LumiraDx uk Ltd
Licens för LumiraDx Platforms programvara
(Gäller från och med januari 2020)
Licensavtalet (tillsammans med LumiraDx UK Ltd:s sekretesspolicy) (”licensen”) är ett juridiskt avtal mellan organisationen (enligt nedan) och LumiraDx UK Ltd, ett bolag registrerat i England och Wales med organisationsnummer 09206123 med säte på 3 More London Riverside, London, SE1 2AQ (”LumiraDx, vi eller oss”) och styr organisationens användning av:
LumiraDx licensierar Connect Manager till organisationen på grundval av denna licens och med förbehåll för eventuella regler eller policyer som tillämpas av någon app-butiksleverantör eller -operatör från vars webbplats organisationen laddar ner Connect Manager (”Appstore-regler”).
VIKTIG INFORMATION:
Genom att använda instrumentets programvara och/eller Connect Manager eller markera rutan ”Godkänn” bekräftar organisationen och dess användare att de godtar villkoren i denna licens. Organisationen ansvarar för att dess användare följer licensvillkoren. Denna licens omfattar i synnerhet ansvarsbegränsningar i klausul 11.
1. TOLKNING
1.1 Definitionerna och tolkningsreglerna i denna klausul tillämpas i bakgrunden och i denna licens:
Bankdag: alla andra dagar än lördagar, söndagar eller helgdagar i England när banker i London är öppna för affärsverksamhet.
Konfidentiell information: All information som konfidentiellt har angetts av någon av parterna eller som bör betraktas som konfidentiell (hur den än vidareförs eller på vilket medium den än lagras), inklusive information som skulle eller skulle kunna påverka någon persons kommersiella intressen, affärshemligheter, immateriella rättigheter, parternas kunskap samt alla personuppgifter och känsliga uppgifter i den mening som avses i dataskyddslagen.
Connect Manager: programvarans online-komponent som kallas Connect Manager (och alla dess uppdateringar och tillägg) som ägs och licensieras av LumiraDx och kan användas i samband med det diagnostiska instrumentet när det används i Administrationsläge.
Dataskyddslagstiftning: Allmänna dataskyddsförordningen ((EU) 2016/679) (”GDPR”) och alla nationella tillämpade lagar, förordningar och sekundära lagstiftningar, dataskyddslagen 2018, EU:s Dataskyddsdirektiv 95/46/EG, Förordningen om utredningsbefogenheter 2000, Lagen om telekommunikation (laglig affärsverksamhet) (avlyssning av kommunikation) 2000, Direktivet om dataskydd för elektronisk kommunikation 2002/58/EG, Förordningen om sekretess och elektronisk kommunikation (EG-direktivet) 2003 samt alla tillämpliga lagar och förordningar berörande behandling av personuppgifter och integritet, inklusive, i förekommande fall, riktlinjer och uppförandekoder som utfärdats av informationskommissionären.
Personuppgiftsansvarig: har den mening som anges i GDPR.
Personuppgiftsbiträde: har den mening som anges i GDPR.
Diagnostiskt instrument: Det diagnostiska instrument som LumiraDx levererar till organisationen.
Dokumentation: fysisk och elektronisk dokumentation som tillhandahålls av LumiraDx som avser LumiraDx Platforms programvara.
Yttrandefrihetsgrundlagen: Yttrandefrihetsgrundlagen och eventuellt underlydande lagstiftning som emellanåt skapas under den lagen tillsammans med eventuella riktlinjer och/eller uppförandekoder som utfärdats av behörig dataskyddsmyndighet eller relevant myndighet i förhållande till sådan lagstiftning.
Instrumentets programvara: alla programvarukomponenter som har installerats på det diagnostiska instrumentet (och alla dess uppdateringar och tillägg) som ägs och licensieras av LumiraDx.
Immateriella rättigheter: patent, bruksmodeller, rätt till uppfinningar, upphovsrätt och närstående och relaterade rättigheter, varu- och servicemärken, företagsnamn och domännamn, rättigheter i affärsutseende och design, goodwill och rätten att stämma för förvrängningar eller orättvis konkurrens, rättigheter i design, databasrättigheter, användarrättigheter och skydd av sekretess för konfidentiell information (inklusive kunskaper och affärshemligheter) och alla andra immateriella rättigheter, i vardera fallet vare sig om registrerad eller oregistrerad och inklusive alla ansökningar och rättigheter att ansöka om och beviljas, förnyelser eller förlängningar av och rättigheter att hävda prioritet från sådana rättigheter och alla liknande eller likvärdiga rättigheter eller former av skydd som existerar eller kommer att existera nu eller i framtiden i alla delar av världen.
Programvara med öppen källkod: programvara med öppen källkod enligt definitionen som ges av Open Source Initiative (http://opensource.org) eller Free Software Foundation (http://www.fsf.org).
Organisation: den juridiska enheten som begär en licens att använda LumiraDx Platforms programvara från LumiraDx som agerar som personuppgiftsansvarig.
LumiraDx-koncernen: innebär LumiraDx, LumiraDx eventuella dotterbolag och holdingbolag vid respektive tidpunkt samt dessa holdingbolags eventuella dotterbolag vid respektive tidpunkt. Alla företag inom LumiraDx-koncernen är medlemmar i LumiraDx-koncernen och begreppet ”LumiraDx koncernbolag” ska tolkas i enlighet därmed.
LumiraDx Platforms programvara: instrumentets programvara och Connect Manager.
Administrationsläge: användningen av det diagnostiska instrumentet och instrumentets programvara med Connect Manager som gör det möjligt för organisationen att överföra patientuppgifter till Connect Manager.
Mobil enhet: organisationens mobila eller handhållna enhet.
Normala arbetstider: kl. 09.00-17.00 lokal brittisk tid, alla bankdagar.
Patient(er): en person eller personer som har tillgång till vård/medicinska tjänster från en relevant organisation.
Patientuppgifter: klinisk information (inklusive bland annat personuppgifter) som samlas in av organisationen under behandling av patienter som inmatas av sina användare på LumiraDx Platforms programvara.
Personuppgifter: har den mening som anges i GDPR.
Uppgiftsbegäran: innebär en begäran om information eller en uppenbar begäran enligt den amerikanska yttrandefrihetsgrundlagen (FOIA).
Tjänster: alla tjänster som finns tillgängliga via Connect Manager och innehållet som LumiraDx tillhandahåller organisationen därigenom.
Användare: alla som är auktoriserade av organisationen att använda LumiraDx Platforms programvara, vilket omfattar dess anställda, ombud och självständiga leverantörer (nämligen kliniker).
1.2 Rubriker för klausuler, tabeller och paragrafer ska inte påverka tolkningen av denna licens.
1.3 Tabeller utgör en del av denna licens och ska ha samma verkan som om de i sin helhet vore inkluderade i denna licens. Alla hänvisningar till denna licens omfattar dess tabeller.
1.4 Alla ord som följer termerna ”inklusive”, ”inbegripet”, ”i synnerhet”, ”till exempel” eller liknande uttryck, ska tolkas som illustrativa och ska inte begränsa meningen med orden, beskrivningen, definitionen, frasen eller uttrycket som föregår dessa uttryck.
2. INSTALLATION
LumiraDx ska säkerställa att en kopia av instrumentets programvara är förinstallerad på varje diagnostiskt instrument.
3. BEVILJANDE AV LICENS
3.1 Med hänsyn till att organisationen godkänner villkoren i denna licens beviljar LumiraDx härmed organisationen och användarna en icke-exklusiv, icke-överlåtbar rätt att använda LumiraDx Platforms programvara, tjänsterna och dokumentationen inom deras organisation inom området där det är tillåtet att använda det diagnostiska instrumentet för behandling av patienter under den period vilken organisationen använder det diagnostiska instrumentet, om inte uppsagt enligt denna licens.
3.2 LumiraDx har rätt att inaktivera alla lösenord, oavsett om de har valts av organisationen eller tilldelats av LumiraDx, när som helst, om de enligt dess rimliga uppfattning anser att organisationen eller användarna inte har följt alla villkor i denna licens.
3.3 Organisationen kan emellanåt tillhandahållas uppdateringar av LumiraDx Platforms programvara som omfattar införlivandet av ”programfix” och felkorrigeringar.
3.4 Organisationen ska endast:
(a) tillåta användare som är 18 år eller äldre att använda LumiraDx Platforms programvara, tjänsterna och dokumentationen;
(b) använda LumiraDx Platforms programvara och tjänsterna i samband med ett diagnostiskt instrument som tillhandahålls av LumiraDx; samt
(c) använda dokumentationen för att stödja användningen av LumiraDx Platforms programvara och tjänsterna enligt klausuler 3.5(a) och 3.5(b).
3.5 Organisationen får inte, med undantag för vad som uttryckligen anges i denna licens eller enligt lag:
(a) kopiera LumiraDx Platforms programvara, tjänsterna eller dokumentationen;
(b) tillhandahålla eller ge tillgång till LumiraDx Platforms programvara, tjänsterna eller dokumentationen till någon utanför organisationen;
(c) hyra, hyra ut, dellicensera, distribuera, låna, översätta, slå samman, anpassa, ändra eller modifiera LumiraDx Platforms programvara, tjänsterna eller dokumentationen;
(d) göra ändringar till eller modifieringar av hela eller någon del av LumiraDx Platforms programvara, tjänsterna eller dokumentationen;
(e) tillåta att LumiraDx Platforms programvara, tjänsterna eller dokumentationen eller någon del slås samman med eller blir införlivad i andra program eller annan dokumentation utan LumiraDx föregående skriftliga samtycke erhållits;
(f) demontera, dekompilera, bakåtkompilera eller skapa derivatverk baserade på hela eller någon del av LumiraDx Platforms programvara eller tjänsterna;
(g) använda hela eller någon del av LumiraDx Platforms programvara, tjänsterna eller dokumentationen för att skapa en produkt som konkurrerar med LumiraDx Platforms programvara eller tjänsterna;
(h) tillhandahålla eller på annat sätt tillgängliggöra LumiraDx Platforms programvara, tjänsterna eller dokumentationen helt eller delvis (inklusive objekt och källkod) i vilken som helst form till vilken som helst person annat än vad som föreskrivs i klausul 3 utan LumiraDx föregående skriftliga samtycke; samt
(i) överföra eller sälja några diagnostiska instrument på vilka instrumentets programvara är installerad, till tredje part, utan föregående skriftligt samtycke från LumiraDx. (sammantaget, ”licensbegränsningar”).
3.6 Organisationen ska inte:
(a) använda LumiraDx Platforms programvara, tjänsterna eller dokumentationen på något olagligt sätt, i något olagligt syfte eller på något sätt som är oförenligt med denna licens eller agera bedrägligt eller uppsåtligt, till exempel genom att hacka in i eller infoga skadlig kod, inklusive virus, eller skadlig data till Connect Manager, tjänsterna eller dokumentationen eller något operativsystem;
(b) använda LumiraDx Platforms programvara i något annat syfte än testning utförd i samband med användning av det diagnostiska instrumentet i en professionell miljö;
(c) kränka LumiraDx immateriella rättigheter eller tredje parts rättigheter i samband med användningen av LumiraDx Platforms programvara, tjänsterna eller dokumentationen (i den mån sådan användning inte är tillåten enligt denna licens);
(d) överföra något material som är ärekränkande, förolämpande eller på annat sätt motbjudande vid användning av LumiraDx Platforms programvara, tjänsterna eller dokumentationen;
(e) använda LumiraDx Platforms programvara, tjänsterna eller dokumentationen på något sätt som kan skada, inaktivera, överbelasta, försämra eller kompromissa LumiraDx system eller säkerhet eller störa andra användare; samt
(f) med förbehåll för klausul 12.2(d), inte samla in eller skörda information eller data från Connect Manager, tjänsterna eller dokumentationen; (sammantaget, ”godtagbara användarbegränsningar”).
3.7 LumiraDx ska följa sina arkiveringsprocesser för patientuppgifter som behandlas av Connect Manager (som anges i dess policy för säkerhetskopiering, av vilket en kopia är tillgänglig på begäran). I händelse av oavsiktlig eller olaglig förlust, skada, ändring, obehörigt avslöjande eller tillgång till patientuppgifter ska LumiraDx underrätta organisationen utan onödigt dröjsmål efter att ha blivit medveten om händelsen. Organisationens enda och exklusiva rättsmedel ska vara att LumiraDx ska använda rimliga kommersiella ansträngningar för att återställa patientuppgifterna från den senaste säkerhetskopian. LumiraDx ska inte ansvara för förlust, förstörelse, ändring eller avslöjande av patientuppgifter som orsakats av tredje part, med undantag för tredje part som agerar som personuppgiftsbiträde å LumiraDx vägnar för behandling av patientuppgifter i enlighet med klausul 4.6.
4. DATASKYDD
4.1 Vardera parten ska vederbörligen följa alla sina skyldigheter enligt gällande dataskyddslagstiftning som gäller i samband med denna licens. Denna klausul 4.1 är ett tillägg och befriar inte, tar inte bort eller ersätter en parts skyldigheter enligt gällande dataskyddslagstiftning.
4.2 Organisationen ska ensamt ansvara för patientuppgifterna. Med förbehåll för denna klausul 4 ska LumiraDx inte ha några rättigheter i patientuppgifterna.
4.3 LumiraDx ska behandla personuppgifter relaterade till organisationens anställda, ombud och självständiga leverantörer i enlighet med sin sekretesspolicy som från tid till annan anges på dess webbplats. I enlighet med denna klausul 4.3 är LumiraDx personuppgiftsansvarig för sådana personuppgifter.
4.4 Parterna bekräftar att vid tillämpning av dataskyddslagen är organisationen personuppgiftsansvarig och LumiraDx är personuppgiftsbiträde för patientuppgifter och andra relaterade personuppgifter som organisationen tillhandahållit LumiraDx för behandling i enlighet med klausuler 4.5 och 4.6. Tabell 1 anger omfattningen, arten och syftet med LumiraDx behandling, dess varaktighet samt typer av personuppgifter och kategorier av registrerade (enligt dataskyddslagen).
4.5 Oaktat den allmänna skyldigheten i klausul 4.1, vid behandling av patientuppgifter gäller följande:
(a) Organisationen ska se till att berörda tredje parter, inklusive men inte begränsade till patienter, har informerats om och har gett sitt specifika samtycke till sådan användning (inklusive användningen som anges i Tabell 1), behandling och överföring som krävs enligt gällande dataskyddslagstiftning.
(b) LumiraDx ska:
(i) endast behandla patientuppgifter utifrån organisationens skriftliga instruktioner, som anges i Tabell 1, om inte LumiraDx är skyldiga enligt lagen i någon av Europeiska unionens medlemsstater eller enligt EU-lagar som är tillämpliga på LumiraDx att behandla patientuppgifter (”tillämpliga lagar”); varvid gäller att när LumiraDx förlitar sig på tillämpliga lagar som grund för behandling av patientuppgifter ska LumiraDx omedelbart underrätta organisationen om detta innan behandlingen som krävs enligt tillämpliga lagar utförs, om inte de tillämpliga lagarna förbjuder LumiraDx från att meddela organisationen;
(ii) se till att de har infört lämpliga tekniska, avtalsmässiga och organisatoriska åtgärder för att skydda mot otillåten eller olaglig behandling av patientuppgifter och mot oavsiktlig förlust och förstörelse eller skada av patientuppgifter, lämpliga för den skada som kan uppstå av obehörig eller olaglig behandling eller oavsiktlig förlust, förstörelse eller skada och vilken typ av data som ska skyddas med hänsyn till den tekniska utvecklingen och kostnaden för att vidta åtgärderna;
(iii) se till att all personal som har tillgång till och/eller behandlar patientuppgifter är skyldiga att hålla patientuppgifterna konfidentiella;
(iv) hjälpa organisationen, på organisationens kostnad, att besvara varje begäran från registrerade och säkerställa att dess skyldigheter enligt dataskyddslagstiftningen följs med avseende på säkerhet, brottsanmälningar, konsekvensbedömningar och samråd med tillsynsmyndigheter och regleringsorgan;
(v) underrätta organisationen utan onödigt dröjsmål när man blir medveten om brott mot patientuppgifter;
(vi) se till att de inte medvetet eller försumligen gör eller utelämnar något som resulterar i att organisationen överträder sina skyldigheter enligt gällande dataskyddslagstiftning;
(vii) upprätthålla fullständiga och korrekta skriftliga register och uppgifter om behandlingsaktiviteterna av patientuppgifter för att visa efterlevnad av denna klausul 4; samt
(viii) inte överföra några patientuppgifter utanför EES om inte lämpliga skyddsåtgärder har upprättats; varvid organisationen godkänner att personuppgifter om organisationens anställda, ombud eller oberoende uppdragstagare kan överföras utanför EES, förutsatt att lämpliga skyddsåtgärder i samband med överföringen har upprättats och LumiraDx säkerställer att en adekvat skyddsnivå tillhandahålls alla överförda patientuppgifter.
4.6 Organisationen samtycker till att LumiraDx utser tredje parts datalagringsleverantörer (vilket omfattar medlemmarna inom LumiraDx-koncernen) och tredje parts fraktleverantörer, tredje parts enhetsleverantörer (inklusive det diagnostiska instrumentet), tredje parts tjänsteleverantörer (som kan tillhandahålla telefonsupporttjänster och tekniska supporttjänster) som tredje parts personuppgiftsbiträden enligt denna licens. LumiraDx bekräftar att de har ingått eller (i förekommande fall) kommer att ingå ett skriftligt avtal med andra personuppgiftsbiträden (tredje parter) som baseras på den tredjepartens standardvillkor. När det gäller organisationen och LumiraDx förblir LumiraDx fullt ansvarig för alla tredjepartshandlingar eller försummelser av andra personuppgiftsbiträden (tredje parter) som utses av dem enligt denna klausul 4.6.
4.7 Organisationen samtycker till att LumiraDx kan skapa anonymiserade data från patientuppgifter som inmatas i LumiraDx Platforms programvara av organisationen, förutsatt att ISB1523 anonymiseringsstandarder för publicering av hälsovårdsuppgifter (Anonymization Standards for Publishing Health Care Data) observeras.
5. VILLKORSKLAUSUL
5.1 Om Storbritannien lämnar EU utan att avtal om utträde har ingåtts dagen för utträdet (eller om övergångsperioden som framgår av eventuellt avtal om utträde utlöper innan Europeiska kommissionen fattat ett beslut om adekvat skyddsnivå för Storbritannien), gäller följande:
(a) Parterna ingår härmed standardavtalsklausulerna som anges i EU-kommissionens beslut 2010/87/EG som bifogas i Tabell 2, och samtycker till att patientuppgifter som omfattas av denna licens (och av kapitel V i GDPR) ska överföras i enlighet med standardavtalsklausulerna, såvida ingen annan lämplig skyddsåtgärd eller undantag gäller, frånsett eventuella valfria klausuler som må gälla vid respektive datum. Parterna förbinder sig att vidta bästa möjliga ansträngningar för att fylla i bilagorna till standardavtalsklausulerna utan dröjsmål och i varje fall inom 30 dagar i syfte att ge full verkan åt dessa klausuler. Om det föreligger någon konflikt mellan denna licens och standardavtalsklausulerna, ska villkoren i standardavtalsklausulerna gälla.
6. INFORMATIONSFRIHET
6.1 LumiraDx bekräftar att organisationen kan vara föremål för de krav som framgår av yttrandefrihetsgrundlagen och ska bistå och samarbeta med organisationen (på organisationens bekostnad) för att organisationen ska kunna uppfylla dessa upplysningskrav.
6.2 LumiraDx ska:
(a) överföra alla uppgiftsbegäranden till organisationen så fort som möjligt efter mottagandet av en uppgiftsbegäran;
(b) tillhandahålla organisationen en kopia av all information i sin ägo eller makt i den form som organisationen kräver så fort som möjligt (eller en längre period som organisationen kan ange) av organisationen som begär den informationen; och
(c) tillhandahålla all nödvändig hjälp som organisationen rimligen begär för att organisationen ska kunna besvara en uppgiftsbegäran inom tidsperioden för efterlevnad som anges i paragraf 10 i den amerikanska yttrandefrihetsgrundlagen (FOIA).
6.3 LumiraDx ska under inga omständigheter själva besvara en uppgiftsbegäran.
7. ORGANISATIONENS SKYLDIGHETER
7.1 Organisationen ska:
(a) erhålla tillstånd från ägarna till mobilenheterna, på vilka den har laddat ner eller använt en kopia av Connect Manager som kontrolleras men inte ägs av den;
(b) behandla lösenord och övriga uppgifter som tillhandahålls som en del av LumiraDx säkerhetsprocedurer som konfidentiella, varvid organisationen inte ska avslöja dem för någon tredje part;
(c) se till att alla dess användare av LumiraDx Platforms programvara agerar i enlighet med denna licens och endast använder den i de syften som anges i klausul 3;
(d) se till att alla dess användare av LumiraDx Platforms programvara följer procedurerna och riktlinjerna som anges i dokumentationen (inklusive användarhandboken) som gäller användningen av LumiraDx Platforms programvara;
(e) alltid samarbeta med LumiraDx och tillhandahålla information som LumiraDx rimligen kräver;
(f) övervaka och kontrollera användningen av LumiraDx Platforms programvara i enlighet med villkoren i denna licens och se till att LumiraDx Platforms programvara endast används av lämpligt kvalificerad och utbildad vårdpersonal.
(g) omedelbart underrätta LumiraDx om eventuellt negativa händelser där LumiraDx Platforms programvara kan ha varit en bidragande faktor; varvid organisationen vidare samtycker till att tillhandahålla skriftliga detaljer om händelsen och samarbeta med LumiraDx under utredningen av händelsen; samt bekräftar och godkänner att all kommunikation avseende eventuella negativa händelser ska anses vara konfidentiell information och ska omfattas av sekretessförpliktelserna i klausul 9;
(h) rapportera alla fel, problem eller defekter i LumiraDx Platforms programvara till LumiraDx; varvid organisationen bekräftar och godkänner att all kommunikation som avser fel, problem eller defekter i LumiraDx Platforms programvara ska betraktas som konfidentiell information och ska omfattas av sekretessförpliktelserna i klausul 8; samt
(i) inte tillåta någon tredje part att tillhandahålla tekniskt stöd avseende LumiraDx Platforms programvara, tjänsterna eller dokumentationen.
8. ÄGANDERÄTT
8.1 Organisationen bekräftar att LumiraDx, och/eller dess licensgivare (som är tredjepartsägare av immateriella rättigheter som används i LumiraDx Platforms programvara), äger alla immateriella rättigheter i LumiraDx Platforms programvara, tjänsterna och dokumentationen. Licensen ger inte organisationen några rättigheter till eller i patent, upphovsrätt, databasrättigheter, affärshemligheter, handelsnamn, varumärken (registrerade eller oregistrerade) eller andra rättigheter eller licenser avseende LumiraDx Platforms programvara, tjänsterna eller annan relaterad dokumentation, med undantag för rätten att använda dem i enlighet med denna licens.
8.2 Organisationen bekräftar att den inte har rätt att få tillgång till LumiraDx Platforms programvara i källkodsform.
9. KONFIDENTIALITET
9.1 LumiraDx bekräftar att patientuppgifterna är organisationens konfidentiella information.
9.2 Med förbehåll för klausul 9.3 ska parterna hålla den andra partens konfidentiella information konfidentiell och vidta alla rimliga ansträngningar för att förhindra att deras anställda, ombud och oberoende uppdragstagare avslöjar den konfidentiella informationen till andra personer.
9.3 Klausul 9.2 gäller inte för avslöjanden om information:
(a) som krävs enligt gällande lag, förutsatt att klausul 5 gäller för alla avslöjanden som krävs enligt den amerikanska yttrandefrihetsgrundlagen (FOIA);
(b) som rimligen krävs av personer som engageras av en part i utförandet av den partens skyldigheter enligt denna licens;
(c) där en part kan bevisa att sådan information redan är allmänt tillgänglig och allmän egendom annat än som resultat av ett brott mot klausul 9.2;
(d) som redan lagligen var i den mottagande partens innehav innan den avslöjades av den avslöjande parten, på villkor att den avslöjande parten inte har några konfidentiella förpliktelser gällande informationen;
(e) av en part när den andra parten har gett sitt föregående skriftliga samtycke till avslöjandet.
10. UTBILDNING
10.1 Dokumentationen omfattar en användarhandbok som tillhandahåller grundläggande utbildningsinformation för organisationen och användarna. Organisationen ska se till att alla användare har läst och förstått den grundläggande utbildningsinformationen som anges i dokumentationen innan de använder LumiraDx Platforms programvara.
10.2 Organisationen samtycker till att uppfylla och försäkra att alla användare uppfyller eventuellt ytterligare utbildningskrav som anges i LumiraDx Platforms programvara emellanåt.
11. ANSVARSBEGRÄNSNING
11.1 Organisationen samtycker till att den tar ensamt ansvar för resultaten som erhållits från användningen av LumiraDx Platforms programvara och tjänsterna och för slutsatserna som dras av sådan användning. LumiraDx ska inte ansvara för skador som orsakats av fel eller försummelser i någon information som organisationen tillhandahållit eller några åtgärder som vidtagits av LumiraDx mot organisationen. Organisationen bekräftar att LumiraDx Platforms programvara inte är utformad utifrån organisationens enskilda krav och att det därför är organisationens ansvar att se till att anordningarna och funktionerna i LumiraDx Platforms programvara uppfyller dess krav enligt beskrivningen i dokumentationen.
11.2 LumiraDx Platforms programvara och tjänsterna är endast avsedda som ett diagnostiskt hjälpmedel och ersätter inte läkares apotekare eller annan vårdpersonal sakkunskap och omdöme. All information tillhandahålls utifrån tanken att sjukvårdspersonal som ansvarar för patientvården bibehåller det fulla ansvaret att avgöra vilka behandlingar som ska förskrivas och dispenseras till patienter och särskilt om användningen av informationen som tillhandahålls av LumiraDx Platforms programvara är säker, lämplig eller effektiv för en viss patient eller under vissa speciella omständigheter.
11.3 LumiraDx har inget ansvar:
(a) för vare sig skadeståndsgrundande handling (inklusive försumlighet eller brott mot lagstadgade förpliktelser), avtalsbrott, missvisande framställning, återbetalning eller i övrigt för förlust av inkomst, förlust av vinst eller avtal, förlust av affärer, affärsavbrott, förlust av pengar eller förväntade besparingar, förlust eller reducering av möjligheter, goodwill, rykte och/eller liknande förluster, eller förlust eller korruption av data eller information, eller ren ekonomisk förlust, alternativt för alla särskilda, indirekta eller åtföljande förluster, kostnader, skador, avgifter eller utgifter som uppstår i samband med denna licens; och inte heller
(b) för vilken som helst förlust som uppstår till följd av att organisationen exporterat information eller data (inklusive patientuppgifter) från visningsfunktionerna i Connect Manager.
11.4 Annat än förlusterna som anges i klausul 11.3 (för vilka LumiraDx inte är ansvarig), gäller att LumiraDx totalt sammanlagda ansvar för skadeståndsgrundande handling (inklusive försumlighet eller brott mot lagstadgade förpliktelser), missvisande framställning, återbetalning eller annat, vilket uppstår i samband med fullgörandet eller det tänkta fullgörandet av denna licens, ska begränsas till de totala avgifter som betalats till LumiraDx för det diagnostiska instrumentet under de tolv månaderna som föregår datumet då fordran uppstod.
11.5 Inget i denna licens utesluter ansvaret för dödsfall eller personskada som orsakats av vårdslöshet, alternativt för bedrägeri eller missvisande framställning i bedrägligt syfte.
11.6 Kunden bekräftar att all programvara med öppen källkod som tillhandahålls av leverantören tillhandahålls ”i befintligt skick” och omfattas uttryckligen av ansvarsfriskrivningen i klausul 11.7. Villkoren för en licens för programvara med öppen källkod kan åsidosätta vissa av villkoren i denna licens.
11.7 Denna licens anger hela omfattningen av LumiraDx skyldigheter avseende LumiraDx Platforms programvara, tjänsterna och dokumentationen. Förutom vad som uttryckligen anges i denna licens existerar inga villkor, garantier, föreställningar eller andra villkor, uttryckliga eller underförstådda, som är bindande för LumiraDx. Alla villkor, garantier, utfästelser eller andra bestämmelser gällande leveransen av LumiraDx Platforms programvara, tjänsterna eller dokumentationen som annars kan vara underförstådda eller införlivade i denna licens, vare sig genom stadga, civilrätt eller annat, är uteslutna i den mån det är tillåtet enligt lag.
12. TIDSPERIOD OCH UPPSÄGNING
12.1 Utan att detta påverkar dess övriga tillgängliga rättigheter eller rättsmedel, får LumiraDx avsluta denna licens med omedelbar verkan genom skriftligt meddelande till organisationen om:
(a) organisationen eller dess användare begår ett väsentligt brott mot något av villkoren i denna licens som inte kan avhjälpas, eller underlåter att avhjälpa det (ifall brottet kan avhjälpas) inom 14 dagar efter att ha blivit skriftligen underrättade om saken;
(b) organisationen eller dess användare bryter mot någon av licensbegränsningarna eller de godtagbara användarbegränsningarna;
(c) organisationen avbryter eller hotar att avbryta betalningar av sina skulder eller kan inte betala sina skulder när de förfaller eller erkänner oförmåga att betala sina skulder eller anses vara oförmögen att betala sina skulder i den mening som avses i gällande konkurslagstiftning (t.ex. paragraf 123 i Insolvency Act 1986);
(d) en ansökan har lämnats in, ett varsel har getts, ett beslut har fattats eller en order har utförts för eller i samband med organisationens upplösning annat än i det enda syftet att upprätta en plan för en solvent sammanslagning av organisationen med ett eller flera andra företag eller en solvent rekonstruktion av organisationen;
(e) en ansökan skickas in till domstolen, eller en order utförs för utnämning av en förvaltare, eller om ett varsel om avsikt att utse en förvaltare ges eller om en förvaltare utses till organisationen;
(f) en person blir berättigad att utse en förvaltare för organisationens tillgångar eller en förvaltare utses för organisationens tillgångar;
(g) organisationen avbryter eller upphör med, eller hotar att avbryta eller upphöra med, genomförandet av hela eller en väsentlig del av sin verksamhet; eller
(h) organisationen överför, eller låter en tredje part få tillgång till, något diagnostiskt instrument på vilket instrumentets programvara är installerad eller som används i Administrationsläge för att komma åt Connect Manager, utanför organisationen eller till en tredje part, utan föregående skriftligt samtycke av LumiraDx.
12.2 Vid upphörandet av denna licens för vilken som helst anledning, gäller följande:
(a) Alla rättigheter som beviljats organisationen enligt denna licens upphör.
(b) Organisationen ska omedelbart upphöra med alla aktiviteter som godkänts av denna licens (inklusive dess användning av LumiraDx Platforms programvara, tjänsterna och dokumentationen) samt ta bort Connect Manager från alla mobila enheter och omedelbart förstöra alla kopior under sin kontroll.
(c) Organisationen ska återlämna och inte längre använda dokumentationen (och alla kopior därav) som tillhör LumiraDx.
(d) Organisationen ska ta bort eller extrahera (med hjälp av exportfunktionen i Connect Manager) alla patientuppgifter som lagrats i Connect Manager inom tio dagar efter det att denna licens upphört att gälla. Om så begärs av organisationen kan LumiraDx tillhandahålla rimlig hjälp för att möjliggöra extrahering av patientuppgifter som lagrats i Connect Manager, varvid kostnaderna för denna hjälp ska debiteras organisationen utifrån de priser som överenskommits med LumiraDx.
(e) Organisationen ska radera eller ta bort alla patientuppgifter eller andra personuppgifter från instrumentets programvara inom tio dagar efter det att denna licens upphört att gälla.
12.3 Vid upphörandet eller utgången av denna licens gäller följande klausuler: klausul 1 (Tolkning), klausul 9 (Konfidentialitet), klausul 11 (Ansvarsbegränsning) samt denna klausul 12 (Uppsägning).
13. ÄNDRINGAR
Ingen ändring av denna licens ska gälla om den inte är skriftlig och undertecknad av parterna (eller deras auktoriserade representanter).
14. DISPENSKLAUSUL
Inget misslyckande eller försening av en part att utöva någon rätt eller något rättsmedel som anges enligt denna licens eller lag ska utgöra en dispens för den eller någon annan rättighet eller rättsmedel, inte heller ska det förhindra eller begränsa vidare utövande av denna eller någon annan rättighet eller rättsmedel. Inget enskilt eller delvist utövande av sådan(t) rättighet eller rättsmedel ska förhindra eller begränsa vidare utövande av denna eller någon annan rättighet eller annat rättsmedel.
15. AVSKILJANDE
15.1 Om någon bestämmelse (eller del av en bestämmelse) i denna licens anses av någon domstol eller ett administrativt organ med behörig jurisdiktion att vara ogiltig, icke verkställbara eller olaglig, gäller övriga bestämmelser.
15.2 Om någon ogiltig, icke verkställbar eller olaglig bestämmelse skulle vara giltig, verkställbar eller laglig om någon del av den togs bort ska bestämmelsen gälla, oavsett om det är nödvändigt att ändra parternas kommersiella avsikt.
16. UPPDRAG
16.1 Organisationen ska inte, utan föregående skriftligt samtycke från LumiraDx, tilldela, överlåta, lägga ut eller på annat sätt förhandla alla eller vissa av sina rättigheter eller skyldigheter enligt denna licens.
16.2 LumiraDx kan när som helst tilldela, överföra, utse, lägga ut eller på annat sätt förhandla alla eller vissa av sina rättigheter eller skyldigheter enligt denna licens.
17. TREDJEPARTSRÄTTIGHETER
Denna licens ger inga rättigheter till någon person eller part (med undantag för parterna i denna licens och, i förekommande fall, deras efterträdare, tillåtna tilldelade och alla inom LumiraDx-koncernen) enligt avtalslagen (tredjepartsrättigheter) 1999.
18. MEDDELANDEN
18.1 Alla meddelanden som krävs enligt denna licens ska vara skriftliga och levereras för hand eller skickas med förbetald första klassens post eller registrerad leveranspost till den andra parten på sin huvudsakliga affärsadress eller annan adress som kan ha meddelats av den parten för sådana ändamål.
18.2 Ett korrekt adresserat meddelande som skickats med förbetald första klassens post eller registrerad leveranspost ska anses mottagen vid tidpunkten då den skulle ha levererats som vanlig post.
19. GÄLLANDE LAG OCH JURISDIKTION
19.1 Denna licens och eventuella tvister eller fordringar som uppstår från eller i samband med den eller dess ämne eller inrättande (inklusive tvister och fordringar utan avtal) ska styras av och tolkas i enlighet med lagarna i England och Wales.
19.2 Vardera parten samtycker oåterkalleligt till att domstolarna i England och Wales ska ha exklusiv jurisdiktion att lösa eventuella tvister eller fordringar som uppstår från eller i samband med denna licens eller dess ämne eller inrättande (inklusive tvister eller fordringar utan avtal).
TABELL 1
Behandling, personuppgifter och registrerade
1. LumiraDx behandling
1.1 Arten och syftet med behandlingen
LumiraDx och alla medlemmar i LumiraDx-koncernen kan behandla personuppgifter:
1.2 Ämnesområde och behandlingens varaktighet
Ämnet och behandlingens varaktighet anges i licensen.
2. Typer av personuppgifter
3. Categories of data subject
TABELL 2
Standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till personuppgiftsbiträden i tredje länder (överföringar från personuppgiftsansvarig till personuppgiftsbiträde)
Enligt artikel 26(2) i direktiv 95/46/EG om överföring av personuppgifter till personuppgiftsbiträden i tredje länder som inte säkerställer en adekvat dataskyddsnivå
Namn på den organisation som levererar data: ...............................................................
Adress: ...............................................................
Tfn: ...............................................................
Fax: ...............................................................
E-post: ...............................................................
Annan information som behövs för att identifiera organisationen ..............................................................
(”Dataleverantören”)
Namn på den organisation som tar emot data: ...............................................................
Adress: ...............................................................
Tfn: ...............................................................
Fax: ...............................................................
E-post: ...............................................................
Annan information som behövs för att identifiera organisationen ..............................................................
(”Datamottagaren”)
HAR KOMMIT ÖVERENS om följande avtalsklausuler (klausulerna) i syfte att vidta adekvata skyddsåtgärder med avseende på skydd av enskilda personers integritet och grundläggande rättigheter och friheter vid överföring från dataleverantören till datamottagaren av de personuppgifter som anges i BILAGA A.
1. Definitioner
Inom ramen för klausulerna gäller följande:
(a) Personuppgifter, särskilda kategorier av data, behandla/behandling, personuppgiftsansvarig, personuppgiftsbiträde, registrerad och tillsynsmyndighet har samma innebörd som i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1).
(b) Dataleverantören avser den personuppgiftsansvarig som överför personuppgifterna.
(c) Datamottagaren avser det personuppgiftsbiträde som samtycker till att ta emot personuppgifter från dataleverantören som är avsedda att behandlas å dennes vägnar, efter det att de överförts, i enlighet med dennes instruktioner och villkoren i klausulerna, varvid datamottagaren inte omfattas av ett tredje lands system som säkerställer adekvat skyddsnivå i den mening som avses i artikel 25 (1) i direktiv 95/46/EG.
(d) underordnat personuppgiftsbiträde avser alla personuppgiftsbiträden som anlitats av datamottagaren eller av annat underordnat personuppgiftsbiträde som samtycker till att ta emot från datamottagaren eller från andra underordnade personuppgiftsbiträden personuppgifter som enbart är avsedda att behandlas å datamottagarens vägnar, efter det att de överförts, i enlighet med villkoren i klausulerna och villkoren i det skriftliga underavtalet.
(e) Gällande dataskyddslag avser den lagstiftning som skyddar enskilda personers grundläggande rättigheter och friheter, i synnerhet deras rätt till integritet med avseende på personuppgifter som gäller för personuppgiftsansvariga i den medlemsstat där dataleverantören är belägen.
(f) Tekniska och organisatoriska säkerhetsåtgärder avser de åtgärder som syftar till att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust eller ändring, obehörig utlämning eller åtkomst, i synnerhet när behandlingen inbegriper överföring av data över ett nätverk, samt mot alla andra olagliga former av behandling.
2. Information om överföringen
Information om överföringen och i synnerhet de särskilda kategorier av personuppgifter som är tillämpliga anges i BILAGA A som utgör en integrerad del av klausulerna.
3. Klausul för tredjepartsförmånstagare
3.1 Den registrerade kan som tredjepartsförmånstagare genomdriva mot dataleverantören denna klausul 3, klausul 4(b) till 4(i), klausul 5(a) till 5(e) och 5(g) till 5(j), klausul 6.1 och 6.2, klausul 7, klausul 8.2 samt klausuler 9 till 12.
3.2 Den registrerade kan genomdriva mot dataleverantören denna klausul 3, klausul 5(a) till 5(e) samt 5(g), klausul 6, klausul 7, klausul 8.2 och klausul 9 till 12, i de fall där dataleverantören faktiskt försvunnit eller upphört att existera som juridisk person, såvida inte ett efterträdande rättssubjekt har genom avtal eller enligt lag antagit dataleverantörens samtliga juridiska skyldigheter, och därmed övertagit dataleverantörens rättigheter och skyldigheter, i vilket fall den registrerade kan genomdriva nämnda klausuler mot detta rättssubjekt.
3.3 Den registrerade kan genomdriva mot det underordnade personuppgiftsbiträdet denna klausul 3, klausul 5(a) till 5(e) samt 5(g), klausul 6, klausul 7, klausul 8.2 och klausul 9 till 12, i de fall där både dataleverantören och det underordnade personuppgiftsbiträdet faktiskt försvunnit eller upphört att existera som juridiska personer eller hamnat på obestånd, såvida inte ett efterträdande rättssubjekt har genom avtal eller enligt lag antagit dataleverantörens samtliga juridiska skyldigheter, och därmed övertagit dataleverantörens rättigheter och skyldigheter, i vilket fall den registrerade kan genomdriva nämnda klausuler mot detta rättssubjekt. Underordnade personuppgiftsbiträdens tredjepartsansvar ska begränsas till den behandling som de själva genomfört enligt klausulerna.
3.4 Parterna har inga invändningar mot att en registrerad företräds av en förening eller annat organ om den registrerade uttryckligen vill det och om det tillåts enligt nationell lagstiftning.
4. Dataleverantörens skyldigheter
Dataleverantören godkänner och garanterar:
(a) att behandlingen, inklusive själva överföringen, av personuppgifter har genomförts och kommer att fortsätta att genomföras i enlighet med relevanta bestämmelser i tillämplig dataskyddslag (och, om tillämpligt, har meddelats till de relevanta myndigheterna i den medlemsstat där dataleverantören är belägen) och att den inte bryter mot de relevanta bestämmelserna i denna stat;
(b) att man som dataleverantör instruerat och kommer så länge databehandlingen pågår att instruera datamottagaren att behandla de personuppgifter som överförs endast å dataleverantörens vägnar och i enlighet med tillämplig dataskyddslag och klausulerna,
(c) att datamottagaren kommer att tillhandahålla tillräckliga garantier med avseende på de tekniska och organisatoriska säkerhetsåtgärder som anges i BILAGA B till detta avtal;
(d) att säkerhetsåtgärderna, efter att ha bedömt kraven i tillämplig dataskyddslag, är lämpliga för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, obehörig utlämning eller åtkomst, i synnerhet när behandlingen inbegriper överföring av data över ett nätverk, samt mot alla andra olagliga former av behandling, och att dessa åtgärder säkerställer en säkerhetsnivå som är lämplig för de risker som behandlingen och personuppgifternas art medför med hänsyn till den tekniska utvecklingen och kostnaden för åtgärdernas vidtagande;
(e) att man som dataleverantör kommer att säkerställa efterlevnad av säkerhetsåtgärderna;
(f) att den registrerade har, ifall överföringen omfattar särskilda uppgiftskategorier, informerats eller kommer att informerats, antingen innan eller snarast möjligt efter överföringen, om att hens uppgifter kan överföras till ett tredje land som inte tillhandahåller adekvat skyddsnivå i den mening som avses i direktiv 95/46/EG;
(g) att vidarebefordra varje meddelande som tagits emot från datamottagaren eller något underordnat personuppgiftsbiträde med stöd av klausul 5(b) och klausul 8.3 till den dataskyddsansvariga tillsynsmyndigheten, om dataleverantören bestämmer sig för att fortsätta eller återuppta överföringen;
(h) att på begäran tillgängliggöra för de registrerade en kopia av klausulerna, med undantag för BILAGA B och en sammanfattande beskrivning av säkerhetsåtgärderna, såväl som en kopia av eventuella avtal om underordnad behandling som måste genomföras i enlighet med klausulerna, såvida inte klausulerna eller avtalet innehåller kommersiell information, i vilket fall man som dataleverantör kan ta bort sådan kommersiell information;
(i) att underordnad behandling genomförs i enlighet med klausul 11 av ett underordnat personuppgiftsbiträde som tillhandahåller åtminstone samma skyddsnivå för personuppgifterna och de registrerades rättigheter som dataleverantören gör enligt klausulerna; samt
(j) att man som dataleverantör kommer att säkerställa efterlevnad av klausul 4(a) till 4(i).
5. Datamottagarens skyldigheter
Datamottagaren godkänner och garanterar:
(a) att behandla personuppgifterna endast å dataleverantörens vägnar samt i överensstämmelse med dennes instruktioner och klausulerna, varvid datamottagaren samtycker till att, ifall sådan överensstämmelse av någon som helst anledning inte är möjlig, utan dröjsmål informera dataleverantören om sin oförmåga till överensstämmelse, i vilket fall dataleverantören har rätt att avbryta dataöverföringen och/eller säga upp avtalet;
(b) att man som datamottagare inte har någon anledning att anse att den lagstiftning som man omfattas av förhindrar en från att uppfylla vare sig de instruktioner som tas emot av dataleverantören eller sina avtalade skyldigheter, samt att man i händelse av en ändring i denna lagstiftning som sannolikt har en betydande menlig inverkan på de garantier och skyldigheter som tillhandahålls enligt klausulerna kommer utan dröjsmål att meddela ändringen till dataleverantören så snart man får kännedom om den, i vilket fall dataleverantören har rätt att avbryta dataöverföringen och/eller säga upp avtalet;
(c) att man som datamottagare har vidtagit de tekniska och organisatoriska säkerhetsåtgärder som anges i BILAGA B innan det att de överförda personuppgifterna behandlas;
(d) att man som datamottagare utan dröjsmål meddelar dataleverantören om:
(i) varje juridiskt bindande begäran om utlämnande av personuppgifter som inkommit från en brottsbekämpande myndighet, såvida inte detta i övrigt är förbjudet, t.ex. i och med en straffrättslig förpliktelse att upprätthålla sekretessen hos rättsvårdande myndigheters utredningar;
(ii) varje oavsiktlig eller obehörig åtkomst; samt
(iii) varje förfrågan som inkommer direkt från de registrerade utan dock att besvara denna förfrågan, såvida inte man som datamottagare i övrigt auktoriserats att göra det;
(e) att utan dröjsmål och på vederbörligt sätt hantera alla förfrågningar från uppgiftsleverantören rörande behandlingen av de personuppgifter som överförs samt att följa respektive tillsynsmyndighets råd avseende behandling av överförda uppgifter;
(f) att på dataleverantörens begäran tillgängliggöra sina databehandlingsanläggningar i samband med att de behandlingsaktiviteter som omfattas av klausulerna granskas av dataleverantören eller ett inspektionsorgan vilket består av oberoende medlemmar, besitter nödvändiga yrkeskvalifikationer, är bundet av tystnadsplikt, har valts ut av uppgiftsutföraren och, i förekommande fall, överenskommits med respektive tillsynsmyndighet;
(g) att på begäran tillgängliggöra för de registrerade en kopia av klausulerna eller av eventuella avtal om underordnad behandling, såvida inte klausulerna eller avtalet innehåller kommersiell information, i vilket fall man som datamottagare kan ta bort sådan kommersiell information, med undantag för BILAGA B som ska ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna i de fall där den registrerade inte kan erhålla en kopia därav från dataleverantören;
(h) att man som datamottagare, i händelse av underordnad behandling, har informerat dataleverantören i förhand och erhållit dennes skriftliga förhandsmedgivande;
(i) att det underordnade personuppgiftsbiträdets behandling kommer att genomföras i enlighet med klausul 11; samt
(j) att utan dröjsmål skicka en kopia av eventuella avtal om underordnad behandling till dataleverantören.
6. Ansvar
6.1 Parterna samtycker till att alla registrerade som har lidit skada till följd av endera parten eller något underordnat personuppgiftsbiträde inkräktat på de skyldigheter som avses i klausul 3 eller klausul 11 har rätt att få ersättning för skadan från dataleverantören.
6.2 I samband med skadeståndskrav som uppstår till följd av att datamottagaren eller dess underordnade personuppgiftsbiträden överträtt någon av sina skyldigheter som avses i klausul 3 eller klausul 11, samtycker datamottagaren till att en registrerad person som inte kan framföra ett sådant krav mot dataleverantören i enlighet med paragraf 1 – på grund av att dataleverantören faktiskt försvunnit eller upphört att existera som juridisk person eller hamnat på obestånd – kan framföra ett sådant krav mot datamottagaren som om denne vore dataleverantören, såvida inte ett efterföljande rättssubjekt har genom avtal eller enligt lag antagit dataleverantörens samtliga juridiska skyldigheter, i vilket fall den registrerade kan genomdriva sina rättigheter gentemot detta enhet.
Datamottagaren får inte förlita sig på att ett underordnat personuppgiftsbiträde överträtt sina skyldigheter i syfte att själv kringgå sitt eget ansvar.
6.3 I samband med krav som uppstår till följd av att ett underordnat personuppgiftsbiträde överträtt någon av sina skyldigheter som avses i klausul 3 eller klausul 11, samtycker det underordnade personuppgiftsbiträdet till att en registrerad person som inte kan framföra ett sådant krav mot vare sig dataleverantören eller datamottagaren enligt paragrafer 1 och 2 – på grund av att både dataleverantören och datamottagaren faktiskt försvunnit eller upphört att existera som juridiska personer eller hamnat på obestånd – kan framföra ett sådant krav mot det underordnade personuppgiftsbiträdet med avseende på dess egen behandling enligt klausulerna som om det vore dataleverantören eller datamottagaren, såvida inte ett efterföljande rättssubjekt har genom avtal eller enligt lag antagit dataleverantörens och datamottagarens samtliga juridiska skyldigheter, i vilket fall den registrerade kan genomdriva sina rättigheter gentemot detta enhet. Underordnade personuppgiftsbiträdens ansvar ska begränsas till den behandling som de själva genomfört enligt klausulerna.
7. Medling och jurisdiktion
7.1 Datamottagaren godkänner att om den registrerade hävdar tredjepartsförmånstagares rättigheter och/eller kräver skadeståndsersättning enligt klausulerna så ska datamottagaren godta den registrerades beslut:
(a) att hänskjuta tvisten till medling, av oberoende person eller, i förekommande fall, av behörig tillsynsmyndighet;
(b) att hänskjuta tvisten till domstolarna i den medlemsstat där dataleverantören är belägen.
7.2 Parterna samtycker till att den registrerades val inte kommer att påverka hens väsentliga eller procedurmässiga rättigheter att söka använda rättsmedel i enlighet med andra bestämmelser i nationell eller internationell lagstiftning.
8. Samarbete med tillsynsmyndigheter
8.1 Dataleverantören samtycker till att inlämna en kopia av detta avtal hos behörig tillsynsmyndighet om så begärs eller om så krävs enligt tillämplig dataskyddslag.
8.2 Parterna samtycker till att tillsynsmyndigheten har rätt att utföra granskning av datamottagaren och vilket som helst underordnat personuppgiftsbiträde, varvid denna granskning har samma omfattning och underkastas samma bestämmelser som vore gällande vid granskning av dataleverantören enligt tillämplig dataskyddslag.
8.3 Datamottagaren ska utan dröjsmål informera dataleverantören om huruvida gällande lagstiftning med tillämplighet på underordnade personuppgiftsbiträden, förhindrar utförandet av granskning av datamottagaren eller vilket som helst underordnat personuppgiftsbiträde enligt paragraf 2. I så fall ska dataleverantören ha rätt att vidta de åtgärder som anges i klausul 5(b).
9. Gällande lag
Klausulerna ska regleras av den lag som gäller i den medlemsstat där dataleverantören är belägen.
10. Ändring av avtalet
Parterna åtar sig att inte ändra eller modifiera klausulerna. Detta hindrar inte parterna från att lägga till klausuler om affärsrelaterade frågor om så krävs, så länge dessa inte strider mot klausulerna.
11. Underordnad behandling
11.1 Datamottagaren får inte underkontraktera den behandling som enligt klausulerna genomförs å dataleverantörens vägnar utan dataleverantörens skriftliga förhandsmedgivande. Om datamottagaren underkontrakterar sina skyldigheter enligt klausulerna med dataleverantörens medgivande, ska detta ske endast genom att skriftligt avtal med det underordnade personuppgiftsbiträdet, varvid det underordnade personuppgiftsbiträdet åläggs samma skyldigheter som datamottagaren åläggs enligt klausulerna. Om det underordnade personuppgiftsbiträdet underlåter att uppfylla sina dataskyddsskyldigheter så förblir datamottagaren fullt ansvarig gentemot dataleverantören för fullgörandet av det underordnade personuppgiftsbiträdets skyldigheter enligt avtalet i fråga.
11.2 Det tidigare skriftliga avtalet mellan datamottagaren och det underordnade personuppgiftsbiträdet ska även innehålla en klausul för tredjepartsförmånstagare enligt vad som framgår av klausul 3 för fall där den registrerade inte kan framföra de skadeståndskrav som avses i paragraf 1 i klausul 6 mot vare sig dataleverantören eller datamottagaren därför att de båda faktiskt försvunnit eller upphört att existera som juridiska personer eller hamnat på obestånd och inget efterträdande rättssubjekt har genom avtal eller enligt lag antagit vare sig dataleverantörens eller datamottagarens samtliga juridiska skyldigheter. Underordnade personuppgiftsbiträdens tredjepartsansvar ska begränsas till den behandling som de själva genomfört enligt klausulerna.
11.3 De avtalsbestämmelserna rörande dataskydd i samband med underordnad behandling som avses i paragraf 1 regleras enligt lagen i den medlemsstat där dataleverantören är belägen.
11.4 Dataleverantören ska föra en lista över avtal om underordnad behandling som tecknats enligt klausulerna och meddelats av datamottagaren enligt klausul 5(j), varvid denna lista ska uppdateras minst en gång om året. Listan ska vara tillgänglig för den dataskyddsansvariga tillsynsmyndighet som dataleverantören svarar till.
12. Skyldighet efter upphörande av personuppgiftsbehandling
12.1 Parterna samtycker till att datamottagaren och det underordnade personuppgiftsbiträden vid upphörande av databehandlingstjänsterna, på dataleverantörens begäran, ska returnera alla personuppgifter som överförts samt kopior därav dessa till dataleverantören, alternativt förstöra alla personuppgifter och tillhandahålla dataleverantören intyg på detta, såvida inte lagstiftning som åligger datamottagaren förhindrar denne från att returnera eller förstöra samtliga eller delar av de överförda personuppgifterna. I så fall garanterar datamottagaren att denne ska säkerställa de överförda personuppgifternas sekretess och inte längre aktivt behandla de överförda personuppgifterna.
12.2 Datamottagaren och det underordnade personuppgiftsbiträdet garanterar att de på dataleverantörens och/eller behörig tillsynsmyndighets begäran kommer att tillgängliggöra sina databehandlingsanläggningar för en granskning av de åtgärder som avses i paragraf 1.
Å dataleverantörens vägnar:
Namn (hel namnteckning): ...............................................................
Befattning: ...............................................................
Adress: ...............................................................
Annan information som är nödvändig för att
avtalet ska få bindande verkan (i förekommande fall): ...............................................................
Underskrift ...............................................................
(Organisationens stämpel)
På uppdrag av dataleverantören:
Namn (hel namnteckning): ...............................................................
Befattning: ...............................................................
Adress: ...............................................................
Annan information som är nödvändig för att
avtalet ska få bindande verkan (i förekommande fall): ...............................................................
Underskrift ...............................................................
(Organisationens stämpel)
BILAGA A till standardavtalsklausulerna
Denna BILAGA A utgör en del av klausulerna och måste fyllas i och undertecknas av parterna.
Medlemsstaterna kan komma att komplettera eller specificera, enligt deras respektive nationella procedurer, eventuell ytterligare nödvändig information som ska ingå i denna BILAGA A.
|
Dataleverantör |
|
|
Dataleverantören är (ange i korthet dina aktiviteter som är relevanta för överföringen): |
.................................................... |
|
Datamottagare |
|
|
Datamottagaren är (ange i korthet dina aktiviteter som är relevanta för överföringen): |
.................................................... |
|
Registrerade |
|
|
De personuppgifter som överförs berör följande kategorier av registrerade (specificera) |
.................................................... |
|
Uppgiftskategorier |
|
|
De personuppgifter som överförs gäller följande uppgiftskategorier (specificera) |
.................................................... |
|
Särskilda uppgiftskategorier (i förekommande fall) |
|
|
De personuppgifter som överförs gäller följande särskilda uppgiftskategorier (specificera) |
.................................................... |
|
Behandling |
|
|
De personuppgifter som överförs kommer att bli föremål för följande grundläggande typer av behandling (specificera) |
.................................................... |
|
DATALEVERANTÖR |
DATAMOTTAGARE |
|
Namn:.................................................. Auktoriserad underskrift:........................... |
Namn:.................................................. Auktoriserad underskrift:........................... |
BILAGA B till standardavtalsklausulerna
Denna BILAGA B utgör en del av klausulerna och måste fyllas i och undertecknas av parterna.
Beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtagits av datamottagaren i enlighet med klausul 4(d) och klausul 5(c) (eller bifogade dokument/bifogad lagstiftning):
..........................................................................................................
..........................................................................................................
..........................................................................................................
.......................................................................................