Bruker & databehandleravtale

Oppdatert 27.08.2020


Innledning

Dette dokumentet regulerer plikter og rettigheter du som kunde og vi som leverandør har ved bruk av systemet Pholio og tilhørende moduler ("Systemet"). Systemet er gjort tilgjengelig på pholio.no/pholio.se/pholio.dk og pholio.photo. Nettstedet og alle underdomener eies og drives av Pholio AS.

Dokumentet består av:

  • Brukeravtale - dette dokumentet som regulerer avtaleforholdet mellom deg som kunde og oss som leverandør.
  • Databehandleravtale - vedlegg til Brukeravtalen som regulerer hvordan vi som leverandør skal behandle og forvalte personopplysninger på vegne av deg som kunde.


Brukeravtale


Inngåelse av brukeravtalen

Brukeravtalen (inkludert vedlegg) er inngått mellom:

  • Pholio AS ("Pholio"), organisasjonsnummer 925532444.
  • Den som har registrert seg som bruker av Systemet ("Kunde"). 

Avtalen godkjennes elektronisk av Kunde ved registrering i Systemet. Eventuelle oppdateringer av avtaler presenteres Kunde og godkjennes ved innlogging.

Pholios rettigheter og plikter

  • Pholio skal tilby og videreutvikle Systemet etter beste evne.
  • Pholio skal etter beste evne rette feil så snart som mulig. Pholio vurderer om Kunde skal varsles basert på alvorlighetsgrad av eventuelle feil.
  • Pholio skal tilstrebe en høyest mulig grad av oppetid og gjøre tekniske tiltak for å sikre dette.
  • Hensikten med Systemet er å automatisere og forenkle oppdragshåndtering for Kunden gjennom bruk av teknologi. Som et ledd i dette har Pholio rett til å analysere og bruke Kundes bruksmønstre for å effektivisere og forenkle Kundes arbeidssituasjon.
  • Pholio skal gi Kunde informasjon og opplæring knyttet til produktet gjennom e-post eller andre relevante medier. Dersom Kunde ikke ønsker informasjon på e-post kan man melde seg av e-postlisten direkte i nyhetsbrev / tilsendt informasjon.
  • Pholio kan og ønsker å inngå samarbeid med tilbydere av tredjepartsprodukter ("Samarbeidspartnere") der dette føles relevant for forenkling av Systemet. I tilfeller der dette gjøres vil tilbudet presenteres inne i Pholio der Kunde kan ta stilling til det.
  • Pholio har rett til å stenge tilgang til konto ved manglende betaling.
  • Pholio har rett til å stenge tilgang til konto med umiddelbar virkning ved misbruk (se kundens rettigheter og plikter). Ved slik stenging vil Kunde informeres om årsak til stenging og gis anledning til å forklare seg. Pholio har også rett til å stenge tilgang til systemet basert på Kundes IP-adresse eller lignende.
  • Pholio har rett til å endre pris og prismodell. Ved endringer utover konsumprisindeks skal Kunde varsles minst tre måneder før endringen trer i kraft.
  • Pholio er ikke ansvarlig for innholdet i data som registreres av Kunden i Systemet, og heller ikke for Kundens bruk av Systemet.
  • Pholio har tilgang til å kontrollsjekke alle data som legges inn i Systemet, men er ikke forpliktet til å monitorere og overvåke alle data. 
  • Pholio er ikke ansvarlig for tap eller skade som oppstår som følge av at Kunden ikke opprettholder sikkerheten til kontoen og innloggingsinformasjonen sin.
  • Kunden skal holde Pholio skadesløs for alle kostnader og tap som Pholio blir påført som følge av at en tredjepart hevder at Kundens data eller bruk av Systemet er i strid med tredjeparts immaterielle rettigheter.
  • Pholios eventuelle erstatningsansvar under denne brukeravtalen inkludert vedlegg, skal være begrenset til direkte tap. Indirekte tap dekkes ikke. Som indirekte tap regnes eksempelvis tap av fortjeneste, tap grunnet driftsavbrudd, tap av data, avsavnstap og krav fra tredjepart. Erstatningskravet kan ikke overstige 50% av det samlede årlige vederlaget.

Kundens rettigheter og plikter

  • Kunden gis en ikke-eksklusiv rett til bruk av Systemet gitt at alle forpliktelser er overholdt.
  • Kunden er ansvarlig for å opprettholde sikkerheten til kontoen sin og innloggingsinformasjon. 
  • Kunden har eierskap til registrerte data og er ansvarlig for alt av innhold som legges til kontoen.
  • Kunden er behandlingsansvarlig for registrerte personopplysninger. Se forøvrig vedlegg om databehandleravtale.
  • Kunden har rett til å slette data så lenge dette ikke er i strid med lovverk.
  • Kunden skal kun bruke Systemet til lovlige og bedriftsrelaterte formål. All form for misbruk vil medføre til stenging av konto. Alvorlig misbruk og lovbrudd vil politianmeldes og kan medføre krav om økonomisk erstatning. Følgende bruk av Systemet anses som misbruk:
    • bruk av Systemet for å trakassere, forfølge eller true enhver annen bruker eller person;
    • overføre, lagre  eller kommunisere innhold som etter vår mening er støtende, inkludert men ikke begrenset til, bildemateriell og språk som er skadelig, truende, voldelig, trakasserende, ærekrenkende, vulgært, uanstendig, seksuelt eksplisitt, rasistisk eller på annen måte støtende;
    • utgi seg for å være en annen person, virksomhet eller enhet, inkludert en ansatt hos oss eller kommunisere på noen måte som gjøre at det ser ut til at kommunikasjonen stammer fra oss;
    • overføre eller bidra til overføring av innhold som inneholder virus, ødelagte data, ormer og andre dataprogrammeringsrutiner som er ment å og/eller faktisk ødelegge, skadelig forstyrre, mine, skrape eller ekspropriere ethvert system, data eller personlig informasjon;
    • sende masse-e-post eller annet spam-innhold, enten det er for personlige eller kommersielle formål, inkludert ved å forstyrre samtalestrømmen med gjentatte innlegg av lignende art;
    • delta i enhver handling som etter vår mening utnytter et udokumentert aspekt av tjenesten;
    • bruke uautoriserte programmer eller automatiserte prosesser for å samhandle med tjenesten;
    • få tilgang til eller forsøke å få tilgang til områder av tjenesten som ikke er gjort tilgjengelig for publikum;
    • utsending av fiktive eller ikke-reelle fakturaer

Personvern

  • Pholio tar ditt privatliv på alvor og vi er vårt ansvar bevisst i forhold til å sikre og behandle personlige opplysninger med varsomhet. Se vår personvernerklæring for hvordan vi håndterer dine brukeropplysninger.
  • For å oppnå formålet benytter Pholio en rekke samarbeidspartnere og underleverandører. Her finner du en oppdatert liste over samarbeidspartnere og underleverandører.
  • Se forøvrig også vedlegget Databehandleravtale for hvordan vi behandler oppdragsdata som du og dine Kunder legger inn i Systemet.

Fakturering

  • Pholio fakturerer Kunden månedlig og i etterkant for bruk. Ved oppsigelse faktureres bruk frem til oppsigelsestidspunkt. Det er dermed ingen bindingstid.
  • Fakturering finner først sted etter at kunde eksplisitt har tatt i bruk systemet (levert oppdrag eller når størrelse på lagret data overstiger 25 MB).
  • Prisene gjelder etter gjeldende prisliste. Prislisten sendes til Kundens oppgitte e-postadresse etter registrering. Dette også som en verifikasjon av oppgitt e-postadresse. De til enhver tids gjeldende prisvilkår vil også vises i din konto i Systemet.
  • Oppgitte priser er eksklusive mva.

Avbestilling og oppsigelse

  • Du kan når som helst avbestille din konto ved å henvende deg til post@pholio.no. Ved oppsigelse kan du velge om du ønsker:
    • å slette kontoen din og all tilhørende data med umiddelbar virkning. Dette innebærer at opplastet bildemateriale også vil bli utilgjengelig for tredjepart. Du vil ikke pådra deg ytterligere kostnader etter oppsigelsestidspunkt, men er forpliktet til å betale påløpte og ubetalte avgifter.
    • å deaktivere kontoen, men beholde lagret data inntil angitt tidspunkt. Du vil da fortsatt være forpliktet til å betale lagringskostnader frem til all data slettes. Kontoen kan når som helst aktiveres frem til det tidspunkt all data slettes. 

Øvrig

  • Brukeravtalen følger produktet og kan dermed overdras for eksempel ved fusjon eller kjøp av produkt / selskap.
  • Kontaktopplysning for Pholio for denne avtalen er post@pholio.no, mens for Kunde er det epost-adressen registrert på foretaket under Mitt foretak → Foretaksinnstillinger → Firmainformasjon. Det er Kundes ansvar å oppdatere denne.
  • Tvist mellom partene om virkning, innhold eller gjennomføring av denneavtalen, søkes løst ved forhandlinger. Fører ikke slike forhandlinger frem innen to uker fra tvisten oppstod, avgjøres tvisten ved de ordinære domstolene. Tvisten avgjøres etter norsk lov, med Trondheim tingrett som verneting. Dette gjelder også etter opphør av brukeravtalen.


Vedlegg: Databehandleravtale


Hva er en databehandleravtale?

  • Dette vedlegget til brukeravtalen beskriver hvordan Pholio forvalter og sikrer personopplysninger registrert i Systemet på vegne av Kunden. 
  • Den norske personopplysningsloven, og EU-forordning 2016/679 ("GDPR"), inneholder krav til reguleringen av forholdet mellom databehandler og behandlingsansvarlig, og til de sikkerhetsmessige og organisatoriske tiltakene som må implementeres for å sørge for lovlig og sikker behandling av personopplysninger. Denne databehandleravtalen er derfor inngått for å sikre at personopplysninger kun behandles i henhold til gjeldende lover og regler.
  • Noen viktige begreper i denne sammenheng er:
    • Den/de registrerte: En identifisert eller identifiserbar levende fysisk person som den Behandlingsansvarlige eller tilhørende Oppdragsgiver har registrert personopplysninger om i Systemet.
    • Behandlingsansvarlig: Det er du som Kunde som er ansvarlig for behandling av personopplysningene/dataene som er registrert i Systemet - og at personvernet i den forbindelse er tilstrekkelig ivaretatt. Dette gjelder også personopplysninger og informasjon lagt inn av din Oppdragsgiver, enten manuelt eller i bestillinger via systemintegrasjon. Vi oppfordrer alle Kunder av Pholio til å inngå egne Databehandleravtaler med sine Oppdragsgivere.
    • Oppdragsgiver: Eiendomsmegler eller annen rekvirent av oppdrag som kan legge inn bestillinger (og dermed personopplysninger) i Systemet.
    • Databehandler: Pholio som leverandør forvalter personopplysningene på vegne av Kunden som Behandlingsansvarlig.
    • Databehandleravtale: Denne avtalen regulerer forholdet mellom Kunde som Behandlingsansvarlig og Pholio som Databehandler.

Formål

  • Formål med behandlingen av alle data, inkludert personopplysninger, er å kunne tilby en løsning som sikrer en enkel og effektiv oppdragshåndtering for Kunden, herunder administrasjon, bestilling, etablering, oppfølging, leveranse, dokumentering, og grunnlag for fakturering.
  • Formidling av tjenesteleverandører relatert til avhending av bolig.

Hvilke personopplysninger behandler vi og hvorfor?

Personopplysninger, eller personlig informasjon, betyr all informasjon om en person som personen kan identifiseres fra. Vi behandler følgende personopplysninger:

  • Brukerdata: Det registreres en brukerprofil med navn og kontaktinformasjon for hver enkelt bruker som skal ha tilgang til systemet. Dette for å gi en sikker og verifisert innlogging, samt begrense tilgangen til det som er tjenstlig berettiget. Brukerinformasjonen er avgjørende for at du skal kunne benytte deg av Pholio sine funksjoner og for at vi kan kontakte deg med nødvendig og relevant informasjon. Som systembruker kan du til enhver tid se hvilken informasjon som ligger registrert på deg i din egen brukerprofil.
  • Kontaktinfo til personer knyttet til ulike oppdrag: Systemet behandler kontaktinformasjonen til hver enkelt fagperson som står som ansvarlig for hele eller deler av det enkelte oppdrag i Pholio. Kontaktinformasjonen er nødvendig for å kunne gjennomføre oppdraget på en hensiktsmessig måte.
  • Kontaktinformasjon til sluttkunder: Tilknyttet hvert oppdrag er det registrert kontaktinformasjon med navn, e-post, telefon og adresse til oppdragets sluttbruker(e). Denne informasjonen gjør også at all øvrig oppdragsinformasjon er sporbar tilbake til den registrerte sluttkunden. Informasjonen er nødvendig for å kunne gjennomføre oppdraget på en hensiktsmessig måte.
  • Oppdragsinformasjon: For hvert enkelt oppdrag, registreres den informasjonen som er nødvendig for å bestille, gjennomføre, levere og dokumentere oppdraget i henhold til relevante krav fra kunde og myndigheter. I dette ligger; informasjon om ansvarlig fagpersonell med firmatilknytning, oppdragsID, bestillingsinformasjon, info om oppdragets omfang, dato/tidsrom, status samt logg med alle meldinger som er relevant for oppdraget (beskrivelse og kommentarer til oppdrag). 
  • Faktureringsinformasjon: Faktureringsinformasjonene er direkte tilknyttet hvert oppdrag og er nødvendig for å kunne fakturere en part i systemet; oppdragsgiver/rekvirent og sluttbruker.
  • Teknisk informasjon: Når du benytter Pholio blir din IP-adresse, tidspunkt for forespørselen, informasjon om nettleser eller mobiltelefon, samt versjonsnummer og mobil plattform for app, inkludert valg språk, loggført i en applikasjonslogg. Applikasjonsloggen lagres i 1 måned før den blir slettet. Disse opplysningene kreves for at løsningen skal kunne fungere på gitt plattform/mobiltelefon og logges for å sikre at tjenesten fungerer slik den skal. Dette gir oss også informasjon som er nødvendig for å løse problemet dersom det skulle oppstå en feil.
  • Henvendelser: Når du henvender deg til oss med spørsmål lagrer vi opplysninger om dette. Her lagrer vi spørsmålet i seg selv, samt hvem som har stilt spørsmålet i form av e-post og navn.

Behandlingsansvarliges plikter og rettigheter

  • Behandlingsansvarlig bekrefter at:
    • Det foreligger tilstrekkelig behandlingsgrunnlag for behandlingen av personopplysninger.
    • Behandlingsansvarlig har rett til og ansvaret for lovligheten av overføring av personopplysninger til databehandler.
    • Behandlingsansvarlig har ansvaret for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten av personopplysningene som behandles.
    • Behandlingsansvarlig har informert de registrerte i henhold til de til enhver tid gjeldende lovkrav.
  • Behandlingsansvarlig skal sørge for at personopplysninger behandles i henhold til GDPR, svare på henvendelser fra de registrerte og sørge for å implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre personopplysningene som behandles, jfr. GDPR artikkel 32.
  • Behandlingsansvarlig har plikt til å melde avvik til Datatilsynet og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.
  • Behandlingsansvarlig skal ikke registrere eller lagre personopplysninger utover det som dekkes av formålet. Spesielt skal behandlingsansvarlig ikke lagre det GDPR kaller særlige kategorier av personopplysninger i Systemet (som for eksempel vurderinger knyttet til en ansatts helsetilstand, religiøs eller politisk tilhørighet osv.).
  • Behandlingsansvarlig har ansvar for å innhente samtykke dersom opplysninger om mindreårige legges inn i løsningen. 

Databehandlers plikter og rettigheter

  • Databehandler har ikke eierskap over personopplysninger, men behandler disse kun på vegne av behandlingsansvarlig som regulert i denne databehandleravtalen.
  • Databehandler skal sikre personopplysninger adekvat både teknisk og organisatorisk i samsvar med GDPR artikkel 32. Dette gjøres blant annet gjennom en risiko- og sårbarhetsanalyse som gir grunnlag for organisatoriske rutiner og tekniske tiltak.
  • Databehandler bekrefter at alle personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig.
  • Databehandler skal ved forespørsel bistå behandlingsansvarlig med hensyn til arbeid med å oppfylle sistnevntes plikter etter personvernregelverket, for eksempel etter GDPR kapittel III og artikkel 32-36. Databehandler skal også bistå behandlingsansvarlig ved å gjøre dokumentasjon tilgjengelig i den grad det er nødvendig for behandlingsansvarlig for å kunne påvise at forpliktelsene i GDPR artikkel 28 er oppfylt, inkludert ved eventuell revisjon fra tilsynsmyndigheter. All slik bistand fra databehandler til behandlingsansvarlig gjøres etter skriftlig anmodning og faktureres etter medgått tid.
  • Databehandler skal uten unødig opphold varsle behandlingsansvarlig dersom det er konstatert, eller det er mistanke om, at personopplysninger er kommet på avveie.
  • Databehandler har rett til å ta ut anonymisert statistikk og kjøre analyser av bruksmønster og bilag som et ledd i gjennomføringen av brukeravtalen for å effektivisere Kundenes valgalternativer og bruk av Systemet. For å kunne følge opp kundeforholdet mellom databehandler og behandlingsansvarlig (som å fakturere eller kontakte), kan databehandler aksessere og benytte registrerte personopplysninger som bruker og foretaksnavn, adresse, e-post og telefonnummer.
  • Databehandler skal omgående underrette den behandlingsansvarlige dersom databehandler mener at en instruks fra behandlingsansvarlig er i strid med GDPR eller andre bestemmelser om vern av personopplysninger.

Utlevering av personopplysninger til tredjepart

  • Gjennom å inngå brukeravtalen, gir behandlingsansvarlig generell tillatelse til at Pholio engasjerer andre databehandlere.
  • For å sikre formålet benytter Pholio seg av databehandlere, som i enkelte sammenhenger behandler personopplysninger registrerte i Systemet. Generelt utveksles så lite informasjon som mulig til databehandler.
  • For samarbeidspartnere som representerer valgfrie moduler i Systemet, presenteres bruk av en slik samarbeidspartner som en opsjon Kunden kan velge å benytte eller ikke.
    • Dette er tjenester av funksjonell art som har til hensikt å tilby behandlingsansvarlig så gode funksjonelle tjenester som mulig.
    • Databehandler har rett til å tilby behandlingsansvarlig tredjepartsprodukter som basert på registrerte opplysninger kan utgjøre nyttige tilbud.
    • Dersom tilbudet ønskes å ta i bruk, er det behandlingsansvarlig sin oppgave å opprette en databehandleravtale med samarbeidspartneren. Pholio vil ikke utveksle informasjon før modulen er aktivert i Systemet.
    • Liste over samarbeidspartnere.
  • Pholio benytter også underleverandører som ikke er valgfrie og som bidrar til utøket funksjonalitet.
    • Dette er tjenester som potensielt kan benyttes på alle kunder uten at Kunde bes om eksplisitt samtykke ved første gangs bruk.
    • Pholio har opprettet egne databehandleravtaler med disse underleverandørene. I den grad disse befinner seg i tredjeland utenfor EU/EØS, benyttes gyldige overføringsgrunnlag som EUs egne standardkontrakter for overføring til tredjeland eller Privacy Shield.
    • Liste over underleverandører.
  • I enkelte tilfeller vil det kunne være påkrevet at Pholio gir tilgang til tredjepart til behandlingsansvarliges opplysninger. Dette skjer typisk i følgende tilfeller:
    • Dersom bruker har mistet tilgang til tjenesten for eksempel dersom man har byttet epost-leverandør.
    • Ved salg/overdragelse av Kundes virksomhet.
    • Ved rettslig pålegg (feks i forbindelse med mistanke om straffbare forhold).

Sletting av personopplysninger

  • Kunden kan be Pholio om å slette hele sin konto og all tilhørende data, herunder personopplysninger. Sletting av en konto innebærer at opplastet bildemateriale også vil bli utilgjengelig for Kundens Oppdragsgivere.
  • Kunden kan arkivere en bruker i Systemet. Brukerdata blir imidlertid lagret for statistikk og søkbarhet i arkiv. For å slette alle brukerdata, må Databehandler kontaktes på post@pholio.no.
  • Kunden kan slette/redigere alle oppdragsdata og tilhørende personopplysninger til enhver tid.
  • For å ivareta krav til sikkerhet, vil vi oppbevare en backup av data i inntil 3 måneder. Dersom særlige grunner skulle tilsi at personopplysninger skal slettes raskere kan Pholio kontaktes på post@pholio.no
  • Loggdata beholdes i tre år av sikkerhetshensyn - eksempelvis for å kunne spore forsøk på hacking.

Endring av personopplysninger

I tilfeller der det ikke finnes funksjonalitet for å endre personopplysninger i Systemet kan en skriftlig henvendelse gjøres til Pholio. Databehandler vil fakturere behandlingsansvarlig for medgått tid for arbeid i forbindelse med endring av personopplysninger. Ved endringer vil gamle verdier finnes som backup i inntil 3 måneder. Denne tidsperioden er satt for å hindre inkonsistens i registrerte personopplysninger ved uforutsette hendelser.