Personuppgiftsbiträdesavtal

Detta Biträdesavtal (detta ”DPA”) har ingåtts mellan Billogram AB, organisationsnummer 556801–7155 (Personuppgiftsbiträde(t)” eller ”Billogram”) och kunden som är part i Tjänsteavtalet (”Personuppgiftsansvarig(a)” eller ”Kunden”).

Personuppgiftsbiträdet och den Personuppgiftsansvariga kallas gemensamt för ”Parterna” och var för sig ”Part”.

I detta DPA regleras rättigheter och förpliktelser avseende Behandling av Personuppgifter i samband med användningen av Personuppgiftsbiträdets Tjänst.

Detta DPA utgör Parternas fullständiga reglering av de frågor som detta DPA berör. Alla muntliga eller skriftliga åtaganden och utfästelser som har föregått detta DPA ersätts härav.

DEFINITIONER

I den utsträckning som Europaparlamentets och rådets förordning (EU) 2016/679, nedan kallad den allmänna dataskyddsförordningen (”Dataskyddsförordningen”), innehåller definitioner som liknar de som används i detta DPA ska sådana termer ha samma betydelse som de som upptas i Dataskyddsförordningen. I övrigt och utöver de begrepp som definieras löpande genom detta DPA ska följande begrepp ha den betydelse som angivits nedan.

Begrepp	Definition
Begrepp Behandling (Behandlar)	Definition Varje åtgärd eller kombination av åtgärder som utförs på Personuppgifter eller på uppsättningar av Personuppgifter, oavsett om det sker automatiserat eller inte, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Begrepp Dataskyddslagstiftning	Definition All dataskydds- och personuppgiftslagstiftning tillsammans med all annan lagstiftning (inklusive förordningar och direktiv) som är tillämpliga på Behandlingen som utförs i enlighet med detta DPA, inklusive nationell lagstiftning och EU-lagstiftning, i synnerhet Dataskyddsförordningen.
Begrepp Instruktioner	Definition De skriftliga instruktionerna som närmare anger föremål, varaktighet, art och ändamål med Behandlingen av Personuppgifter samt de kategorier av Registrerade och särskilda krav som gäller för Behandlingen enligt Bilaga 1 som bifogas till detta DPA.
Begrepp Kunddata	Definition Personuppgifter avseende Kundens kunder.
Begrepp Personuppgifter	Definition Alla uppgifter som rör en identifierad eller identifierbar fysisk person där en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsuppgifter, online-identifikatorer eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Begrepp Personuppgiftsansvarig	Definition En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medel för Behandlingen av Personuppgifter.
Begrepp Personuppgiftsbiträde	Definition En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvarigas räkning.
Begrepp Personuppgiftsincident	Definition En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst till Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Begrepp Registrerad	Definition En fysisk person vars Personuppgifter Behandlas.
Begrepp Tjänst	Definition Billograms tjänst enligt definitionen i Tjänsteavtalet.
Begrepp Tjänsteavtal	Definition Avtalet mellan Parterna som reglerar Tjänsten.
Begrepp Tredje land	Definition Ett land som inte är medlem i Europeiska unionen (EU) eller i Europeiska ekonomiska samarbetsområdet (EES).
Begrepp Underbiträde	Definition En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som, i egenskap av underleverantör till Personuppgiftsbiträdet, Behandlar Personuppgifter för den Personuppgiftsansvarigas räkning.

2. BAKGRUND OCH SYFTE

Parterna har ingått ett Tjänsteavtal.
Personuppgiftsbiträdets förpliktelser enligt Tjänsteavtalet inkluderar att Behandla Personuppgifter i egenskap av Personuppgiftsbiträde som anlitas av den Personuppgiftsansvariga.
Parterna har ingått detta DPA för att säkerställa att Personuppgiftsbiträdets Behandling av Personuppgifter kommer att ske i enlighet med Dataskyddslagstiftningen.
Syftet med detta DPA är att uppfylla gällande krav för ett avtal mellan den Personuppgiftsansvariga och Personuppgiftsbiträdet i enlighet med artikel 28 i Dataskyddsförordningen och för att skydda den Registrerades friheter och rättigheter i enlighet med Dataskyddslagstiftningen.
Genom detta DPA, Instruktionerna och underbiträdeslistan (varvid Instruktionerna och listan över Underbiträden ska anses ingå i detta DPA) reglerar den Personuppgiftsansvarigas Personuppgiftsbiträdets Behandling av Personuppgifter för den Personuppgiftsansvarigas räkning.
I händelse av en konflikt mellan detta DPA och Tjänsteavtalet har detta DPA företräde.
Alla hänvisningar i detta DPA till nationell lagstiftning eller unionslagstiftning avser vid var tid gällande bestämmelser.

3. BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATION

Den Personuppgiftsansvariga utser härmed Personuppgiftsbiträdet att i enlighet med bestämmelserna i detta DPA utföra Behandling för den Personuppgiftsansvarigas räkning i syfte att leverera Tjänsten i enlighet med Tjänsteavtalet.
Personuppgiftsbiträdet åtar sig att Behandla Personuppgifter i enlighet med detta DPA såväl som egna förpliktelser enligt gällande Dataskyddslagstiftning.
Personuppgiftsbiträdet åtar sig vidare att endast Behandla Personuppgifter i enlighet med de dokumenterade Instruktionerna från den Personuppgiftsansvariga såvida inte annat föreskrivs i Dataskyddslagstiftningen.
Den Personuppgiftsansvarigas inledande Instruktioner till Personuppgiftsbiträdet anges i detta DPA och i Bilaga 1 till detta DPA. Den Personuppgiftsansvariga ansvarar för att Instruktionerna är i enlighet med den Personuppgiftsansvarigas förpliktelser enligt Dataskyddslagstiftningen.
Den Personuppgiftsansvariga bekräftar att Personuppgiftsbiträdets förpliktelser som anges i detta DPA, inklusive Instruktionerna, utgör de fullständiga och kompletta Instruktionerna som ska följas av Personuppgiftsbiträdet. Eventuella ändringar av den Personuppgiftsansvarigas Instruktioner ska skriftligen dokumenteras i Bilaga 1 till detta DPA och vederbörligen undertecknas av båda Parter.
Den Personuppgiftsansvariga åtar sig att utan oskäligt dröjsmål informera Personuppgiftsbiträdet om eventuella ändringar i Behandlingen som kan påverka Personuppgiftsbiträdets förpliktelser enligt Dataskyddslagstiftningen.
Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt Dataskyddslagstiftningen och i enlighet med den Personuppgiftsansvarigas Instruktioner i varje enskilt fall, bistå den Personuppgiftsansvariga med att uppfylla sina rättsliga förpliktelser enligt tillämplig Dataskyddslagstiftning.
Den Personuppgiftsansvariga ansvarar för att informera de Registrerade om Behandlingen och för att skydda de Registrerades rättigheter samt för att vidta alla övriga åtgärder som krävs av den Personuppgiftsansvariga enligt tillämplig Dataskyddslagstiftning.
Om Personuppgiftsbiträdet anser att Instruktionerna är otydliga, strider mot Dataskyddslagstiftningen eller är bristfälliga, och Personuppgiftsbiträdet anser att nya eller kompletterande Instruktioner är nödvändiga för att kunna uppfylla sina förpliktelser enligt detta DPA och Dataskyddslagstiftningen, ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvariga om detta.
I händelse av att den Personuppgiftsansvariga förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet inom rimlig tid informera den Personuppgiftsansvariga om implementeringen av de nya Instruktionerna kommer att medföra några ändrade kostnader för Personuppgiftsbiträdet.

4. SÄKERHETSÅTGÄRDER

Personuppgiftsbiträdet ska så länge detta DPA är gällande vidmakthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med vad som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter samt säkerställa att de Registrerades rättigheter skyddas.
Vid ikraftträdandet av detta DPA tillämpar Personuppgiftsbiträdet de tekniska och organisatoriska åtgärder som anges i Instruktionerna. Personuppgiftsbiträdet förbinder sig att inte väsentligt ändra dessa eller på annat sätt ändra säkerhetsåtgärderna på ett sätt som resulterar i en lägre nivå av informationssäkerhet än den som avses i punkt 4.1 eller Instruktionerna utan den Personuppgiftsansvarigas skriftliga godkännande.
Personuppgiftsbiträdet ska fortlöpande säkerställa att de tekniska och organisatoriska säkerhetsåtgärderna för Behandlingen upprätthålls på en tillfredsställande nivå avseende sekretess, integritet, tillgänglighet och motståndskraft.
Eventuella framtida eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarigas sida ska efter att Parterna har ingått detta DPA betraktas som nya Instruktioner.

5. BEGÄRAN OM INFORMATION OCH UTLÄMNANDE AV PERSONUPPGIFTER

Personuppgiftsbiträdet förbinder sig att inte utan den Personuppgiftsansvarigas skriftliga godkännande, lämna ut eller på annat sätt göra Personuppgifter som Behandlas enligt detta DPA tillgängliga för tredje part såvida inte annat följer av svensk eller europeisk lag eller av rättsliga eller administrativa beslut. Utan hinder av det föregående har Personuppgiftsbiträdet rätt att (i) göra Personuppgifter tillgängliga för Underbiträde som har anlitats i enlighet med avsnitt 9, och (ii) utan den Personuppgiftsansvarigas föregående godkännande, utlämna Personuppgifter till tredjepartsmottagare som är eller tillhandahåller clearingsystem, banker och/eller betalsystemtjänsteleverantörer, i den mån det är nödvändigt för att genomföra betalningar i enlighet med Tjänsteavtalet. Sådana tredjepartsmottagare av Personuppgifter är Personuppgiftsansvariga för de sålunda mottagna Personuppgifterna.
Personuppgiftsbiträdet ska vidta alla rimliga åtgärder för att (i) upprätthålla sekretessen för Personuppgifterna, (ii) säkerställa att endast sådan personal och sådana andra företrädare för Personuppgiftsbiträdet som behöver tillgång till Personuppgifter för att kunna uppfylla Personuppgiftsbiträdets förpliktelser enligt detta DPA och Tjänsteavtalet har tillgång till Personuppgifterna, (iii) säkerställa tillförlitligheten hos sådan personal och andra företrädare för Personuppgiftsbiträdet, och (iv) säkerställa att samtlig sådan personal och samtliga sådana företrädare genom lag eller avtal är bundna av tystnadsplikt i förhållande till Personuppgifterna samt införstådda med vad denna tystnadsplikt innebär.
Om Registrerade efterfrågar information från Personuppgiftsbiträdet om Behandlingen av Personuppgifter ska Personuppgiftsbiträdet hänvisa en sådan begäran till den Personuppgiftsansvariga utan onödigt dröjsmål.
Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med vederbörlig hänsyn tagen till Behandlingens art, bistå den Personuppgiftsansvariga med att uppfylla den Personuppgiftsansvarigas förpliktelser att tillmötesgå de Registrerades begäran om att utöva sina rättigheter enligt Dataskyddsförordningen (till exempel beträffande begäran om rättelse, radering, begränsning av Behandling, dataportabilitet och tillgång) i enlighet med avsnitt 7 nedan.
Personuppgiftsbiträdet ska bistå den Personuppgiftsansvariga med att uppfylla den Personuppgiftsansvarigas skyldighet att utföra konsekvensbedömningar avseende dataskydd för Behandling enligt detta DPA när sådan Behandling sannolikt kommer att medföra en hög risk för individers rättigheter och friheter.
Om behörig myndighet begär information från Personuppgiftsbiträdet om Behandlingen av Personuppgifter enligt detta DPA eller Tjänsteavtalet ska Personuppgiftsbiträdet hänvisa en sådan begäran till den Personuppgiftsansvariga utan onödigt dröjsmål. Personuppgiftsbiträdet får inte på något sätt agera i den Personuppgiftsansvarigas namn eller som företrädare för den Personuppgiftsansvariga och får inte, utan föregående Instruktioner från den Personuppgiftsansvariga, överföra eller på annat sätt röja Personuppgifter eller annan information som rör Behandlingen av Personuppgifter till tredje part såvida inte annat följer av svensk eller europeisk lag eller av rättsliga eller administrativa beslut. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvariga genom att förse den Personuppgiftsansvariga med den information, hjälp och resurser som rimligen kan krävas för att vid förhandssamråd kunna uppfylla den Personuppgiftsansvarigas skyldighet att tillhandahålla information och dokumentation till behörig myndighet.
I händelse av att Personuppgiftsbiträdet, enligt tillämpliga svenska eller europeiska lagar och förordningar, är skyldigt att lämna ut Personuppgifter som Personuppgiftsbiträdet Behandlar för den Personuppgiftsansvarigas räkning, är Personuppgiftsbiträdet skyldigt att informera den Personuppgiftsansvariga om detta utan onödigt dröjsmål såvida inte annat följer av svensk eller europeisk lag eller av rättsliga eller administrativa beslut samt att begära konfidentiell Behandling i samband med utlämnande av den begärda informationen.

6. GRANSKNINGAR

På begäran av den Personuppgiftsansvariga ska Personuppgiftsbiträdet utan onödigt dröjsmål tillhandahålla information om de tekniska och organisatoriska säkerhetsåtgärder som används för att säkerställa att Behandlingen uppfyller kraven i detta DPA och tillämplig Dataskyddslagstiftning samt möjliggöra och bidra till granskningar som utförs av den Personuppgiftsansvariga, eller annan granskare som bemyndigats av den Personuppgiftsansvariga, förutsatt att personer som utför granskningarna ingår lämpliga sekretessavtal med Personuppgiftsbiträdet.
Sådana granskningar ska skriftligen meddelas senast tio (10) arbetsdagar i förväg och kan utföras en gång per kalenderår, såvida inte den Personuppgiftsansvariga rimligen anser att en ytterligare granskning är nödvändig på grund av farhågor gällande Personuppgiftsbiträdets efterlevnad av detta DPA eller i händelse av en säkerhetsincident som rimligen skulle ge anledning till sådana farhågor. I händelse av en begäran om ytterligare granskning ska den Personuppgiftsansvariga meddela sina skäl för begäran och sina farhågor samt lämna övrig relevant information när denne meddelar Personuppgiftsbiträdet om den ytterligare granskningen.
Information om andra kunder till Personuppgiftsbiträdet som är att betrakta som en affärshemlighet eller som på annat sätt omfattas av sekretesskrav enligt lag eller avtal kommer att undantas från granskningen, och den Personuppgiftsansvariga har ingen rätt att få tillgång till, granska eller inspektera sådan information.
Information som den Personuppgiftsansvariga, eller annan granskare som bemyndigats av den Personuppgiftsansvariga, samlar in under sin granskning enligt detta DPA måste omgående raderas av den Personuppgiftsansvariga när informationen inte längre är nödvändig för granskningens syfte, och den Personuppgiftsansvariga ska skriftligen bekräfta att detta har gjorts till Personuppgiftsbiträdet.
Granskningar ska utföras under normal kontorstid på ett sätt som minimerar störningar i Personuppgiftsbiträdets verksamhet, och den Personuppgiftsansvariga ska omgående förse Personuppgiftsbiträdet med en kopia av resultaten av granskningarna.
Oavsett vad som föreskrivs i annan bestämmelse i detta DPA är Personuppgiftsbiträdet inte skyldigt att ge tillträde för granskning av en tredje part som är en konkurrent till Personuppgiftsbiträdet.
Personuppgiftsbiträdet ska möjliggöra för tillsynsmyndighet eller annat offentligt organ med laglig befogenhet att genomföra granskningar på myndighetens begäran och i enlighet med vid var tid gällande Dataskyddslagstiftning, även om sådan granskning på något sätt skulle bryta mot bestämmelserna i detta DPA. Vid möjliggörande av granskningar enligt denna punkt 6.7 ska Personuppgiftsbiträdet vara befriat från påföljder till följd av brott mot detta DPA.

7. HANTERING AV RÄTTELSER, RADERINGAR M.M.

I händelse av att den Personuppgiftsansvariga har begärt rättelse eller radering till följd av Personuppgiftsbiträdets felaktiga Behandling eller på grund av en begäran från en Registrerad ska Personuppgiftsbiträdet vidta lämpliga åtgärder utan onödigt dröjsmål, men under alla omständigheter senast trettio (30) kalenderdagar räknat från det datum då Personuppgiftsbiträdet mottog den information som krävs från den Personuppgiftsansvariga. När den Personuppgiftsansvariga har begärt radering får Personuppgiftsbiträdet endast utföra Behandling av Personuppgifterna i fråga som en del av rättelse- eller raderingsprocessen eller enligt vad som krävs i enlighet med gällande Dataskyddslagstiftning eller annan tillämplig lagstiftning.

8. PERSONUPPGIFTSINCIDENTER

Personuppgiftsbiträdet ska ha förmågan att inom rimlig tid återställa tillgängligheten och tillgången till Personuppgifter i händelse av en fysisk eller teknisk incident enligt artikel 32(1)(c) i Dataskyddsförordningen.
Personuppgiftsbiträdet förbinder sig att bistå den Personuppgiftsansvariga med att fullgöra sina förpliktelser i händelse av en Personuppgiftsincident som innefattar Behandlingen. På begäran av den Personuppgiftsansvariga ska Personuppgiftsbiträdet också bistå med att utreda misstankar om obehörig Behandling av och/eller obehörig åtkomst till Personuppgifter.
Om Personuppgiftsbiträdet får kännedom om en Personuppgiftsincident ska Personuppgiftsbiträdet, utan onödigt dröjsmål, skriftligen meddela den Personuppgiftsansvariga om detta. Personuppgiftsbiträdet ska, med förbehåll för den information som är tillgänglig för Personuppgiftsbiträdet, förse den Personuppgiftsansvariga med en skriftlig beskrivning av Personuppgiftsincidenten.
Ett meddelande enligt avsnitt 8.3 ska inkludera all information som rimligen kan krävas av den Personuppgiftsansvariga för att denna ska kunna uppfylla sina förpliktelser enligt gällande Dataskyddslagstiftning. Sådan information ska åtminstone inkludera:
Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
de sannolika konsekvenserna av Personuppgiftsincidenten, och
åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.
Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla all nödvändig information i samband med notifiering om Personuppgiftsincidenten får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
I fall där en Personuppgiftsincident har inträffat på grund av den Personuppgiftsansvarigas agerande eller försummelse, eller i övrigt som en följd av omständigheter under den Personuppgiftsansvarigas ansvar, vilket Personuppgiftsbiträdet inte har någon inblandning i eller ansvar för, kommer all hjälp från Personuppgiftsbiträdet som begärs av den Personuppgiftsansvariga att debiteras av Personuppgiftsbiträdet. Ersättningen ska avse nedlagd arbetstid och eventuella materialkostnader.
Den Personuppgiftsansvariga ska ersätta Personuppgiftsbiträdet för samtliga direkta kostnader som Personuppgiftsbiträdet åsamkas i enlighet med detta avsnitt 8 till följd av att den Personuppgiftsansvariga inte följer gällande Dataskyddslagstiftning eller bestämmelserna i detta DPA.

9. UNDERBITRÄDE

Personuppgiftsbiträdet får endast anlita de Underbiträden som anges i Bilaga 2 till detta DPA för att utföra sina åtaganden enligt detta DPA. Ett sådant Underbiträde får endast anlitas under förutsättning att Underbiträdet genom skriftligt avtal åläggs förpliktelser om dataskydd motsvarande de förpliktelser som åligger Personuppgiftsbiträdet enligt detta DPA.
När Personuppgiftsbiträdet avser att anlita ett nytt Underbiträde eller ersätta ett befintligt ska Personuppgiftsbiträdet verifiera Underbiträdets kapacitet och förmåga att uppfylla sina förpliktelser i enlighet med gällande Dataskyddslagstiftning.
Den Personuppgiftsansvariga får invända mot att nya Underbiträden anlitas förutsatt att den Personuppgiftsansvariga har ett objektivt motiverat skäl att inte godkänna det nya Underbiträdet samt att den Personuppgiftsansvariga motsätter sig anlitande av ett sådant Underbiträde inom fjorton (14) kalenderdagar efter Personuppgiftsbiträdets meddelande om avsikten att anlita Underbiträdet. Om den Personuppgiftsansvariga inte skriftligen invänder inom den angivna tiden anses den Personuppgiftsansvariga ha godkänt Underbiträdet. Om den Personuppgiftsansvariga på skälig grund invänder mot att ett nytt Underbiträde anlitas kan den Personuppgiftsansvariga skriftligen säga upp detta DPA och Tjänsteavtalet med trettio (30) kalenderdagars uppsägningstid utan någon uppsägningskostnad.
Personuppgiftsbiträdet är ansvarig gentemot den Personuppgiftsansvariga för all Behandling som utförs av ett Underbiträde på samma sätt som om det vore Personuppgiftsbiträdet själv som utförde Behandlingen.
När Personuppgiftsbiträdet upphör att använda sig av ett Underbiträde ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvariga om detta.
På den Personuppgiftsansvarigas begäran ska Personuppgiftsbiträdet förse den Personuppgiftsansvariga med en kopia av avtalet som reglerar Underbiträdets Behandling av Personuppgifter.

10. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

Personuppgiftsbiträdet ska säkerställa att Personuppgifterna primärt Behandlas inom EU/EES av en fysisk eller juridisk person som är etablerad i EU/EES och att all överföring av Personuppgifter till Tredje land för Behandling (t.ex. för service, support, underhåll, utveckling, drift eller annan liknande hantering) endast utförs om sådan överföring sker i enlighet med gällande Dataskyddslagstiftning samt de krav för Behandlingen som anges i detta DPA och i Instruktionerna uppfylls, inklusive men inte begränsat till att säkerställa att:
EU-kommissionen har fastställt att skyddsnivån är adekvat i det Tredje land där uppgifterna Behandlas i enlighet med därmed fattat beslut om adekvat skyddsnivå, eller
Överföringen sker till en mottagare i ett Tredje land där mottagaren omfattas av ett beslut om adekvat skyddsnivå avseende specifika dataskyddsramverk som utfärdats av EU-kommissionen (såsom Data Privacy Framework), eller
Överföringen omfattas av EU-kommissionens vid var tid gällande standardavtalsklausuler för överföring till Tredje land, eller
Överföringen omfattas av bindande företagsbestämmelser som godkänts av en behörig tillsynsmyndighet, eller
Överföringen sker i enlighet med undantagen för specifika situationer som anges i artikel 49 i Dataskyddsförordningen, och
Personuppgiftsbiträdet före överföringen har vidtagit de ytterligare skyddsåtgärder som kan krävas enligt tillämplig Dataskyddslagstiftning.
Personuppgiftsbiträdet ska säkerställa att inga bestämmelser i standardavtalsklausuler eller bindande företagsbestämmelser står i konflikt med detta DPA inklusive Instruktionerna.

11. ERSÄTTNING

För arbete som utförs enligt vad som upptas i punkterna 3.10, 4.4, avsnitt 6 och punkt 8.6 har Personuppgiftsbiträdet rätt till ersättning för nedlagd arbetstid och eventuella materialkostnader i enlighet med Personuppgiftsbiträdets vid var tid gällande tjänsteavgifter. Vidare ska den Personuppgiftsansvariga ersätta Personuppgiftsbiträdets kostnader och utlägg för tredje part i samband med sådant arbete eller material.
Personuppgiftsbiträdet har inte rätt till någon annan ersättning för sin Behandling av Personuppgifter under detta DPA än enligt ovan.

12. SKADESTÅNDSANSVAR I SAMBAND MED BEHANDLINGEN

I händelse av att ersättning för skador i samband med Behandlingen tilldömts den Registrerade genom en bindande dom eller förlikning, som grundar sig i ett brott mot detta DPA och/eller på grund av en tillämplig bestämmelse i Dataskyddslagstiftningen gäller artikel 82 i Dataskyddsförordningen.
Sanktionsavgift enligt artikel 83 i Dataskyddsförordningen eller kapitel 6 i Dataskyddslagen (2018:218) ska betalas av den Part som har ålagts en sådan avgift.
Med förbehåll för vad som anges i punkterna 12.1 och 12.2 ovan och med de ansvarsbegränsningar som följer av Tjänsteavtalet ska den Personuppgiftsansvariga vara ansvarig för eventuella skador, kostnader eller förluster som Personuppgiftsbiträdet åsamkas eller som Personuppgiftsbiträdet kan bli ansvarigt för på grund av underlåtenhet av den Personuppgiftsansvariga att uppfylla sina förpliktelser enligt detta DPA. Personuppgiftsbiträdet ska vara ansvarig för eventuella skador, kostnader eller förluster som den Personuppgiftsansvariga åsamkas eller som den Personuppgiftsansvariga kan bli ansvarig för på grund av att Personuppgiftsbiträdet inte uppfyllt förpliktelserna enligt detta DPA.
För undanröjande av tvivel ska ingenting i detta DPA inskränka eller begränsa Parternas allmänna skyldighet enligt lag att begränsa eventuella förluster som den andra Parten kan drabbas av eller åsamkas till följd av en händelse som kan ge upphov till ett skadeståndskrav enligt detta DPA.
För undanröjande av tvivel, och utan hinder av någon av bestämmelserna i Tjänsteavtalet, har punkterna 12.1 och 12.2 i detta DPA företräde framför andra regler om ansvarsfördelning mellan Parterna i en tvist om skadeståndskrav avseende Behandlingen.

13. TILLÄMPLIG LAG OCH TVISTLÖSNING

Vad som stipuleras i Tjänsteavtalet angående tillämplig lag och tvistlösning ska gälla för detta DPA.

14. INGÅENDE, LÖPTID OCH UPPHÖRANDE

Detta DPA träder i kraft när det har undertecknats av båda Parter och ska förbli gällande tills det upphör i enlighet med detta avsnitt 14.
Detta DPA upphör att gälla vid den senare tidpunkten av (i) det datum då Tjänsteavtalet upphör att gälla; och (ii) det datum då Personuppgiftsbiträdet upphör att Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
Utan hinder av ovanstående ska punkt 5.2 och avsnitt 12i detta DPA fortsätta gälla även om detta DPA i övrigt upphör att gälla.

15. ÄNDRINGAR

Den Personuppgiftsansvariga har rätt att ändra Instruktionerna som anges i Bilaga 1 samt innehållet i detta DPA i den utsträckning som krävs för att Dataskyddslagstiftningen ska efterlevas. Sådana ändringar ska träda i kraft senast trettio (30) kalenderdagar efter det att den Personuppgiftsansvariga skriftligen meddelat Personuppgiftsbiträdet om ändringarna. Personuppgiftsbiträdet har rätt till ersättning för faktiska och styrkta merkostnader till följd av ändringar som har meddelats av den Personuppgiftsansvarige i enlighet med denna punkt 15.1.
Alla ändringar av detta DPA måste göras skriftligen och undertecknas av båda Parter.
Om någon av Parterna får kännedom om att den andra Parten agerar i strid med detta DPA ska den Part som bryter mot avtalsbestämmelserna utan dröjsmål informeras om avtalsbrottet. Den Part som informerar den andra Parten ska ha rätt att skjuta upp fullgörandet av sina förpliktelser enligt detta DPA till dess att den Part som bryter mot avtalsbestämmelserna har tillkännagett att avtalsbrottet har upphört och förklaringen har godtagits av den Part som framfört klagomålet.

16. ÅTGÄRDER VID UPPHÖRANDE

Vid uppsägning eller upphörande av detta DPA ska den Personuppgiftsansvariga utan onödigt dröjsmål begära att Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvariga väljer, raderar eller returnerar alla Personuppgifter till den Personuppgiftsansvariga såvida inte tillämplig lag kräver ytterligare Behandling. Till dess att Personuppgifterna raderas eller returneras ska Personuppgiftsbiträdet fortsätta att säkerställa efterlevnad av detta DPA.
Överföringar och/eller raderingar enligt punkt 16.1 ska utföras av Personuppgiftsbiträdet senast trettio (30) kalenderdagar från den dag skriftligt meddelande om uppsägning av DPA kommit Personuppgiftsbiträdet tillhanda såvida inget annat överenskommits mellan Parterna.

17. MEDDELANDEN

Alla meddelanden ska vara skriftliga och avfattas på svenska eller engelska och skickas via e-post till, (i) såvitt avser den Personuppgiftsansvariga, den e-postadress som Kunden angav i samband med registreringen av användarkontot eller den e-postadress som angavs av Kunden vid ett senare tillfälle och, (ii) såvitt avser Personuppgiftsbiträdet, e-postadressen legal@billogram.com. Meddelande som skickas på föreskrivet sätt ska anses ha kommit Part tillhanda senast nästkommande helgfri vardag.

BILAGA 2: GODKÄNDA UNDERBITRÄDEN

(Enligt vad som är tillämpligt beroende på Tjänsten)

Företagsnamn	Organisations nr	Tjänst	Lokalisering av data
Företagsnamn Amazon Web Services EMEA SARL	Organisations nr B186284	Tjänst Infrastruktur och molnlagring	Lokalisering av data EU/EES
Företagsnamn Zendesk, Inc.	Organisations nr 519184	Tjänst System för kundsupport	Lokalisering av data EU/EES
Företagsnamn Tietoevry AB	Organisations nr 559435-9001	Tjänst Fakturadistribution (brev, EDI-faktura, digital brevlåda)	Lokalisering av data EU/EES
Företagsnamn 46Elks AB	Organisations nr 556838-8184	Tjänst Fakturadistribution (SMS)	Lokalisering av data EU/EES
Företagsnamn Tink AB	Organisations nr 556898-2192	Tjänst Kontoinformationstjänster	Lokalisering av data EU/EES
Företagsnamn Sendsafely Inc.	Organisations nr 83-3167288	Tjänst Kommunikationstjänster	Lokalisering av data EU/EES
Företagsnamn Stripe Payments Europe Ltd	Organisations nr 513174	Tjänst Kortbetalningar	Lokalisering av data USA
Företagsnamn Functional Software, Inc (Sentry)	Organisations nr 3808470	Tjänst Prestandaövervakning och felsökning	Lokalisering av data USA

BILAGA 1: KONTAKTUPPGIFTER OCH INSTRUKTIONER

KONTAKTUPPGIFTER

Personuppgiftsbiträdets kontaktuppgifter:

Billogram AB

Klara Södra Kyrkogata 1

111 52 Stockholm

E-postadress: legal@billogram.com

2. INSTRUKTIONER FÖR BEHANDLING AV PERSONUPPGIFTER

2.1 Föremål för Behandling

Föremålet för Behandlingen är sådan Behandling som är nödvändig för att göra det möjligt för Personuppgiftsbiträdet tillhandahålla Tjänsten och att i övrigt fullgöra sina förpliktelser enligt Tjänsteavtalet och vidta de åtgärder som anges däri.

2.2 Ändamål

Ändamålet för Behandlingen är utställande och distribution av fakturor till den Personuppgiftsansvariges kunder, inklusive sådan behandling som är nödvändig för hantering av betalningar och reskontra.

2.3 Behandlingsåtgärder (Behandlingens art)

Personuppgiftsbiträdets Behandling av Personuppgifter för den Personuppgiftsansvarige avser huvudsakligen följande behandlingsåtgärder:

utställande och distribution av fakturor
reskontrahantering
administration av autogiromandat
kommunikation med slutkunder genom tillhandahållande av kommunikationsmodul och marknadsföringsmodul
support av slutkundsärenden
sammanställning av statistik och genomförande av analyser
[optimering av konfigurationer och flöden i Tjänsten utifrån den Personuppgiftsansvarigas verksamhet och slutkundstyper, inklusive profilering i tillämpliga fall]
säkerställande av funktionalitet och förhindrande av missbruk av Tjänsten
säkerställande av efterlevnad av relevanta lagar och förordningar.

2.4 Kategorier av Registrerade

Kategorier av Registrerade är den Personuppgiftsansvarigas kunder.

2.5 Kategorier av Personuppgifter

Följande kategorier av Personuppgifter kan bli föremål för Behandling:

Identifieringsuppgifter
Kontaktuppgifter
Fakturerings- och betalningsuppgifter
Bankuppgifter
Ärendeuppgifter
Kommunikationsuppgifter
Samtyckesuppgifter
Information som genereras av eller inhämtas genom användning av Tjänsten

Billogram kan även komma att Behandla Personuppgifter kopplat till den Personuppgiftsansvarigas relation med sina kunder, till exempel information om kundbortfall, i syfte att sammanställa statistik för den Personuppgiftsansvarigas räkning.

Särskilda kategorier av Personuppgifter enligt definitionen i artikel 9 i Dataskyddsförordningen, till exempel information som avslöjar fackligt medlemskap eller uppgifter om hälsa, kan komma att Behandlas beroende på fakturans innehåll enligt den Personuppgiftsansvarigas specifikation.

2.6 Behandlingen varaktighet

Behandlingens varaktighet är begränsad till den tidsperiod som krävs för att kunna tillhandahålla Tjänsten enligt Tjänsteavtalet, vilket för bokföringsunderlag ska vara i enlighet med nationella bokförings- och bokslutsbestämmelser och för all övrig information så länge som krävs, med avseende på det ändamål som Personuppgifterna Behandlas för såvida inte annat anges i tillämplig Dataskyddslagstiftning.

3. TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

Billogram implementerar lämpliga tekniska och organisatoriska åtgärder som är utformade för att principerna för dataskydd ska uppfyllas på ett effektivt sätt. Genom dessa åtgärder säkerställs att lämpliga skyddsåtgärder integreras i Behandlingen av Personuppgifter så att kraven i Dataskyddsförordningen uppfylls och de Registrerades rättigheter skyddas enligt vad som beskrivs nedan. Ytterligare information och detaljer avseende Billograms tekniska och organisatoriska åtgärder kan delges på begäran.

Riskbedömning avseende dataskydd

Billogram utför och dokumenterar en riskbedömning som ligger till grund för de säkerhetsåtgärder som implementeras. Utfallet är att fastställa lämplig nivå av säkerhetsåtgärder för varje del av Tjänsten. Billogram har implementerat de säkerhetsåtgärder som beskrivs i kapitlet ”Säkerhet för Personuppgifter” nedan.

Säkerhetsåtgärder

Billogram har implementerat ett ledningssystem för informationssäkerhet (LIS) i linje med ISO 27001-standarden. Styrande dokument avseende säkerhet och integritet har upprättats och implementerats inom hela Billograms organisation som en del av LIS. Dessa dokument finns tillgängliga för kunder på begäran. Framtagna styrdokument stöds av en rad obligatoriska regler gällande olika aspekter av dataskydd och informationssäkerhet för att säkerställa efterlevnad av Dataskyddslagstiftning och detta DPA. Dessa interna styrdokument inkluderar ämnesspecifika områden och processer för exempelvis hantering av Personuppgiftsincidenter och förfrågningar från Registrerade. Styrdokumenten är föremål för regelbundna interna processer avseende granskningar och godkännanden.

Säkerhet för Personuppgifter

Billogram har vidtagit följande åtgärder baserat på de kravställningar som framgår i sektionen ”Säkerhet i samband med Behandlingen” (artikel 32 i Dataskyddsförordningen):

a) Pseudonymisering och kryptering av Personuppgifter;

För att minska säkerhetsriskerna kopplat till Personuppgifter använder sig Billogram av kryptering och/eller pseudonymisering i den operationella verksamheten, där så är lämpligt. Tekniker och mekanismer avseende kryptering och pseudonymisering kan variera mellan olika Tjänster beroende på Tjänstens kravställning och riskbedömning avseende dataskydd. Ytterligare detaljer om de åtgärder som vidtas kan erhållas på begäran.

b) Förmågan att fortlöpande säkerställa sekretess, integritet, tillgänglighet och motståndskraft hos Behandlingssystem och Tjänster;

Skydd av Personuppgifter kräver implementering av flera säkerhetskontroller, vilket täcks inom ramverket för LIS. Standardiserade processer upprätthåller Tjänstens kvalitet och säkerställer skyddsmekanismer för Behandlingen av Personuppgifter.
Behörighet till Billograms IT-miljö hanteras och följs upp enligt etablerade rutiner. För att få åtkomst till Billograms system måste den anställde ha ett legitimt skäl. Därtill kräver tillgång till kundgränssnittet ett godkännande via en tillämpad process som överenskommits gemensamt med Kunden. Uppkoppling till Billograms IT-miljö loggas för att säkerställa spårbarhet över administrativa åtgärder i systemen. Ett minimikrav för all åtkomst till Billograms IT-miljö och tjänster är användning av en säker kanal och stark autentisering. Ytterligare säkerhetskontroller tillämpas om detta krävs enligt den genomförda riskbedömningen avseende dataskydd.
Obehöriga individer hindras från att få fysiskt tillträde till Billograms faciliteter där Behandling av Personuppgifter hanteras och/eller lagras. Kontroller för fysisk säkerhet används för att skydda Personuppgifter mot oavsiktlig och/eller olaglig förstörelse.
Billogram säkerställer ett adekvat skydd för administrativa anslutningar, åtkomst av tredje part, och filöverföringar som implementerats i Billograms infrastruktur.
Säkerhetsåtgärder har implementerats för att skydda Billograms IT-landskap från säkerhetshot.
Billogram planerar, genomför och kontrollerar kund- och verksamhetsrelaterade transaktioner. Roller och ansvarsområden inom organisationen har fastställts för att säkerställa en lämplig bemanning och effektivitet för den operativa kapaciteten. Ledningen inom Billogram fastställer lämpliga rapporteringsvägar för nyckelpersoner avseende dataskydd. Som en del av anställningsprocessen utförs bakgrundskontroller baserat på den anställdes befattning och behov av åtkomst till Billograms faciliteter, utrustning, och system för databehandling.
Billogram upprätthåller och kontrollerar utförandet av de kravställningar som framgår i Billograms informationssäkerhetspolicy, tillhandahåller regelbundna säkerhetsutbildningar för anställda, och utför granskningar av säkerhet kopplat till applikationer och mjukvara. Vid dessa granskningar bedöms sekretessen, integriteten och tillgängligheten av data, samt efterlevnaden av informationssäkerhetspolicyn.

c) Möjligheten att inom rimlig tid återställa tillgänglighet och åtkomst till Personuppgifter i händelse av en fysisk eller teknisk incident;

Billogram har upprättat processer och strategier för att vid behov säkerställa en snabb återställning av affärskritiska system.
Billogram har definierat och implementerat kontinuitets- och återställningsplaner för den infrastruktur som stöder Billograms tjänsteleverans till kunder. Dessa planer uppdateras och testas regelbundet.

d) En process för att regelbundet testa, bedöma och utvärdera effektiviteten av de tekniska och organisatoriska åtgärder som implementerats för en säker Behandling av Personuppgifter;

Billograms processer, planer och system testas regelbundet för att bedöma och utvärdera effektiviteten i de tekniska och organisatoriska åtgärder som implementerats i syfte att kontrollera säkerheten för Behandlingen av Personuppgifter.
Billogram utför interna genomlysningar för att identifiera säkerhetsbrister och sårbarheter i de IT-system som Behandlar Personuppgifter. Billogram använder sig även av tjänster för säkerhetstestning och penetrationstestning i de delar av IT-miljön där risken bedöms vara höga.