comply with such agreement.
9. Intellectual Property Ownership; Trademarks; Feedback.
You acknowledges that, as between you and Autogear, (a) Autogear owns all right, title, and interest, including all intellectual property rights, in and to the APIs, and the Autogear products, and the Autogear Trademarks, and (b) you owns all right, title, and interest, including all intellectual property rights, in and to the Applications, excluding the aforementioned rights in Section 9(a). If you or any of your employees, contractors, and agents sends or transmits any communications or materials to Autogear by mail, email, telephone, or otherwise, suggesting or recommending changes to the API, and the Autogear products, or the Autogear Trademarks, including without limitation, new features or functionality relating thereto, or any comments, questions, suggestions, or the like (”Feedback”), all such Feedback is and will be treated as non-confidential. You hereby assigns to Autogear on your behalf, and on behalf of your employees, contractors, and agents, all right, title, and interest in, and Autogear is free to use, without any attribution or compensation to you or any third party, any ideas, know-how, concepts, techniques, or other intellectual property rights contained in the Feedback, for any purpose whatsoever, although Autogear is not required to use any Feedback.
10. Disclaimer of Warranties.
The API and Autogear products, intellectual property and trademarks are provided "as is" and Autogear specifically disclaims all warranties, wether express, implied, statutory, or otherwise, including but not limited to the provisions of paragraph 19 of the Norwegian Sales Act (Kjøpsloven § 19), wich are hereby expressly disclaimed to the furthest extent allowed by applicable law.
Autogear specifically disclaims all implied warranties of merchantability, fitness for a particular purpose, title, and non-infringement, and all warranties arising from course of dealing, usage, or trade practice. Autogear makes no warranty of any kind that the API or Autogear products, intellectual property and trademarks, or any products or results of the use thereof, will meet your or any other persons`s requirements, operate without interruption, achieve any inteded result, be compatible or work with any of your or any third party`s software, system, or other services, or be secure, accurate, complete, free of harmful code, or error-free, or that any errors or defects can or will be corrected.
11. Indemnification.
You agrees to indemnify, defend, and hold harmless Autogear and its officers, directors, employees, agents, affiliates, successors, and assigns from and against any and all losses, damages, liabilities, deficiencies, claims, actions, judgments, settlements, interest, awards, penalties, fines, costs, or expenses of whatever kind, including attorneys’ fees, arising from or relating to (a) your use or misuse of the API or Autogear products, intellectual property and/o Trademarks, (b) your (and your end users’) breach of these Terms of Use, and (c) the Applications, including any end user’s use thereof.
In the event Autogear seeks indemnification or defense from you under this provision, Autogear will promptly notify you in writing of the claim(s) brought against Autogear for which Autogear seeks indemnification or defense. Autogear reserves the right, at Autogear’s option and in Autogear’s sole discretion, to assume full control of the defense of claims with legal counsel of Autogear’s choice. You may not enter into any third-party agreement that would, in any manner whatsoever, constitute an admission of fault by Autogear or bind Autogear in any manner, without Autogear’s prior written consent. In the event Autogear assumes control of the defense of such claim, Autogear will not settle any such claim requiring payment from you without your prior written approval.
12. Limitations of Liability.
To the fullest extent permitted under applicable law, in no event will Autogear be liable to you or to any third party under any tort, contract, negligence, strict liability, or other legal or equitable theory for (a) any lost profits, lost or corrupted data, computer failure og malfunction, interruption of business, or other special,indirect, incidental, or consequential damages of any kind arising out of the use or inability to use the API or any products or solutions in wich the APIS are incorporated; or (b) any damages, in the aggregate, in the excess of hundred euros whether or not such loss or damages are foreseeable or you were advised of the possibility of such damages. Any claim you mave arising out of or relating to this agreement must be brought within 1 month after the occurrence of the event giving rise to such claim.
13. Term and Termination.
(a) Term. These Terms of Use shall apply from the date you first access the API and shall remain in force for as long as you continue to access or use the API, until terminated pursuant to Section 13(b) below.
(b) Termination.
(i) Autogear may immediately terminate or suspend these Terms of Use, any rights granted herein, and your licenses under these Terms of Use, in Autogear’s sole discretion at any time and for any reason, by providing notice to you or revoking access to the API. These Terms of Use will terminate immediately and automatically without any notice if you violate any of these Terms of Use.
(ii) You may terminate these Terms of Use for convenience for any reason or no reason upon 90 days prior written notice to Autogear/at any time by ceasing your access to and use of the API and Autogear Trademarks.
(iii) Either Party may terminate these Terms of Use, effective on written notice to the other Party, if the other Party materially breaches these Terms of Use, and such breach: (A) is incapable of cure; or (B) being capable of cure, remains uncured 30 days after the non-breaching Party provides the breaching Party with written notice of such breach.
(iii) Either Party may terminate these Terms of Use, effective immediately upon written notice to the other Party, if the other Party: (A) becomes insolvent or is generally unable to pay, or fails to pay, its debts as they become due; (B) files or has filed against it, a petition for voluntary or involuntary bankruptcy or otherwise becomes subject, voluntarily or involuntarily, to any proceeding under any domestic or foreign bankruptcy or insolvency law; (C) makes or seeks to make a general assignment for the benefit of its creditors; or (D) applies for or has appointed a receiver, trustee, custodian, or similar agent appointed by order of any court of competent jurisdiction to take charge of or sell any material portion of its property or business.
(c) Effect of Expiration or Termination. Upon expiration or termination of these Terms of Use for any reason all licenses and rights granted to you under these Terms of Use will also terminate and you must cease using and permanently erase from all devices and systems you directly or indirectly control all copies of the API, the Autogear Trademarks, Confidential Information and any other Autogear intellectual property.
(d) Survival. Any terms that by their nature are intended to continue beyond the termination or expiration of these Terms of Use will survive termination.
14. Miscellaneous.
These Terms of Use constitute the entire agreement between the Parties with respect to the subject matter and supersede and merge all prior proposals, understandings and contemporaneous communications. Any delay by Autogear in enforcing any of its rights under these Terms of Use, including with regard to your non-compliance, shall not constitute a waiver of Autogear’s rights to future enforcement of its rights under these Terms of Use. If any provision of these Terms of Use are determined to be invalid or unenforceable by a court of competent jurisdiction, that provision will be restated and enforced to the maximum extent permissible and the remaining provisions of these Terms of Use will remain in full force and effect.
15. Applicable Law and Jurisdiction.
These Terms of Use are governed by the laws of Norway, without regard to conflicts of law principles.
Any dispute arising out of or in connection with these Terms of Use shall be subject to the exclusive jurisdiction of Ringerike, Asker and Bærum Court (Ringerike, Asker og Bærum tingrett).
Notwithstanding the foregoing, Autogear may however, in its sole discretion choose to exercise and enforce its rights and seek any enforcement order or temporary relief in any jurisdiction it deems appropriate.
DATA PROCESSING AGREEMENT
1. Introduction, Purpose, and Definitions
When fulfillment of the Service Agreement and its appendixes will involve processing of Personal Data, it will be subject to statutory provisions and obligations under relevant data protection legislation.
Service Provider, hereafter the “Processor”, and The Client, hereafter the “Controller”, have entered into this Data Processing Agreement to govern the Processor’s rights and obligations, with regard to all Processing of Personal Data on behalf of the Controller under the Service Agreement and its appendixes, including under this Data Processing Agreement, in order to ensure that all Processing of Personal Data is conducted in compliance with applicable data protection legislation.
This Data Processing Agreement shall ensure that the Controller’s data is processed in accordance with:
- The EU-Regulation 2016/679 (the "General Data Protection Regulation" or “GDPR”) as amended from time to time and all relevant national legislation including national implementations of GDPR.
This Data Processing Agreement is intended to fulfill the requirements set down in GDPR. The parties agree to amend this Data Processing Agreement to the extent necessary due to any mandatory new requirements according to any new/amended Norwegian implementation of the Regulation.
This Data Processor Agreement applies in addition to the Processor's Privacy Policy.
«Client» shall mean the party that enters into a Service Agreement with ECIT Autogear AS (Processor) for the delivery of one or more of the Services that the Processor offers. «Client» includes both private customers (individuals) and business / enterprise customers.
«Personal Data» shall mean any information relating to an identified or identifiable natural person, as further defined in article 4 (1) in GDPR.
«Processing of Personal Data» shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, transfer, storage, alteration, disclosure as further defined in article 4 (2) in GDPR.
«Sub-processor» shall mean any other processor or third parties Processing Personal Data which the Processor engages, intentionally or unintentionally, for carrying out specific Processing activities on behalf of the Controller, including software-entities and affiliates.
«Third Countries» shall mean countries outside of the EU/EEA area.
This Agreement shall also include:
- Appendix A: Information about the Processing
- Appendix B: Authorized Sub-processors
The Data Processor and the Data Controller will hereafter collectively be referred to as the «Parties» or individually as a «Party».
2. The Rights and Obligations of the Controller
The Controller is responsible for ensuring that the Processing of Personal Data takes place in compliance with the GDPR (see Article 24 in GDPR), including the applicable EU or EEA Member State data protection provisions and this Data Processing Agreement.
The Controller has the right and obligation to make decisions about the purposes and means of the Processing of Personal Data.
The Controller shall be responsible, among other, for ensuring that the Processing of Personal Data, which the Processor is instructed to perform, has a legal basis.
The Controller shall inform the relevant data subjects about the Processing activities that Processor will perform on behalf of the Controller, under this Data Processing Agreement.
The Controller shall implement sufficient technical and organizational measures to ensure and demonstrate compliance with the GDPR.
The Controller shall notify any Personal Data breaches to the relevant authorities and if necessary, the data subjects without undue delay in accordance with applicable law.
3. The Processor acts according to Instructions.
The Processor shall Process Personal Data only on documented instructions from the Controller, unless required to do so by Union or Member State law to which the Processor is subject. The Service Agreement (including the Order Confirmation and the Appendices) constitute the instructions on the date of conclusion of this Data Processing Agreement. Subsequent instructions can also be given by the Controller throughout the duration of the Processing of Personal Data, but such instructions shall always be documented and kept in writing, including electronically, in connection with this Data Processing Agreement.
Unless otherwise specified in this Data Processor Agreement, the Processor may use all relevant technical aids (incl. IT systems and software) to fulfill the obligations incumbent on the Processor.
The Processor shall immediately inform the Controller if instructions given by the Controller, in the opinion of the Processor, contravene the GDPR or the applicable EU or Member State data protection provisions.
4. Confidentiality
The Processor shall only grant access to the Personal Data being Processed on behalf of the Controller to persons under the Processor’s authority who have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality and only on a need-to-know basis. The list of persons to whom access has been granted shall be kept under periodic review. On the basis of this review, such access to Personal Data can be withdrawn, if access is no longer necessary, and Personal Data shall consequently not be accessible anymore to those persons.
The Processor shall at the request of the Controller demonstrate that the concerned persons under the Processor’s authority are subject to the abovementioned confidentiality.
5. Security of Processing
Article 32 in GDPR stipulates that, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of Processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the Controller and Processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk.
The Controller shall evaluate the risks to the rights and freedoms of natural persons inherent in the Processing and implement measures to mitigate those risks. Depending on their relevance, the measures may include the following:
- Pseudonymization and encryption of Personal Data;
- the ability to ensure ongoing confidentiality, integrity, availability and resilience of Processing systems and services;
- the ability to restore the availability and access to Personal Data in a timely manner in the event of a physical or technical incident;
- a process for regularly testing, assessing, and evaluating the effectiveness of technical and organizational measures for ensuring the security of the Processing.
According to Article 32 in GDPR, the Processor shall also – independently from the Controller – evaluate the risks to the rights and freedoms of natural persons inherent in the processing and implement measures to mitigate those risks. To this effect, the Controller shall provide the Processor with all information necessary to identify and evaluate such risks.
Furthermore, the Processor shall assist the Controller in ensuring compliance with the Controller’s obligations pursuant to Articles 32 in GDPR, by inter alia providing the Controller with information concerning the technical and organizational measures already implemented by the Processor pursuant to Article 32 in GDPR along with all other information necessary for the Controller to comply with the Controller’s obligation under Article 32 in GDPR.
Additional security measures will be implemented by the Processor, in accordance with Appendix 6, to the Service Agreement.
6. Use of Sub-processors
The Processor shall meet the requirements specified in Article 28(2) and (4) in GDPR in order to engage another processor (a Sub-processor). The Processor shall therefore not engage another Sub-processor for the fulfillment of this Agreement without the prior general written authorization of the Controller.
The Processor has the Controller’s general authorization for the engagement of Sub-processors. The Processor shall inform in writing the Controller of any intended changes concerning the addition or replacement of Sub-processors at least fourteen (14) days in advance, thereby giving the Controller the opportunity to object to such changes prior to the engagement of the concerned Sub-processor(s). The list of Sub-processors that are already authorized by the Controller, on the date of conclusion of this Data Processing Agreement, is listed under Appendix B.
Where the Processor engages a Sub-processor for carrying out specific Processing activities on behalf of the Controller, the same data protection obligations as set out in this Data Processing Agreement shall be imposed on that Sub-processor by way of a contract or other legal act under EU or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organizational measures in such a manner that the Processing will meet the requirements of this Data Processing Agreement and the GDPR.
A copy of such a Sub-processor agreement and subsequent amendments shall – at the Controller’s request – be submitted to the Controller, thereby giving the Controller the opportunity to ensure that the same data protection obligations as set out in this Data Processing Agreement are imposed on the Sub-processor(s). Business related issues that do not affect the legal data protection content of the Sub-processor agreement, shall not require submission to the Controller.
7. Transfer of Personal Data to Third Countries or International Organizations
Any transfer of Personal Data to Third Countries or International Organizations by the Processor shall only occur on the basis of documented instructions from the Controller and shall always take place in compliance with Chapter V in GDPR.
In case transfers to Third Countries or International Organizations, which the Processor has not been instructed to perform by the Controller, is required under EU or Member State law to which the Processor is subject, the Processor shall inform the Controller of that legal requirement prior to Processing unless that law prohibits such information on important grounds of public interest.
The Controller’s instructions regarding the transfer of Personal Data to a Third Country including, if applicable, the transfer tool under Chapter V GDPR on which they are based, shall be set out in Appendix B.1.
This Agreement shall not be confused with standard data protection clauses within the meaning of Article 46(2)(c) and (d) in GDPR, and this Agreement cannot be relied upon by the parties as a transfer tool under Chapter V GDPR.
8. Assistance to the Controller
Taking into account the nature of the Processing, the Processor shall assist the Controller by appropriate technical and organizational measures, insofar as this is possible, in the fulfillment of the Controller’s obligations to respond to requests for exercising the data subject’s rights laid down in Chapter III in GDPR.
This entails that the Processor shall, insofar as this is possible, assist the Controller in the Controller’s compliance with:
- the right to be informed when collecting Personal Data from the data subject
- the right to be informed when Personal Data have not been obtained from the data subject
- the right of access by the data subject
- the right to rectification
- the right to erasure (‘the right to be forgotten’)
- the right to restriction of Processing
- notification obligation regarding rectification or erasure of Personal Data or restriction of Processing
- the right to data portability
- the right to object
- the right not to be subject to a decision based solely on automated processing, including profiling
In addition to the Processor’s obligation to assist the Controller pursuant to section 5, the Processor shall furthermore, taking into account the nature of the Processing and the information available to the Processor, assist the Controller in ensuring compliance with:
- The Controller’s obligation to without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the Personal Data breach to the competent supervisory authority, unless the Personal Data breach is unlikely to result in a risk to the rights and freedoms of natural persons;
- the Controller’s obligation to without undue delay communicate the Personal Data breach to the data subject, when the Personal Data breach is likely to result in a high risk to the rights and freedoms of natural persons;
- the Controller’s obligation to carry out an assessment of the impact of the envisaged Processing operations on the protection of Personal Data (a data protection impact assessment);
- the Controller’s obligation to consult the competent supervisory authority, prior to Processing where a data protection impact assessment indicates that the Processing would result in a high risk in the absence of measures taken by the Controller to mitigate the risk.
9. Notification of Personal Data Breach
In case of any Personal Data breach, the Processor shall, without undue delay after having become aware of it, notify the Controller of the Personal Data breach.
The Processor’s notification to the Controller shall, if possible, take place no later than within 48 hours after the Processor has become aware of the Personal Data breach to enable the Controller to comply with the Controller’s obligation to notify the Personal Data breach to the competent supervisory authority, cf. Article 33 in GDPR.
In accordance with section 8, the Processor shall assist the Controller in notifying the Personal Data breach to the competent supervisory authority, meaning that the Processor is required to assist in obtaining the information listed below which, pursuant to Article 33(3) in GDPR, shall be stated in the Controller’s notification to the competent supervisory authority:
- the nature of the Personal Data including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of Personal Data records concerned;
- the name and contact details of the data protection officer or other contact point where more information can be obtained;
- the likely consequences of the Personal Data breach;
- the measures taken or proposed to be taken by the Controller to address the Personal Data breach, including, where appropriate, measures to mitigate its possible adverse effects.
Where, and in so far as it is not possible to provide all the information listed above at the same time, the information may be provided successively, in phases, without undue delay.
10. Erasure and return of Personal Data
The Parties agree that upon termination of the Service Agreement, this Data Processing Agreement will be deemed as terminated as well.
On termination of the Service Agreement, the Processor shall be under obligation to return all the Personal Data to the Controller and delete existing copies within sixty (60) days after the Agreement with the Controller is terminated, unless Union or Member State law requires storage of the Personal Data.
For the avoidance of doubt, nothing in this section shall require Processor to delete copies of Personal Data that it holds on its own behalf as a controller (if any). Furthermore, nothing in this section shall require the Processor to delete non-personal data that it holds as a result of the Services offered under the Service Agreement (including the Order Confirmation and the Appendices), such as anonymized data.
11. Audit and inspection
The Processor shall make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 in GDPR and this Data Processing Agreement and allow for and contribute to audits, including inspections, conducted by the Controller or another auditor mandated by the Controller.
The Processor shall be required to provide the supervisory authorities, which pursuant to applicable legislation have access to the Controller’s and Processor’s facilities, or representatives acting on behalf of such supervisory authorities, with access to the Processor’s physical facilities on presentation of appropriate identification.
12. Other duties and rights
Other duties and rights between the Parties are stipulated in the Service Agreement and the Order Confirmation and the Appendices.
The same contact persons under the Service Agreement, will be the contact persons under this Data Processing Agreement.
Both Parties acknowledge that this Data Processor Agreement shall not extend the Controller's sanctioning options, including liability for damages for the Data Processor, beyond what follows from the Service Agreement.
In the event of a transfer of the Service Agreement to other parties, the Data Processor Agreement will be deemed transferred at the same time, accordingly.
13. Dispute and Jurisdiction
This Agreement shall be governed by and construed in its entirety in accordance with Norwegian law, save for mandatory provisions in applicable data protection legislation.
Any dispute concerning this Data Processor Agreement, or arising from it, shall in the first instance be resolved by the Parties through negotiation.
If a dispute cannot be resolved through negotiations, such dispute shall be subject to the jurisdiction of Oslo City Court, if no other mandatory jurisdiction applies in applicable data protection legislation.
Appendix A. Information about the Processing
A.1. The purpose of the Processor’s Processing of Personal Data on behalf of the Controller is:
The Processor will access and Process Personal Data on behalf of the Controller for the purpose of fulfilling its obligations under the Service Agreement (including the Order Confirmation and the Appendices).
The Processor will not Process or store Personal Data to a greater extent than what is necessary in order to provide the agreed Services.
A.2. The Processor’s Processing of Personal Data on behalf of the Controller shall mainly pertain to (the nature of the Processing):
The nature of the Processing includes, but not limited to collection, structuring, storage, adaptation or alteration, retrieval, use, transfer, disclosure, alignment of Personal Data, or combination of these.
Other Processing activities might be performed by the Processor, for the purpose of fulfilling Processor’s obligations under the Service Agreement (incl. the Order Confirmation and the Appendices).
A.3. The Processing includes the following types of Personal Data about data subjects:
A.3.1. Private customers (individuals)
- Name (first name and last name).
- Date of birth.
- Billing address and/or delivery address.
- E-mail address (used as username for login and access to the Services).
- Password to grant access to the Services.
- Telephone number.
- Picture(s).
- Information about subscription licenses (incl. subscription type and period).
- Vehicle registration number.
- Bank account number for payment of driving allowance.
- Reports for remuneration and taxation on the basis of registered use of vehicles.
- Location information, including current and historical position and trips for vehicles on which the Service is used.
- Correspondence with customers (e.g., support related correspondence).
- IP-address.
- Information about the customers interactions with the Services (e.g., login time).
- Other personal information that the individual optionally provides in their own user profile / user account, that is connected to the Services.
In the event that it becomes necessary to Process more Personal Data than those listed above, such Processing will take place in accordance with instructions from the Controller, and/or because such Processing is necessary for the purpose of fulfilling Processor’s obligations under the Service Agreement (incl. the Order Confirmation and the Appendices).
A.3.2 Business customers (enterprises)
In addition to all the Personal Data mentioned under section A.3.1 above, the Processor will Process the following (additional) Personal Data and non-personal data, when entering into an agreement with a business customer:
- Name of employer (non-personal data)
- Working hours / working time
- Job title and job function, as well as role with the employer
- Name of the employer's department in which the individual / employee works.
In the event that it becomes necessary to Process more Personal Data than those listed above, such Processing will take place in accordance with instructions from the Controller, and/or because such Processing is necessary for the purpose of fulfilling Processor’s obligations under the Service Agreement (incl. the Order Confirmation and the Appendices).
A.4. Processing includes the following categories of data subject:
- If agreement is entered into with a business customer, such business customer will be considered as the Controller under this Data Processing Agreement, and Processing in this context, will include the following categories of data subjects:
- Employees of the Controller
- Other end users of the Controller, which the Controller grants access to, to the Services.
- If agreement is entered into with a private customer (individual), such private customer will be considered as the Controller under this Data Processing Agreement, and Processing in this context, will include the following categories of data subjects:
- Private customers (individuals)
In the event that it becomes necessary to Process Personal Data about more categories of data subjects, than those listed above, such Processing will take place in accordance with instructions from the Controller, and/or because such Processing is necessary for the purpose of fulfilling Processor’s obligations under the Service Agreement (incl. the Order Confirmation and the Appendices).
A.5. The Processor’s Processing of Personal Data on behalf of the Controller may be performed when this Agreement commences. Processing has the following duration:
For the full duration/term of the Service Agreement (incl. the Order Confirmation and the Appendices), and up to sixty (60) days after the Agreement with the Controller is terminated.
Appendix B. Authorized Sub-processors.
B.1. Approved Sub-processors.
On commencement of this Data Processing Agreement, the Controller authorizes the engagement of the following Sub-processors:
Sub-processors name | Company address | Description | Data Processing Location |
Segment | 1407 Broadway 26th floor, New York, USA | Segment is a Customer Data Platform (CDP), which means that it provide a service that simplifies collecting and using data from the users of your digital properties (websites, apps, etc). With Segment, you can collect, transform, send, and archive your first-party customer data. Segment simplifies the process of collecting data and hooking up new tools, allowing you to spend more time using your data, and less time trying to collect it. |
EU / EEA (Dublin, Ireland) |
Userguiding | 112 Capitol Trail Suite A199 Newark DE, 19711 | Online training / guiding | US |
AWS | 410 Terry Avenue North Seattle, WA 98109 United States | AWS provides servers, storage, networking, remote computing, email, mobile development, and security. |
EU / EEA (Dublin, Ireland) |
Hubspot |
HubSpot, Inc Street: 25 First St City: Cambridge State: Massachusetts ZIP Code: 02141 |
Marketing / communication / meetings |
EU / EEA |
24Sevenoffice | Inkognitogata 33, 0256 Oslo | ERP / CRM |
EU / EEA (Norway) |
Here Maps |
Kennedyplein 222 -226 5611 ZT Eindhoven Netherlands |
Provider of Map services, and address lookup
|
EU / EEA (Frankfurt, Germany) |
Google Maps |
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA And its representant in EU, Google Ireland Ltd., Gordon House, Barrow Street, D04 E5W5, Dublin, Irland |
Provider of Map services, and address lookup | US |
Satismeter | Boudníkova 3, 180 00 Praha 8-Palmovka, Tsjekkia |
Data collection (NPS survey) |
US |
Zendesk | 989 Market St, San Francisco, San Francisco | Helpdesk | EU / EEA |
Slack |
500 Howard Street San Francisco, CA 94105 USA
|
Internal communication tool and platform |
EU / EEA Frankfurt, Germany) |
Wialon | Lithuania, Vilnius, LT-08200 | Telematics and IoT platform. For streaming data from GPS devices and sensors) |
EU / EEA (Groningen, Germany |
Ruptela | Perkūnkiemio str. 6. LT-12130 Vilnius, Lithuania |
Telematics and IoT platform (For streaming data from our GPS devices)
|
Data centers within EU/EEA |
Google Analytics
|
Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Ireland | Data analysis | US |
Google Tag Manager | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google") | Collect information about user behavior and manage tags / Samle inn informasjon om brukeratferd og administrere tagger | US |
Google Ads Remarketing (Google LLC) | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google") | Remarketing and behavioral targeting |
EU / EEA (Ireland) |
Facebook ads | Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland | Remarketing and behavioral targeting |
EU / EEA (Ireland) |
LinkedIn Website Retargeting (LinkedIn Corporation) | LinkedIn, Unlimited Company, Wilton Place, Dublin 2, Irland | Remarketing and behavioral targeting | US |
The Controller shall on the commencement of this Agreement authorize the use of the abovementioned Sub-processors for the Processing described for that party.
B.2. General authorization of the Controller
Subject to the limitations that explicitly is mentioned in this Data Processor Agreement, and subject to applicable limitations under the GDPR, the Controller gives a general consent that the Data Processor can, during the term of the Service Agreement, use standard software(s) from Amazon, Google and the other Sub-processors listed under Appendix B, clause B.1, in order to fulfill the Data Processor's obligations according to the Service Agreement (incl. the Order Confirmation and the Appendices). Furthermore, the Controller agrees that such processing might be supported by servers in Third Countries.
The agreed time periods of prior notice for authorization of adding and/or changing Sub-processors is at least fourteen (14) days in advance, thereby giving the Controller the opportunity to object to such changes prior to the engagement of the concerned Sub-processor(s). Non-objection by the Controller, at latest by the time period for prior notice as mentioned above, shall be deemed as an acceptance by the Controller.
PRIVACY POLICY
Why do we process your personal data?
We assemble and process data in order to effectively fulfill our agreed upon deliverables aiming to meet your best interests and/or our customers. Additionally, we collect and process data to improve and secure the quality of ECIT products and services.
The data we collect and process comprises:
- Regular personal data
- Internet traffic data
- Location data from the internet, cell phone, GPS or other hardware.
- Unique numbers of network devices
We collect your data for distinct purposes
We collect your personal data in correlation to a specific purpose or for legal business purposes.
This occurs when we need to:
- Fulfill your demand of products and services
- Customize our communication and marketing towards you
- Customize our partners’ communication and marketing towards you
- Manage and govern our business relations
- Fulfillment of legislations
When the end user allows it, our mobile apps (iOS/Android) will collect data from background processes.
We secure your consent before we process your personal data
We secure your consent before we process your personal data for the reasons mentioned above, unless we have legal grounds to collect them. We will inform you when such grounds are present, and our legitimate reasons for doing so. You agreeing to our private policy is optional, and you can withdraw your consent at any time by contacting us.
We only process relevant personal data
We only process data about you that is relevant in relation to the purposes defined above. The reasoning behind conducting your data is essentially to determine what information that is relevant to us. The same policy applies to the extent of personal data we employ. For example, we do not use more data than what is applicable for a specific purpose.
We only process necessary personal data
Our collecting, processing, and storing of your personal data is limited to only what is recognized as necessary information in relation to fulfilling certain purposes. Besides this, legislation can influence what personal data we collect and store, as it can be found unavoidable for our business operations. The nature and extent of personal data we process could also be found necessary to meet the agreements of a contract, or other judicial obligations.
We administer and update your personal information
We oversee that all personal data we process about you is not fabricated or misguiding. We also make sure that your data is constantly up to date. Our services are dependent on your data being correct and updated, therefore, we kindly ask you to inform us of any relevant changes in your personal data.
We delete your personal data when it is no longer necessary
When your personal data is no longer relevant or significant in regard to our initial reason for collecting, processing, and storing of it, we remove and delete the data.
We will not forward your personal data without your approval
If we seek to forward your personal data to third parties, for example, regarding marketing purposes, we will make sure to inform you and ask of your approval in advance. You are, at any time, allowed to object the forwarding. If we are legally bound to forward your personal data, your consent will not be requested. This could, for example, occur when authorities request personal records.
We protect your personal data
We have, and will continue to, consistently manage and perfect our measures of information in order to ensure full protection of your personal data.
- Organizational (specified instructions, routines, and processes)
- Technical (hardware and software systems and settings)
We are determined to ensure full protection of your personal data against deletion, loss, alteration, unauthorized access and publication, amongst other potential security violations.
Cookies; purpose and significance
When using cookies, we are obligated to inform you of the applications applicable to them, and the reason behind collecting information using them.
Before placing cookies on your device, we will inform you of the application and purpose behind collecting data with the use of cookies and ask for your consent.
Cookies found necessary in terms of securing functionality and configurations, can be applied without your consent. If you want more information about our use of cookies and the process of deleting and/or rejecting them, please visit our website. If you wish to repeal your consent, please refer to our cookie policy found here.
Your personal data rights
- You have the right to access your personal data at any time
- You have the right to receive information regarding what data we process about you, where it originates from, and for what purpose we use it, at any time. It is your right to receive information about how long we keep your personal data, and who, if applicable, has access to, and receives data about you.
- You can enforce your rights by contacting us.
- You have the right to get inaccurate personal data corrected or deleted
- If you believe the personal data we process about you is incorrect, you have the right to have it corrected. If this is the case, please contact us and advise us of the inaccuracies and how to correct them.
- In some cases, we obtain an obligation to delete your personal data. This applies, for example, if you repeal your consent. If you believe your data is no longer necessary in regard to the purpose we first collected it for, you have the right to request your data deleted. Please contact us if you believe your personal data is being processed contrary to the legislation or other judicial obligations.
- When requesting your personal data corrected or deleted, we will evaluate the demands and oversee if requirements are met, and if so, we will implement any changes or deletions immediately.
You can oppose the processing of your data when it is not made mandatory by legislation. If your opposition is justified, we will make sure to cease the processing of your personal data.
Questions about our Terms and Privacy policy
-
To contact us regarding privacy policy matters, you can reach us through the following methods:
-
Email: You can send us an email at kontakt@autogear.no. Please include a clear subject line related to your privacy policy inquiry so that we can respond promptly.
-
Phone: If you prefer to speak with us directly, you can give us a call at +47 21 08 02 60. Our dedicated team will be happy to assist you and address any privacy-related questions you may have.
We value your privacy and are here to provide the information and support you need to ensure a secure and transparent experience while using our services. Please don't hesitate to get in touch with us, and we will do our best to assist you.
-
Kommentarer
0 kommentarer
Artikkelen er stengt for kommentarer.