Hjálp
Loka

InExchanges tjänstevillkor

Definitioner

Term
Definition
Även termernas pluralformer kan förekomma, t.ex. ”tjänster” eller ”användare”
Kund
Det företag som genom att godkänna tjänstevillkoren har ingått ett avtal om tjänster med InExchange.
InExchange
Det företag som kunden har ingått detta avtal med.
Part
InExchange eller kunden, som tillsammans kallas parterna.
Tjänst
Programvara och tillhörande tjänster, t.ex. datalagring, från InExchange, inklusive användare, och inklusive omarbetningar, ändringar och uppgraderingar samt relaterade verksamheter, t.ex. third line support.
Användare
En namngiven användare av tjänsten. Användare kan antingen vara anställda av kunden eller någon som av kunden beviljats ett användarkonto, t.ex. en konsult eller revisor, eller en användare av ett utvecklingskonto.
Beställning
En beställning av tjänsten (inklusive användare).
Avgift
Den avgift som kunden ska betala till InExchange för rätten att använda tjänsterna.
Prenumerationstid
Den tidsperiod då avgiften ger kunden rätt att använda tjänsterna.
Kunduppgifter
Uppgifter som tillhör kunden (eller dess användare) och som behandlas inom ramen för tjänsten, t.ex. kunddatabaser, fakturor och andra former av produktionsrelaterade uppgifter och dokument.
Personuppgifter*
Uppgifter som kan avse en fysisk person (registrerad).
Registrerad*
En fysisk person vars personuppgifter behandlas av en personuppgiftsansvarig eller ett personuppgiftsbiträde.
Särskilda kategorier av personuppgifter* (Känsliga personuppgifter)

Personuppgifter som avser

- ras eller etniskt ursprung,

- politiska åsikter och medlemskap,

- religiös eller annan liknande övertygelse,

- medlemskap i fackförening,

- psykisk och fysisk hälsa,

- hälsa,

- uppgifter i belastningsregister,

- genetiska och biometriska uppgifter.

Personuppgiftsansvarig*
Det företag som bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde*
Det företag som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Behandling av personuppgifter eller behandling*
Åtgärder beträffande personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, lagring, bearbetning eller ändring, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, radering eller förstöring, samt nödvändigt dataunderhåll, t.ex. felsökning.
Incident*
En säkerhetsincident som leder till oavsiktlig eller olaglig åtkomst till, förstöring, missbruk eller eller annan obehörig behandling av personuppgifter.
* Dessa termer ska ha samma innebörd och tolkning som i tillämplig integritetslagstiftning och anges här för att underlätta för läsaren.
Uppgifter
Ett samlingsnamn för någon eller samtliga kunduppgifter, personuppgifter, känsliga personuppgifter och uppgifter om användning.
Uppgifter om användning
Vissa uppgifter som samlats in och/eller skapats i samband med tjänsterna och användningen av dessa i enlighet med punkt 3.3 Uppgifter om användning.
Användning
Någon eller samtliga åtgärder som kunden (inklusive användare) vidtar i samband med tjänsterna, bland annat att ladda upp, ange eller skicka eller skapa uppgifter.
Partner
Ett företag som InExchange godkänt som partner.
ISV
Independent Software Vendor – fristående programvaruleverantör.

1. Allmänna villkor

1.1.
Beställning
1.1.1.
Kunden har genom att göra en beställning begärt att få tillgång till InExchange tjänster. Kunden kan beställa tjänster direkt av InExchange, inifrån vissa tjänster eller genom en partner.
1.1.2.
Dessa tjänstevillkor är standardvillkor som reglerar hur tjänsterna används. Läs igenom dessa villkor noga. Kunden gör en juridiskt bindande beställning av InExchange genom att underteckna, klicka ”jag godkänner” eller liknande när tjänstevillkoren visas, antingen inifrån tjänsten, i webbshoppen, i ett bekräftelsemejl eller i någon annan beställningsform. Beställningar får endast göras av personer som av kunden har beviljats erforderliga administratörs- och inköpsrättigheter. Om du inte godkänner tjänstevillkoren eller inte har erforderlig befogenhet av ditt företag att göra en sådan beställning ber vi dig att inte använda tjänsterna, skicka in en beställning av tjänsterna, eller godkänna eller underteckna tjänstevillkoren när de visas, eftersom du då ingår ett juridiskt bindande avtal för ditt företags räkning. Ditt företag ingår ett juridiskt bindande avtal med InExchange när dessa tjänstevillkor godkänns eller undertecknas.
1.1.3.
Om inget annat särskilt har avtalats skriftligen utgör tjänstevillkoren hela avtalet mellan kunden och InExchange om tjänsterna.
1.1.4.
Det står InExchange fritt att ändra tjänstevillkoren i enlighet med punkt 1.3.1. Datum för den senaste uppdateringen anges alltid i tjänstevillkoren. Vissa ändringar av tjänstevillkoren och/eller kundens prenumeration, t.ex. ändringar som sker på grund av lagändringar, kan innebära att kunden måste godkänna tjänstevillkoren på nytt. Sådana ändringar meddelas i enlighet med punkt 1.3.2. Om kunden inte godkänner ändringarna av tjänstevillkoren kan kunden säga upp avtalet i enlighet med punkt 4.6.1, och begära en proportionell återbetalning av de i förskott betalade avgifter för tiden efter den dag då den berörda tjänsten sades upp.
1.2.
Avgifter
1.2.1.
Avgifterna för tjänsterna följer alltid de prislistor som InExchange offentliggör på internet, anger i tjänsten eller meddelar på annat sätt. (Vissa tjänster kan vara kostnadsfria.)
1.2.2.
Såvida inget annat uttryckligen anges i prislistan eller skriftligen avtalats ska alla prenumerationsavgifter betalas i förskott och återbetalas inte. Avgifter för användare, tjänster eller återstående dagar av prenumerationstider återbetalas endast om tillgången till tjänsterna väsentligen har inskränkts eller begränsats av skäl som uteslutande beror på InExchange. I sådana fall står det InExchange fritt att, som enda ersättning till kunden, erbjuda kunden en rimlig återbetalning av de avgifter som uppkommit under den tid som tillgängligheten varit begränsad.
1.2.3.
Såvida inget annat uttryckligen anges i prislistan eller skriftligen avtalats ska alla transaktionsavgifter betalas i efterskott och faktureras månadsvis.
1.2.4.
Avgifter anges exklusive alla skatter, avgifter och tullar. Såvida inget annat uttryckligen avtalats kommer InExchange att lägga på aktuell moms på fakturan.
1.2.5.
InExchange förbehåller sig rätten att högst två gånger per år ändra avgifterna, däribland avgiftsmodellen, för enskilda tjänster. Avgiftsändringar meddelas i enlighet med punkt 1.3.1 tre månader i förväg. Avgiftsändringar som beror på att en underleverantör har höjt sina priser gentemot InExchange meddelas en månad i förväg. InExchange förbehåller sig också rätten att en gång per år utan förvarning ändra priserna för att ta hänsyn till allmänna pris- och kostnadsökningar. De årliga prisändringarna gäller från och med den 1 januari varje år, såvida inget annat uttryckligen anges i prislistan eller skriftligen avtalats.
1.2.6.
Om kunden underlåter att betala avgiften eller betalar den för sent förbehåller sig InExchange rätten att stänga av kundens tillgång till tjänsterna eller begränsa den till läsåtkomst enligt punkt 4.6.2 och att ta ut dröjsmålsränta upp till den maxsats som medges i lagstiftningen. Obetalda fakturor kommer att skickas till inkasso. Om situationen inte löser sig inom skälig tid förbehåller sig InExchange rätten att säga upp kundens rätt att använda tjänsterna enligt punkt 4.6.2.
1.3.
Meddelanden
1.3.1.
Allmänna meddelanden och upplysningar om tjänsterna, t.ex. information om nya funktioner, prisändringar eller planerat underhåll kommer att förmedlas inom tjänsten, på tjänstens webbsidor/nätmötesplats eller per e-post.
1.3.2.
Meddelanden om kundens prenumeration eller annan information av särskild vikt, t.ex. som rör säkerhet eller integritet, skickas till kundens primära e-postadress.
1.3.3.
Kunden ansvarar för att se till att InExchange alltid har kundens aktuella kontaktuppgifter, inklusive en primär e-postadress.
1.3.4.
Alla meddelanden anses vara lämnade när de skickas eller postas av InExchange. Alla meddelanden börjar gälla omedelbart såvida inget annat anges i meddelandet.
1.4.
Tjänsterna
1.4.1.
Kunden tecknar en prenumeration på tjänsterna när de görs tillgängliga av InExchange på internet eller installeras på kundens datorer eller på datorer som kontrolleras av kunden. (Tjänster som installeras på kundens datorer kan dock innehålla webbaserade komponenter och inbyggda webbtjänster.) När kunden tecknar en prenumeration får kunden tillgång till och rätt att använda tjänsterna i enlighet med dessa tjänstevillkor (se punkt 2. Användarrättighet).
1.4.2.
Tjänsterna tillhandahålls som standardtjänster ”i befintligt skick”. Tjänsterna är inte beroende av eller knutna till någon särskild version eller funktion vid någon viss tidpunkt, eller till några publikationer, material eller uttalanden från InExchange eller för InExchange räkning. Kunden får tillgång till och använda webbtjänsterna så som de tillhandahålls vid det aktuella tillfället. Om tjänsten installeras på kundens datorer ansvarar kunden för att använda en kompatibel version av tjänsten – se punkt 4.3.1.
1.4.3.
InExchange förbehåller sig rätten att göra förbättringar, lägga till, ändra eller ta bort funktioner, eller korrigera eventuella fel eller brister i någon del av tjänsterna efter eget tycke och utan att detta medför några skyldigheter eller något ansvar. I det osannolika fallet att en sådan ändring innebär att en funktion som utgör en väsentlig del av tjänsten inaktiveras eller tas bort, antingen permanent eller under mer än två månader, har kunden rätt att säga upp prenumerationen av den berörda tjänsten och att få en proportionell återbetalning av förskottsbetalda avgifter för denna del av prenumerationen av den berörda tjänsten.
1.4.4.
InExchange förbehåller sig rätten att dra in en tjänst, eller tillgången till tjänsten på en viss marknad, genom att meddela detta tolv månader i förväg. Kunden ska ha rätt att få en proportionell återbetalning av förskottsbetalda avgifter för tiden efter den dag då den berörda tjänsten drogs in. Kunden ska sluta att använda tjänsten efter den dag då den berörda tjänsten drogs in och ska inte ha rätt att rikta några ytterligare anspråk mot InExchange.
Betalnings- och rapporteringstjänster
1.4.5.
Kunden ger härmed InExchange befogenhet att för dess räkning och enligt dess instruktioner, skicka och verifiera fakturor, betalningar, rapporter till myndigheter (t.ex. SAF-T) och liknande verksamheter eller upplysningar, t.ex. kontoutdrag, som upprättas av eller skickas till kunden med hjälp av tjänsterna, mellan kundens banker, myndigheter och andra relationer mellan företag eller mellan företag och konsumenter.
1.4.6.
Kunden ansvarar för att vid behov underrätta sina banker eller andra parter om befogenheten och för eventuella avgifter som kundens banker eller andra parter tar ut vid användningen av tjänsterna. Om InExchange skulle få en faktura på sådana avgifter i samband med tillhandahållandet av tjänsten kommer InExchange att fakturera kunden för nämnda avgifter.
1.4.7.
För att tillhandahålla funktionalitet använder InExchange vissa fakturanätverk, däribland tredjepartsnätverk, såsom PEPPOL-infrastrukturen, leverantörer av bank- och mobilbetalningar och andra dokumentnätverk, samt tredje part för hantering av fakturor och dokument, t.ex. pappersfakturor. Kunden ger härmed InExchange befogenhet att utbyta de upplysningar om kundens betalningsprofil, fakturor och liknande affärsdokument med sådana nätverk och leverantörer som behövs för att kunna tillhandahålla tjänsten.
1.4.8.
Om kunden inte vill registreras i dessa nätverks adressregister bör kunden underrätta InExchange om detta. (En sådan reservation kan innebära att kunden inte kan använda hela eller delar av tjänsten.)

2. Right of Use

2.1.
Kunden
2.1.1.
Kunden beviljas en begränsad, icke-exklusiv, återkallelig och uppsägbar rätt att få tillgång till och använda tjänsterna, som uteslutande gäller för kundens interna affärsverksamhet och i enlighet med tjänstevillkoren. (För redovisningsbyråer och deras kunder, se punkt 2.2.)
2.1.2.
. För att förtydliga ovanstående, utan att begränsa dess allmängiltighet, avses med intern affärsverksamhet verksamheter som uteslutande hänför sig till kundens egen affärsverksamhet, t.ex. kundens egen bokföring och egna betalningar. Begreppet ska under inga omständigheter tolkas så att det ger kunden tillåtelse att verka som tjänsteleverantör, redovisningsbyrå eller liknande, eller att använda tjänsterna i eller för ett företag där kunden äger eller på annat sätt kontrollerar mindre än 50 %.
2.1.3.
Rätten att använda tjänsterna får under inga omständigheter, vare sig helt eller delvis, överlåtas till eller tilldelas något annat företag (inbegripet fusioner och fissioner, konkurser, förändringar i ägande eller kontroll eller dotterbolag) utan att i varje enskilt fall först ha inhämtat InExchange skriftliga godkännande, som inte oskäligen ska nekas.
2.1.4.
Kunden är ensamt ansvarig för all användning av tjänsterna, bl.a. användarnas förehavanden och användaradministration, samt tredje parts eller applikationers åtkomst eller integration. Kunden är ensamt ansvarig för kunduppgifternas innehåll och lagenlighet, och får inte överföra eller behandla skadlig kod, skadliga uppgifter eller liknande (t.ex. virus) till eller i samband med tjänsterna, och inte heller använda tjänsterna för olagliga eller oegentliga ändamål.
2.1.5.
Kunden administrerar och ansvarar för användarna. Användarna måste ha erhållit erforderliga rättigheter från kunden för att använda tjänsten. Alla användarkonton är avsedda för enskilda, namngivna personer. För att förtydliga ovanstående får kunden ge användarkonton till utomstående personer som på uppdrag av kunden utför arbete för dennes räkning, t.ex. kundens räkenskapsförare, revisor, konsult och liknande.

3. Avtal om behandling av personuppgifter

InExchange är fast beslutet att se till att tjänsterna är förenliga med tillämpliga lagar och förordningar om skydd av personuppgifter.
Se bilaga A – Personuppgiftsbiträdesavtal

4. Andra relaterade villkor

4.1.
Konfidentialitet
4.1.1.
Parterna får lämna ut eller ta emot konfidentiell information från den andra parten, oavsett form eller medel, däribland affärshemligheter och annan information förknippad med tjänsterna, produkter, programvara, teknik, know-how, uppgifter, affärsplaner och färdplaner, kunduppgifter eller annan information som skäligen bör anses vara skyddad, konfidentiell eller konkurrensmässigt känslig (konfidentiell information). Parterna ska behandla all konfidentiell information förtroligt och vidta rimliga åtgärder för att skydda den andra partens konfidentiella information, varvid parterna ska vidta lika stränga skyddsåtgärder som de vidtar för att skydda sin egen konfidentiella information, dock minst iaktta skälig aktsamhet. Parterna får inte heller lämna ut konfidentiell information till tredje part, såvida de inte fått särskild befogenhet av den andra parten att göra detta eller är skyldiga att göra detta enligt tvingande lagbestämmelser. Alla rättigheter till, anspråk på och intressen i konfidentiell information är och ska förbli den utlämnande partens ensamrätt.
4.1.2.
Konfidentiell information omfattar inte a) information som mottagaren kan visa att mottagaren förfogade över eller hade kunskap om innan mottagaren anslöt sig till tjänstevillkoren, och som mottagaren skaffat på lagligt sätt, b) information som är eller blir offentlig utan mottagarens förvållande, handlande, försummelse eller ingripande, c) information som mottagaren tar emot från tredje part utan att omfattas av (uttrycklig eller underförstådd) tystnadsplikt eller d) information som mottagaren självständigt tar fram utan att bryta mot tjänstevillkoren.
4.1.3.
Om inget annat anges i dessa villkor kommer InExchange inte att sälja, hyra, hyra ut eller på annat sätt göra kunduppgifter eller användaruppgifter tillgängliga för tredje part utom i följande eller liknande situationer:
  1. - För att följa lagar, förordningar eller direktiv eller för att hörsamma en juridiskt bindande begäran från offentliga myndigheter eller polis, t.ex. ett domstolsbeslut, en order eller en stämning.
  2. - För att undersöka eller förhindra allvarliga säkerhetshot eller bedrägerier.
4.1.4.
InExchange får lämna ut konfidentiell information till partners eller underleverantörer i den mån det behövs för att tillhandahålla tjänsterna.
4.2.
Immateriella rättigheter
4.2.1.
InExchange (eller i förekommande fall dess licensgivare) är ensam ägare av tjänsterna och tillhörande immateriella rättigheter till tjänsterna, bl.a. programvara, källkod, binärkod, uppgiftssammanställningar, databaser och formgivningar, såväl registrerade som oregistrerade, all dokumentation, alla specifikationer och tillhörande material, samt alla immateriella rättigheter som uppstår till följd av eller i samband med InExchange behandling av användaruppgifter. Tjänsterna och de immateriella rättigheterna är skyddade av upphovsrätt och andra lagar och fördrag. Varumärken, produktnamn, företagsnamn eller logotyper som nämns i tjänsterna eller i samband med tjänsterna tillhör respektive ägare.
4.2.2.
Om InExchange tillhandahåller programvaror eller andra immateriella rättigheter från tredje part som en del av eller i samband med tjänsterna (tredjepartskomponenter) omfattas dessa programvaror eller immateriella rättigheter av tjänstevillkoren, såvida InExchange inte tillhandahåller separata villkor för dessa. Om licensvillkoren för en tredjepartskomponent skiljer sig från tjänstevillkoren ska licensvillkoren för tredjepartskomponenten gälla för denna komponent. Även om tredjepartskomponenten är öppen källkod ska tjänsterna under inga omständigheter anses vara öppen källkod eller offentligt tillgänglig programvara – med undantag för den berörda komponenten. Om det för en tredjepartskomponent krävs att InExchange tillhandahåller licensvillkor och/eller källkod för en tredjepartskomponent finns dessa att hämta i rutan ”Om tjänsten” i tjänsten eller i tjänstedokumentationen. Det är inte tillåtet att försöka bakåtutveckla programvaran eller data i denna. Detta förbud gäller även försök att få tillgång till källkoden med hjälp av dekompilerings- och dekrypteringsverktyg. Det är inte heller tillåtet att försöka kommunicera med lokala datorer, över intranätet eller med servrar på internet, i syfte att bakåtutveckla programvaran. Det är inte heller tillåtet att dela upp programvaran i sina komponenter för att använda dessa i andra datorer.
4.2.3.
Det är inte tillåtet att försöka reverse engineer programvaran eller data i denna. Detta förbud gäller även försök att få tillgång till källkoden med hjälp av dekompilerings- och dekrypteringsverktyg. Det är inte heller tillåtet att försöka kommunicera med lokala datorer, över intranätet eller med servrar på internet, i syfte att reverse engineer programvaran. Det är inte heller tillåtet att dela upp programvaran i sina komponenter för att använda dessa i andra datorer.
4.2.4.
Vid intrång i de immateriella rättigheterna får InExchange eller dess licensgivare vidta alla rimliga åtgärder för att skydda sina skyddade och kommersiella intressen, bl.a. alla rättsmedel som finns i lagstiftningen.
4.3.
Garanti
4.3.1.
InExchande ska vidta kommersiellt rimliga åtgärder för att se till att tjänsterna under prenumerationstiden i allt väsentligt fungerar enligt beskrivningen i tjänstedokumentationen, förutsatt att de är rätt konfigurerade (bl.a. kundens val av webbläsare) och uppdaterade till en kompatibel version. Kunden och InExchange är överens om att tjänsterna och tillhandahållandet av dessa inte kommer att vara helt utan fel och att arbetet med att förbättra tjänsterna är en kontinuerlig process.
4.3.2.
InExchange garanterar inte att tjänsterna kommer att leva upp till kundens krav, fungera korrekt med kundens val av utrustning, system eller inställningar, installation, konfiguration, ändringar, anpassningar, insticksprogram eller integrationer som inte sköts eller kontrolleras av InExchange eller, om de levereras via internet, att de fungerar utan avbrott. InExchange ansvarar inte för internet, internetleverantörer eller kundens internetanslutning.
4.3.3.
Om tjänsterna inte fungerar i enlighet med den begränsade garanti som anges i denna punkt 4.3 ska InExchange korrigera bekräftade fel eller brister i tjänsterna på egen bekostnad. Med bekräftade fel och brister avses fel eller brister som kan reproduceras av InExchange och/eller bekräftas genom InExchange supportkanaler, och som inträffar under prenumerationstiden. InExchange kan välja att byta ut tjänsterna eller funktionaliteten i stället för att korrigera dem.
4.3.4.
Om det bekräftade felet eller bristen är av väsentlig art, vilket innebär att kundens möjligheter att använda tjänsterna väsentligt begränsas, och InExchange inte korrigerar bekräftade fel eller brister eller byter ut tjänsterna inom skälig tid enligt punkt 4.3.3 får kunden säga upp prenumerationen av den berörda tjänsten. I så fall har kunden rätt att få en proportionell återbetalning av avgifterna för den prenumerationstid som återstår för de berörda tjänsterna, från och med månaden efter det att InExchange verifierat felen eller bristerna.
4.3.5.
Om inget annat uttryckligen anges i dessa villkor har kunden inte rätt att rikta några anspråk mot InExchange.
4.3.6.
Om inget annat uttryckligen anges i dessa villkor lämnar varken InExchange eller dess licensgivare eller återförsäljare någon garanti, vare sig uttrycklig eller underförstådd, t.ex. garanti för äganderätt, icke-intrång, säljbarhet, lämplighet för ett visst ändamål eller systemintegration. Inga andra anspråk än dem som uttryckligen anges i dessa villkor får riktas mot tjänsterna och kunden får inte basera några anspråk på villkor som inte uttryckligen anges i tjänstevillkoren.
4.3.7.
Länkar till webbplatser som inte ägs eller kontrolleras av InExchange och som visas på tjänstens webbsidor eller andra relaterade sidor eller dokument har endast placerats där för att underlätta för läsaren. InExchange ansvarar inte för dessa webbplatser.
4.4.
Ansvar
4.4.1.
InExchange är inte ansvarig eller skadeståndsskyldig för kunduppgifterna, inklusive dess innehåll, ägande och legitimitet, inte heller för hur kunden eller någon annan för kundens räkning använder eller på annat sätt behandlar kunduppgifterna på ett sätt som ligger utanför InExchange kontroll.
4.4.2.
Om InExchange till följd av en av domstol stadfäst förlikning eller ett domstolsbeslut enligt punkt 4.7.2 anses vara skyldig att betala ersättning till kunden efter att ha åsidosatt de skyldigheter som anges i tjänstevillkoren ska denna ersättning inte under några omständigheter omfatta ersättning för indirekt skada eller följdskada eller skadestånd av något slag till följd av eller i samband med detta åsidosättande, bl.a. förlust av kunduppgifter, produktion, intäkter eller vinst eller anspråk från tredje part eller myndighetssanktioner, även om InExchange har fått information om möjligheten för sådana skadestånd. InExchange ansvar enligt tjänstevillkoren är begränsat till direkta skador, såvida inget annat anges i tvingande lagbestämmelser, t.ex. skadestånd på grund av grov oaktsamhet eller avsiktlig försummelse.
4.4.3.
Sammantaget ska det ackumulerade ansvaret (inklusive eventuella återbetalningar och ersättningar för direkta skador och kostnader) under prenumerationstiden för tjänsterna sammanlagt inte överstiga ett belopp som motsvarar sex månaders avgifter för de berörda tjänsterna.
4.4.4.
Varken InExchange eller kunden ska ansvara för dröjsmål eller brister som uppstår till följd av eller i samband med force majeure, bl.a. jordbävning, upplopp, arbetskonflikt, verksamheter och lagstiftning som är beroende av internet och andra liknande händelser som ligger utanför InExchange eller kundens kontroll. Om lagar, direktiv eller förordningar som är tillämpliga på tjänsterna eller tillhandahållandet av dessa ändras, eller om nya lagar eller direktiv antas efter det att tjänsterna har gjorts tillgängliga på marknaden, och detta gör att InExchange är förhindrat att fullgöra kundens instruktioner eller skyldigheter enligt tjänstevillkoren och/eller som innebär att tjänsterna, helt eller delvis, behöver dras in under en begränsad period eller tills vidare, ska detta anses utgöra force majeure.
4.4.5.
Även om InExchange kommer att iaktta tillbörlig omsorg för att säkert överföra information mellan kunden och tjänsterna inser kunden att internet är ett öppet system och att InExchange inte kan och inte heller försäkrar eller garanterar att tredje part inte kan eller inte kommer att snappa upp eller ändra uppgifterna. InExchange tar inget ansvar för sådant missbruk, sådan utlämning eller sådan förlust av uppgifter.
4.5.
Skadeersättning
4.5.1.
InExchange ska försvara kunden mot eventuella rättsanspråk eller rättstvister där tredje part gör gällande att kundens användning av tjänsterna enligt tjänstevillkoren kränker tredje parts patent, upphovsrätt eller andra immateriella rättigheter. Kunden ska omedelbart underrätta InExchange om sådana rättsanspråk. InExchange ska ersätta kunden för eventuella skadestånd som tilldömts tredje part för kränkning enligt en av domstol stadfäst förlikning eller ett domstolsbeslut, inklusive advokatarvoden, förutsatt att kunden samarbetar med InExchange på InExchange bekostnad, och ger InExchange full kontroll över rättsprocessen och förlikningen. Det står InExchange fritt att i) ändra tjänsterna så att konflikten undanröjs, ii) ersätta tjänsterna med funktionsmässigt likvärdiga tjänster, iii) skaffa en licens för kundens fortsatta användning av tjänsten eller iv) säga upp kundens rätt att använda tjänsterna i utbyte mot en återbetalning av förskottsbetalda avgifter för prenumerationstid efter uppsägningsdagen. Kunden får inte göra några andra rättsanspråk på grund av kränkningen av tredje parts rättigheter.
4.5.2.
Ovan nämnda ersättning ska inte tillämpas om tjänsterna har använts i strid med tjänstevillkoren, bl.a. om rättsanspråken uppstår till följd av användning, ändring, integration eller anpassning av tjänsterna som inte gjorts av InExchange.
4.5.3.
Kunden ska försvara InExchange mot eventuella rättsanspråk eller rättstvister där tredje part gör gällande att kundens uppgifter eller användning av tjänsterna i strid med tjänstevillkoren strider mot eller kränker tredje parts patent, upphovsrätt eller andra immateriella rättigheter, eller strider mot eller kränker tillämplig lagstiftning. InExchange ska omedelbart underrätta kunden om sådana rättsanspråk. Kunden ska ersätta InExchange för eventuella skadestånd som fastställts enligt en av domstol stadfäst förlikning eller ett domstolsbeslut, inklusive advokatarvoden, förutsatt att InExchange samarbetar med kunden på kundens bekostnad, och ger kunden full kontroll över rättsprocessen och förlikningen.
Kunden ska även ersätta InExchange för alla rättsanspråk, böter, sanktioner osv. som följer av kundens underlåtelse att fullgöra sina skyldigheter när det gäller behandlingen av personuppgifter.
4.6.
Avtalets upphörande
4.6.1.
Uppsägning från kundens sida: Kunden får närhelst den finner lämpligt säga upp kundförhållandet eller enskilda tjänster och användare.
4.6.2.
Uppsägning från InExchange sida: Om InExchange med säkerhet konstaterar eller skäligen misstänker att kunden inte fullgör sina skyldigheter enligt tjänstevillkoren, eller om kunden går i konkurs eller blir insolvent, får InExchange stänga av kundens tillgång till tjänsterna eller begränsa den till läsåtkomst tills frågan har lösts. InExchange ska ge kunden rimlig tid att svara innan kundens tillgång till tjänsterna stängs av eller begränsas. Om situationen inte löser sig inom skälig tid förbehåller sig InExchange rätten att säga upp kundens rätt att använda tjänsterna, vilket därmed avslutar kundförhållandet. Det står InExchange fritt att med omedelbar verkan säga upp kundens rätt att använda tjänsterna om kunden väsentligen bryter mot de immateriella rättigheterna i tjänstevillkoren, vilket därmed avslutar kundförhållandet.
4.7.
Gällande lagstiftning och tvistlösning
4.7.1.
Kunden ingår avtal med det InExchange-företag av vilket rätten att använda tjänsten beställdes.
4.7.2.
Parternas rättigheter och skyldigheter ska helt och hållet regleras av den nationella lagstiftning som gäller för det InExchange-företag med vilket kunden har ingått detta avtal, med undantag för lagvalsregler. Om en tvist uppstår till följd av eller i samband med tjänstevillkoren eller användningen av tjänsterna ska parterna försöka att göra upp i godo. Om tvisten inte kan lösas på detta sätt ska den uteslutande hänskjutas till de allmänna domstolar som är behöriga på InExchange registrerade företagsadress.
4.7.3.
Parterna är överens om att inte rikta några rättsanspråk till följd av eller i samband med tjänstevillkoren när mer än ett år har förflutit sedan villkoren sades upp.
4.7.4.
Vid tveksamhet om tjänstevillkorens tolkning på grund av skillnader mellan den engelska versionen och andra språkversioner ska den engelska versionen gälla.

Bilaga A – Personuppgiftsbiträdesavta

Inledning
Båda parterna bekräftar att undertecknade har fullmakt att ingå detta avtal om behandling av personuppgifter (nedan kallat avtalet). Detta avtal kommer att ingå i och reglera behandlingen av personuppgifter kopplade till följande tjänsteavtal (nedan kallat tjänsteavtalet) mellan parterna:

  • InExchange Network

Personuppgiftsbiträdet verkar i enlighet med InExchanges integritetsförklaring som finns på https://www.inexchange.se/privacy-statement/ .

Definitioner
Begreppen personuppgifter, särskilda kategorier av personuppgifter (känsliga personuppgifter), behandling av personuppgifter, registrerad, personuppgiftsansvarig och personuppgiftsbiträde används och tolkas på samma sätt som i tillämplig integritetslagstiftning, däribland den allmänna dataskyddsförordningen (GDPR) som är tillämplig på detta avtal och i EU från och med den 25 maj 2018.

Tillämpningsområde
Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning och beskriver hur personuppgiftsbiträdet för den personuppgiftsansvariges räkning, med hjälp av tekniska och organisatoriska åtgärder i enlighet med tillämplig integritetslagstiftning, bl.a. den allmänna dataskyddsförordningen, ska verka för att skydda de registrerades integritet.

Syftet med personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning är att fullgöra tjänsteavtalet och detta avtal.

Detta avtal ska gälla om bestämmelserna om behandlingen av personuppgifter skiljer sig åt mellan tjänsteavtalet och andra avtal som ingåtts mellan parterna. Detta avtal gäller så länge parterna har ett giltigt tjänsteavtal som omfattar behandlingen av personuppgifter.

Personuppgiftsbiträdets skyldigheter
Personuppgiftsbiträdet ska endast behandla personuppgifter för den personuppgiftsansvariges räkning och i enlighet med dennes instruktioner. Genom att ingå detta avtal instruerar den personuppgiftsansvarige personuppgiftsbiträdet att behandla personuppgifter på följande sätt: i) endast i enlighet med tillämplig lagstiftning, ii) för att fullgöra alla skyldigheter enligt tjänsteavtalet, iii) i enlighet med den personuppgiftsansvariges normala användning av personuppgiftsbiträdets tjänster och iv) i enlighet med detta avtal.

Personuppgiftsbiträdet har inga skäl att anta att tillämplig lagstiftning förhindrar det att följa ovannämnda instruktioner. Personuppgiftsbiträdet ska, när det får kännedom om det, underrätta den personuppgiftsansvarige om instruktioner eller annan behandling som den personuppgiftsansvarige företar och som personuppgiftsbiträdet anser strider mot tillämplig integritetslagstiftning.

Följande kategorier av registrerade och personuppgifter behandlas enligt detta avtal:

  1. Kategorier av registrerade
    1. Kunder och slutanvändare
  2. Kategorier av personuppgifter
    1. Kontaktuppgifter, t.ex. namn, telefonnummer, adress, e-postadress osv.
    2. Uppgifter om arbete, t.ex. tjänst, företag osv.

Personuppgiftsbiträdet ska säkerställa personuppgifternas konfidentialitet, integritet och tillgänglighet i enlighet med den integritetslagstiftning som är tillämplig för personuppgiftsbiträdet. Personuppgiftsbiträdet ska, med beaktande av den senaste utvecklingen och genomförandekostnaderna, vidta systematiska, organisatoriska och tekniska åtgärder för att säkerställa en skyddsnivå som är lämplig i förhållande till den risk som behandlingen medför och den typ av personuppgifter som ska skyddas.

Personuppgiftsbiträdet ska, med tanke på behandlingens art och personuppgiftsbiträdets tillgång till information, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sina skyldigheter enligt tillämplig integritetslagstiftning att svara på begäranden från registrerade och att följa de allmänna integritetskraven enligt artiklarna 32–36 i den allmänna dataskyddsförordningen.

Om den personuppgiftsansvarige begär mer information om säkerhetsåtgärder, dokumentation eller andra former av information om hur personuppgiftsbiträdet behandlar personuppgifter än den standardinformation som personuppgiftsbiträdet lämnar för att i egenskap av personuppgiftsbiträde följa tillämplig integritetslagstiftning, och begäran medför extra arbete för personuppgiftsbiträdet, får personuppgiftsbiträdet debitera den personuppgiftsansvarige för dessa extra tjänster enligt överenskommelse mellan parterna.

Personuppgiftsbiträdet och dess personal ska säkerställa konfidentialitet för de personuppgifter som behandlas i enlighet med avtalet. Denna bestämmelse gäller även efter det att avtalet har sagts upp.

Personuppgiftsbiträdet ger, genom att underrätta den personuppgiftsansvarige utan onödigt dröjsmål, den personuppgiftsansvarige möjlighet att uppfylla de rättsliga kraven på att anmäla incidenter till dataskyddsmyndigheten eller till de registrerade.

Dessutom ska personuppgiftsbiträdet i den mån det är lämpligt och lagligt underrätta den personuppgiftsansvarige om

  1. ) begäranden från en registrerad om att lämna ut personuppgifter,
  2. ) begäranden från offentliga myndigheter, t.ex. polisen, om att lämna ut personuppgifter

Personuppgiftsbiträdet ska inte besvara begäranden från registrerade direkt, såvida den personuppgiftsansvarige inte har gett personuppgiftsbiträdet befogenhet att göra detta. Personuppgiftsbiträdet ska inte lämna ut information om detta avtal till offentliga myndigheter, t.ex. polisen, inbegripet personuppgifter, om det inte är skyldigt att göra detta enligt lag, t.ex. genom ett domstolsbeslut eller liknande order.

Personuppgiftsbiträdet kontrollerar inte om och hur den personuppgiftsansvarige använder tredjepartsintegrationer genom personuppgiftsbiträdets programmeringsgränssnitt eller liknande, och personuppgiftsbiträdet tar därför inget ansvar för risker i samband med detta. Den personuppgiftsansvarige är ensamt ansvarig för tredjepartsintegrationer.

Den personuppgiftsansvariges skyldigheter
Genom att underteckna detta avtal bekräftar den personuppgiftsansvarige följande:

  • Den personuppgiftsansvarige ska, vid användningen av personuppgiftsbiträdets tjänster enligt tjänsteavtalet, behandla personuppgifter i enlighet med kraven i tillämplig integritetslagstiftning.
  • Den personuppgiftsansvarige har rättsliga befogenheter att behandla och lämna ut de berörda personuppgifterna till personuppgiftsbiträdet (inbegripet personuppgiftsbiträdets underleverantörer)
  • Den personuppgiftsansvarige är ensamt ansvarig för korrektheten, integriteten, innehållet, tillförlitligheten och lagligheten i de personuppgifter som lämnas ut till personuppgiftsbiträdet.
  • Den personuppgiftsansvarige har uppfyllt alla obligatoriska krav och skyldigheter att göra anmälningar till eller inhämta tillstånd från behöriga tillsynsmyndigheter för behandlingen av personuppgifterna.
  • Den personuppgiftsansvarige har uppfyllt sina skyldigheter att lämna relevant information till de registrerade om behandlingen av personuppgifter enligt den tvingande dataskyddslagstiftningen.
  • Den personuppgiftsansvarige ska, vid användningen av personuppgiftsbiträdets tjänster enligt tjänsteavtalet, inte förmedla några känsliga personuppgifter till personuppgiftsbiträdet, såvida detta inte uttryckligen avtalats i tillägg A till detta avtal.
  • Den personuppgiftsansvarige ska föra ett uppdaterat register över de typer och kategorier av personuppgifter som den behandlar i den mån behandlingen avviker från de kategorier och typer av personuppgifter som anges i tillägg A.

Användningen av underleverantörer och överföringen av uppgifter
Personuppgiftsbiträdet får, som ett led i tillhandahållandet av tjänster till den personuppgiftsansvarige enligt tjänsteavtalet och detta avtal, använda sig av underleverantörer. Dessa underleverantörer kan vara externa tredjepartsleverantörer belägna inom eller utanför EU. Personuppgiftsbiträdet ska se till att underleverantörerna samtycker till att åta sig skyldigheter som motsvarar dem som anges i detta avtal. All användning av underleverantörer omfattas av InExchange integritetsförklaring.

Den personuppgiftsansvarige kan begära att som tillägg B få en översikt över de underleverantörer som för närvarande har tillgång till personuppgifter. Den personuppgiftsansvarige kan när som helst även begära att få en fullständig översikt och mer detaljerad information om de underleverantörer som anlitats inom ramen för tjänsteavtalet.

Om underleverantörerna är belägna utanför EU ger den personuppgiftsansvarige personuppgiftsbiträdet befogenhet att se till att det finns en giltig rättslig grund för att för den personuppgiftsansvariges räkning föra ut personuppgifterna ur EU, bl.a. genom att godkänna EU:s standardklausuler eller överföra personuppgifterna i enlighet med skölden för skydd av privatlivet.

Den personuppgiftsansvarige ska i förväg underrättas om varje byte av underleverantörer som behandlar personuppgifter. Om personuppgiftsbiträdet inte kan styrka att en ny underleverantör uppfyller kraven i tillämplig integritetslagstiftning får den personuppgiftsansvarige säga upp detta avtal. En sådan uppsägning kan vara skäl att helt eller delvis säga upp tjänsteavtalet enligt uppsägningsklausulerna i tjänsteavtalet. En viktig del av denna bedömning ska vara i vilken utsträckning underleverantörens behandling av personuppgifter är en nödvändig del av de tjänster som tillhandahålls enligt tjänsteavtalet. Bytet av underleverantör anses i sig inte utgöra ett brott mot tjänsteavtalet.

Genom att underteckna detta avtal godkänner den personuppgiftsansvarige personuppgiftsbiträdets allmänna användning av underleverantörer enligt beskrivningen ovan.

Säkerhet
Personuppgiftsbiträdet är fast beslutet att se till att dess produkter och tjänster håller en hög säkerhet. Personuppgiftsbiträdet upprätthåller en lämplig säkerhetsnivå genom organisatoriska, tekniska och fysiska säkerhetsåtgärder, i enlighet med de krav på information om säkerhetsåtgärder som beskrivs i artikel 32 i den allmänna dataskyddsförordningen.

InExchange interna integritetsram syftar vidare till att skydda personuppgifternas konfidentialitet, integritet, motståndskraft och tillgänglighet. Här är följande åtgärder särskilt viktiga:

  • Att klassificera personuppgifter för att säkerställa genomförandet av säkerhetsåtgärder som är likvärdiga med riskbedömningar.
  • Att bedöma användningen av kryptering och pseudonymisering som riskreducerande faktorer.
  • Att begränsa tillgången till personuppgifter till dem som behöver tillgång till dem för att fullgöra skyldigheter enligt detta avtal eller tjänsteavtalet.
  • Att hantera system som upptäcker, återställer, förhindrar och rapporterar integritetsincidenter.
  • Att använda självbedömningar av säkerheten för att analysera om rådande tekniska och organisatoriska åtgärder är tillräckliga för att skydda personuppgifter, med beaktande av de krav som beskrivs i tillämplig integritetslagstiftning.

Granskningsrättigheter
Den personuppgiftsansvarige får granska personuppgiftsbiträdets efterlevnad av detta avtal upp till en gång om året. Den personuppgiftsansvarige får begära granskningar oftare om detta krävs enligt lagstiftning som är tillämplig för den personuppgiftsansvarige. För att begära en granskning måste den personuppgiftsansvarige, minst fyra veckor före den dag då granskningen föreslås äga rum, lämna en detaljerad granskningsplan till personuppgiftsbiträdet med en beskrivning av granskningens omfattning, längd och startdatum. Om tredje part ska genomföra granskningen är huvudregeln att detta ska avtalas mellan parterna. Om uppgifterna behandlas i en multitenant miljö eller liknande ger den personuppgiftsansvarige av säkerhetsskäl personuppgiftsbiträdet befogenhet att besluta att granskningarna ska utföras av en opartisk tredje part som personuppgiftsbiträdet väljer.

Om det område som den begärda granskningen omfattar behandlas i en ISAE-rapport, ISO-rapport eller liknande bestyrkanderapport som upprättats av en kvalificerad extern granskare under de senaste tolv månaderna, och personuppgiftsbiträdet bekräftar att det inte har skett några väsentliga ändringar av de granskade åtgärderna, går den personuppgiftsansvarige med på att godta dessa iakttagelser i stället för att begära en ny granskning av de åtgärder som omfattas av rapporten.

I vilket fall som helst måste granskningar genomföras under ordinarie arbetstid vid den berörda anläggningen, med förbehåll för personuppgiftsbiträdets policy, och får inte i orimlig utsträckning störa personuppgiftsbiträdets verksamhet.

Den personuppgiftsansvarige ska ansvara för kostnader som uppstår i samband med de granskningar som den personuppgiftsansvarige begär. Om personuppgiftsbiträdet bistår mer än vad som ingår i den standardtjänst som personuppgiftsbiträdet och/eller InExchange tillhandahåller för att följa tillämplig integritetslagstiftning utgår en avgift enligt överenskommelse mellan parterna.

Löptid och upphörande
Detta avtal gäller så länge personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning enligt tjänsteavtalet.

Detta avtal upphör automatiskt att gälla när tjänsteavtalet upphör att gälla. När detta avtal upphör att gälla ska personuppgiftsbiträdet radera eller återlämna de personuppgifter som behandlats för den personuppgiftsansvariges räkning i enlighet med tillämpliga klausuler i tjänsteavtalet. Såvida inget annat skriftligen avtalats ska kostnaderna för dessa åtgärder baseras på i) ett timarvode för den tid som personuppgiftsbiträdet arbetat och ii) det begärda arbetets komplexitet.

Personuppgiftsbiträdet får behålla personuppgifter efter avtalets upphörande i den mån detta krävs enligt lag. Dessa omfattas då av samma typ av tekniska och organisatoriska säkerhetsåtgärder som dem som beskrivs i detta avtal.

Ändringar och tillägg

Ändringar av avtalet ska anges i ett nytt tillägg till detta avtal och undertecknas av båda parter för att vara giltiga.

Om en eller flera bestämmelser i detta avtal blir ogiltiga ska detta inte påverka resterande bestämmelser. Parterna ska ersätta en ogiltig bestämmelse med en laglig bestämmelse som återspeglar syftet med den ogiltiga bestämmelsen.

Ansvar

Ansvaret för brott mot bestämmelserna i detta avtal ska regleras av ansvarsklausulerna i tjänsteavtalet mellan parterna. Detta gäller även om personuppgiftsbiträdets underleverantörer bryter mot bestämmelserna i avtalet.

Gällande lagstiftning och behörig domstol

I detta avtal gäller den lagstiftning och den behöriga domstol som anges i tjänsteavtalet mellan parterna.

Underleverantörer
Vid undertecknandet av detta avtal hade följande av personuppgiftsbiträdets underleverantörer tillgång till den personuppgiftsansvariges personuppgifter:

Namn Ort/land Rättslig grund för överföringen om underleverantören har tillgång till personuppgifter från länder utanför EU Bistår personuppgiftsbiträd et med
Tele2 Business Stockholm, Sverige Ej tillämpligt inom EU Lagring på servrar
Zendesk San Francisco, USA Sköld för skydd av privatlivet Support

InExchange Terms of Service

Definitions

Term
Definition
Terms may also be used in the plural, e.g. “Services” or “Users”.
Customer
The entity which has entered into an agreement with InExchange for the Services by accepting the TOS.
InExchange
The company with which the Customer has entered into this agreement.
Party
InExchange or the Customer collectively referred to as the “Parties”.
Service
Software application and related services, such as data storage, from InExchange, including Users, and including revisions, modifications, and upgrades, as well as related activities such as third line support
User
A named individual user of the Service. Users may either be employees of the Customer, or anyone granted a User account by the Customer, such as a consultant or accountant, or a Development Account user.
Order
An order for the Services (including Users)
Fee
The fees due to InExchange from the Customer for the right of use for the Services.
Subscription Period
The time period for which the Fees grant the Customer a right of use for the Services
Customer Data
Data belonging to the Customer (or its Users) and processed in the Service, such as customer databases, invoices and other forms of production data and documents.
Personal Data*
Any information which may be related to a natural person (Data Subject).
Data Subject*
A natural person whose personal data is Processed by a Data Controller or Data Processor.
Special Categories of Personal Data*
(Sensitive Personal Data)

Any Personal Data related to:

- Racial or ethnic background

- Political opinions and affiliations

- Religious beliefs and other beliefs of a similar nature

- Trade union membership

- Mental and physical health

- Health - Criminal records

- Genetic and biometric data

Data Controller*
The entity that determines the purposes, conditions and means of the Processing of Personal Data.
Data Processor*
The entity Processing Personal Data on behalf of the Data Controller.
Data Processing or Processing*
Any operation performed on the Data, whether or not by automated means, such as collection, recording, organisation, storage, adaptation or alteration, disclosure by transmission, dissemination or otherwise making available, erasure or destruction, and necessary data maintenance such as debugging.
Breach*
A breach of security leading to the accidental or unlawful access to, destruction, misuse or other unauthorised processing of Data.
* These terms shall have the same meaning and interpretation as in applicable privacy legislation, and are referenced here for convenience.
Data
A collective term for any or all of Customer Data, Personal Data, Sensitive Personal Data and Usage Data.
Usage Data
Certain data collected from and/ or generated from the Services and the use thereof as specified in 3.3 Usage Data.
Use
Any and all actions performed on or with the Services by the Customer (including Users) including the uploading of, entering into or sending or generating of Data.
Partner
A non-InExchange company certified as a partner by a InExchange company.
All Partners carry an official InExchange Partner logo.
ISV
Independent Software Vendor.

1. General terms

1.1.
Order
1.1.1.
The Customer has ordered access to Services from InExchange through an Order. The Customer may order Services directly from InExchange, from within certain Services or through a Partner.
1.1.2.
These Terms of Service (TOS) are standard terms that govern the use of the Services. Please read the terms herein carefully. By placing an Order, by signing, clicking “I accept” or similar on any presentation of the TOS, inside the Service, web-shop, confirmation email or other order form, the Customer places a legally binding order with InExchange. Only individuals with the necessary administrative and purchasing rights for the Customer may do so. If you do not agree with the TOS, or do not have the necessary authority from your company to plase such an order, please do not use the Services, submit an Order for the Services, or accept or sign the TOS when presented with it, as doing so constitutes a binding legal action on behalf of your company. A legally binding agreement between your company and InExchange will be entered into when accepting or signing this TOS.
1.1.3.
Unless specifically agreed otherwise in writing, the TOS constitute the entire agreement between the Customer and InExchange regarding the Services.
1.1.4.
InExchange may change the TOS at its discretion in accordance with 1.3.1. The TOS will always include the date of the last update. (Please also see 5. Change log.) Certain changes in the TOS and/ or the Customer’s subscription, such as may be mandated by legislative changes, may require that the Customer re-accepts the TOS. Such changes will be notified in accordance with 1.3.2. If the Customer does not accept changes to the TOS, the Customer may terminate in accordance with 4.6.1, and request a pro-rated refund for any Fees paid in advance for the period after the termination date for the relevant Service.
1.2.
Fees
1.2.1.
Fees for the Services are according to the at all times applicable price lists from InExchange, as published online, in the Service or otherwise made available from InExchange. (Certain Services may be offered free of charge.)
1.2.2.
Unless explicitly stated otherwise in the price list or agreed in writing, all subscription Fees are due in advance and are non-refundable. There is no refund for Users, Services or remaining days in Subscription Periods, unless the availability of the Services has been significantly restricted or reduced for reasons solely attributable to InExchange. In such cases, InExchange may at its discretion, and as the sole remedy for the Customer, offer a reasonable refund to the Customer for Fees accrued during the period of reduced availability.
1.2.3.
Unless explicitly stated otherwise in the price list or agreed in writing, all transaction Fees are due in arrears and billed on a monthly basis.
1.2.4.
Fees are exclusive of all taxes, levies and duties. Unless explicitly agreed otherwise, InExchange will add the at any time applicable value added tax (VAT) to the invoice.
1.2.5.
InExchange reserves the right to change the Fees, including the fee-model, on 3 months’ notice according to 1.3.1 no more than two times per year for any individual Service, on 1 months’ notice where a subcontractor have increased their prices towards InExchange, and to increase the prices annually to account for general price- and cost increases without notification. Annual price changes are effective from January 1st each year, unless explicitly stated otherwise in the price list or agreed in writing.
1.2.6.
In the event of non-payment or late payment of the Fees by the Customer, InExchange reserves the right to suspend the Customer’s access to the Service or restrict the Customer’s access to read- only c.f. 4.6.2, and charge penalty interest up to the maximum rate permitted by law. Unpaid invoices will be sent to collection. If the situation is not resolved within a reasonable time, InExchange reserves the right to terminate the Customer’s right of use to the Services, c.f. 4.6.2.
1.3.
Notifications
1.3.1.
General notifications and information about the Services, such as information about new features, price changes or planned maintenance, will be delivered inside the Service, on the Service’s webpages/ online community or by email.
1.3.2.
Notifications regarding the Customer’s subscription or other information of particular importance, such as related to security or privacy, will be sent to the Customer’s primary contact email.
1.3.3.
The Customer is responsible for providing InExchange with at all times up to date contact information, including a primary contact email.
1.3.4.
All notices are deemed notified when sent or posted by InExchange. All notices are effective immediately unless specified otherwise in the notice.
1.4.
The Services
1.4.1.
The Customer purchases a subscription to the Services as they are made available online by InExchange or installed on the Customer’s computers or computers controlled by the Customer. (Services installed on the Customer’s computers may, however, contain online components and embedded online Services.) Upon purchasing a subscription, the Customer is granted access to and a right to use the Services as set forth in this TOS (please see 2. Right of Use).
1.4.2.
The Services are provided on an “as is” basis as standard services. The Services are not contingent on or tied to any particular version or functionality at any particular point in time, nor any publications, materials or comments made by or on behalf of InExchange. The Customer may access and Use online Services as they are provided at any given time. Where the Service is installed on the Customer’s computers, the Customer is responsible for using a supported version of the Service- please see 4.3.1.
1.4.3.
InExchange reserves the right to make improvements, add, change or remove functionality, or correct any errors or omissions in any part of the Services at its sole discretion and without any obligation or liability accruing therefrom. In the unlikely event such a modification disables or removes functionality which forms a material part of the Service permanently, or for a period of more than 2 months, the Customer is entitled to terminate the subscription for the affected Service, and to receive a pro-rated refund for the part of the subscription for any Fees paid in advance for the affected Service.
1.4.4.
InExchange reserves the right to discontinue any Service, or its availability in a particular market, on 12 months prior notice. The Customer shall be entitled to a pro-rated refund for any Fees paid in advance for the period after the date of discontinuation for the relevant Service, shall cease using the Service after the date of discontinuation for the relevant Service, and shall not be entitled to make any further claims against InExchange.
Payment- and reporting services
1.4.5.
The Customer hereby authorises InExchange to, on its behalf and instruction, place and authenticate invoices, payments, governmental reports (e.g. SAF-T) and similar activities or information, such as bank statements, made by or sent to the Customer using the Services, between the Customer’s banks, authorities, and other business-to-business and business-to-consumer relations.
1.4.6.
The Customer is responsible for notifying its banks or other parties of the authorisation if necessary, and for any charges incurred from the Customer’s banks or such parties when using the Services. In the event InExchange is invoiced for any such charges in connection with providing the Service, InExchange will invoice the Customer for said charges.
1.4.7.
In order to provide functionality, InExchange uses certain invoice networks, including third party networks, such as the PEPPOL infrastructure, bank- and mobile payment suppliers and other document networks, as well as third parties for processing invoices and documents, such as paper invoices. The Customer hereby authorises InExchange to exchange the Customer’s payment profile information, invoices and related business documents with such networks and providers as necessary to provide the Service.
1.4.8.
If the Customer does not wish to be registered in the address registers of such networks, the Customer should notify InExchange. (Reservation may result in the Customer not being able to use the Service in whole or in part.)

2. Right of Use

2.1.
Customer
2.1.1.
The Customer is granted a limited, non-exclusive, revocable and terminable right to access and Use the Services, solely for the Customer’s internal business operations and in accordance to the TOS. (For Accounting Offices and Clients thereof, please refer to 2.2.)
2.1.2.
For clarification and without limiting the generality of the foregoing, “internal business operations” means operations activities related solely to the Customer’s own business, such as its own accounting and payments, and shall under no circumstance be interpreted as allowing the Customer to operate as a service provider, accounting office or similar, or to use the Services in or for any entity in which the Customer owns or otherwise controls less than 50%.
2.1.3.
The right of use may not be transferred or assigned to any entity whatsoever, in whole or in part, under any circumstance (including but not restricted to mergers and demergers, bankruptcy, change of ownership or control or to affiliates) without prior written authorisation from InExchange in each case, which shall not unreasonably be withheld.
2.1.4.
The Customer is solely responsible for all Use of the Services, including User actions and User administration, and access or integrations by third parties or applications. The Customer is solely responsible for the content and legality of the Customer Data, and shall not transfer or process harmful code, data or similar (such as viruses) to or with the Services, nor use the Services for unlawful or malicious purposes.
2.1.5.
Users are administered by, and the responsibility of, the Customer. Users must have the necessary rights from the Customer to use the Service. All User accounts are for single named individuals. For clarification, the Customer may assign User accounts to third party individuals performing actions on behalf of and for the benefit of the Customer, such as the Customer’s accountant, auditor, consultant and similar.

3. Data Processing Agreement

InExchange is committed to ensuring that the Services are compliant with applicable data protection laws and regulations.
See Appendix A – Data Processing Agreement

4. Supporting terms

4.1.
Confidentiality
4.1.1.
Each Party may disclose or obtain Confidential Information from the other Party, in any form or media, including but not limited to trade secrets and other information related to the Services, products, software, technology, know-how, data, business plans and roadmaps, Customer Data, or other information that should reasonably be understood to be proprietary, confidential or competitively sensitive (“Confidential Information”.) The Parties shall hold all Confidential Information in confidence and take reasonable measures, at least as protective as those taken to protect its own confidential information but in no event less than reasonable care, to protect the other Party’s Confidential Information, and not disclose it to any third party, unless specifically authorised by the other Party to do so, or if required to do so under mandatory provisions of law. All right, title and interest in and to Confidential Information are and shall remain the sole and exclusive property of the disclosing Party.
4.1.2.
Confidential Information does not include a) information the recipient can demonstrate was in the recipient’s possession or knowledge prior to entering into the TOS, and which the Recipient lawfully acquired; b) is or becomes publicly available through no fault, action, omission or intervention of the recipient; c) is received by the recipient from a third party without a duty of confidentiality (express or implied); or d) is independently developed by the recipient without breach of the TOS.
4.1.3.
Except as otherwise provided herein, InExchange will not sell, rent, lease or otherwise make Customer Data or Usage Data available to third parties except in the following or similar situations:
  1. - to comply with any law, regulation or directive, or to respond to a legally binding request by governmental authorities or the police, such as a court order, warrant or subpoena;
  2. - to investigate or prevent serious security threats or fraud;
4.1.4.
InExchange may disclose Confidential Information to other companies in the InExchange group, Partners or subcontractors to the extent necessary to provide the Services.
4.2.
Intellectual Property Rights
4.2.1.
InExchange (or its licensors where applicable) is the sole owner of the Services and related intellectual property rights (IPR) in and to the Services, including but not limited to software, source code, binary code, compilation of data, databases and designs, whether registered or not, all documentation, specification and associated materials, and any IPR that arise out of or in connection with InExchange’s processing of Usage Data. The Services and IPR are protected by copyright and other laws and treaties. Trademarks, product names, company names or logos mentioned in the Services or in connection with the Services are the property of their respective owners.
4.2.2.
Where software or other IPR from a third party is provided by InExchange as part of or in connection with the Services (“Third Party Components”), such software or IPR is covered by the TOS unless separate terms are supplied by InExchange. If there is conflict between the licensing terms of a Third Party Component and the TOS, the licensing terms of the Third Party Component shall prevail for the Third Party Component. If the Third Party Component is open source, then under no circumstance shall the Services- except for the Third Party Component- be deemed to be open source or publicly available software. Where a Third Party Component require that InExchange provides the terms of license and/ or source code for a Third Party Component, this available from the “About box” in the Service or Service Documentation. Attempting to reverse engineer the Software or its data is not permitted. The ban includes, but is not limited to, attempts to obtain access to the source code with the support of decompilers and decryption tools. Nor is it permitted to attempt consolidated communication with local computers, over the Intranet or to servers on the Internet, for the purpose of reverse engineering. Nor is it permitted to split the Software into its component parts for use on different computers.
4.2.3.
Attempting to reverse engineer the Software or its data is not permitted. The ban includes, but is not limited to, attempts to obtain access to the source code with the support of decompilers and decryption tools. Nor is it permitted to attempt consolidated communication with local computers, over the Intranet or to servers on the Internet, for the purpose of reverse engineering. Nor is it permitted to split the Software into its component parts for use on different computers.
4.2.4.
In the event of infringement of IPR, InExchange or its licensors may take all reasonable steps to protect its proprietary and commercial interests, including any remedy available by law.
4.3.
Warranty
4.3.1.
InExchange shall use commercially reasonable efforts to ensure that the Services will perform substantially as described in the Service Documentation during the Subscription Period, provided they are properly configured (including the customer’s choice of browser) and updated to a supported version. The Customer and InExchange agree that the Services and delivery thereof will not be completely free of errors and that improving the Services is a continuous process.
4.3.2.
InExchange does not warrant that the Services will meet the Customer’s requirements, operate correctly with the Customer’s choice of equipment, systems or settings, setup, configuration, modifications, customizations, plugins or integrations not performed or controlled by InExchange, or if delivered over the internet, be uninterrupted. InExchange is not responsible for the internet, internet service providers nor the customer’s internet connection.
4.3.3.
If the Services do not function in accordance with the limited warranty specified in this section 4.3, InExchange shall correct confirmed errors or defects in the Services at its own expense. “Confirmed errors or defects” means errors or defects that are reproducible by InExchange and/ or confirmed through InExchange’s support channels, and which occur during the Subscription Period. InExchange may choose to replace the Services or functionality instead of performing a correction.
4.3.4.
If the confirmed error or defect is of a material nature, meaning that the Customer’s ability to use the Services is significantly reduced, and InExchange does not correct confirmed errors or defects or replace the Services within a reasonable period of time c.f. 4.3.3, the Customer may terminate the subscription for the affected Service. In such a case, the Customer has the right to a pro- rated refund for any Fees for the remaining Subscription Period for the affected Services, starting from the month following verification by InExchange of the errors or defects.
4.3.5.
Except as expressly set forth herein, the Customer shall not be entitled to make any claims against InExchange.
4.3.6.
Except as expressly set forth herein, neither InExchange nor its licensors or vendors offer any warranty, express or implied, including without limitation warranties of title, non-infringement, merchantability, fitness for a particular purpose or system integration capability. No claims other than those specifically set forth herein can be made with respect to the Services, and the Customer shall not base any claims on terms not expressly set forth in the TOS.
4.3.7.
Links to websites not owned or controlled by InExchange that appear in the Service or associated webpages or documentation are provided for convenience only. InExchange is not responsible for such websites.
4.4.
Liability
4.4.1.
InExchange is not responsible or liable for the Customer Data, including its content, ownership and legitimacy, nor for Use or other activities performed upon the Customer Data by the Customer or on behalf of the Customer, or otherwise outside the control of InExchange.
4.4.2.
If InExchange is held responsible for the payment of compensation through a court-approved settlement or court-ruling c.f. 4.7.2 to the Customer as a result of breach of any of the obligations specified in the TOS, such compensation shall not under any circumstances include compensation for indirect or consequential losses or damages of any kind that arise as a result of or in connection with such a breach, including but not limited to any loss of Customer Data, production, revenue or profit or third party claims or governmental sanctions, even in the event InExchange has been advised as to the possibility of such damages. InExchange’s liability under the TOS is limited to direct damages, except as provided otherwise by mandatory provisions of law, such as damages caused by gross negligence or wilful misconduct.
4.4.3.
Total, accumulated liability (including any refunds and compensations for direct losses and costs) during the Subscription Period for Services shall in total not exceed an amount equalling 6 months’ Fees for the affected Services.
4.4.4.
Neither InExchange nor the Customer shall be liable for any delay or failure in performance arising out of or in connection with force majeure, including earthquake, riot, labour dispute, operations and legislation of and pertaining to the internet, and other events similarly outside the control of InExchange or the Customer. In the event of legislation, directives or regulations pertaining to the Services or their delivery being changed, or new legislation or directives being passed after the Services have been made available in the market, which prevents InExchange from fulfilling the instructions of the Customer or obligations under the TOS, and/ or which requires the suspension of the Services, in whole or in part, for a time limited period or indefinitely, this shall be considered a force majeure event.
4.4.5.
Although InExchange will exercise due care in providing secure transmission of information between the Customer and the Services, the Customer acknowledges that the internet is an open system and that InExchange cannot and does not warrant or guarantee that third parties cannot or will not intercept or modify the Data. InExchange accepts no liability for such misuse, disclosure or Data loss.
4.5.
Indemnification
4.5.1.
InExchange shall defend the Customer against any claim or litigation where a third party claims that the Customer’s use of the Services under the TOS infringes the third party’s patent, copyright or other intellectual property right. The Customer shall immediately notify InExchange of any such claim. InExchange shall indemnify the Customer for any damages awarded to the third party for infringement under a court- approved settlement or court ruling, including lawyer fees, provided that the Customer cooperates with InExchange at InExchange’s expense, and gives InExchange full control of the legal process and settlement. InExchange may at its discretion (i) modify the Services so they are no longer in conflict, (ii) replace the Services with functionally equivalent Services, (iii) obtain a license for the Customer’s continued use of the Service or (iv) terminate the Customer’s right of use for the Services against a refund of any Fees paid in advance for Subscription Periods that exceed the date of termination. The Customer may not make any other claims due to infringement of third party’s right.
4.5.2.
The foregoing indemnity shall not apply if the Services have been used in breach of the TOS, including if the claim arises out of any use, modification, integration or customisation of the Services not carried out by InExchange.
4.5.3.
The Customer shall defend InExchange against any claim or litigation where a third party claims that the Customer’s Data, or use of the Services in breach of the TOS, is in conflict or infringement with the third party’s patent, copyright or other intellectual property rights, or is in breach or violation of applicable law. InExchange shall immediately notify the Customer of any such claim. The Customer shall indemnify InExchange for any damages imposed under a court- approved settlement or court ruling, including lawyer fees, provided that InExchange cooperates with the Customer at the Customer’s expense and gives the Customer full control of the legal process and settlement.
The Customer shall also indemnify InExchange from all claims, fines, sanctions etc. resulting from the Customer's breach of the Customer's obligations regarding processing of personal data.
4.6.
Termination
4.6.1.
Termination by the Customer: The Customer may terminate the customer relationship or individual Services and Users for convenience at any time.
4.6.2.
Termination by InExchange: If a breach of any of the Customer’s obligations under the TOS is confirmed by InExchange, or suspected by InExchange on reasonable grounds, or the Customer enters into bankruptcy or insolvency, InExchange may suspend the Customer’s access to the Services or restrict the Customer’s access to read-only, until the matter is resolved. InExchange shall give the Customer reasonable time to respond before suspending or restricting access. If the situation is not resolved within a reasonable amount of time, InExchange reserves the right to terminate Customer’s right of use for the Services, thereby terminating the customer relationship. InExchange may, at its sole discretion, choose to terminate the Customer’s right of use for the Services with immediate effect if the Customer is in material breach of the TOS or in violation of 2.3 API and Development Accounts, thereby terminating the customer relationship.
4.7.
Governing law and dispute resolution
4.7.1.
The Customer is contracting with the InExchange-company from which the right of use for Service was Ordered.
4.7.2.
The rights and obligations of the Parties shall be governed in their entirety by the national law applicable to the InExchange- company with which the Customer has entered into this agreement, excluding conflict of law regulations. If a dispute arises out of or in connection with the TOS or use of the Services, the Parties shall attempt to resolve the dispute through amicable negotiations. If the dispute cannot be resolved in this way, it shall be referred to the ordinary courts of law at the registered business address of InExchange as the exclusive venue.
4.7.3.
The Parties agree not to bring any claims arising out of or in connection with the TOS when more than one year has passed after its termination.
4.7.4.
In cases of doubt over interpretation between the TOS in English and the TOS in any other language, English shall take precedence.

Appendix A – Data Processing Agreement

Introduction
Both Parties confirm that the undersigned have the power of attorney to enter into this data processing agreement (“Agreement”). This Agreement will form part of and regulate the processing of personal data tied to the following service agreements ("Service Agreements") between the Parties:

  • InExchange network

The Processor operates in accordance with the InExchange Privacy Statement, available at https://www.inexchange.se/privacy-statement/ .

Definitions
The definition of Personal Data, Special Categories of Personal Data (Sensitive Personal Data), Processing of Personal Data, Data Subject, Controller and Processor is equivalent to how the terms are used and interpreted in applicable privacy legislation, including the General Data Protection Regulation (GDPR) applicable for this Agreement and Europe from 25 May 2018.

Scope
The Agreement regulates the Processor's Processing of Personal Data on behalf of the Controller, and outlines how the Processor shall contribute to ensure privacy on behalf of the Controller and its registered Data Subjects, through technical and organisational measures according to applicable privacy legislation, including the GDPR.

The purpose behind the Processor’s Processing of Personal Data on behalf of the Controller is to fulfill the Service Agreements and this Agreement.

This Agreement takes precedence over any conflicting provisions regarding the Processing of Personal Data in the Service Agreements or in other agreements made between the Parties. This Agreement is valid for as long as the Parties have a valid Service Agreement which includes Processing of Personal Data.

The Processor’s obligations
The Processor shall only Process Personal Data on behalf of and in accordance with the Controller’s instructions. By entering into this Agreement, the Controller instructs the Processor to process Personal Data in the following manner; i) only in accordance with applicable law, ii) to fulfill all obligations according to the Service Agreement, iii) as further specified via the Controller’s ordinary use of the Processor’s services and iv) as specified in this Agreement.

The Processor has no reason to believe that legislation applicable to it prevents the Processor from fulfilling the instructions mentioned above. The Processor shall, upon becoming aware of it, notify the Controller of instructions or other Processing activities by the Controller which in the opinion of the Processor, infringes applicable privacy legislation

The categories of Data Subject’s and Personal Data subject to Processing according to this Agreement.

  1. Categories of Data Subjects
    1. Customer end users
  2. Categories of Personal Data
    1. Contact information such as name, phone number, address, email etc.
    2. Job information such as position, company etc.

The Processor shall ensure the confidentiality, integrity and availability of Personal Data according to privacy legislation applicable to the Processor. The Processor shall implement systematic, organizational and technical measures to ensure an appropriate level of security, taking into account the state of the art and cost of implementation in relation to the risk represented by the Processing, and the nature of the Personal Data to be protected.

The Processor shall assist the Controller by appropriate technical and organisational measures, insofar as possible and taking into account the nature of the Processing and the information available to the Processor, in fulfilling the Controller’s obligations under applicable privacy legislation with regards to request from Data Subjects, and general privacy compliance under the GDPR article 32 to 36.

If the Controller requires information about security measures, documentation or other forms of information regarding how the Processor Processes Personal Data, and such requests exceed the standard information provided by the Processor to comply with applicable privacy legislation as Processor, and imposes additional work on the Processor, the Processor may charge the Controller for such additional services according to agreement between the parties.

The Processor and its staff shall ensure confidentiality concerning the Personal Data subject to Processing in accordance with the Agreement. This provision also applies after the termination of the Agreement.

The Processor will, by notifying the Controller without undue delay, enable the Controller to comply with the legal requirements regarding notification to data authorities or Data Subjects about incidents.

Further, the Processor will to the extent it is appropriate and lawful notify the Controller of;

  1. ) requests for the disclosure of Personal Data received from a Data Subject,
  2. ) requests for the disclosure of Personal Data by governmental authorities, such as the police

The Processor will not respond directly to requests from Data Subjects unless authorized by the Controller to do so. The Processor will not disclose information about this Agreement to governmental authorities such as the police, hereunder Personal Data, except as obligated by law, such as through a court order or similar warrant.

The Processor does not control if and how the Controller uses third party integrations through the Processor's API or similar, and thus the Processor has no ownership to risk in this regard. The Controller is solely responsible for third party integrations.

The Controller’s obligations
The Controller’s obligations The Controller confirms by the signing of this Agreement that:

  • The Controller shall, when using the services provided by the Processor under the Services Agreements, process Personal Data in accordance with the requirements of applicable privacy legislation.
  • The Controller has legal authority to process and disclose to the Processor (including any subcontractors used by the Processor) the Personal Data in question.
  • The Controller has the sole responsibility for the accuracy, integrity, content, reliability and lawfulness of the Personal Data disclosed to the Processor.
  • The Controller has fulfilled all mandatory requirements and duties to file notifications with or get authorization from the relevant regulatory authorities regarding the processing of the Personal Data.
  • The Controller has fulfilled its duties to provide relevant information to Data Subjects regarding processing of Personal Data according to mandatory data protection legislation.
  • The Controller shall, when using the services provided by the Processor under the Services Agreement, not communicate any Sensitive Personal Data to the Processor, unless this is explicitly agreed in Appendix A to this Agreement.
  • The Controller shall maintain an up to date register over the types and categories of Personal data it Processes, to the extent such Processing deviates from categories and types of Personal Data included in Appendix A.

Use of subcontractors and transfer of data
As part of the delivery of services to the Controller according to the Service Agreements and this Agreement, the Processor may make use of subcontractors. Such subcontractors can be external third party subcontractors located within or outside the EU. The Processor shall ensure that subcontractors agrees to undertake responsibilities corresponding to the obligations set out in this Agreement. All use of subcontractors is subject to the InExchange Privacy Statement.

The Controller may request to include an overview of the current subcontractors with access to Personal Data in an Appendix B. The Controller may also request a complete overview and more detailed information about the subcontractors involved in the Service Agreements at any time.

If the subcontractors are located outside the EU, the Controller gives the Processor authorization to ensure proper legal grounds for the transfer of Personal Data out of the EU on behalf of the Controller, hereunder by entering into EU Model Clauses or transferring Personal Data in accordance with the Privacy Shield.

The Controller shall be notified in advance of any changes of subcontractors that Process Personal Data. If the Processor is not able to document that a new subcontractor are compliant with applicable privacy legislation, then the Controller may terminate this Agreement. Such termination may give the right to terminate the Service Agreement, partly or fully, according to the termination clauses included in the Service Agreement. An important part of such assessments shall be to what extent the subcontractor's Processing of Personal Data is a necessary part of the services provided under the Service Agreement. The change of subcontractor will not in itself be considered as a breach of the Service Agreement.

By signing this Agreement, the Controller accepts the Processor's general use of subcontractors as described above.

Security
The Processor is committed to provide a high level of security in its products and services. The Processor provides an appropriate security level through organizational, technical and physical security measures, according to the requirements on information security measures outlined in GDPR article 32.

Further, the internal privacy framework developed by InExchange aims to safeguard the confidentiality, integrity, resilience and availability of Personal Data. The following measures are of particular importance in this regard:

  • Classification of Personal Data to ensure implementation of security measures equivalent to risk assessments.
  • Assess use of encryption and pseudo anonymization as risk mitigating factors.
  • Limiting access to Personal Data to those that need access to fulfill obligations according to this Agreement or the Service Agreement.
  • Manage systems that detects, restore, prevents and reports privacy incidents.
  • Use security self-assessments to analyze whether current technical and organizational measures are sufficient to protect Personal Data, taking into account the requirements outlined in applicable privacy legislation.

Audit rights
The Controller may audit the Processor’s compliance with this Agreement up to once a year. If required by legislation applicable to the Controller, the Controller may request audits more frequently. To request an audit, the Controller must submit a detailed audit plan at least four weeks in advance of the proposed audit date to the Processor, describing the proposed scope, duration, and start date of the audit. If any third party is to conduct the audit, it must as a main rule be mutually agreed between the Parties. However, if the processing environment is a multitenant environment or similar, the Controller gives the Processor authority to decide, due to security reasons, that audits shall be performed by a neutral third party auditor of the Processor’s choosing.

If the requested audit scope is addressed in an ISAE, ISO or similar assurance report performed by a qualified third party auditor within the prior twelve months, and the Processor confirms that there are no known material changes in the measures audited, the Controller agrees to accept those findings instead of requesting a new audit of the measures covered by the report.

In any case, audits must be conducted during regular business hours at the applicable facility, subject to the Processors policies, and may not unreasonably interfere with the Processors business activities.

The Controller shall be responsible for any costs arising from the Controller’s requested audits. Assistance from the Processor that exceed the standard service provided by the Processor and/or InExchange to comply with applicable privacy legislation, will be subject to fees according to agreement between the Parties.

Term and termination
This Agreement is valid for as long as the Processor Processes Personal Data on behalf of the Controller according to the Service Agreements.

This Agreement is automatically terminated upon termination of the Service Agreement. Upon termination of this Agreement, the Processor will delete or return Personal Data processed on behalf of the Controller, according to the applicable clauses in the Service Agreement. Unless otherwise agreed in writing, the cost of such actions shall be based on; i) hourly rates for the time spent by the Processor and ii) the complexity of the requested process.

The Processor may retain Personal Data after termination of the Agreement, to the extent it is required by law, subject to the same type of technical and organizational security measures as outlined in this Agreement.

Changes and amendments

Changes to the Agreement shall be included in a new Appendix to this Agreement and signed by both Parties in order to be valid.

If any provisions in this Agreement become void, this shall not affect the remaining provisions. The Parties shall replace the void provision with a lawful provision that reflects the purpose of the void provision.

Liability

The liability for violation of provisions of this Agreement shall be regulated by the liability clauses in the Service Agreements between the Parties. This also applies to any violation committed by the Processor’s subcontractors.

Governing law and legal venue

This Agreement is subject to the governing law and legal venue as set out in the Service Agreement between the parties.

Subcontractors
Current subcontractors of the Processor with access to the Controller’s Personal Data upon signing this Agreement include:

Name Location/country Legal transfer mechanism if the subcontractor has access to personal data from countries outside the EU Assisting the Processor with
Tele2 Business Stockholm, Sweden Not applicable within EU Storage on servers
Zendesk San Francisco, US Privacy Shield Support