Biträdes- och Datadelningsavtal
Detta Biträdes- och datadelningsavtal (detta ”DPA”) har ingåtts mellan Billogram AB, organisationsnummer 556801–7155 (Personuppgiftsbiträde(t)” eller ”Billogram”) och kunden som är part i Tjänsteavtalet (”Personuppgiftsansvarig(a)” eller”Kunden”).
Personuppgiftsbiträdet och den Personuppgiftsansvariga kallas gemensamt för ”Parterna” och var för sig ”Part”.
I detta DPA regleras rättigheter och förpliktelser avseende Behandling av Personuppgifter i samband med användningen av Personuppgiftsbiträdets Tjänst.
Detta DPA utgör Parternas fullständiga reglering av de frågor som detta DPA berör. Alla muntliga eller skriftliga åtaganden och utfästelser som har föregått detta DPA ersätts härav.
1. Definitioner
I den utsträckning som Europaparlamentets och rådets förordning (EU) 2016/679, nedan kallad den allmänna dataskyddsförordningen (”Dataskyddsförordningen”), innehåller definitioner som liknar de som används i detta DPA ska sådana termer ha samma betydelse som de som upptas i Dataskyddsförordningen. I övrigt och utöver de begrepp som definieras löpande genom detta DPA ska följande begrepp ha den betydelse som angivits nedan.
| Term | Definition |
|---|---|
| Behandling (Behandlar) | Varje åtgärd eller kombination av åtgärder som utförs på Personuppgifter eller på uppsättningar av Personuppgifter, oavsett om det sker automatiserat eller inte, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
| Dataskyddslagstiftning | All dataskydds- och personuppgiftslagstiftning tillsammans med all annan lagstiftning (inklusive förordningar och direktiv) som är tillämpliga på Behandlingen som utförs i enlighet med detta DPA, inklusive nationell lagstiftning och EU-lagstiftning, i synnerhet Dataskyddsförordningen. |
| Instruktioner | De skriftliga instruktionerna som närmare anger föremål, varaktighet, art och ändamål med Behandlingen av Personuppgifter samt de kategorier av Registrerade och särskilda krav som gäller för Behandlingen enligt Bilaga 1 som bifogas till detta DPA. |
| Kunddata | Personuppgifter avseende Kundens kunder. |
| Personuppgifter | Alla uppgifter som rör en identifierad eller identifierbar fysisk person där en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsuppgifter, online-identifikatorer eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
| Personuppgiftsansvarig | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medel för Behandlingen av Personuppgifter. |
| Personuppgiftsbiträde | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvarigas räkning. |
| Personuppgiftsincident | En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst till Personuppgifter som överförts, lagrats eller på annat sätt Behandlats. |
| Registrerad | En fysisk person vars Personuppgifter Behandlas. |
| Tredje land | Ett land som inte är medlem i Europeiska unionen (EU) eller i Europeiska ekonomiska samarbetsområdet (EES). |
| Tjänst | Billograms tjänst enligt definitionen i Tjänsteavtalet. |
| Tjänsteavtal | Avtalet mellan Parterna som reglerar Tjänsten. |
| Underbiträde | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som, i egenskap av underleverantör till Personuppgiftsbiträdet, Behandlar Personuppgifter för den Personuppgiftsansvarigas räkning. |
2. Bakgrund och syfte
2.1 Parterna har ingått ett Tjänsteavtal.
2.2 Personuppgiftsbiträdets förpliktelser enligt Tjänsteavtalet inkluderar att Behandla Personuppgifter i egenskap av Personuppgiftsbiträde som anlitas av den Personuppgiftsansvariga.
2.3 För att kunna tillhandahålla Tjänsten Behandlar Billogram även Kunddata för egna ändamål enligt vad som närmare anges i avsnitt B.
2.4 Parterna har ingått detta DPA för att säkerställa att Personuppgiftsbiträdets Behandling av Personuppgifter kommer att ske i enlighet med Dataskyddslagstiftningen.
2.5 Syftet med detta DPA är att uppfylla gällande krav för ett avtal mellan den Personuppgiftsansvariga och Personuppgiftsbiträdet i enlighet med artikel 28 i Dataskyddsförordningen och för att skydda den Registrerades friheter och rättigheter i enlighet med Dataskyddslagstiftningen.
2.6 Genom detta DPA, Instruktionerna och underbiträdeslistan (varvid Instruktionerna och listan över Underbiträden ska anses ingå i detta DPA) reglerar den Personuppgiftsansvariga Personuppgiftsbiträdets Behandling av Personuppgifter för den Personuppgiftsansvarigas räkning.
2.7 I händelse av en konflikt mellan detta DPA och Tjänsteavtalet har detta DPA företräde.
2.8 Alla hänvisningar i detta DPA till nationell lagstiftning eller unionslagstiftning avser de vid var tid gällande bestämmelser.
Avsnitt A: Billogram som personuppgiftsbiträde
3. Behandling av personuppgifter och specifikation
3.1 Den Personuppgiftsansvariga utser härmed Personuppgiftsbiträdet att i enlighet med bestämmelserna i detta DPA utföra Behandling för den Personuppgiftsansvarigas räkning i syfte att leverera Tjänsten i enlighet med Tjänsteavtalet.
3.2 Personuppgiftsbiträdet åtar sig att Behandla Personuppgifter i enlighet med detta DPA såväl som egna förpliktelser enligt gällande Dataskyddslagstiftning.
3.3 Personuppgiftsbiträdet åtar sig vidare att endast Behandla Personuppgifter i enlighet med de dokumenterade Instruktionerna från den Personuppgiftsansvariga såvida inte annat föreskrivs i Dataskyddslagstiftningen.
3.4 Den Personuppgiftsansvarigas Instruktioner till Personuppgiftsbiträdet anges i detta DPA och i Bilaga 1 till detta DPA. Den Personuppgiftsansvariga ansvarar för att Instruktionerna är i enlighet med den Personuppgiftsansvarigas förpliktelser enligt Dataskyddslagstiftningen.
3.5 Den Personuppgiftsansvariga bekräftar att Personuppgiftsbiträdets förpliktelser som anges i detta DPA, inklusive Instruktionerna, utgör de fullständiga och kompletta Instruktionerna som ska följas av Personuppgiftsbiträdet.
3.6 Den Personuppgiftsansvariga åtar sig att utan oskäligt dröjsmål informera Personuppgiftsbiträdet om eventuella ändringar i Behandlingen som kan påverka Personuppgiftsbiträdets förpliktelser enligt Dataskyddslagstiftningen.
3.7 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt Dataskyddslagstiftningen och i enlighet med den Personuppgiftsansvarigas Instruktioner i varje enskilt fall, bistå den Personuppgiftsansvariga med att uppfylla sina rättsliga förpliktelser enligt tillämplig Dataskyddslagstiftning.
3.8 Den Personuppgiftsansvariga ansvarar för att informera de Registrerade om Behandlingen och för att skydda de Registrerades rättigheter samt för att vidta alla övriga åtgärder som krävs av den Personuppgiftsansvariga enligt tillämplig Dataskyddslagstiftning.
3.9 Om Personuppgiftsbiträdet anser att Instruktionerna är otydliga, strider mot Dataskyddslagstiftningen eller är obefintliga, och Personuppgiftsbiträdet anser att nya eller kompletterande Instruktioner är nödvändiga för att kunna uppfylla sina förpliktelser enligt detta DPA och Dataskyddslagstiftningen ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvariga om detta.
3.10 I händelse av förändringar i Tjänsten som medför nya eller ändrade Instruktioner och den Personuppgiftsansvariga på skälig grund motsätter sig den nya eller modifierade Behandlingen, kan den Personuppgiftsansvariga skriftligen säga upp detta DPA och Tjänsteavtalet med trettio (30) kalenderdagars uppsägningstid utan någon uppsägningskostnad.
4. Säkerhetsåtgärder
4.1 Personuppgiftsbiträdet garanterar att denne har implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter samt säkerställa att de Registrerades rättigheter skyddas.
4.2 Personuppgiftsbiträdet har genomfört de tekniska och organisatoriska åtgärder som anges i Instruktionerna och förbinder sig att inte väsentligt ändra dessa eller på annat sätt ändra säkerhetsåtgärderna på ett sätt som resulterar i en lägre nivå av informationssäkerhet än den som avses i avsnitt 4.1 eller Instruktionerna utan den Personuppgiftsansvarigas skriftliga godkännande.
4.3 Personuppgiftsbiträdet ska fortlöpande säkerställa att de tekniska och organisatoriska säkerhetsåtgärderna för Behandlingen upprätthålls på en tillfredsställande nivå avseende sekretess, integritet, tillgänglighet och motståndskraft.
5. Begäran om information och utlämnande av personuppgifter
5.1 Personuppgiftsbiträdet förbinder sig att inte utan den Personuppgiftsansvariga skriftliga godkännande, lämna ut eller på annat sätt göra Personuppgifter som Behandlas enligt detta DPA tillgängliga för tredje part såvida inte annat följer av svensk eller europeisk lag eller av rättsliga eller administrativa beslut. Utan hinder av det föregående har Personuppgiftsbiträdet, utan den Personuppgiftsansvarigas föregående godkännande, rätt att utlämna Personuppgifter till tredjepartsmottagare som är eller tillhandahåller clearingsystem, banker och/eller betalsystemtjänsteleverantörer, i den mån det är nödvändigt för att genomföra betalningar i enlighet med Tjänsteavtalet. Sådana tredjepartsmottagare av Personuppgifter är Personuppgiftsansvariga för de sålunda mottagna Personuppgifterna.
5.2 Personuppgiftsbiträdet ska vidta alla rimliga åtgärder för att (i) upprätthålla sekretessen för Personuppgifterna, (ii) säkerställa att endast sådan personal och sådana andra företrädare för Personuppgiftsbiträdet som behöver tillgång till Personuppgifter för att kunna uppfylla Personuppgiftsbiträdets förpliktelser enligt detta DPA och Tjänsteavtalet har tillgång till Personuppgifterna, (iii) säkerställa tillförlitligheten hos sådan personal och andra företrädare för Personuppgiftsbiträdet, och (iv) säkerställa att samtlig sådan personal och samtliga sådana företrädare skriftligen avtalat om att upprätthålla sekretessen för Personuppgifterna.
5.3 Om Registrerade efterfrågar information från Personuppgiftsbiträdet om Behandlingen av Personuppgifter ska Personuppgiftsbiträdet hänvisa en sådan begäran till den Personuppgiftsansvariga utan onödigt dröjsmål.
5.4 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med vederbörlig hänsyn tagen till Behandlingens art, bistå den Personuppgiftsansvariga med att uppfylla den Personuppgiftsansvarigas förpliktelser att tillmötesgå de Registrerades begäran om att utöva sina rättigheter enligt Dataskyddsförordningen (till exempel beträffande begäran om rättelse, radering, begränsning av Behandling, dataportabilitet och tillgång) i enlighet med avsnitt 7 nedan.
5.5 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvariga med att uppfylla den Personuppgiftsansvarigas skyldighet att utföra konsekvensbedömningar avseende dataskydd för Behandling enligt detta DPA när sådan Behandling sannolikt kommer att medföra en hög risk för individers rättigheter och friheter.
5.6 Om behörig myndighet begär information från Personuppgiftsbiträdet om Behandlingen av Personuppgifter enligt detta DPA eller Tjänsteavtalet ska Personuppgiftsbiträdet hänvisa en sådan begäran till den Personuppgiftsansvariga utan onödigt dröjsmål. Personuppgiftsbiträdet får inte på något sätt agera i den Personuppgiftsansvarigas namn eller som företrädare för den Personuppgiftsansvariga och får inte, utan föregående Instruktioner från den Personuppgiftsansvariga, överföra eller på annat sätt röja Personuppgifter eller annan information som rör Behandlingen av Personuppgifter till tredje part såvida inte annat följer av svensk eller europeisk lag eller av rättsliga eller administrativa beslut. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvariga genom att förse den Personuppgiftsansvariga med den information, hjälp och resurser som rimligen kan krävas för att vid förhandssamråd kunna uppfylla den Personuppgiftsansvarigas skyldighet att tillhandahålla information och dokumentation till behörig myndighet.
5.7 I händelse av att Personuppgiftsbiträdet, enligt tillämpliga svenska eller europeiska lagar och förordningar, är skyldigt att lämna ut Personuppgifter som Personuppgiftsbiträdet Behandlar för den Personuppgiftsansvarigas räkning, är Personuppgiftsbiträdet skyldigt att informera den Personuppgiftsansvariga om detta utan onödigt dröjsmål såvida inte annat följer av svensk eller europeisk lag eller av rättsliga eller administrativa beslut samt att begära konfidentiell Behandling i samband med utlämnande av den begärda informationen.
6. Granskningar
6.1 På begäran av den Personuppgiftsansvariga ska Personuppgiftsbiträdet utan onödigt dröjsmål tillhandahålla information om de tekniska och organisatoriska säkerhetsåtgärder som används för att säkerställa att Behandlingen uppfyller kraven i detta DPA och tillämplig Dataskyddslagstiftning samt möjliggöra och bidra till granskningar som utförs av den Personuppgiftsansvariga, eller annan granskare som bemyndigats av den Personuppgiftsansvariga, förutsatt att personer som utför granskningarna ingår lämpliga sekretessavtal med Personuppgiftsbiträdet.
6.2 Sådana granskningar ska skriftligen meddelas senast trettio (30) arbetsdagar i förväg och kan utföras en gång per kalenderår, såvida inte den Personuppgiftsansvariga rimligen anser att en ytterligare granskning är nödvändig på grund av farhågor gällande Personuppgiftsbiträdets efterlevnad av detta DPA eller i händelse av en säkerhetsincident som rimligen skulle ge anledning till sådana farhågor. I händelse av en begäran om ytterligare granskning ska den Personuppgiftsansvariga meddela sina skäl för begäran och sina farhågor samt lämna övrig relevant information när denne meddelar Personuppgiftsbiträdet om den ytterligare granskningen.
6.3 Information som är att betrakta som affärshemligheter eller som på annat sätt omfattas av sekretesskrav enligt lag eller avtal kommer att undantas från granskningen, och den Personuppgiftsansvariga har ingen rätt att få tillgång till, granska eller inspektera sådan information.
6.4 Information som den Personuppgiftsansvariga, eller annan granskare som bemyndigats av den Personuppgiftsansvariga, samlar in under sin granskning enligt detta DPA måste omgående raderas av den Personuppgiftsansvariga när informationen inte längre är nödvändig för granskningens syfte, och den Personuppgiftsansvariga ska skriftligen bekräfta att detta har gjorts till Personuppgiftsbiträdet.
6.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvariga om Instruktioner som tillhandahållits för Personuppgiftsbiträdet när den Personuppgiftsansvariga utövar sina rättigheter enligt detta DPA, enligt dennes uppfattning, strider mot gällande Dataskyddslagstiftning.
6.6 Granskningar ska utföras under normal kontorstid på ett sätt som minimerar störningar i Personuppgiftsbiträdets verksamhet, och den Personuppgiftsansvariga ska omgående förse Personuppgiftsbiträdet med en kopia av resultaten av granskningarna.
6.7 Oavsett vad som föreskrivs i annan bestämmelse i detta DPA är Personuppgiftsbiträdet inte skyldigt att ge tillträde för granskning av en tredje part som är en konkurrent till Personuppgiftsbiträdet.
6.8 Personuppgiftsbiträdet ska möjliggöra för tillsynsmyndighet eller annat offentligt organ med laglig befogenhet att genomföra granskningar på myndighetens begäran och i enlighet med vid var tid gällande Dataskyddslagstiftning, även om sådan granskning på något sätt skulle bryta mot bestämmelserna i detta DPA.
7. Hantering av rättelser, raderingar mm.
7.1 I händelse av att den Personuppgiftsansvariga har begärt rättelse eller radering till följd av Personuppgiftsbiträdets felaktiga Behandling eller på grund av en begäran från en Registrerad ska Personuppgiftsbiträdet vidta lämpliga åtgärder utan onödigt dröjsmål, men under alla omständigheter senast trettio (30) kalenderdagar räknat från det datum då Personuppgiftsbiträdet mottog den information som krävs från den Personuppgiftsansvariga. När den Personuppgiftsansvariga har begärt radering får Personuppgiftsbiträdet endast utföra Behandling av Personuppgifterna i fråga som en del av rättelse- eller raderingsprocessen eller enligt vad som krävs i enlighet med gällande Dataskyddslagstiftning eller annan tillämplig lagstiftning.
8. Personuppgiftsincidenter
8.1 Personuppgiftsbiträdet ska ha förmågan att inom rimlig tid återställa tillgängligheten och tillgången till Personuppgifter i händelse av en fysisk eller teknisk incident enligt artikel 32(1)(c) i Dataskyddsförordningen.
8.2 Personuppgiftsbiträdet förbinder sig att bistå den Personuppgiftsansvariga med att fullgöra sina förpliktelser i händelse av en Personuppgiftsincident som innefattar Behandlingen. På begäran av den Personuppgiftsansvariga ska Personuppgiftsbiträdet också bistå med att utreda misstankar om obehörig Behandling av och/eller obehörig åtkomst till Personuppgifter.
8.3 Om Personuppgiftsbiträdet får kännedom om en Personuppgiftsincident ska Personuppgiftsbiträdet, utan onödigt dröjsmål, skriftligen meddela den Personuppgiftsansvariga om detta. Personuppgiftsbiträdet ska, med förbehåll för den information som är tillgänglig för Personuppgiftsbiträdet, förse den Personuppgiftsansvariga med en skriftlig beskrivning av Personuppgiftsincidenten.
8.4 Ett meddelande enligt avsnitt 8.3 ska inkludera all information som rimligen kan krävas av den Personuppgiftsansvariga för att denna ska kunna uppfylla sina förpliktelser enligt gällande Dataskyddslagstiftning. Sådan information ska åtminstone inkludera:
a) Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
b) de sannolika konsekvenserna av Personuppgiftsincidenten, och
c) åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.
8.5 Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla all nödvändig information i samband med notifiering om Personuppgiftsincidenten får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
8.6 I fall där en Personuppgiftsincident har inträffat på grund av den Personuppgiftsansvarigas agerande eller försummelse, eller i övrigt som en följd av omständigheter under den Personuppgiftsansvarigas ansvar, vilket Personuppgiftsbiträdet inte har någon inblandning i eller ansvar för, kommer all hjälp från Personuppgiftsbiträdet som begärs av den Personuppgiftsansvariga att debiteras av Personuppgiftsbiträdet. Ersättningen ska avse nedlagd arbetstid och eventuella materialkostnader.
8.7 Den Personuppgiftsansvariga ska ersätta Personuppgiftsbiträdet för samtliga direkta kostnader som Personuppgiftsbiträdet åsamkas i enlighet med detta avsnitt 8 till följd av att den Personuppgiftsansvariga inte följer gällande Dataskyddslagstiftning eller bestämmelserna i detta DPA.
9. Underbiträde
9.1 Personuppgiftsbiträdet får endast anlita de Underbiträden som anges i Bilaga 2 till detta DPA för att utföra sina åtaganden enligt detta DPA. Ett sådant Underbiträde får endast anlitas under förutsättning att Underbiträdet genom skriftligt avtal åläggs samma förpliktelser om dataskydd som anges i detta DPA.
9.2 När Personuppgiftsbiträdet avser att anlita ett nytt Underbiträde eller ersätta ett befintligt ska Personuppgiftsbiträdet verifiera Underbiträdets kapacitet och förmåga att uppfylla sina förpliktelser i enlighet med gällande Dataskyddslagstiftning.
9.3 Den Personuppgiftsansvariga får invända mot att nya Underbiträden anlitas förutsatt att den Personuppgiftsansvariga har ett objektivt motiverat skäl att inte godkänna det nya Underbiträdet samt att den Personuppgiftsansvariga motsätter sig anlitande av ett sådant Underbiträde inom fjorton (14) kalenderdagar efter Personuppgiftsbiträdets meddelande om avsikten att anlita Underbiträdet. Om den Personuppgiftsansvariga inte skriftligen invänder inom den angivna tiden anses den Personuppgiftsansvariga ha godkänt Underbiträdet. Om den Personuppgiftsansvariga på skälig grund invänder mot att ett nytt Underbiträde anlitas kan den Personuppgiftsansvariga skriftligen säga upp detta DPA och Tjänsteavtalet med trettio (30) kalenderdagars uppsägningstid utan någon uppsägningskostnad.
9.4 Personuppgiftsbiträdet är ansvarig gentemot den Personuppgiftsansvariga för all Behandling som utförs av ett Underbiträde på samma sätt som om det vore Personuppgiftsbiträdet själv som utförde Behandlingen.
9.5 När Personuppgiftsbiträdet upphör att använda sig av ett Underbiträde ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvariga om detta.
9.6 På den Personuppgiftsansvarigas begäran ska Personuppgiftsbiträdet förse den Personuppgiftsansvariga med en kopia av avtalet som reglerar Underbiträdets Behandling av Personuppgifter.
10. Lokalisering och överföring av personuppgifter till tredje land
10.1 Personuppgiftsbiträdet ska säkerställa att Personuppgifterna primärt Behandlas inom EU/EES av en fysisk eller juridisk person som är etablerad i EU/EES och att all överföring av Personuppgifter till Tredje land för Behandling (t.ex. för service, support, underhåll, utveckling, drift eller annan liknande hantering) endast utförs om sådan överföring sker i enlighet med gällande Dataskyddslagstiftning samt att de krav för Behandlingen som anges i detta DPA och i Instruktionerna uppfylls, inklusive men inte begränsat till att säkerställa att:
(i) EU-kommissionen har fastställt att skyddsnivån är adekvat i det Tredje land där uppgifterna Behandlas och därmed fattat beslut om adekvat skyddsnivå, eller
(ii) Behandlingen omfattas av EU-kommissionens vid var tid gällande standardavtalsklausuler för överföring till Tredje land, eller
(iii) Behandlingen omfattas av bindande företagsbestämmelser som godkänts av en behörig tillsynsmyndighet, och
(iv) Personuppgiftsbiträdet har vidtagit andra lämpliga skyddsåtgärder före överföringen och att sådana skyddsåtgärder överensstämmer med tillämplig Dataskyddslagstiftning.
10.2 Personuppgiftsbiträdet ska säkerställa att inga bestämmelser i standardavtalsklausuler eller bindande företagsbestämmelser står i konflikt med detta DPA inklusive Instruktionerna.
11. Ersättning
11.1 För arbete som utförs enligt vad som upptas i punkterna 4.4, 6 och 8.6 har Personuppgiftsbiträdet rätt till ersättning för nedlagd arbetstid och eventuella materialkostnader i enlighet med Personuppgiftsbiträdets vid var tid gällande tjänsteavgifter. Vidare ska den Personuppgiftsansvariga ersätta Personuppgiftsbiträdets kostnader och utlägg för tredje part i samband med sådant arbete eller material.
11.2 Personuppgiftsbiträdet har inte rätt till någon annan ersättning för sin Behandling av Personuppgifter under detta DPA än enligt ovan.
Avsnitt B: Billogram som personuppgiftsansvarig
12. Ändamål med behandlingen
12.1 För att kunna tillhandahålla Tjänsten Behandlar Billogram Kunddata i syfte att administrera autogiromandat, säkerställa Tjänstens funktionalitet, analysera Tjänstens prestanda, korrigera fel samt för att förbättra utveckla och mäta användningen av Tjänsten. När Billogram Behandlar Kunddata för egna ändamål enligt ovan agerar Billogram som Personuppgiftsansvarig för sådan Behandling. Bestämmelserna om Behandling av Kunddata enligt detta avsnitt B är giltiga så länge som Behandling sker för de ändamål som Parterna har kommit överens om.
13. Behandlingens omfattning
13.1 Tabellen nedan återger omfattningen av Behandlingen med Billogram som Personuppgiftsansvarig.
| Kategori av Registrerade | Ändamål med Behandlingen | Kategorier av Personuppgifter | Särskilda kategorier av Personuppgifter | Typ av Behandling | Rättslig grund för Behandlingen |
|---|---|---|---|---|---|
| Billograms kunders kunder, som i detta DPA inkluderar fakturamottagare och betalare. | Analysera Tjänstens prestanda, korrigera fel samt förbättra, utveckla och mäta användningen av Tjänsten. | Identifieringsuppgifter, Kontaktuppgifter, Fakturerings- och betalningsinformation, Bankuppgifter (clearingnummer), Ärendeuppgifter, Kommunikationsuppgifter, Enhetsuppgifter, Information som genereras genom användning av Tjänsten | Kan förekomma beroende på fakturainnehållet, till exempel information som avslöjar fackligt medlemskap eller uppgifter om hälsa. | Insamling, lagring och analys | Berättigat intresse |
| Säkerställa funktionaliteten och förhindra missbruk av Tjänsten | Nödvändiga cookies och inställningar som är nödvändiga för användarupplevelsen. Enhetsuppgifter Information som genereras genom användning av Tjänsten | Nej | Insamling, lagring och användning | Berättigat intresse |
13.2 Om Kunden använder Tjänster som omfattas av Särskilda villkor för betaltjänst kommer Billogram, i tillägg till Behandlingen som framgår av avsnitt 13.1 ovan, Behandla Personuppgifter i den mån det krävs enligt tvingande lagstiftning, såsom penningtvättslagstiftning. Sådan Behandling ska vara begränsad till att avse de kategorier av Personuppgifter som är nödvändiga för att efterleva tillämplig lag.
14. Billograms förpliktelser
14.1 Vid Behandling av Kunddata ska Billogram säkerställa efterlevnad av tillämplig Dataskyddslagstiftning samt fullfölja sina åtaganden i egenskap av Personuppgiftsansvarig.
14.2 Billogram åtar sig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas i enlighet med tillämplig Dataskyddslagstiftning.
14.3 Billogram ska säkerställa att Kunddata i möjligaste mån anonymiseras eller Behandlas på aggregerad nivå.
14.4 Billogram ska säkerställa att personal som Behandlar Personuppgifter har kännedom om tillämplig Dataskyddslagstiftning och Behandlar Personuppgifterna i enlighet därmed.
14.5 Billogram ska säkerställa att personal som Behandlar Personuppgifter för ett visst ändamål är tillförlitlig och bunden av lämpliga sekretessbestämmelser, antingen enligt lag eller genom avtal. Billogram ska även säkerställa att sådan personal till fullo förstår vad förpliktelserna om sekretess innebär.
14.6 Billogram ska, i egenskap av Personuppgiftsansvarig, endast använda Kunddata i enlighet med vad som anges i punkt 12.1 och ska inte dela Kunddata med tredje part som antar rollen som Personuppgiftsansvarig.
15. Registrerades rättigheter och information
15.1 Billogram ansvarar för att bistå den Registrerade i utövandet av sina rättigheter i enlighet med Dataskyddsförordningen.
15.2 Kunden ska informera de Registrerade om utlämnandet av uppgifter i enlighet med tillämplig Dataskyddslagstiftning. Billogram ska på sin webbplats publicera sitt integritetsmeddelande som uppfyller de informationskrav som anges i tillämplig Dataskyddslagstiftning, och Kunden ska hänvisa till detta i sitt eget integritetsmeddelande.
15.3 Parterna ska vid behov samarbeta för att säkerställa att den Registrerade kan utöva sina rättigheter i enlighet med Dataskyddsförordningen.
Avsnitt C: Allmänna bestämmelser
16. Skadeståndsansvar i samband med behandlingen
16.1 I händelse av att ersättning för skador i samband med Behandlingen tilldömts den Registrerade genom en bindande dom eller förlikning, som grundar sig i ett brott mot detta DPA och/eller på grund av en tillämplig bestämmelse i Dataskyddslagstiftningen gäller artikel 82 i Dataskyddsförordningen.
16.2 Sanktionsavgift enligt artikel 83 i Dataskyddsförordningen eller kapitel 6 i Dataskyddslagen (2018:218) ska betalas av den Part som har ålagts en sådan avgift.
16.3 Med förbehåll för vad som anges i punkterna 16.1 och 16.2 ovan och med de ansvarsbegränsningar som följer av Tjänsteavtalet ska den Personuppgiftsansvariga vara ansvarig för eventuella skador, kostnader eller förluster som Personuppgiftsbiträdet åsamkas eller som Personuppgiftsbiträdet kan bli ansvarigt för på grund av underlåtenhet av den Personuppgiftsansvariga att uppfylla sina förpliktelser enligt detta DPA. Personuppgiftsbiträdet ska vara ansvarig för eventuella skador, kostnader eller förluster som den Personuppgiftsansvariga åsamkas eller som den Personuppgiftsansvariga kan bli ansvarig för på grund av att Personuppgiftsbiträdet inte uppfyllt förpliktelserna enligt detta DPA.
16.4 För undanröjande av tvivel ska ingenting i detta DPA inskränka eller begränsa Parternas allmänna skyldighet enligt lag att begränsa eventuella förluster som den andra Parten kan drabbas av eller åsamkas till följd av en händelse som kan ge upphov till ett skadeståndskrav enligt detta DPA.
16.5 För undanröjande av tvivel, och utan hinder av någon av bestämmelserna i Tjänsteavtalet, har punkterna 16.1 och 16.2 i detta DPA företräde framför andra regler om ansvarsfördelning mellan Parterna i en tvist om skadeståndskrav avseende Behandlingen.
17. Tillämplig lag och tvistlösning
17.1 Vad som stipuleras i Tjänsteavtalet angående tillämplig lag och tvistlösning ska gälla för detta DPA.
18. Ingående, löptid och uppsägning av DPA
18.1 Detta DPA träder i kraft när Parterna har ingått ett avtal genom den Personuppgiftsansvarigas godkännande av användarvillkor för Tjänsten på Personuppgiftsbiträdets hemsida och ska gälla så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
18.2 Utan hinder av ovanstående ska punkterna 5.2 och 16 i detta DPA fortsätta gälla även om detta DPA i övrigt upphör att gälla.
19. Avtalsbrott
19.1 Om någon av Parterna får kännedom om att den andra Parten agerar i strid med detta DPA ska den Part som bryter mot avtalsbestämmelserna utan dröjsmål informeras om avtalsbrottet. Den Part som informerar den andra Parten ska ha rätt att skjuta upp fullgörandet av sina förpliktelser enligt detta DPA till dess att den Part som bryter mot avtalsbestämmelserna har tillkännagett att avtalsbrottet har upphört och förklaringen har godtagits av den Part som framfört klagomålet.
20. Åtgärder vid uppsägning av DPA
20.1 Vid uppsägning av detta DPA ska den Personuppgiftsansvariga utan onödigt dröjsmål begära att Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvariga väljer, raderar eller returnerar alla Personuppgifter till den Personuppgiftsansvariga såvida inte tillämplig lag kräver ytterligare Behandling. Till dess att Personuppgifterna raderas eller returneras ska Personuppgiftsbiträdet fortsätta att säkerställa efterlevnad av detta DPA.
20.2 Överföringar och raderingar enligt punkt 20.1 ska utföras av Personuppgiftsbiträdet senast trettio (30) kalenderdagar från den dag skriftligt meddelande om uppsägning av DPA kommit Personuppgiftsbiträdet tillhanda såvida inget annat överenskommits mellan Parterna.
21. Meddelanden
21.1 Alla meddelanden ska vara skriftliga och avfattas på svenska eller engelska och skickas via e-post till, (i) såvitt avser den Personuppgiftsansvariga, den e-postadress som Kunden angav i samband med registreringen av användarkontot eller den e-postadress som angavs av Kunden vid ett senare tillfälle och, (ii) såvitt avser Personuppgiftsbiträdet, e-postadressen legal@billogram.com. Meddelande som skickas på föreskrivet sätt ska anses ha kommit Part tillhanda senast nästkommande helgfri vardag.
Bilaga 1: Kontaktuppgifter och instruktioner
1. Kontaktuppgifter
Personuppgiftsbiträdets kontaktuppgifter:
Billogram AB
Klara Södra Kyrkogata 1
111 52 Stockholm
E-postadress: legal@billogram.com
2. Instruktioner för behandling av personuppgifter
Ändamålet med Behandlingen är att göra det möjligt för Personuppgiftsbiträdet att fullgöra sina förpliktelser enligt Tjänsteavtalet och vidta de åtgärder som anges däri, såsom:
– utställande och distribution av fakturor
– fakturabetalning och reskontrahantering
– administration av autogiromandat
– tillhandahållande av kommunikationsmodul
– tillhandahållande av marknadsföringsmodul
– tillhandahållande av support av slutkundsärenden
– sammanställning av statistik och genomförande av analyser
Detta inkluderar även att Behandla alla kategorier av Personuppgifter som anges nedan för att anpassa Tjänsten, inklusive profilering i tillämpliga fall, samt för att säkerställa efterlevnad av relevanta lagar och förordningar.
Kategorier av Registrerade är den Personuppgiftsansvarigas kunder.
Kategorier av Personuppgifter:
– Identifieringsuppgifter
– Kontaktuppgifter
– Fakturerings- och betalningsuppgifter
– Bankuppgifter
– Ärendeuppgifter
– Kommunikationsuppgifter
– Samtyckesuppgifter
– Information som genereras genom användning av Tjänsten
Särskilda kategorier av Personuppgifter enligt definitionen i artikel 9 i Dataskyddsförordningen, till exempel information som avslöjar fackligt medlemskap eller uppgifter om hälsa, kan komma att Behandlas beroende på fakturans innehåll enligt den Personuppgiftsansvarigas specifikation.
Behandlingens art och ändamål är att utföra Behandling som är nödvändig för det ändamål som anges ovan, inklusive bland annat insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Behandlingens varaktighet är begränsad till den tidsperiod som krävs för att kunna tillhandahålla Tjänsten enligt Tjänsteavtalet, vilket för bokföringsunderlag ska vara i enlighet med nationella bokförings- och bokslutsbestämmelser och för all övrig information så länge som krävs, med avseende på det ändamål som Personuppgifterna Behandlas för såvida inte annat anges i tillämplig Dataskyddslagstiftning.
Platsen för Behandling av Personuppgifter är inom EU/EES.
Personuppgiftsbiträdet har rätt att anlita Underbiträden inom EU/EES samt utanför EU/EES förutsatt att sådan Behandling sker i enlighet med bestämmelserna i DPA.
3. Tekniska och organisatoriska åtgärder
Billogram implementerar lämpliga tekniska och organisatoriska åtgärder som är utformade för att principerna för dataskydd ska uppfyllas på ett effektivt sätt. Genom dessa åtgärder säkerställs att lämpliga skyddsåtgärder integreras i Behandlingen av Personuppgifter så att kraven i Dataskyddsförordningen uppfylls och de Registrerades rättigheter skyddas enligt vad som beskrivs nedan. Ytterligare information och detaljer avseende Billograms tekniska och organisatoriska åtgärder kan delges på begäran.
Riskbedömning avseende dataskydd
Billogram utför och dokumenterar en riskbedömning som ligger till grund för de säkerhetsåtgärder som implementeras. Utfallet är att fastställa lämplig nivå av säkerhetsåtgärder för varje del av Tjänsten. Billogram har implementerat de säkerhetsåtgärder som beskrivs i kapitlet ”Säkerhet för Personuppgifter” nedan.
Säkerhetsåtgärder
Billogram har implementerat ett ledningssystem för informationssäkerhet (LIS) i linje med ISO 27001-standarden. Styrande dokument avseende säkerhet och integritet har upprättats och implementerats inom hela Billograms organisation som en del av LIS. Dessa dokument finns tillgängliga för kunder på begäran. Framtagna styrdokument stöds av en rad obligatoriska regler gällande olika aspekter av dataskydd och informationssäkerhet för att säkerställa efterlevnad av Dataskyddslagstiftning och detta DPA. Dessa interna styrdokument inkluderar ämnesspecifika områden och processer för exempelvis hantering av Personuppgiftsincidenter och förfrågningar från Registrerade. Styrdokumenten är föremål för regelbundna interna processer avseende granskningar och godkännanden.
Säkerhet för Personuppgifter
Billogram har vidtagit följande åtgärder baserat på de kravställningar som framgår i sektionen ”Säkerhet i samband med Behandlingen” (artikel 32 i Dataskyddsförordningen):
a) Pseudonymisering och kryptering av Personuppgifter;
- För att minska säkerhetsriskerna kopplat till Personuppgifter använder sig Billogram av kryptering och/eller pseudonymisering i den operationella verksamheten, där så är lämpligt. Tekniker och mekanismer avseende kryptering och pseudonymisering kan variera mellan olika Tjänster beroende på Tjänstens kravställning och riskbedömning avseende dataskydd. Ytterligare detaljer om de åtgärder som vidtas kan erhållas på begäran.
b) Förmågan att fortlöpande säkerställa sekretess, integritet, tillgänglighet och motståndskraft hos Behandlingssystem och Tjänster;
– Skydd av Personuppgifter kräver implementering av flera säkerhetskontroller, vilket täcks inom ramverket för LIS. Standardiserade processer upprätthåller Tjänstens kvalitet och säkerställer skyddsmekanismer för Behandlingen av Personuppgifter.
– Behörighet till Billograms IT-miljö hanteras och följs upp enligt etablerade rutiner. För att få åtkomst till Billograms system måste den anställde ha ett legitimt skäl. Därtill kräver tillgång till kundgränssnittet ett godkännande via en tillämpad process som överenskommits gemensamt med Kunden. Uppkoppling till Billograms IT-miljö loggas för att säkerställa spårbarhet över administrativa åtgärder i systemen. Ett minimikrav för all åtkomst till Billograms IT-miljö och tjänster är användning av en säker kanal och stark autentisering. Ytterligare säkerhetskontroller tillämpas om detta krävs enligt den genomförda riskbedömningen avseende dataskydd.
– Obehöriga individer hindras från att få fysiskt tillträde till Billograms faciliteter där Behandling av Personuppgifter hanteras och/eller lagras. Kontroller för fysisk säkerhet används för att skydda Personuppgifter mot oavsiktlig och/eller olaglig förstörelse.
– Billogram säkerställer ett adekvat skydd för administrativa anslutningar, åtkomst av tredje part, och filöverföringar som implementerats i Billograms infrastruktur.
– Säkerhetsåtgärder har implementerats för att skydda Billograms IT-landskap från säkerhetshot.
– Billogram planerar, genomför och kontrollerar kund- och verksamhetsrelaterade transaktioner. Roller och ansvarsområden inom organisationen har fastställts för att säkerställa en lämplig bemanning och effektivitet för den operativa kapaciteten. Ledningen inom Billogram fastställer lämpliga rapporteringsvägar för nyckelpersoner avseende dataskydd. Som en del av anställningsprocessen utförs bakgrundskontroller baserat på den anställdes befattning och behov av åtkomst till Billograms faciliteter, utrustning, och system för databehandling.
– Billogram upprätthåller och kontrollerar utförandet av de kravställningar som framgår i Billograms informationssäkerhetspolicy, tillhandahåller regelbundna säkerhetsutbildningar för anställda, och utför granskningar av säkerhet kopplat till applikationer och mjukvara. Vid dessa granskningar bedöms sekretessen, integriteten och tillgängligheten av data, samt efterlevnaden av informationssäkerhetspolicyn.
c) Möjligheten att inom rimlig tid återställa tillgänglighet och åtkomst till Personuppgifter i händelse av en fysisk eller teknisk incident;
– Billogram har upprättat processer och strategier för att vid behov säkerställa en snabb återställning av affärskritiska system.
– Billogram har definierat och implementerat kontinuitets- och återställningsplaner för den infrastruktur som stöder Billograms tjänsteleverans till kunder. Dessa planer uppdateras och testas regelbundet.
d) En process för att regelbundet testa, bedöma och utvärdera effektiviteten av de tekniska och organisatoriska åtgärder som implementerats för en säker behandling av Personuppgifter;
– Billograms processer, planer och system testas regelbundet för att bedöma och utvärdera effektiviteten i de tekniska och organisatoriska åtgärder som implementerats i syfte att kontrollera säkerheten för Behandlingen av Personuppgifter.
– Billogram utför interna genomlysningar för att identifiera säkerhetsbrister och sårbarheter i de IT-system som behandlar persondata. Billogram använder sig även av tjänster för säkerhetstestning och penetrationstestning i de delar av IT-miljön där risken bedöms vara höga.
Bilaga 2: Godkända underbiträden
| Företagsnamn | Organisationsnr | Tjänst | Lokalisering av data |
|---|---|---|---|
| Amazon Web Services EMEA SARL | B186284 | Infrastruktur och molnlagring | EU/EEA |
| Zendesk, Inc. | 519184 | Kundsupport | EU/EEA |
| Tieto Sweden AB | 556052-7466 | Fakturadistribution (brev, EDI-faktura, E-faktura , digital brevlåda) | EU/EEA UK |
| 46Elks AB | 556838-8184 | Fakturadistribution (SMS) | EU/EEA |
| Sendsafely Inc. | 83-3167288 | Kommunikationstjänster | EU/EEA |