Allmänna villkor – Axema VAKA Online
Allmänna villkor – Axema VAKA Online
Dessa allmänna villkor (“Villkoren”) gäller när Axema Access Control AB, org. nr 556446-1472, eller annat bolag inom samma koncern som Axema Access Control AB (”Axema”), tillhandahåller företag och föreningar (”Kunden”) en eller flera tjänster via Axemas egna system eller tredjepartsapplikationer genom vilka Kunden kan administrera och/eller styra funktioner i ett lokalt installerat VAKA system (”Tjänsten”). Axema tillhandahåller en kundportal för administration och kontroll av Tjänsten (”Applikationen”) som är en nödvändighet för användandet av Tjänsten.
En Kund som väljer att registrera sig för att använda Tjänsten förbinder sig samtidigt att följa Villkoren, Personuppgiftsbiträdesavtalet (Bilaga 1), de överenskommelser om betalning- pris- och licensomfattning som överenskommits med Axema och eventuella andra ordningsregler och instruktioner som Axema från tid till annan publicerar via Tjänsten, Applikationen och/eller kommunicerar till Kunden på annat sätt (”Avtalet”). En Kund är även skyldig att iaktta gällande lagar, regler och myndighetsbeslut vid användningen av Tjänsten.
Genom att Kunden godkänner dessa Villkor för Tjänsten och ingår Avtalet får Kunden en licens enligt villkoret 15 nedan. Licensen gäller den nuvarande Tjänsten och Applikationen och eventuella senare tillägg, ändringar och senare versioner, om inte Kunden och Axema avtalar annat.
2. Anslutning till och uppstart av tjänsten
2.1 Anslutning
Kunden ansluter sig för att ges tillgång till Tjänsten genom något av de anslutningsalternativ som Axema från tid till annan erbjuder.
Beställning av anslutning till Tjänsten kan endast göras av en person som är behörig firmatecknare för Kunden (”Behörig”) i enlighet med den firmateckningsrätt som Kunden registrerat hos Bolagsverket eller i enlighet med fullmakt från Kunden. Axema förbehåller sig rätten att be representant för Kunden styrka sin firmateckningsrätt genom att inkomma med fullmakt eller annat.
2.2 Åtkomst
Åtkomst till Tjänsten sker genom något av de åtkomstalternativ som Axema från tid till annan informerar om via Tjänsten.
2.3 Behörighet
Den person som Kund givit hanteringsrättigheter för Tjänsten och Applikationen kan skapa nya åtkomsträttigheter samt återkalla utgivna åtkomsträttigheter närhelst den önskar. Kunden väljer själv vilka som ska ha tillgång till åtkomsträttigheterna genom att logga in på särskilt admin-konto. Kunden bär ansvaret för de personer som beviljats åtkomstbehörighet.
3.1 Riktlinjer för Tjänstens olika funktioner
Genom Tjänsten erbjuds Kunden olika möjligheter att integrera, administrera och styra olika funktioner i Kundens lokalt installerade VAKA system. Kunden väljer själv vilka integrationer och andra funktioner som ska omfattas av Xxxxxxx användning av Tjänsten. Tjänsten är avsedd att användas för de fysiska personer som behöver tillgång till Kundens fastighet(er) och därigenom är
användare av Kundens Axema VAKA system såsom boende, anställda eller lokalhyresgäster
(”Användare”). Kunden väljer själv vilka personer hos Kunden som ska vara Användare av Tjänsten.
Axema har rätt att anta riktlinjer för användandet av Tjänsterna och Applikationen samt uppdatera, justera eller ändra dessa riktlinjer under tiden som Kunden använder Tjänsterna och Applikationen. Kunden ansvarar för att tillse att gällande riktlinjer kommuniceras till och följs av samtliga av Användare på Kundens sida.
3.2 Användarkonto
För att kunna använda Tjänsten och Applikationen måste Kunden skapa ett användarkonto och utse ”Administratör(er)” (Kundens personal eller andra som ska beviljas administratörsrättigheter till Kundens användarkonto för Tjänsten) och i samband med detta registrera viss kontaktinformation och andra uppgifter om Kunden och dess Administratörer som efterfrågas vid registreringen. Kunden respektive Administratören bär själv ansvar för att den information som anges om sig är korrekt och att informationen hålls uppdaterad.
3.3 Axemas kommunikation med Kund och Användare
Axema kan komma att kommunicera med Kund, Administratörer och Användare via e-post, SMS och push notiser. Mottagare kan alltid välja att tacka nej till marknadsföring via e-post och SMS genom länk/instruktioner i själva e-post/SMS-meddelandet. Kommunikation gällande Tjänsterna, Applikationen och användning av desamma betraktas som en integrerad del av Tjänsten vilket innebär att sådan kommunikation inte kan väljas bort.
3.4 Lagring
Innehåll i Tjänsten och Applikationen, såsom Användarinformation och teknisk information, lagras under den tiden som Kunden har användarkonto(n) registrerat hos Axema. Under denna tid ansvarar Xxxxxx själv för all data som läggs in i Tjänsten och Applikationen, innefattande men inte uteslutande vilka Administratörer och Användare som ska ha tillgång till Tjänsten och Applikationen, och all data som denne väljer att radera. Data som raderas kommer inte längre att vara tillgänglig.
Vid avstängning eller avslutande av Tjänsten för en Kund enligt avsnitt 14 nedan xxxxxxx Xxxxxxx och Användarnas samtliga information, med undantag för eventuell information och uppgifter som Axema måste behålla enligt lagkrav eller som behövs för att Axema ska kunna skydda sina egna intressen (till exempel vid tvist).
4. Underleverantörer och tredjepartsaktörer
Tjänsten tillhandahålls genom s.k. SaaS (Software-as-a-Service) och bygger på en molnlösning. För att leverera Tjänsten och Applikationen tar Axema hjälp av såväl underleverantörer (”Underleverantörer”) som andra aktörer i branschen (”Partners”).
Axema har ingått nödvändiga avtal med alla Underleverantörer och Partners för att säkerställa att Tjänsterna ska fungera så bra som möjligt för Kunden och för det fall brister/fel ändå identifieras ska dessa hanteras på ett effektivt sätt. Avseende Underleverantörers handlingar är Axema ansvarig i samma omfattning som om Axema själv utfört den delen av arbetet. För Partners bär Axema inget ansvar och eventuell skada som vållas Kunden eller annan på grund av Partners agerande eller underlåtenhet att agera regleras i sin helhet i Kundens eget avtal med relevant Partner.
Information om vilka priser, avgifter och betalningsvillkor som gäller för Kundens användning av Tjänsten kommuniceras till och överenskoms med Kunden i samband med ingåendet av Avtalet.
Axema har rätt att när som helst göra ändringar i Tjänsten och Applikationen samt de individuella delarna/funktionerna. Vilka funktioner som från tid till annan kan nyttjas via Tjänsten och Applikationen kan över tid komma att variera i omfattning och utformning. Axema förbehåller sig rätten att fortlöpande utveckla, utöka, inskränka eller i övrigt förändra Tjänstens och Applikationens utformning, tekniska funktioner, system, tekniska förutsättningar för åtkomst av Tjänsten och Applikationen och övriga komponenter samt villkoren för dessa.
7. Tillgänglighetsnivå och spärrad åtkomst
Tjänsten är normalt tillgänglig 24 timmar per dygn, sju (7) dagar i veckan, året runt. Axema garanterar dock inte och ansvarar heller inte för att Tjänsten är fri från eventuella fel, förseningar och/eller avbrott. Axema förbehåller sig rätten att tillfälligt avbryta tillhandahållandet av Tjänsten för serviceändamål, till exempel buggrättningar, underhåll och uppgraderingar.
Axema har inget ansvar för uppdatering av Tjänstens eller Applikationens åtkomsträttigheter. Axema har rätt att utan föregående meddelande till Kunden eller Användaren, helt eller delvis, spärra åtkomst till Tjänsten och/-eller Applikationen:
a. om felaktigt användarnamn och/-eller lösenord används eller vid upprepade misslyckade inloggningsförsök till Tjänsten eller Applikationen;
b. vid misstanke om obehörigt utnyttjande av användarnamn och lösenord;
c. om Kunden, Administratör eller Användare bryter mot Axemas utfärdade riktlinjer avseende Tjänsten, säkerhetslösning eller om Axema har skälig anledning att anta att Tjänsten kan komma att användas i strid med Xxxxxxxxx eller i strid med gällande lagstiftning, förordning eller myndighetsföreskrifter;
d. om Kundens, Administratörens eller Användarens användning av Tjänsten agerar på ett sätt som kan orsaka Axema eller tredje man skada;
8. Kundens ansvar för åtkomst till Tjänsten mm.
Kunden ansvarar särskilt för:
• att ha för Tjänsten och Applikationen nödvändiga anslutningar och utrustning, såsom hårdvara, en fungerande Internetanslutning och digitala enheter och webbläsare som möjliggör åtkomst till Tjänsten och Applikationen.
• riktigheten i den information som lämnas i samband med registrering och användande av Tjänsten och Applikationen samt att denna hålls uppdaterad.
• att Kunds, Administratörs och Användares kontaktuppgifter fortlöpande uppdateras så att dessa vid var tid är korrekta och att Kunden, Administratör och Användare kan ta emot information från Axema avseende Tjänsten och Applikationen.
• att personlig och användarspecifik information såsom användaridentitet och lösenord eller annan information som kan nyttjas för åtkomst till Tjänsten och Applikationen förvaras på ett betryggande sätt och inte används av eller avslöjas för någon obehörig. Om en Kund misstänker att sådan information kommit någon obehörig tillhanda eller på annat sätt missbrukas, är Kunden skyldig att omedelbart vidta åtgärd för att begränsa åtkomst till Tjänsten eller Applikationen och informera Axema om den uppkomna situationen.
• att hålla sina åtkomsträttigheter uppdaterade i Tjänsten och Applikationen.
9. Kundens ansvar för användning och administration av Tjänsten och Applikationen
Kunden ansvarar för aktiviteter som vidtas av Kunden, Administratörer och eventuella andra Användare som Kunden gett tillgång till Tjänsten. Kunden ansvarar således bl.a. för att rätt Användare har registrerats för Tjänsten och Applikationen, att rätt Användare har tillgång till rätt delar av Tjänsten och att den data som angivits i Tjänsten i övrigt är korrekt.
Kunden får inte använda Tjänsten eller Applikationen på sådant sätt att Axema eller annan drabbas av olägenhet eller skada. Om Axema misstänker att en Kund använder Tjänsten och/-eller Applikationen i strid med lag eller detta stycke har Axema rätt att utan föregående meddelande till Kunden stänga av Tjänsten och/-eller begränsa åtkomsten till Applikationen för Kunden eller enskilda Användare och säga upp Avtalet för Kunden med omedelbar verkan, se även avsnitt 7 ovan samt avsnitt 14.2 nedan.
10. Behandling av personuppgifter
För att kunna tillhandahålla Tjänsten och Applikationen kommer Axema att behöva behandla vissa personuppgifter. Information om Axemas personuppgiftsbehandling kan hittas på Axemas hemsida, xxxxx://xxxxx.xx/xxxxxxxxxxxxxxxxxxxxxx.
Kunden är personuppgiftsansvarig för all lagring och behandling av personuppgifter i Tjänsten och Applikationen. Axema är personuppgiftsbiträde för dessa behandlingar. Förhållandet regleras i personuppgiftsbiträdesavtalet i bilaga 1 (”Personuppgiftsbiträdesavtalet”) som utgör en del av Avtalet.
11. Axemas åtaganden
Axema åtar sig särskilt att:
a) tillhandahålla Tjänsten och Applikationen i enlighet med vad som är att anse som fackmannamässigt och med beaktande av tillämplig branschpraxis;
b) tillhandahålla Tjänsten och Applikationen i enlighet med gällande rätt samt föreskrifter och beslut från myndigheter, domstol mm.;
c) tillhandahålla Tjänsten och Applikationen i enlighet med specifikationen för ert köp; och
d) företa skäliga åtgärder för att tillförsäkra att mjukvaran i Tjänsten och Applikationen är fri från skadliga filer.
12. Ansvar och ansvarsbegränsningar
Axema ansvarar för informationssäkerheten i Tjänsten och Applikationen. Axema utfärdar inga andra garantier än vad som framgår av dessa Villkor, uttryckliga eller underförstådda, avseende till exempel Tjänstens eller Applikationens kvalitet, äganderätt, frånvaro av intrång i annans rättigheter eller allmän lämplighet för särskilda mål.
Axema ansvarar inte för eventuella skador som uppkommer på grund av att Kunden, Administratören eller Användaren (i) lämnat felaktig information vid registrering, (ii) felaktigt hanterat Tjänsten eller Applikationen, (iii) felaktigt hanterat den information som krävs för åtkomst till Tjänsten eller Applikationen, (iv) agerat i strid med Axemas instruktioner (v), brutit mot dessa Villkor eller (vi) om skadan uppkommit på grund av Kundens uppsåt eller grova oaktsamhet.
Axema ersätter endast Kunden för styrkta och skäliga kostnader som uppkommit som en direkt följd av vårdslöshet från Axemas sida. Axema ersätter dock inte Kunden eller Användaren för indirekta kostnader, skador eller förluster, såsom till exempel utebliven vinst eller andra följdskador, såvida inte Axema har handlat uppsåtligt eller grovt vårdslöst.
För det fall ersättningsgill skada skulle uppkomma är Kunden skyldig att vidta skäliga åtgärder för att begränsa skadan. Om Xxxxxx inte vidtar skäliga åtgärder för att begränsa skadan, vilket kan innefatta men begränsas inte till att skyndsamt kontakta Axema, polis, brandkår mm., ska Axemas skadeståndsansvar sättas ned så att beloppet minskas med den skada som hade kunnat undvikas om Kunden hade vidtagit de skäliga åtgärderna för att begränsa skadan.
Oaktat vad som anges ovan är Axemas sammanlagda ersättningsskyldighet gentemot en Kund under varje tolvmånadersperiod begränsad till ett totalt belopp per år motsvarande 20 % av en årsavgift av det pris som ska betalas av Kunden för användning av Tjänsten.
Xxxxxx är skyldig att framställa krav på ersättning till Axema inom tre (3) månader efter det att skadan upptäckts eller borde ha upptäckts. Om Xxxxxx inte gör detta förlorar Xxxxxx rätten att göra kravet gällande.
Axemas ansvar i rollen som personuppgiftsbiträde till Kunden regleras i sin helhet av Personuppgiftsbiträdesavtalet.
Axema är befriat från ersättningsskyldighet eller annat ansvar om skada eller underlåtenhet att handla beror på ett hinder utanför Axemas kontroll som Axema inte skäligen kunde ha förväntats räkna med och vars följder Axema inte heller skäligen kunde ha undvikit eller övervunnit, innefattande men inte begränsat till t.ex. krig, naturkatastrofer, lockout eller annan arbetskonflikt, brand, avbrott i energiförsörjning, samt avbrott i driften av elektronisk databehandling som orsakats av ovanstående. Detsamma gäller om underleverantör till Axema drabbas av hinder som avses i detta avsnitt.
14. Parternas rätt till uppsägning av Avtalet
14.1 Kundens rätt till uppsägning
Såvida ingen annan uppsägningstid gäller för Kundens användning av Tjänsten enligt separat avtal med tredjepartsintegratör, har Xxxxxx rätt att säga upp Avtalet med en (1) månads uppsägningstid genom skriftlig uppsägning till Axema via mail xxxxx@xxxxx.xx.
Om Axema begår ett väsentligt kontraktsbrott mot Avtalet har Xxxxxx rätt att genom skriftlig underrättelse säga upp Avtalet med omedelbar verkan.
14.2 Axemas rätt till uppsägning
Axema har rätt att, genom skriftlig underrättelse till Kunden, helt eller delvis, avsluta Tjänsten för Kunden och säga upp Avtalet med omedelbar verkan om Kunden, Administratör eller någon Användare, bryter mot sina åtaganden enligt Avtalet eller mot författning, myndighetsbeslut eller lämnade instruktioner.
Axema har vidare rätt att, genom skriftlig underrättelse till Kunden, helt eller delvis, avsluta Tjänsten och säga upp Avtalet med tre (3) månaders uppsägningstid genom e-postmeddelande till Kundens kontaktperson.
Samtliga rättigheter, innefattande men inte uteslutande alla immateriella rättigheter, till Tjänsten, Applikationen, mjukvaran och allt annat som Axema ger Kunden och/-eller Användaren tillgång till stannar kvar hos Axema eller rättighetsinnehavare som Axema samarbetar med (”Immateriella Rättigheter”). Detta gäller även alla ändringar och justeringar av Tjänsten, Applikationen, mjukvara eller annat oavsett vem som instruerat, finansierat eller utfört nämnda ändring eller justering.
Kundens ges genom att ingå Avtal om Tjänsten en enkel, icke överlåtbar, icke exklusiv, licens att använda Axemas Immateriella Rättigheter i enlighet med dessa Villkor. Kunden får inte (och får inte försöka) (1) utföra reverse engineering, dekompilera eller ta isär koden för Tjänsten, Applikationen eller mjukvaran utom i den utsträckning det är tillåtet enligt tvingande lag, (2) kringgå eventuella tekniska begränsningar i Tjänsten, Applikationen eller mjukvaran (3) göra flera
kopior av Tjänsten, Applikationen eller mjukvaran än som är tillåtet enligt tvingande lag, (4) göra Tjänsten, Applikationen eller mjukvaran tillgänglig för andra att kopiera, (5) distribuera, underlicensiera, hyra ut, leasa ut, eller låna ut Tjänsten, Applikationen eller mjukvaran eller (6) överlåta Tjänsten, Applikationen eller mjukvaran eller dessa Villkor till tredje man.
16. Villkorsändringar
Axema förbehåller sig rätten att när som helst ändra och/eller göra tillägg i dessa Villkor. Villkorsändringar ska meddelas Kund på av Axema beslutat sätt senast trettio (30) dagar innan ändringen träder i kraft. Axema har dock alltid rätt att omedelbart vidta sådana ändringar och tillägg som föranleds av lag, förordning eller myndighetsbeslut. Om ändringar och tillägg inte godkänns av en Kund har Xxxxxx alltid rätt att säga upp Villkoren med omedelbar verkan enligt avsnitt 14.1 ovan.
Kund får inte överlåta Xxxxxxx, eller sina rättigheter och skyldigheter enligt Xxxxxxx, utan föregående skriftligt medgivande från Axema.
Avtalet, inkluderat dessa Villkor regleras av svensk lag. Tvister ska lösas genom allmän domstol.
PERSONUPPGIFTSBITRÄDESAVTAL (BILAGA 1)
Mellan ”Kunden”;
och
Axema Access Control AB, org. nr. 556446 - 1472, med adress Xxxxxxxxxxx 00, 000 00 Xxxxx, härefter kallad ”Axema”.
Xxxxxx och Axema benämns nedan gemensamt ”Parterna” och enskilt ”Part”.
1. Bakgrund och syfte
1.1. Kunden och Axema har ingått Avtalet (enligt definition nedan). Eftersom Axema vid tillhandahållandet av Tjänsten och Applikationen kommer att behandla personuppgifter för Kundens räkning som Kunden är personuppgiftsansvarig för och därmed vara Kundens personuppgiftsbiträde ingås detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”).
1.2. Detta Personuppgiftsbiträdesavtal är anpassat för att uppfylla de krav som följer av Dataskyddsförordningen i förhållande till den behandling som Axema utför för Kundens räkning inom ramen för Parternas samarbete enligt Avtalet. Detta Personuppgiftsbiträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan Axema och Kunden.
2. Definitioner
”personuppgiftsbiträde”, ”personuppgift”, ”behandling”, ”personuppgiftsincident” ska ha
den betydelse som framgår av Tillämplig Dataskyddslagstiftning eller Avtalet):
Avtalet Det avtal som Parterna träffat avseende Axemas tillhandahållande av tjänster till Kunden
Dataskyddsförordningen Europaparlamentets och rådets förordning (EU)
2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
”Omfattade Personuppgifter” Personuppgifter som överförs till, lagras eller på annat
sätt behandlas av Axema på uppdrag av Kunden under Xxxxxxx, närmare bestämt sådana typer av
personuppgifter som anges i Bilaga A (Specifikation) till detta Personuppgiftsbiträdesavtal.
”Registrerad” Fysisk person vars personuppgifter ingår i Omfattade Personuppgifter.
”Tillämplig
Dataskyddslagstiftning” avser:
(i) Dataskyddsförordningen och ersättande rättsakter;
(ii) tillämplig svensk lag avseende dataskydd; och
(iii) till i) och ii) ovan hörande förordningar och föreskrifter samt riktlinjer som utfärdats av Tillsynsmyndighet och som är tillämpliga på Parts verksamhet.
”Tillsynsmyndighet” Datainspektionen/Integritetskyddsmyndigheten och i
förekommande fall annan behörig tillsynsmyndighet som med stöd av lag utövar tillsyn över Parts verksamhet.
3. Avtalsdokument och tillämpning
3.1. Personuppgiftsbiträdesavtalet består av detta dokument och Specifikationen (Bilaga A) i vilken anges bl.a. vilka typer av personuppgifter som Axema behandlar för Kundens räkning samt kategorier av Registrerade.
3.2. Detta Personuppgiftsbiträdesavtal är en del av och lyder under villkoren i Xxxxxxx. I händelse av konflikt mellan bestämmelser i detta Personuppgiftsbiträdesavtal och Avtalet ska i frågor som rör behandling av personuppgifter detta Personuppgiftsbiträdesavtal äga företräde framför Avtalet (inklusive övriga bilagor).
3.3. Om och i den mån annat bolag i samma koncern som Xxxxxx är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med Xxxxxx) för behandling som omfattas av detta Personuppgiftsbiträdesavtal, bekräftar Xxxxxx härmed att man inhämtat nödvändiga tillstånd för att ingå Personuppgiftsbiträdesavtalet även för sådant bolags räkning.
4. Allmänt om behandlingen under detta Personuppgiftsbiträdesavtal
4.1. Axema åtar sig såsom personuppgiftsbiträde att behandla Omfattade Personuppgifter i enlighet med Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtal, Avtalet, och Kundens dokumenterade instruktioner från tid till annan. All annan behandling av Omfattade Personuppgifter än vad som är nödvändigt för att uppfylla Axemas åtaganden enligt Avtalet, inklusive att Axema utför behandling för sina egna ändamål, är otillåten.
4.2. Kundens instruktion till Axema gällande Axemas behandling av Omfattade Personuppgifter utgörs av detta Personuppgiftsbiträdesavtal med tillhörande bilagor. Eventuella ändrade eller tillkommande instruktioner, utöver de som följer av Personuppgiftsbiträdesavtalet, ska framställas skriftligen per mail till den mailadress som anges i Specifikationen i Bilaga A. Axema är skyldig att följa Xxxxxxx instruktioner i detta Personuppgiftsbiträdesavtal och ändrade eller tillkommande instruktioner enligt ovan.
5. Säkerhet
5.1. Axema bekräftar genom detta Personuppgiftsbiträdesavtal att Axema genomför sådana tekniska och organisatoriska skyddsåtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, och därigenom säkerställer att de Registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Axema skyddar Omfattade Personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändring samt mot obehörigt röjande och obehörig åtkomst. Xxxxxx har rätt att på begäran informeras om vilka åtgärder som vidtas.
5.2. Axema ska tillåta de inspektioner som Tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Omfattade Personuppgifter. Axema ska följa av Tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt Tillämplig Dataskyddslagstiftning.
5.3. Axema bekräftar vidare att Axema har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, bland annat vad gäller säkerhet i samband med behandlingen av uppgifter, samt att de åtgärder som vidtas kommer att ses över och uppdateras vid behov.
6. Överföring av personuppgifter utanför EU/EES
7. Underrättelse vid Personuppgiftsincident och skyldighet att bistå Xxxxxx
7.1. Axema åtar sig att skriftligen informera Xxxxxx om varje personuppgiftsincident utan onödigt dröjsmål från att personuppgiftsincidenten upptäcktes av Axema. Informationen ska innehålla all nödvändig information som krävs för att Kunden i förekommande fall ska kunna fullgöra sin rapporterings- /informationsskyldighet gentemot Tillsynsmyndighet och/eller Registrerade.
7.2. Axema ska i övrigt på Kundens begäran, i den utsträckning så krävs i enlighet med de krav som åläggs personuppgiftsbiträden i Tillämplig Dataskyddslagstiftning, bistå Xxxxxx att säkerställa att Kunden kan fullgöra sina skyldigheter enligt Tillämplig Dataskyddslagstiftning med avseende på Omfattade Personuppgifter. Detta kan exempelvis innebära att Axema biträder Kunden; (i) vid fullgörandet av sin rapporterings-/informationsskyldighet gentemot Tillsynsmyndighet och/eller Registrerade; (ii) genom att tillhandahålla Xxxxxx all information som rimligen kan krävas för att intyga fullgörandet av Leverantörens skyldigheter som personuppgiftsbiträde enligt Tillämplig Dataskyddslagstiftning; (iii) med uppfyllande av Kundens skyldigheter vad gäller registrerades rättigheter; (iv) vid genomförande av riskanalyser och konsekvensbedömningar avseende dataskydd; och (v) förhandssamråd med Tillsynsmyndighet.
8. Kontakt med Registrerade och Tillsynsmyndigheter
8.1. För det fall en Registrerad, Tillsynsmyndighet eller annan tredje man begär information från Axema som berör behandlingen av Omfattade Personuppgifter, ska Axema omgående hänvisa sådan förfrågan till Xxxxxx och invänta dennes instruktioner.
8.2. Axema ska utan dröjsmål informera Xxxxxx om all kontakt med Registrerade, Tillsynsmyndigheter eller annan tredje man, som avser Leverantörens behandling av Omfattade Personuppgifter. Axema har inte rätt att företräda Xxxxxx eller på annat sätt agera för Kundens räkning gentemot Registrerade, Tillsynsmyndighet eller annan tredje man.
9. Underleverantörer
9.1. Kunden godkänner härmed användandet av de underbiträden som Axema redan anlitat och informerat Xxxxxx om genom Specifikationen i Bilaga A till detta
Personuppgiftsbiträdesavtal (”Godkända underbiträden”).
9.2. Axema åtar sig att informera Xxxxxx om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst trettio (30) dagar innan sådana planer genomförs med en rätt för Kunden att invända mot att sådana underbiträden anlitas eller ersätts. Om Xxxxxx inte återkommer till Axema inom de trettio (30) dagarna anses Xxxxxx ha godkänt Axemas plan på att anlita/ersätta det/de underbiträde(n) som Axema informerat Xxxxxx om.
9.3. Kundens godkännande enligt punkt 9.1 samt 9.2 ovan ska betraktas som ett särskilt tillstånd för Axema att i det enskilda fallet, för Kundens räkning, ingå personuppgiftsbiträdesavtal med underbiträden som ska behandla Omfattade Personuppgifter. Sådant personuppgiftsbiträdesavtal mellan Axema och ett underbiträde måste vara ett skriftligt avtal varigenom underbiträdet åläggs motsvarande åtaganden och skyldigheter som detta Personuppgiftsbiträdesavtal ålägger Axema.
9.4. Axema är ansvarig för att tillse att relevanta regler i Tillämplig Dataskyddslagstiftning beaktas vid anlitande av underbiträden. Axema ska vidta alla nödvändiga åtgärder för att säkerställa att underleverantör inte behandlar Omfattade Personuppgifter i strid med Personuppgiftsbiträdesavtalet och tillse att dessa ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder
10. Rätt till insyn
10.1.För att kunna försäkra sig om att Tillämplig Dataskyddslagstiftning och detta Personuppgiftsbiträdesavtal efterlevs ska Axema på begäran av Kunden möjliggöra och bidra i skälig utsträckning till granskningar, inbegripet inspektioner och tillgång till Axemas lokaler, som genomförs av Kunden eller av annan tredje part på uppdrag av Xxxxxx.
00.0.Xx Kunden anlitar tredje part att utföra inspektion av Axemas behandling av Omfattade Personuppgifter för Kundens räkning ska Kunden tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.
10.3.Insyn för granskning, informationslämning och dylikt ska äga rum vid det tillfälle som Kunden eller Tillsynsmyndigheten begär vilket i möjligaste mån ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Parternas respektive ordinarie verksamheter. Granskning av Axema ska ske med iakttagande av de säkerhetsåtgärder som Axema uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen. Om annat inte följer av särskild separat skriftlig överenskommelse står respektive Part sina egna kostnader vid sådan granskning och för tillhandahållandet av information.
11. Sekretess
12. Ansvar
00.0.Xx Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta Personuppgiftsbiträdesavtal eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant otillåtet agerande orsakat. Detta ska vidare inte gälla om den skadevållande Parten kan visa att denne eller av denne anlitat underbiträde inte på något sätt är ansvarig(a) för den händelse, det agerande eller den underlåtenhet som orsakade den andre Parten skadan, såsom att anspråket inte hade kunnat undvikas genom skadevållande Parts uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning eller av skriftliga instruktioner som utfärdats av Kunden. Axemas skadeståndsansvar enligt detta villkor ska emellertid inte uppgå till en högre belopp än vad som framgår av avsnitt 12 i Villkoren
12.2.Under inga omständigheter ska Part enligt avsnitt 12.1 ovan vara ansvarig för indirekta skador, såsom utebliven vinst, inkomstförlust, förlust av data, hinder att uppfylla förpliktelse mot tredje man, ersättningsskyldighet mot tredje man eller andra följdskador. Denna ansvarsbegränsning ska dock inte gälla vid grov vårdslöshet eller uppsåt.
12.3.Parternas rätt till ersättning vad gäller krav från tredje man regleras i sin helhet i enlighet med artikel 82 i Dataskyddsförordningen. Detta inkluderar rätten för den Part som betalat full ersättning för den skada som orsakats tredje man att från den andra Parten, om denne medverkat vid samma behandling, återkräva den del av ersättningen som motsvarar den Partens del av ansvaret för skadan.
12.4.Denna punkt 12 ska gälla även efter Personuppgiftsbiträdesavtalets upphörande.
13. Upphörande av behandling av personuppgifter
14. Ändringar och tillägg
15. Avtalstid
16. Överlåtelse
17. Tillämplig lag och tvistelösning
****
BILAGA A – SPECIFIKATION
Ändamålet, föremålet och arten
a. Föremålet för Axemas behandling av personuppgifter åt Xxxxxx är att:
Axema Access Control AB ska tillhandahålla Kunden en eller flera tjänster via Axemas egna system eller tredjepartsapplikationer enligt Avtalet genom vilka Kunden digitalt kan administrera och/eller styra funktioner i ett lokalt installerat VAKA system. Axema tillhandahåller även en kundportal för digital administration och kontroll av Tjänsten.
b. Ändamålet med Axemas behandling av personuppgifter åt Xxxxxx är:
Tillhandahållande av systemstöd för säker och effektiv digital administration och/eller styrning av funktioner i ett lokalt installerat VAKA system samt möjliggörande för Kunden att administrera och kontrollera Tjänsten digitalt via kundportal.
c. Axemas behandling av personuppgifter på uppdrag av Xxxxxx avser huvudsakligen följande behandlingsåtgärder (Behandlingens art eller natur):
- Insamling och bearbetning av den information som Kunden registrerar i och på annat sätt hanterar inom ramen för tjänsterna enligt Xxxxxxx;
- Lagring av Omfattade Personuppgifter;
- Radering efter anrop från Kunden; och
- Felsökning och support för tjänsterna enligt Avtalet.
Omfattade Personuppgifter:
Tabellen innehåller en sammanställning över vilken information som samlas in och behandlas i respektive applikation i VAKA Online.
Applikation | Funktion | Typ av data |
Axema Vaka Online Kundportal | Kundregistrering | - Förnamn - Efternamn - E-postadress - Telefonnummer - Lösenord - Organisationens namn - Organisationsnummer - Organisationens adress - Organisationens postadress (postnummer, ort) |
Axema VAKA Online | Support och statistik | - Händelselogg dörrar (kan innefatta indirekta personuppgifter) Axema kan ges tillgång till händelseloggar avseende Kundens användning av Axema VAKA. Loggarna visar endast vilka tidpunkter anslutna dörrar öppnats och stängts. Axema har inte tillgång till vilken individ som utfört åtgärden. |
Kategorier av Registrerade:
Kategori |
Administratörer för Kund som är inbjudna/utsedda av Kund |
Installatörer som sätter upp Axema VAKA och VAKA Online hos Kund |
Tekniska och organisatoriska säkerhetsåtgärder
Åtkomstkontroll till system och personuppgifter:
Axema har sekretessreglering i sina anställningsavtal med alla sina medarbetare. Ett fåtal behöriga personer hos Axema kan i sina arbetsuppgifter komma i kontakt med Kundens data eller personuppgifter i Tjänsten/Applikationen. All information relaterad till Kunden
i Tjänsten/Applikationen är konfidentiell information för Axemas medarbetare och omfattas av sekretessåtagandet.
Ett tekniskt system för behörighetskontroll styr åtkomsten till personuppgifterna i Axema VAKA Online för Axemas medarbetare. Axema har rutiner för tilldelning och borttagande av behörigheter. Åtkomst till personuppgifter kan följas upp genom en logg eller liknande underlag. Underlaget kontrolleras av Axema och kan återrapporteras till Kunden vid förfrågan. Anslutning för extern datorkommunikation skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig.
Axema åtar sig följande avseende åtkomstkontroll till lokaler och utrymmen:
- Alla produktionsservrar separeras från andra miljöer såsom för utveckling och testning. Detta inkluderar att underhålla separata nätverk och serverplatser för produktionsmiljön. Tillgång till produktionsmiljön är begränsad till relevant personal.
Överföring
- Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Axema ska skyddas med kryptering.
Bibehållande och radering:
- Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas. Personuppgiftsbiträdet ska ha en rutin för regelbunden test av återläsning.
Axemas åtaganden avseende infrastruktursäkerhet:
- Alla servrar har en brandvägg installerad och konfigurerad för att blockera all onödig inkommande och utgående trafik.
- Alla servrar/tjänster har uppdaterade säkerhetskorrigeringar och programvaruuppdateringar installerade för att adressera dess kända sårbarheter.
- Alla servrar/tjänster har intrångsdetektering och förebyggande system installerade för att upptäcka och blockera skadlig aktivitet.
- Alla servrar/tjänster övervakas regelbundet för misstänkt aktivitet, och alla onormala händelser utreds och åtgärdas omgående.
- Alla servrar/tjänster granskas regelbundet för att säkerställa överensstämmelse med säkerhetsstandarder och bäst praxis.
Loggning:
Axema ska iaktta följande krav avseende loggning av användaraktivitet och logghantering:
- Uppgifter i loggar som avser behandlingen av Kundens personuppgifter får endast användas av Axema för vad som krävs för upprätthållande av säkerhet, funktionalitet och kvalitet.
- Loggar sparas i minst 30 dagar för att säkerställa att granskningar och utredningar kan utföras vid behov.
Behandlingens varaktighet
Avtalsperioden enligt Avtalet samt tid för återlämning och/eller radering enligt Personuppgiftsbiträdesavtalet. Ansvaret för gallring ligger på Kunden (Personuppgiftsansvarig) att utföra direkt i VAKA Online eller initiera genom meddelande till Axema.
Underleverantörer:
Axema har upprättat underbiträdesavtal med sina underbiträden som ålägger dem motsvarande skyldigheter som Axema åläggs i detta Personuppgiftsbiträdesavtal.
Underleverantör | Land | Beskrivning | Syfte | Kategorier av data |
Microsoft Ireland Operations Ltd Xxx Xxxxxxxxx Xxxxx Xxxxx Xxxxxx Xxxxxxxx Xxxx Xxxxxxxxxxxx Xxxxxx 00 X00 X000 Xxxxxx | Xxxxxx (EU) | Leverantör av molntjänster (Azure) | Används för hosting av IT- tjänster, lagring och bearbetning av data. | Samtliga Omfattade Personuppgifter |
Twilio SendGrid 000 Xxxxx Xxxxxx Xxxxxxx XX 00000 XX | XXX0 | Leverantör av tjänster för e- post. | Används för utskick av inbjudningar, bekräftelser och andra typer av aviseringar via e-post. | Kontaktuppgifter (förnamn, efternamn, e-postadress) |
1 Överföring av data till USA görs endast till mottagare som är certifierade under EU-U.S. Data Privacy Framework eller mottagare som etablerat ett överföringsavtal enligt EU Commission's Standard Contractual Clauses (SCC). Vid detta Personuppgiftsbiträdesavtals framtagande är Twilio SendGrid certifierat under EU-U.S. Data Privacy Framework.
Konktaktuppgifter för ändrade/tillkommande instruktioner från Kunden
Om Xxxxxx önskar särskild e-postadress för meddelanden under personuppgiftsbiträdesavtalet, såsom för incidentrapportering, kan särskild instruktion om detta skickas till xxxxx@xxxxx.xx.