Programvarelisens til LumiraDx Platform

LumiraDx UK Ltd

Programvarelisens til LumiraDx Platform

Gjelder fra januar 2020

Denne lisensavtalen (sammen med LumiraDx UK Ltds retningslinjer for personvern)(“lisens”) er en juridisk avtale mellom organisasjonen (som definert nedenfor) og LumiraDx UK Ltd, et selskap registrert i England og Wales med organisasjonsnummer 09206123, hvis registrert kontor er ved 3 More London Riverside, London, SE1 2AQ (“LumiraDx, vi eller oss”) og styrer organisasjonens bruk av:

  • Instrument-programvaren (som definert nedenfor);
  • Connect Manager, når organisasjonen har lastet ned en kopi av Connect Manager på sin mobilenhet eller fått tilgang til Connect Manager (alt som definert nedenfor) gjennom en nettleser;
  • tjenestene (som definert nedenfor), og
  • dokumentasjonen (som definert nedenfor).

LumiraDx lisensierer Connect Manager til organisasjonen på grunnlag av denne lisensen og underlagt eventuelle regler eller retningslinjer som er påført av appstore-leverandør eller -operatør fra stedet organisasjonen laster ned Connect Manager (“appstore-regler”).

VIKTIG MERKNAD:

Ved å bruke Instrument-programvaren og/eller Connect Manager eller ved å krysse av i boksen «Godta», bekrefter organisasjonen og dens brukere at de godtar vilkårene i denne lisensen. Organisasjonen skal være ansvarlig for å sikre at brukerne overholder vilkårene i denne lisensen. Denne lisensen inkluderer, spesielt, begrensninger på ansvar i klausul 11.

1.    TOLKNING

1.1    Definisjonene og reglene for tolkning i denne klausulen gjelder i bakgrunnen og i denne lisensen:

Arbeidsdag: en dag med unntak av en lørdag, søndag eller offentlig helligdag i England, når banker i London er åpne for forretninger.

Konfidensiell informasjon: all informasjon som er blitt utpekt som konfidensiell av en av partene skriftlig, eller som skal anses som konfidensiell (uansett hvordan den er formidlet eller i hvilket media den er lagret i), inkludert informasjon som ville, eller ville sannsynligvis, påvirke de kommersielle interesser til enhver person, forretningshemmeligheter, immaterielle rettigheter, kunnskap om en av partene og alle personopplysninger og sensitive data innenfor betydningen av datavernlovgivningen.

Connect Manager: programvarekomponenten på nett som er kjent som Connect Manager (og oppdateringer eller tillegg til den) som eies og lisensieres av LumiraDx og kan brukes i forbindelse med diagnostisk Instrument når brukt i en administrert modus.

Datavernlovgivning:Personvernforordningen ((EU) 2016/679) (“GDPR”) og eventuelle nasjonale implementeringslover, forskrifter og sekundærlover, Data Protection Act 2018, EUs dataverndirektiv 95/46/EC, Regulation of Investigatory Powers Act 2000, Telecommunications (lovlig forretningspraksis) (avskjæring av kommunikasjon) Regulations 2000, EUs kommunikasjonsvernforordning 2002/58/EC, Forskrifter om personvern og elektronisk kommunikasjon (EF-direktiv 2003) og alle gjeldende lover og forskrifter relatert til behandling av personopplysninger og retningslinjer for personvern, inkludert der gjeldende for veiledningen og regler for praksis som er utstedt av kommisjonæren for informasjon (the Information Commissioner, ICO).

Databehandlingsansvarlig: har betydningen som gitt den i GDPR.

Databehandler: har betydningen som gitt den i GDPR.

Diagnostisk Instrument: det diagnostiske instrumentet levert av LumiraDx til organisasjonen.

Dokumentasjon:fysisk og elektronisk dokumentasjon som leveres av LumiraDx, som er relatert til LumiraDx Platform-programvaren.

FOIA: Freedom of Information Act 2000 og eventuelle underordnede lover som er utarbeidet under denne loven fra tid til annen sammen med enhver veiledning og/eller regler for praksis utstedt av kommisjonæren for informasjon (ICO) eller relevant statlig avdeling i relasjon til slik lovgivning.

Instrument-programvare: enhver programvarekomponent som er installert på diagnostisk Instrument (og eventuelle oppdateringer eller tillegg til den) som eies og lisensieres av LumiraDx.

Immaterielle rettigheter: patenter, bruksmønster, rettigheter til oppfinnelser, opphavsrett og relaterte rettigheter, varemerker og tjenestemerker, forretningsnavn og domenenavn, rettigheter til utseende og handelsemballasje, godvilje og retten til å saksøke for antagelse eller urettferdig konkurranse, rettigheter til design, databaserettigheter, rettigheter til å bruke og beskytte konfidensialiteten av konfidensiell informasjon (inkludert kunnskap og forretningshemmeligheter), og alle andre immaterielle rettigheter, i hvert fall uavhengig om de er registrert eller uregistrert og inkludert alle søknader om og innvilgede rettigheter, fornyelser eller forlengelser av, og rettigheter til å kreve prioritet over, slike rettigheter og alle lignende eller tilsvarende rettigheter eller former for beskyttelse som eksisterer eller vil eksistere nå eller i fremtiden hvor som helst i verden.

Programvare med åpen kildekode: programvare med åpen kildekode som definert av Open Source Initiative (http://opensource.org) eller Free Software Foundation (http://www.fsf.org).

Organisasjon: den juridiske enheten som ber om lisens til å bruke LumiraDx Platform-programvare fra LumiraDx, som opptrer som databehandlingsansvarlig.

LumiraDx-gruppen: betyr LumiraDx, ethvert datterselskap eller ethvert holdingselskap LumiraDx har fra tid til annen, og ethvert datterselskap til et holdingselskap det selskapet har fra tid til annen. Hvert selskap i LumiraDx-gruppen er medlem av LumiraDx-gruppen og begrepet «LumiraDx-gruppeselskap» skal tolkes tilsvarende.

LumiraDx Platform-programvare: Instrument-programvaren og Connect Manager.

Administrert modus: bruk av diagnostisk Instrument og Instrument-programvare med Connect Manager som lar organisasjonen overføre pasientdata til Connect Manager.

Mobil enhet: organisasjonens mobiltelefon eller håndholdte enhet.

Normale åpningstider: kl. 09.00 til 17.00 lokal britisk tid, hver arbeidsdag.

Pasient(er): en enkeltperson eller enkeltpersoner som får tilgang til pleie-/medisinske tjenester fra en relevant organisasjon.

Pasientdata: klinisk informasjon (inkludert, men ikke begrenset til, personopplysninger) som er samlet inn av organisasjonen om pasienter i løpet behandlingen og som blir lagt inn i LumiraDx Platform-programvaren.

Personopplysninger: har betydningen som gitt dem i GDPR.

Forespørsel om informasjon: betyr en forespørsel om informasjon eller en tilsynelatende forespørsel under FOIA.

Tjenester: alle tjenester som er tilgjengelige via Connect Manager og innholdet LumiraDx tilbyr organisasjonen gjennom den.

Brukere: alle som er autorisert av organisasjonen til å bruke LumiraDx Platform-programvaren, som inkluderer deres ansatte, agenter og uavhengige kontraktører (det vil si klinikere).

1.2    Klausul, vedlegg og avsnittsoverskrifter skal ikke påvirke tolkningen av denne lisensen.

1.3    Vedleggene utgjør en del av denne lisensen og skal ha virkning som om de er i denne lisensen i sin helhet. Alle henvisninger til denne lisensen inkluderer vedleggene.

1.4    Eventuelle ord som følger vilkårene, inkludert, inkludere, spesifikt, for eksempel, eller lignende uttrykk skal tolkes som illustrerende og skal ikke begrense oppfattelsen av ordene, beskrivelsen, definisjonen, frasen eller begrepet forut for disse vilkårene.

2.    INSTALLASJON

LumiraDx skal sørge for at én kopi av Instrument-programvaren er forhåndsinstallert på hvert diagnostiske Instrument.

3.    TILDELING AV LISENS

3.1    Der organisasjonen godtar å overholde vilkårene i denne lisensen, gir LumiraDx herved organisasjonen, og brukerne, en ikke-eksklusiv, ikke-overførbar rett til å bruke LumiraDx Platform-programvaren, tjenestene og dokumentasjonen innen organisasjonen i territoriet der organisasjonens ansatte er autoriserte til å bruke diagnostisk Instrument for behandling av pasienter, i perioden der organisasjonen bruker diagnostisk Instrument, med mindre det er opphørt i samsvar med denne lisensen.

3.2   LumiraDx har rett til å deaktivere ethvert passord, enten det er valgt av organisasjonen eller tildelt av LumiraDx, når som helst, hvis etter rimelig oppfatning organisasjonen eller brukerne har unnlatt å overholde noen av vilkårene i denne lisensen.

3.3    Organisasjonen kan bli gitt oppdateringer av LumiraDx Platform-programvare, som inkluderer innlemming av «patcher» og korrigering av feil fra tid til annen.

3.4    Organisasjonen skal kun:

(a)    tillate brukere å bruke LumiraDx Platform-programvaren, tjenestene og dokumentasjonen hvis de er over 18 år;

(b)    bruke LumiraDx Platform-programvaren og tjenestene i forbindelse med et diagnostisk Instrument levert av LumiraDx; og

(c)    bruke dokumentasjonen til å støtte bruken av LumiraDx Platform-programvaren og tjenestene som angitt i klausuler 3.5(a) og 3.5(b).

3.5    Organisasjonen skal ikke, med mindre det er uttrykkelig fastsatt i denne lisensen eller som tillatt ved lov:

(a)    kopiere LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen;

(b)    gjøre tilgjengelig eller gi tilgang til LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen til noen utenfor organisasjonen;

(c)    leie ut, lease, underlisensiere, distribuere, låne ut, oversette, slå sammen, tilpasse, variere eller modifisere LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen;

(d)   foreta endringer i, eller endringer av, hele eller deler av LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen;

(e)    tillate at LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen eller deler av dem å bli kombinert med, eller bli innlemmet i, noen andre programmer eller dokumentasjon uten å innhente skriftlig samtykke fra LumiraDx;

(f)    demontere, dekompilere, omvendt utvikle eller opprette avledede arbeider basert på hele eller deler av LumiraDx Platform-programvaren eller tjenestene;

(g)    få tilgang til hele eller deler av LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen for å bygge et produkt som konkurrerer med LumiraDx Platform-programvaren eller tjenestene;

(h)    levere eller på annen måte gjøre tilgjengelig LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen helt eller delvis (inkludert objekt og kildekode), i noen form til noen person, annet enn som angitt i klausul 3, uten skriftlig forhåndssamtykke fra LumiraDx; og

(i)    overføre eller selge et diagnostisk Instrument som Instrument-programvaren er installert på, til en tredjepart uten skriftlig forhåndssamtykke fra LumiraDx. ((samle, “lisensbegrensninger”).

3.6    Organisasjonen skal ikke:

(a)    bruke LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen på ulovlige måter, for ulovlige formål, eller på noen måte som ikke er i tråd med denne lisensen, eller opptre bedragersk eller ondsinnet, for eksempel ved å hacke inn i eller sette inn ondsinnet kode, inkludert virus eller skadelig data i Connect Manager, tjenestene eller dokumentasjonen eller ethvert operativsystem;

(b)   bruke LumiraDx Platform-programvaren for noe annet formål enn testing utført i forbindelse med bruk av diagnostisk Instrument i en profesjonell setting;

(c)    krenke LumiraDx sine immaterielle rettigheter eller de til tredjeparter i forbindelse med bruken av LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen (i den grad slik bruk ikke er tillatt av denne lisensen);

(d)   overføre materiale som er ærekrenkende, støtende eller på annen måte upassende i forbindelse med bruken av LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen;

(e)   bruke LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen på en måte som kan skade, deaktivere, overbelaste, forringe eller kompromittere LumiraDx sine systemer eller sikkerhet eller forstyrre andre brukere; og

(f)    underlagt klausul 12.2(d), innhente eller høste informasjon eller data fra Connect Manager, tjenestene eller dokumentasjonen, (samlet, “begrensninger for akseptabel bruk”).

3.7   LumiraDx skal følge arkiveringsprosedyrer for pasientdata behandlet av Connect Manager (som beskrevet i retningslinjene for sikkerhetskopiering, en kopi av disse er tilgjengelig på forespørsel). Ved utilsiktet eller ulovlig tap, skade, endring, uautorisert offentliggjøring eller tilgang til pasientdata, vil LumiraDx varsle organisasjonen uten unødig forsinkelse etter å ha blitt oppmerksom på hendelsen. Organisasjonens eneste og eksklusive rettsmiddel skal være for LumiraDx for å bruke rimelige kommersielle tiltak for å gjenopprette pasientdataene fra den nyeste sikkerhetskopien. LumiraDx skal ikke være ansvarlig for tap, ødeleggelse, endring eller utlevering av pasientdata som er forårsaket av en tredjepart, unntatt for en tredjepartsbehandler engasjert av LumiraDx for behandling av pasientdata i samsvar med klausul 4.6.

4.    DATAVERN

4.1    Hver part skal behørig overholde alle sine forpliktelser under datavernlovgivningen, som oppstår i forbindelse med denne lisensen. Denne klausul 4.1 kommer i tillegg til, og vil ikke avlaste, fjerne eller erstatte en parts forpliktelser under datavernlovgivningen.

4.2    Organisasjonen skal ha eneansvar for pasientdataene. Underlagt denne klausul 4, skal LumiraDx skal ikke ha noen rettigheter til pasientdataene.

4.3    LumiraDx skal behandle personopplysninger relatert til organisasjonens ansatte, agenter og uavhengige kontraktører i samsvar med deres retningslinjer for personvern som vist på deres nettsted fra tid til annen. For formålet med denne klausul 4.3, er LumiraDx databehandlingsansvarlig for slike personopplysninger.

4.4    Partene erkjenner at for formålene for datavernlovgivningen er organisasjonen den databehandlingsansvarlige og LumiraDx databehandleren av pasientdata og andre relaterte personopplysninger oppgitt av organisasjonen til LumiraDx for behandling i samsvar med klausuler 4.5 og 4.6. Vedlegg 1 angir omfanget, arten og formålet med LumiraDX sin behandling, varigheten av behandlingen og typene personopplysninger og kategorier av dataemner (som definert i datavernlovgivningen).

4.5    Uavhengig av den generelle forpliktelsen i klausul 4.1, ved behandling av pasientdata:

(a)    skal organisasjonen sørge for at de relevante tredjepartene, inkludert, men ikke begrenset til pasienter, har blitt informert om og har gitt sitt spesifikke samtykke til, slik bruk (inkludert bruk som er fastsatt i vedlegg 1), behandling og overføring som påkrevd av datavernlovgivningen;

(b)   LumiraDx skal:

(i)    kun behandle disse pasientdataene på organisasjonens skriftlige instruksjoner, som er fastsatt i vedlegg 1, med mindre LumiraDx er påkrevd i henhold til lovene til et medlem av EU eller av lovene i EU som gjelder for LumiraDx for å behandle pasientdata (“gjeldende lover”). Der LumiraDx baserer seg på gjeldende lover som grunnlag for behandling av pasientdata, skal LumiraDx umiddelbart varsle organisasjonen om dette før behandlingen påkrevd av gjeldende lover utføres, med mindre de aktuelle lovene forbyr LumiraDx fra å varsle organisasjonen;

(ii)    sørge for at den har på plass egnede tekniske, kontraktsmessige og organisatoriske tiltak for å beskytte mot uautorisert eller ulovlig behandling av pasientdataene og mot utilsiktet tap eller ødeleggelse av, eller skade på, pasientdataene, passende for skaden som kan oppstå fra den uautoriserte eller ulovlige behandlingen eller det utilsiktede tapet, ødeleggelsen eller skaden og arten av dataene som skal beskyttes, med hensyn til tilstanden av teknologisk utvikling og kostnadene ved å implementere eventuelle tiltak;

(iii)    sørge for at alt personell som har tilgang til og/eller behandler pasientdata er forpliktet til å holde pasientdataene konfidensielle;

(iv)    sørge for at den ikke bevisst eller uaktsomt gjør eller ikke gjør noe som gjør at organisasjonen bryter med organisasjonens forpliktelser i henhold til datavernlovgivningen;

(v)    bistå organisasjonen, på organisasjonens bekostning, med å svare på forespørsler fra en registrert og for å sikre samsvar med dens forpliktelser under datavernlovgivningen med hensyn til sikkerhet, varsler om brudd, effektvurderinger og konsultasjoner med tilsynsmyndigheter eller tilsynsorgan;

(vi)    varsle organisasjonen uten unødig forsinkelse etter å ha blitt oppmerksom på et brudd på pasientdataene

(vii)    opprettholde fullstendige og nøyaktige skriftlige dokumenter og informasjon om behandlingsaktiviteter for pasientdataene for å demonstrere samsvar med denne klausul 4; og

(viii)    ikke overføre pasientdata utenfor EØS med mindre hensiktsmessige sikkerhetstiltak er iverksatt. Organisasjonen godtar at personopplysninger relatert til organisasjonens ansatte, agenter eller uavhengige kontraktører kan overføres utenfor EØS forutsatt at hensiktsmessige sikkerhetstiltak i forbindelse med overføringen er på plass og LumiraDx sikrer at tilstrekkelig beskyttelse gis alle pasientdata som overføres.

4.6    Organisasjonen samtykker i at LumiraDx utnevner tredjeparts dataoppbevaringsleverandører (som inkluderer ethvert medlem av LumiraDx-gruppen) og tredjeparts leveringsleverandører, tredjeparts leverandører av enheter (inkludert diagnostisk Instrument), tredjeparts tjenesteleverandører (som kan tilby telefonstøttetjenester og teknisk støtte) som en tredjepartsbehandler av personopplysninger under denne lisensen. LumiraDx bekrefter at den har inngått, eller (som kan være aktuelt) vil inngå, en skriftlig avtale med tredjepartsbehandleren i vesentlig grad på den tredjepartens standard forretningsvilkår. Som mellom organisasjonen og LumiraDx, skal LumiraDx forbli fullt ansvarlig for alle handlinger eller utelatelser fra en tredjepartsbehandler utnevnt av dem i henhold til denne klausul 4.6.

4.7    Organisasjonen samtykker i at LumiraDx kan opprette anonymiserte data produsert fra pasientdataene innlagt i LumiraDx Platform-programvaren av organisasjonen, forutsatt at ISB1523 Anonymiseringsstandarder for publisering av helseomsorgsdata blir observert.

5.    BETINGELSESKLAUSUL

5.1    Hvis Storbritannia forlater EU uten en tilbaketrekkingsavtale på dagen for avvikling (eller overgangsperioden i henhold til en tilbaketrekkingsavtale utløper før EU-kommisjonen har vedtatt en tilstrekkelighetsbeslutning for Storbritannia):

(a)    inngår partene herved standardklausulene (“SCCs-er”) i EU-kommisjonens beslutning 2010/87/EC som er vedlagt i vedlegg 2 og samtykker i, der ingen annen passende sikring eller unntak gjelder, at pasientdataene som er underlagt denne lisensen (og som kapittel V av GDPR gjelder for), vil bli overført i samsvar med SCC-ene eksklusivt av eventuelle valgfrie klausuler fra og med den datoen. Partene samtykker i å bruke beste anstrengelser for å fullføre bestemmelsene til SCC-ene omgående og i alle tilfeller innen 30 dager for formålet å gi fullstendig effekt til klausulene. Hvis det er noen konflikt mellom denne lisensen og vilkårene for SCC-er, skal vilkårene i SCC-ene gjelde.

6.    INFORMASJONSFRIHET

6.1   LumiraDx erkjenner at organisasjonen kan være underlagt kravene til FOIA og skal bistå og samarbeide med organisasjonen (på organisasjonens bekostning) for å gjøre det mulig for organisasjonen å overholde disse kravene til informasjonsavsløring.

6.2   LumiraDx skal:

(a)    overføre enhver forespørsel om informasjon til organisasjonen så snart som praktisk mulig etter mottak av en forespørsel om informasjon;

(b)   gi organisasjonen en kopi av all informasjon de har i sin besittelse eller makt i den formen organisasjonen krever så snart som praktisk mulig (eller en annen lengre periode som organisasjonen kan spesifisere) for organisasjonen som ber om denne informasjonen; og

(c)    gi all nødvendig assistanse som rimelig forespurt av organisasjonen for å gjøre det mulig for organisasjonen å svare på en forespørsel om informasjon innen tidsfristen som er fastsatt i punkt 10 i FOIA.

6.3    LumiraDx skal ikke under noen omstendighet svare direkte på en forespørsel om informasjon.

7.    ORGANISASJONENS FORPLIKTELSER

7.1    Organisasjonen skal:

(a)   innhente tillatelse fra eierne av mobile enheter, der den har lastet ned eller brukt en kopi av Connect Manager som er kontrollert, men ikke eid, av den;

(b)    behandle passord eller annen informasjon som er gitt som en del av LumiraDx sine sikkerhetsprosedyrer, som konfidensiell. Organisasjonen skal ikke offentliggjøre den til noen tredjepart;

(c)    sikre at alle deres brukere av LumiraDx Platform-programvaren handler i samsvar med denne lisensen og kun bruker den til de formålene som er fastsatt i klausul 3;

(d)    sikre at alle brukere av LumiraDx Platform-programvaren overholder prosedyrene og retningslinjene som er fastsatt i dokumentasjonen (inkludert brukerhåndboken) relatert til bruken av LumiraDx Platform-programvaren;

(e)    til enhver tid samarbeide med LumiraDx og gi informasjon som er rimelig krevet av LumiraDx;

(f)    overvåke og kontrollere bruken av LumiraDx Platform-programvaren i samsvar med vilkårene i denne lisensen og sørge for at LumiraDx Platform-programvaren kun brukes av passende kvalifisert og opplært helsepersonell;

(g)    varsle LumiraDx umiddelbart om eventuelle uheldige hendelser der LumiraDx Platform-programvaren kan ha vært en medvirkende faktor. Organisasjonen godtar videre å oppgi skriftlige detaljer om hendelsen og samarbeide med LumiraDx i deres etterforskning av hendelsen. Organisasjonen erkjenner og samtykker i at all kommunikasjon knyttet til enhver uheldig hendelse skal anses som konfidensiell informasjon og skal være underlagt konfidensialitetsforpliktelsene i klausul 9;

(h)    rapportere alle feil, problemer eller defekter i LumiraDx Platform-programvaren til LumiraDx. Organisasjonen erkjenner og samtykker i at all kommunikasjon knyttet til feil, problemer eller defekter i LumiraDx Platform-programvaren skal anses som konfidensiell informasjon og skal være underlagt konfidensialitetsforpliktelsene i klausul 8, og

(i)    ikke tillate at noen tredjepart gir teknisk støtte i forbindelse med LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen.

8.    EIENDOMSRETTIGHETER

8.1   Organisasjonen erkjenner at LumiraDx og/eller deres lisensgivere (som er tredjeparts eiere av immaterielle rettigheter som brukes i LumiraDx Platform-programvaren), eier alle immaterielle rettigheter i LumiraDx Platform-programvaren, tjenestene og dokumentasjonen. Denne lisensen gir ikke organisasjonen noen rettigheter til, eller i, patenter, opphavsrettigheter, databaserettigheter, forretningshemmeligheter, varenavn, varemerker (enten registrert eller uregistrert), eller noen andre rettigheter eller lisenser med hensyn til LumiraDx Platform-programvaren, tjenestene eller noen relatert dokumentasjon, annet enn retten til å bruke dem i samsvar med denne lisensen.

8.2    Organisasjonen erkjenner at den ikke har rett til å ha tilgang til LumiraDx Platform-programvaren i kildekodeform.

9.    KONFIDENSIALITET

9.1    LumiraDx erkjenner at pasientdataene er den konfidensielle informasjonen til organisasjonen.

9.2    Underlagt klausul 9.3, skal partene holde konfidensiell den konfidensielle informasjonen om den andre parten og skal bruke alle rimelige tiltak for å hindre at deres ansatte, agenter og uavhengige kontraktører offentliggjør den konfidensielle informasjonen til noen person.

9.3    Klausul 9.2 skal ikke gjelde for offentliggjøring av informasjon:

(a)    påkrevd av gjeldende lov, gitt at klausul 5 skal gjelde for eventuelle offentliggjøringer som kreves under FOIA;

(b)    som er rimelig pålagt av personer engasjert av en part i utførelsen av denne partens forpliktelser under denne lisensen;

(c)    der en part kan vise at slik informasjon allerede er generelt tilgjengelig og i det offentlige domenet på annen måte enn som følge av et brudd på klausul 9.2;

(d)    som allerede er lovlig i den mottakende parts besittelse, før offentliggjøring av den avdekkende part, og den avdekkende part er ikke forpliktet til å være fortrolig med hensyn til denne informasjonen;

(e)    av en part når den andre parten har gitt sitt skriftlige forhåndssamtykke til offentliggjøring.

10.    OPPLÆRING

10.1    Dokumentasjonen inneholder en brukerhåndbok som gir grunnleggende opplæringsinformasjon for organisasjonen og brukerne. Organisasjonen skal sørge for at alle brukere har lest og forstått grunnleggende opplæringsinformasjon, angitt i dokumentasjonen, før bruk av LumiraDx Platform-programvaren.

10.2    Organisasjonen samtykker i å gjennomføre, og skal sørge for at alle brukere gjennomfører, alle ytterligere opplæringskrav som er fastsatt i LumiraDx Platform-programvaren fra tid til annen.

11.    ANSVARSBEGRENSNING

11.1    Organisasjonen godtar at den påtar seg eneansvar for resultater innhentet fra bruk av LumiraDx Platform-programvaren og tjenestene og for konklusjoner trukket fra slik bruk. LumiraDx skal ikke ha noe ansvar for skade forårsaket av feil eller utelatelser i informasjon oppgitt av organisasjonen, eller eventuelle handlinger utført av LumiraDx mot organisasjonen. Organisasjonen erkjenner at LumiraDx Platform-programvaren ikke ble designet for organisasjonens individuelle krav, og at det derfor er organisasjonens ansvar å sikre at fasilitetene og funksjonene til LumiraDx Platform-programvaren, som beskrevet i dokumentene, oppfyller kravene sine.

11.2    LumiraDx Platform-programvaren og tjenestene er kun ment som et diagnostisk hjelpemiddel og er ikke en erstatning for ekspertisen og vurderingen til leger, farmasøyter eller annet helsepersonell. All informasjon gis på grunnlag av at helsetjenesteutøverne som er ansvarlig for pasientomsorg vil beholde fullt og eneansvar for å avgjøre behandling som skal foreskrives eller gis for alle pasienter, og spesielt hvorvidt bruken av informasjon fra LumiraDx Platform-programvaren er trygg, passende eller effektiv for en bestemt pasient eller under spesifikke omstendigheter.

11.3    LumiraDx skal ikke være ansvarlig:

(a)    enten det er i tort (inkludert for uaktsomhet eller brudd på lovbestemt plikt), kontrakt, feilaktig fremstilling, gjengjeldelse eller på annen måte for tap av inntekt, tap av fortjeneste eller kontrakter, tap av forretningsvirksomhet, forretningsavbrudd, tap av penger eller forventede besparelser, tap av eller mangel på muligheter, godvilje, omdømme og/eller lignende tap, eller tap eller korrupsjon av data eller informasjon, eller rent økonomisk tap, eller noen spesielle, indirekte eller følgetap, kostnader, skader, gebyrer eller utgifter som oppstår under denne lisensen, eller

(b)   for tap som oppstår som følge av at organisasjonen eksporterer informasjon eller data (inkludert pasientdata) fra visningsfunksjonene i Connect Manager.

11.4    Annet enn tapene som er fastsatt i klausul 11.3 (som LumiraDx ikke er ansvarlig for), skal LumiraDx sitt samlede ansvar i kontrakt, tort (inkludert uaktsomhet eller brudd på lovbestemt plikt), feilaktig fremstilling, gjengjeldelse eller annet, som oppstår i forbindelse med ytelsen eller overveid ytelse av denne lisensen være begrenset til de totale lisensavgifter betalt til LumiraDx for diagnostisk Instrument(s) i løpet av de 12 månedene forut for datoen da kravet oppsto.

11.5    Ingenting i denne lisensen utelukker ansvaret for død eller personskade forårsaket av uaktsomhet eller svindel eller bedragersk feilaktig fremstilling.

11.6    Kunden erkjenner at all programvare med åpen kildekode levert av LumiraDx leveres «som den er» og uttrykkelig underlagt ansvarsfraskrivelsen i klausul 11.7. Vilkårene for en lisens for programvare med åpen kildekode kan overstyre noen av vilkårene i denne lisensen.

11.7    Denne lisensen angir hele omfanget av LumiraDx sitt ansvar med hensyn til LumiraDx Platform-programvaren, tjenestene og dokumentasjonen. Med unntak av det som uttrykkelig er angitt i denne lisensen, er det ingen betingelser, garantier, representasjoner eller andre vilkår, uttrykt eller underforstått, som er bindende for LumiraDx. Enhver betingelse, garanti, representasjon eller annet vilkår angående leveringen av LumiraDx Platform-programvaren, tjenestene, eller dokumentasjonen som ellers kan være underforstått i, eller inkorporert i, denne lisensen enten etter lover, sedvanerett eller på annen måte, er utelukket i den grad det er tillatt ved lov.

12.  VARIGHET OG AVSLUTNING

12.1    Uten at det påvirker andre rettigheter eller rettsmidler som er tilgjengelige for dem, kan LumiraDx avslutte denne lisensen med umiddelbar virkning ved å gi skriftlig varsel til organisasjonen hvis:

(a)    Organisasjonen eller dennes brukere, begår et vesentlig brudd på noen av bestemmelsene i denne lisensen der bruddet er uopprettelig, eller (hvis slikt brudd kan rettes opp) feiler i å rette opp dette bruddet innen en periode på14 dager etter at de har blitt varslet skriftlig om å gjøre det;

(b)    Organisasjonen eller dennes brukere bryter noen av lisensbegrensningene eller begrensningene for akseptabel bruk;

(c)   Organisasjonen suspenderer eller truer med å suspendere, betaling av sin gjeld eller ikke kan betale sin gjeld etter hvert som den forfaller eller innrømmer manglende evne til å betale sin gjeld eller anses som ikke i stand til å betale sin gjeld innen betydningen av paragraf 123 i Insolvensloven av 1986;

(d)    en begjæring blir sendt inn, et varsel blir gitt, en resolusjon går gjennom, eller en ordre blir gitt, for eller i forbindelse med avslutningen av organisasjonen annet enn med det eneste formålet planlegge en solvent sammenslåing av organisasjonen med ett eller flere andre selskaper, eller den solvente omorganiseringen av organisasjonen;

(e)    en søknad er gjort hos retten, eller en ordre blir gitt om utnevnelsen av en administrator, eller hvis et varsel om intensjonen om å utnevne en administrator blir gitt, eller hvis en administrator er utnevnt, over organisasjonen;

(f)   en person blir berettiget til å utnevne en mottaker over organisasjonens aktiva eller en mottaker er utpekt over organisasjonens aktiva;

(f)   organisasjonen suspenderes eller opphører, eller truer med å suspendere eller opphøre, å fortsette med hele eller en vesentlig del av sin virksomhet; eller (h)   organisasjonen overfører eller tillater en tredjeparts tilgang til et diagnostisk Instrument, som Instrument-programvaren er installert på, eller som brukes i administrert modus til å få tilgang til Connect Manager, utenfor organisasjonen eller til en tredjepart, uten skriftlig forhåndssamtykke fra LumiraDx.

12.2    Ved avslutning av denne lisensen av hvilken som helst grunn:

(a)    alle rettigheter gitt til organisasjonen under denne lisensen skal opphøre;

(b)    organisasjonen skal umiddelbart stanse alle aktiviteter som er autorisert av denne lisensen (inkludert bruk av LumiraDx Platform-programvaren, tjenestene og dokumentasjonen) og skal slette Connect Manager fra alle mobile enheter og umiddelbart ødelegge alle kopier under sin kontroll;

(c)    organisasjonen skal returnere og ikke lenger bruke dokumentasjonen (og alle kopier av den) som tilhører LumiraDx;

(d)   organisasjonen skal slette eller trekke ut (ved hjelp av eksportfunksjonen i Connect Manager) eventuelle pasientdata som er lagret i Connect Manager innen 10 dager etter datoen for avslutning av denne lisensen. Hvis organisasjonen ber om det, kan LumiraDx gi rimelig assistanse for å muliggjøre ekstraksjon av pasientdata lagret i Connect Manager, og kostnadene ved slik assistanse skal belastes organisasjonen til de avtalte prisene med LumiraDx; og

(e)    organisasjonen skal slette eller fjerne alle pasientdata eller andre personopplysninger fra Instrument-programvaren innen 10 dager etter datoen for avslutning av denne lisensen.

12.3 Ved avslutning eller utløp av denne lisensen skal følgende klausuler fortsette i kraft: klausul 1 (Tolkning), klausul 9 (Konfidensialitet), klausul 11 (Ansvarsbegrensning) og denne klausul 12 (Avslutning).

13.    VARIASJON

Ingen variasjon av denne lisensen skal være gyldig med mindre den er skriftlig og signert av partene (eller deres autoriserte representanter).

14.    FRASKRIVELSE

Ingen feil hos eller forsinkelse av en part til å utøve rettigheter eller rettsmidler som er gitt under denne lisensen eller ved lov skal utgjøre en fraskrivelse av den eller noen annen rettighet eller rettsmiddel, og skal heller ikke hindre eller begrense videre utøvelse av den eller andre rettigheter eller rettsmidler. Ingen enkel eller delvis utøvelse av slik rettighet eller rettsmiddel skal hindre eller begrense videre utøvelse av den eller andre rettigheter eller rettsmidler.

15.  SLUTTVEDERLAG

15.1    Hvis en bestemmelse (eller del av en bestemmelse) i denne lisensen er funnet av en domstol eller et administrativt organ av kompetent jurisdiksjon til å være ugyldig, ikke håndhevbar eller ulovlig, skal de andre bestemmelsene forbli gjeldende.

15.2    Hvis en ugyldig, ikke håndhevbar eller ulovlig bestemmelse ville være gyldig, håndhevbar eller lovlig hvis en del av den ble slettet, skal bestemmelsen gjelde med enhver endring som er nødvendig for å gi virkning til partenes kommersielle intensjon.

16.    TILDELING

16.1    Organisasjonen skal ikke, uten skriftlig forhåndssamtykke fra LumiraDx, tildele, overføre, belaste, underkontraktere eller forhandle på noen annen måte med alle eller noen av sine rettigheter eller plikter under denne lisensen.

16.2    LumiraDx kan når som helst overdra, overføre, belaste, underkontraktere eller forhandle på noen annen måte med alle eller noen av sine rettigheter eller forpliktelser under denne lisensen.

17.    TREDJEPARTS RETTIGHETER

Denne lisensen gir ingen rettigheter til noen person eller part (andre enn partene til denne lisensen og, der det er aktuelt, deres etterfølgere og tillatte overdragelser og ethvert LumiraDx-gruppeselskap) i henhold til Contracts (Rights of Third Parties) Act 1999.

18.    VARSLER

18.1    Ethvert varsel som kreves å gis under denne lisensen skal være skriftlig og skal leveres for hånd eller sendes med forhåndsbetalt førsteklassepost eller rekommandert post til den andre parten på dennes hovedadresse eller slik annen adresse som kan ha blitt varslet av denne parten for slike formål.

18.2    Et riktig adressert varsel sendt med forhåndsbetalt førsteklassepost eller rekommandert post skal anses å være mottatt på tidspunktet da den ville blitt levert med ordinær postgang.

19.    GJELDENDE LOV OG JURISDIKSJON

19.1    Denne lisensen og enhver tvist eller krav som oppstår fra eller i forbindelse med den eller dens innhold eller dannelse (inkludert ikke-kontraktsmessige tvister eller krav) skal være underlagt og tolkes i samsvar med lovgivningen i England og Wales.

19.2    Hver part samtykker ugjenkallelig i at domstolene i England og Wales skal ha eksklusiv jurisdiksjon til å avgjøre eventuelle tvister eller krav som oppstår fra eller i forbindelse med denne lisensen eller dens innhold eller dannelse (inkludert ikke-kontraktsmessige tvister eller krav).

VEDLEGG 1

Behandling, personopplysninger og dataemner

1.   Behandling av LumiraDx

1.1 Art av og formål for behandling

      LumiraDx, og ethvert medlem av LumiraDx-gruppen, kan behandle personopplysninger:

  • for å registrere hvilke analyser som ble utført på hvilke pasienter og resultatene; 
  • for å tilby tjenester til organisasjonen og opprettholde dennes konto; 
  • for å sikre at brukere har tilgang til informasjon som er relevant for deres rolle og kun til deres rolle; 
  • for å sikre overholdelse av regelverk; 
  • for å sikre at pasienter kan identifiseres og at riktige analyseresultater som er tilknyttet pasienten vises i de elektroniske journalsystemene; 
  • for dataanalyse og statistisk forskning for å hjelpe LumiraDx med å forstå hvordan produktene brukes;  
  • for å undersøke misbruk av organisasjonens konto, svindel og gjeldsinnsamling.
  • for støtte, vedlikehold og pasientsikkerhet (inkludert etterforskning av feil); 
  • for å forbedre ytelsen eller funksjonene til LumiraDx Platform-programvaren, tjenestene eller dokumentasjonen;
  • for å gi tilbakemelding til organisasjonen og/eller pasienten og forbedre utførelsen av tjenesten som organisasjonen leverer;  
  • for å forbedre eller utvikle diagnostisk Instrument eller LumiraDx Platform-programvaren;
  • for å forbedre forståelsen, behandlingen, resultatene og valget for pasienter og helsepersonell; og 
  • for å overholde alle relevante lovbestemte eller regulatoriske krav som pålegges LumiraDx fra tid til annen.

1.2 Emne og varighet av behandlingen

Emnet og varigheten av behandlingen er fastsatt i lisensen.  

2.  Typer personopplysninger

  • Personopplysninger, inkludert pasientidentifikasjon, fornavn, etternavn, fødselsdato og kjønn; 
  • data relatert til helse, inkludert helsetilstander som påvirker pasienter og analyseresultatinformasjon. 

3.  Kategorier av dataemner

  • Pasient(er).   

VEDLEGG 2

Standard kontraktklausuler for overføring av personopplysninger fra EU til behandlere etablert i tredjeland (overføringer fra behandlingsansvarlig til behandler)

For formålene i artikkel 26(2) i direktiv 95/46/EC for overføringen av personopplysninger til behandlere etablert i tredjeland som ikke sikrer et tilstrekkelig nivå av datavern

Navn på dataeksportorganisasjonen: ...............................................................

adresse: ...............................................................

tlf.: ...............................................................

faks: ...............................................................

e-post: ...............................................................

Annen informasjon som trengs for å identifisere organisasjonen ..............................................................

(the “dataeksportøre”)

Navn på dataimportorganisasjonen: ...............................................................

adresse: ...............................................................

tlf.: ...............................................................

faks: ...............................................................

e-post: ...............................................................

Annen informasjon som trengs for å identifisere organisasjonen ..............................................................

(the “dataimportøren”)

HAR BLITT ENIGE I følgende kontraktklausuler (klausulene) for å fremsette tilstrekkelige sikkerhetstiltak med hensyn til beskyttelse av personvern og grunnleggende rettigheter og friheter for overføring av personopplysninger til dataimportøren for personopplysningene spesifisert i VEDLEGG A.

1.    Definisjoner

For formålene i klausulene:

(a)    personopplysninger, spesielle datakategorier, behandle/behandling, behandlingsansvarlig, behandler, dataemne og tilsynsmyndighet skal ha samme betydning som i direktiv 95/46/EC fra Europaparlamentet og Rådet av 24. oktober 1995 om beskyttelse av personer med hensyn til behandling av personopplysninger og fri bevegelse av slike data (1);

(b)    dataeksportøren betyr den behandlingsansvarlige som overfører personopplysningene;

(c)    dataimportøren betyr behandleren som samtykker i å motta fra dataeksportøren personopplysninger som er ment for behandling på deres vegne etter overføringen i samsvar med instruksjonene og vilkårene i klausulene og som ikke er underlagt et tredjeland som sikrer tilstrekkelig beskyttelse i henhold til meningen i artikkel 25(1) i direktiv 95/46/EC;

(d)    under-behandleren betyr enhver behandler som er engasjert av dataimportøren eller av andre underbehandlere av dataimportøren som godtar å motta fra dataimportøren eller fra andre underbehandlere av dataimportøren, personopplysninger som utelukkende er beregnet for behandlingsaktiviteter som skal utføres på vegne av dataeksportøren etter overføringen i samsvar med instruksjonene, vilkårene i klausulene og vilkårene i den skriftlige underkontrakten;

(e)    gjeldende datavernlov betyr lovgivningen som beskytter de grunnleggende rettighetene og frihetene til enkeltpersoner og spesielt deres rett til personvern med hensyn til behandling av personopplysninger som gjelder for en datakontrollør i medlemsstaten der dataeksportøren er etablert;

(f)    tekniske og organisatoriske sikkerhetstiltak betyr de tiltak som er rettet mot å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt når behandlingen involverer overføring av data over et nettverk, og mot alle andre ulovlige former for behandling.

2.    Detaljer om overføringen

Detaljene om overføringen og spesielt de spesielle kategoriene av personopplysninger der det er aktuelt, er spesifisert i VEDLEGG A som danner en integrert del av klausulene.

3.    Klausul for tredjepartsmottaker

3.1    Dataemnet kan ha makt over dataeksportøren i denne klausul 3, klausul 4(b) til klausul 4(i), klausul 5(a) til klausul 5(e) og klausul 5(g) til klausul 5(j), klausul 6.1 og klausul 6.2, klausul 7, klausul 8.2 og klausul 9 til klausul 12 som tredjepartsmottaker.

3.2    Dataemnet kan ha makt over dataimportøren i denne klausul 3, klausul 5(a) til klausul 5(e) og klausul 5(g), klausul 6, klausul 7, klausul 8.2 og klausul 9 til klausul 12 i tilfeller der dataeksportøren har forsvunnet eller har opphørt å eksistere i lovverket med mindre en etterfølgerenhet har påtatt seg alle de juridiske forpliktelsene til dataeksportøren etter kontrakt eller ved bruk av loven, som et resultat av at den påtar seg rettighetene og forpliktelsene til dataeksportøren, i hvilket tilfelle dataemnet kan ha makt over dem mot en slik enhet.

3.3    Dataemnet kan ha makt over underbehandleren i denne klausulen 3, klausul 5(a) til klausul 5(e) og klausul 5(g), klausul 6, klausul 7, klausul 8.2, og klausul 9 til klausul 12 i tilfeller der både dataeksportøren og dataimportøren har forsvunnet eller opphørt å eksistere i lovverket eller har blitt insolvente, med mindre en etterfølgerenhet har påtatt seg hele de juridiske forpliktelsene til dataeksportøren i henhold til kontrakten eller ved bruk av loven som et resultat av at den påtar seg rettighetene og forpliktelsene til dataeksportøren, i hvilket tilfelle dataemnet kan ha makt over dem mot en slik enhet. Slikt tredjeparts ansvar for underbehandleren skal begrenses til deres egne behandlingsoperasjoner under klausulene.

3.4   Partene motsetter seg ikke at en dataemne blir representert av en forening eller et annet organ hvis dataemnet så uttrykkelig ønsker og hvis det er tillatt i henhold til nasjonal lovgivning.

4.   Dataeksportørens forpliktelser

Dataeksportøren godtar og garanterer:

(a)    at behandlingen, inkludert selve overføringen av personopplysningene, har blitt og vil fortsette å bli utført i samsvar med relevante bestemmelser i gjeldende datavernlov (og, hvis det er aktuelt, har blitt varslet til relevante myndigheter i medlemsstaten hvor dataeksportøren er etablert) og ikke bryter med de relevante bestemmelsene i den staten;

(b)    at den har instruert og gjennom hele varigheten av behandlingstjenestene for personopplysninger, vil instruere dataimportøren om å behandle personopplysningene som overføres kun på dataeksportørens vegne og i samsvar med gjeldende datavernlov og klausulene;

(c)    at dataimportøren vil gi tilstrekkelige garantier med hensyn til de tekniske og organisatoriske sikkerhetstiltakene som er spesifisert i VEDLEGG B til denne kontrakten;

(d)    at etter vurdering av kravene i gjeldende datavernlov er sikkerhetstiltakene passende for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt når behandlingen involverer overføring av data over et nettverk, og mot alle andre ulovlige former for behandling, og at disse tiltakene sørger for et hensiktsmessig sikkerhetsnivå som er egnet for risikoene som presenteres av behandlingen og arten av dataene som skal beskyttes med hensyn til den aktuelle art og kostnadene for deres implementering;

(e)    at den vil sikre samsvar med sikkerhetstiltakene;

(f)    at, hvis overføringen involverer spesielle datakategorier, har dataemnet blitt informert eller vil bli informert før, eller så snart som mulig etter overføringen, om at deres data kan overføres til et tredjeland som ikke gir tilstrekkelig beskyttelse i henhold til meningen i direktiv 95/46/EC;

(g)   å videresende varsler mottatt fra dataimportøren eller underbehandleren i henhold til klausul 5(b) og klausul 8.3 til datavernmyndigheten hvis dataeksportøren bestemmer seg for å fortsette overføringen eller løfte suspensjonen;

(h)   å gjøre tilgjengelig for dataemnet på forespørsel en kopi av klausulene, med unntak av VEDLEGG B og en oppsummering av sikkerhetstiltakene, samt en kopi av en kontrakt for underbehandlingstjenester som må gjøres i samsvar med klausulene, med mindre klausulene eller kontrakten inneholder kommersiell informasjon, i hvilket fall den kan fjerne slik kommersiell informasjon;

(i)    at, i tilfelle underbehandling, utføres behandlingsaktiviteten i samsvar med klausul 11 av en underbehandler som gir minst samme beskyttelsesnivå for personopplysningene og rettighetene til dataemnene som dataimportøren under klausulene; og

(j)    at den vil sikre samsvar med klausul 4(a) til klausul 4(i).

5.    Dataimportørens forpliktelser

Dataimportøren godtar og garanterer:

(a)    å behandle personopplysninger kun på vegne av dataeksportøren og i samsvar med instruksjonene og klausulene. Hvis den ikke kan tilby slikt samsvar av noen som helst grunn, samtykker den i å informere dataeksportøren om at sin manglende evne til samsvar, i hvis tilfelle dataeksportøren har rett til å suspendere overføringen av data og/eller avslutte kontrakten;

(b)    at den ikke har noen grunn til å tro at lovgivningen som gjelder for den hindrer den fra å oppfylle instruksjonene fra dataeksportøren og forpliktelsene i kontrakten, og at i tilfelle en endring i denne lovgivningen som sannsynligvis vil ha en betydelig negativ virkning på de garantier og forpliktelser som er gitt i klausulene, vil den straks varsle endringen til dataeksportøren så snart den er oppmerksom på den, i hvis tilfelle dataeksportøren har rett til å suspendere overføringen av data og/eller avslutte kontrakten;

(c)    at den har implementert de tekniske og organisatoriske sikkerhetstiltakene som er spesifisert i VEDLEGG B før behandling av de overførte personopplysningene;

(d)   at den umiddelbart vil varsle dataeksportøren om:

(i)    enhver juridisk bindende forespørsel om avsløring av personopplysninger av en rettshåndhevende myndighet med mindre annet er forbudt, slik som et forbud under straffeloven om å bevare konfidensialiteten til en rettshåndhevende etterforskning;

(ii)    enhver utilsiktet eller uautorisert tilgang; og

(iii)    enhver forespørsel mottatt direkte fra dataemnene uten å svare på den forespørselen, med mindre den har blitt autorisert til å gjøre dette på annen måte;

(e)    å håndtere umiddelbart og riktig alle forespørsler fra dataeksportøren knyttet til behandlingen av personopplysningene underlagt overføringen og å etterkomme råd fra tilsynsmyndighetene med hensyn til behandlingen av de overførte dataene;

(f)    på anmodning fra dataeksportøren, å sende inn databehandlingsfasiliteter for revisjon av behandlingsaktivitetene som dekkes av klausulene, som skal utføres av dataeksportøren eller et inspeksjonsorgan som består av uavhengige medlemmer og er i besittelse av de påkrevde faglige kvalifikasjoner, bundet av en konfidensialitetsplikt, og valgt av dataeksportøren, der dette er aktuelt, i enighet med tilsynsmyndigheten;

(g)    å gjøre tilgjengelig for dataemnet på forespørsel en kopi av klausulene, eller enhver eksisterende kontrakt for underbehandling, med mindre klausulene eller kontrakten inneholder kommersiell informasjon, i hvilket fall den kan fjerne slik kommersiell informasjon, med unntak av VEDLEGG B, som skal erstattes av en oppsummering av sikkerhetstiltakene i de tilfellene der dataemnet ikke kan innhente en kopi fra dataeksportøren;

(h)   at, i tilfelle underbehandling, har den tidligere informert dataeksportøren og innhentet dens skriftlige forhåndssamtykke;

(i)    at behandlingstjenestene av underbehandleren vil bli utført i samsvar med klausul 11, og

(j)    å sende en kopi av eventuelle underbehandleravtaler som den konkluderer under klausulene til dataeksportøren.

6.    Ansvar

6.1    Partene er enige om at enhver registrert, som har lidd skade som følge av brudd på forpliktelsene som er nevnt i klausul 3 eller i klausul 11 av en part eller underbehandler, har rett til å motta kompensasjon fra dataeksportøren for skaden som er påført.

6.2    Hvis et dataemne ikke kan fremme krav for kompensasjon i samsvar med paragraf 1 mot dataeksportøren, som følge av et brudd fra dataimportøren eller dennes underbehandler på noen av deres forpliktelser som er nevnt i klausul 3 eller i klausul 11 fordi dataeksportøren har forsvunnet eller opphørt å eksistere i lovverket eller har blitt insolvent, samtykker dataimportøren i at den registrerte kan utstede et krav mot dataimportøren som om den var dataeksportøren, med mindre en etterfølgerenhet har påtatt seg alle de juridiske forpliktelsene til dataeksportøren etter kontrakt eller ved bruk av loven, i så tilfelle kan dataemnet håndheve sine rettigheter mot en slik enhet.

Dataimportøren kan ikke lene seg på et brudd fra en underbehandler på deres forpliktelser for å unngå sitt eget ansvar.

6.3    Hvis et dataemne ikke kan fremme krav mot dataeksportøren eller dataimportøren referert til i paragraf 1 og 2, som følge av et brudd fra underbehandleren på noen av deres forpliktelser referert til klausul 3 eller i klausul 11 fordi både dataeksportøren og dataimportøren har forsvunnet eller opphørt å eksistere i lovverket eller har blitt insolvent, samtykker underbehandleren i at dataemnet kan utstede et krav mot dataunderbehandleren med hensyn til dennes egne behandlingsoperasjoner under klausulen som om den var dataeksportøren eller dataimportøren, med mindre en etterfølgerenhet har påtatt seg alle de juridiske forpliktelsene til dataeksportøren eller dataimportøren etter kontrakt eller ved bruk av loven, i så tilfelle kan dataemnet håndheve sine rettigheter mot en slik enhet. Ansvaret til underbehandleren skal begrenses til deres egne behandlingsoperasjoner under klausulene.

7.    Mekling og jurisdiksjon

7.1    Dataimportøren samtykker i at hvis dataemnet påberoper tredjepartsmottakerrettigheter og/eller krav om kompensasjon for skader under klausulene, vil dataimportøren godta beslutningen til dataemnet:

(a)   å henvise tvisten til mekling, av en uavhengig person eller, der det er aktuelt, av tilsynsmyndigheten;

(b)    tå henvise tvisten til domstolene i medlemsstaten der dataeksportøren er etablert.

7.2    Partene er enige om at valget gjort av dataemnet ikke vil påvirke dens materielle eller prosedyremessige rettigheter til å søke rettsmidler i samsvar med andre bestemmelser i nasjonal eller internasjonal lovgivning.

8.    Samarbeid med tilsynsmyndigheter

8.1    Dataeksportøren godtar å sende inn en kopi av denne kontrakten hos tilsynsmyndigheten hvis den forespør eller hvis en slik innsendelse er påkrevd i henhold til gjeldende datavernlov.

8.2    Partene er enige om at tilsynsmyndigheten har rett til å gjennomføre en revisjon av dataimportøren og eventuelle underbehandlere, som har samme omfang og er underlagt de samme vilkårene som gjelder for en revisjon av dataeksportøren i henhold til gjeldende datavernlov.

8.3    Dataimportøren skal umiddelbart informere dataeksportøren om lovpålagte bestemmelser som eksisterer og gjelder for den selv eller underbehandler som forhindrer gjennomføring av en revisjon av dataimportøren eller enhver underbehandler i henhold til paragraf 2. I slikt tilfelle skal dataeksportøren ha rett til å iverksette tiltakene som er forutsett i klausul 5(b).

Gjeldende lov

Klausulene skal være underlagt loven i medlemsstaten der dataeksportøren er etablert.

10.    Kontraktvariasjoner

Partene forplikter seg til ikke å variere eller modifisere klausulene. Dette utelukker ikke partene fra å legge til klausuler om forretningsrelaterte saker der det er nødvendig, så lenge de ikke motsier klausulene.

11.    Underbehandling

11.1    Dataimportøren skal ikke underkontraktere noen av sine behandlingsoperasjoner utført på vegne av dataeksportøren under klausulene uten skriftlig forhåndssamtykke fra dataeksportøren. Der dataimportøren underkontrakterer sine forpliktelser i henhold til klausulene med samtykke fra dataeksportøren, skal den gjøre dette kun i form av en skriftlig avtale med underbehandleren som pålegger de samme forpliktelsene på underbehandleren som er pålagt dataimportøren under klausulene. Der underbehandleren unnlater å oppfylle sine forpliktelser om databeskyttelse under slik skriftlig avtale, skal dataimportøren være fullt ansvarlig overfor dataeksportøren for utførelsen av underbehandlerens forpliktelser under en slik avtale.

11.2    Den forhåndsskrevne kontrakten mellom dataimportøren og underbehandleren skal også tilby en tredjepartsmottakerklausul som fastsatt i klausul 3 for tilfeller der den registrerte ikke kan fremme kravet om kompensasjon referert til i paragraf 1 i klausul 6 mot dataeksportøren eller dataimportøren fordi de har forsvunnet eller har opphørt å eksistere i lovverket eller har blitt insolvent og ingen etterfølgende enhet har påtatt seg de fullstendige juridiske forpliktelsene til dataeksportøren eller dataimportøren etter kontrakt eller ved lov. Slikt tredjeparts ansvar for underbehandleren skal begrenses til deres egne behandlingsoperasjoner under klausulene.

11.3    Bestemmelsene knyttet til databeskyttelseaspekter for underbehandling av kontrakten referert til i paragraf 1, skal være underlagt lovgivningen i medlemsstaten der dataeksportøren er etablert.

11.4    Dataeksportøren skal opprettholde en liste over avtaler om underbehandling som er inngått under klausulene og varslet av dataimportøren i henhold til klausul 5(j), og som skal oppdateres minst én gang i året. Listen skal være tilgjengelig for dataeksportørens tilsynsmyndighet for datavern.

12.    Forpliktelse etter avslutning av behandlingstjenester for personopplysninger

12.1    Partene godtar at dataimportøren og underbehandleren når dataeksportøren avslutter leveringen av databehandlingstjenester, skal, ett dataeksportørens valg, returnere alle personopplysningene overført og kopiene av disse til dataeksportøren, eller skal destruere alle personopplysningene og attestere til dataeksportøren at de har gjort dette, med mindre lovgivning pålagt dataimportøren hindrer den i å returnere eller destruere hele eller deler av de overførte personopplysningene. I slikt tilfelle garanterer dataimportøren at de vil garantere konfidensialiteten til de overførte personopplysningene og ikke lenger vil aktivt behandle de overførte personopplysningene.

12.2    Dataimportøren og underbehandleren garanterer at på forespørsel fra dataeksportøren og/eller tilsynsmyndigheten, vil den sende inn sine databehandlingsfasiliteter for en revisjon av tiltakene som er nevnt i paragraf 1.

På vegne av dataeksportøren:

Navn (skrevet ut i sin helhet): ...............................................................

Stilling: ...............................................................

Adresse: ...............................................................

Annen informasjon som er nødvendig for at  

kontrakten skal være bindende (hvis noen) ...............................................................

Signatur ...............................................................

 (Organisasjonens stempel)

På vegne av dataimportøren:

Navn (skrevet ut i sin helhet): ...............................................................

Stilling: ...............................................................

Adresse: ...............................................................

Annen informasjon som er nødvendig for at 

kontrakten skal være bindende (hvis noen): ...............................................................

Signatur ...............................................................

 (Organisasjonens stempel)

VEDLEGG A til standard kontraktklausulene

Dette VEDLEGG A utgjør en del av klausulene og må fylles ut og signeres av partene.

Medlemsstatene kan fylle ut eller spesifisere, i henhold til deres nasjonale prosedyrer, eventuell nødvendig tilleggsinformasjon som skal finnes i dette VEDLEGG A.

Dataeksportør

 

Dataeksportøren er (spesifiser kort dine aktiviteter som er relevante for overføringen):

....................................................

Dataimportør

 

Dataimportøren er (spesifiser kort dine aktiviteter som er relevante for overføringen):

....................................................

Registrerte

 

Personopplysningene som overføres angår følgende kategorier av registrerte (spesifiser)

....................................................

Datakategorier

 

Personopplysningene som overføres angår følgende datakategorier (spesifiser)

....................................................

Spesielle datakategorier (hvis aktuelt)

 

Personopplysningene som overføres angår følgende spesielle datakategorier (spesifiser)

....................................................

Behandlingsoperasjoner

 

Overførte personopplysninger vil være underlagt følgende grunnleggende behandlingsaktiviteter (spesifiser)

....................................................

DATAEKSPORTØR

DATAIMPORTØR

Navn:..................................................

Autorisert underskrift:...........................

Navn:..................................................

Autorisert underskrift:...........................

VEDLEGG B til standard kontraktklausulene

Dette VEDLEGG B utgjør en del av klausulene og må fylles ut og signeres av partene.

Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som implementeres av dataimportøren i samsvar med klausul 4(d) og klausul 5(c) (eller dokumenter/lovgivning vedlagt):

..........................................................................................................

..........................................................................................................

..........................................................................................................

.......................................................................................