PERSONUPPGIFTSBITRÄDESAVTAL (DPA)
PERSONUPPGIFTSBITRÄDESAVTAL (DPA)
1. Parter
(A) PayEx Sverige AB, organisationsnummer 556735-5671, S:t Hansplan 1 621 88 Visby (“PayEx”);
(B) Företaget som anges som Kund på framsidan av Ramavtalet mellan PayEx och Kunden angående den fakturatjänst och/eller reskontratjänst som tillhandahålls av PayEx till Kunden (”Kund”)
2. PayEx Kommersiella Del och Bilagor
2.1 Detta Personuppgiftsbiträdesavtal ("DPA") består av PayEx Kommersiella Del inklusive listade bilagor med underbilagor nedan, PayEx Kommersiella Del definieras som denna DPA utan Bilaga 1 och dess underbilagor ("PayEx Kommersiella Del"). I PayEx Kommersiella Del läggs vissa specifika avsnitt till, som inte direkt eller indirekt motsäger bestämmelserna i Bilaga 1 eller påverkar de registrerades grundläggande rättigheter eller friheter.
I denna DPA har PayEx och Kunden de roller som beskrivs nedan:
Kund som Personuppgiftsansvarig när PayEx så som Personuppgiftsbiträde behandlar Personuppgifter för Kundens räkning, reglerat i denna DPA inklusive Bilaga 1 med underbilagor.
Bilaga 1, Standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28 (7) i Europaparlamentets och rådets förordning (EU) 2016/679 (“SCC”)
Underbilagor tillämpliga för Bilaga 1:
Bilaga I FÖRTECKNING ÖVER PARTER Bilaga II BESKRIVNING AV BEHANDLINGEN
Bilaga III TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER Xxxxxx XX FÖRTECKNING ÖVER UNDERLEVERANTÖRER Bilaga V PERSONUPPGIFTSANSVARIGS INSTRUKTION TILL PERSONUPPGIFTSBITRÄDET
2.2 För förtydligande definieras PayEx som PayEx och i SCC (Bilaga 1) som Personuppgiftsbiträde. Kund definieras som Kund och i SCC (Bilaga 1) som Personuppgiftsansvarig. Termerna PayEx och Kund kommer att användas i PayEx Kommersiella Del av detta DPA.
3. Bakgrund
3.1 Detta DPA reglerar rättigheterna och skyldigheterna med avseende på Behandlingen av Personuppgifter i samband med Kundens användning av PayEx-tjänster (som närmare beskrivs i avsnitt 3.2 nedan).
3.2 PayEx och Kund har ingått ett Ramavtal avtal avseende Fakturaservice och/eller Reskontraservice ("Avtalet "). I samband med tillhandahållandet av tjänster enligt Avtalet kommer PayEx, som Personuppgiftsbiträde, att Behandla Personuppgifter för Kundens räkning, som Personuppgiftsansvarig. För att säkerställa att Personuppgifterna alltid Behandlas i enlighet med Tillämplig Lag, har Parterna kommit överens om att ingå detta DPA.
3.3 I händelse av konflikt mellan detta DPA och Xxxxxxx med avseende på Behandling av Personuppgifter ska detta DPA ha företräde, om inte annat uttryckligen anges nedan. I händelse av en motsägelse mellan bestämmelser i SCC och bestämmelserna i PayEx Kommersiella Del mellan Parterna, som existerar vid den tidpunkt då klausulerna i SCC avtalas eller ingås därefter, ska klausulerna i SCC ha företräde.
3.4 Där hänvisning görs till PayEx ska detta även gälla för varje relevant PayEx- Koncernbolag.
4. Definitioner
“Tillämplig Lag” | all lagstiftning, förordnanden och råd från Tillsynsmyndigheter som är tillämpliga på Parterna (såsom den dataskyddsförordningen (2016/679/EU) och lokala dataskyddsbestämmelser inom EU/EES som gäller för Parterna |
“Underbiträde” | underbiträde som behandlar Personuppgifter och som anlitats av PayEx för att Behandla Personuppgifter för vilka Kunden är Personuppgiftsansvarig. |
“PayEx Koncernbolag" | bolag inom PayEx-koncernen (Swedbank PayEx Holding AB och dess dotterbolag). |
“Part” och “Parter” | "Parter" betyder PayEx och Kund gemensamt och "Part" betyder var och en av Parterna. |
Om Då detta DPA använder termer och begrepp som definieras i dataskyddsförordningen (2016/679/EU), om inte annat uttryckligen definieras i detta DPA, ska dessa termer och begrepp ha samma betydelse som i dataskyddsförordningen (2016/679/EU) . |
5. Skyldigheter för PayEx
5.1 Allmänt
5.1.1 PayEx åtar sig att behandla Personuppgifter i enlighet med Tillämplig Lag, Avtalet och Kundens instruktioner som anges i Bilaga 1, inklusive dess underbilagor, till detta DPA.
5.1.2 Om PayEx saknar de instruktioner som är nödvändiga för fullgörandet av sina åtaganden enligt Xxxxxxx, ska PayEx omedelbart informera Xxxxxx om detta och agera för Xxxxxxx bästa till dess att nödvändiga instruktioner lämnats. För god ordnings skull ska det noteras att Xxxxxx alltid kommer att anses ha instruerat PayEx att tillhandahålla tjänsten på det sätt som definieras i Avtalet.
5.1.3 Ändringar i instruktioner och andra ändringar i Bilaga 1 och dess underbilagor ska meddelas skriftligen och PayEx ska implementera sådana ändringar inom rimlig tid. PayEx har rätt till ersättning för att utföra de aktuella ändringarna i den mån sådana ändringar har medfört nya eller ökade kostnader av väsentlig karaktär.
5.1.4 PayEx har utsett ett dataskyddsombud (”DPO”) vars roll är att tillse att personuppgifter behandlas i enlighet med PayEx rutiner och Kundens instruktioner. Kontaktuppgifter till PayEx dataskyddsombud finns i Bilaga 1 underbilaga I till detta DPA.
5.1.5 PayEx ska i enlighet med kraven i den dataskyddsförordningen föra ett register över alla kategorier av behandlingsaktiviteter som utförs under detta DPA, innehållande:
a.) namn och kontaktuppgifter till PayEx och eventuell(a) underbiträden, samt dataskyddsombudet;
b.) alla kategorier av Behandlingar som utförs på uppdrag av Xxxxxx;
c.) i tillämpliga fall, överföringar av personuppgifter till ett tredjeland, inklusive identifiering av det tredje landet och, i tillämpliga fall, dokumentation av lämpliga skyddsåtgärder; och
d.) om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.
5.1.6 De register som förs av PayEx enligt punkt 5.1.5 ovan ska göras tillgängliga för Kunden utan dröjsmål, dock senast inom tolv (12) kalenderdagar från respektive begäran från Kunden.
5.2 Revisionsrättigheter
5.2.1 Utöver eventuella revisionsrättigheter som anges i Avtalet och SCC, har Xxxxxx, själv eller genom annan revisor på uppdrag av Xxxxxx, rätt att på egen bekostnad och med rimligt varsel genomföra en revision, inklusive inspektion av, PayEx Behandling av Personuppgifter under detta DPA för att säkerställa att Behandlingen överensstämmer med detta DPA, i den utsträckning det är tekniskt möjligt och rimligen kan anses nödvändigt. Sådana revisioner kan utföras en gång per kalenderår, såvida inte Kunden som genomför en revision rimligen anser att en ytterligare revision är nödvändig på grund av genuina farhågor om PayEx efterlevnad av detta DPA, eller i händelse av ett säkerhetsbrott som rimligen skulle ge upphov till sådana farhågor. I händelse av en begäran om ytterligare revision kommer Xxxxxx att meddela sina skäl för den aktuella begäran, relevanta anmärkningar och annan information senast i samband med Kunds meddelande om den revision till PayEx.
5.2.2 PayEx kommer att, för Kunden, tillgängliggöra all information som krävs för att visa PayEx efterlevnad av detta DPA.
5.2.3 PayEx kommer omedelbart att informera Xxxxxx om, enligt dess uppfattning, en instruktion bryter mot Tillämplig Lag.
5.2.4 Xxxxxx och alla revisorer som bemyndigats av Xxxxxx åtar sig att hemlighålla all information som lämnas till någon av dem under en revision och godkänner härmed att de kommer att behöva underteckna ett bindande skriftligt sekretessavtal innan genomförandet av en revision.
5.2.5 All information om andra PayEx-kunder som kan anses vara en affärshemlighet eller som på annat sätt är föremål för konfidentialitet enligt lag eller avtal, kommer att uteslutas från revisionen och Kunden har ingen rätt att få tillgång till, granska eller inspektera sådan information.
5.2.6 PayEx kommer att ge Xxxxxx eller annan revisor som agerar på uppdrag av Xxxxxx den hjälp som rimligen kan krävas för att genomföra en revision. PayEx har rätt till ersättning för sådan hjälp i den mån sådan hjälp har medfört kostnader av väsentlig karaktär.
5.2.7 Information som Kunden, eller annan revisor som har anlitats av Xxxxxx, samlar in under sin granskning enligt detta DPA måste raderas av Xxxxxx så snart den inte längre är nödvändig för revisionens syfte.
5.2.8 PayEx åtar sig att tillåta och underlätta revisioner som Tillsynsmyndighet eller andra parter har rätt att utföra enligt Tillämplig Lag.
5.3 Incidenthantering
PayEx ska uppfylla kravet på incidenthantering och anmälan om personuppgiftsintrång i detta DPA, som beskrivs närmare i Bilaga 1.
5.4 Stöd på begäran från Tillsynsmyndighet
I enlighet med Bilaga 1 kommer PayEx att förse Kunden med relevant information som Xxxxxx är skyldig att meddela Tillsynsmyndigheten eller de registrerade om i enlighet med Tillämplig Lag. Kunden kommer att betala ersättning för eventuella kostnader, sanktioner, avgifter eller liknande som
PayEx ådragit sig om dess åtgärder enligt denna klausul 5.4 vidtas på grund av att Xxxxxx inte följt Tillämplig Lag.
5.5 Underbiträden
5.5.1 Utöver vad som anges i Bilaga 1 punkt 7.7 ska följande gälla mellan Parterna.
5.5.2 PayEx anlitade Underbiträden, vid tidpunkten för undertecknandet av detta DPA, listas i Bilaga 1 och dess underbilaga Bilaga IV. Alla avsedda ändringar av den listan ska meddelas Kunden i enlighet med punkt 6.4 i detta DPA.
5.5.3 Kunden kan invända mot potentiella, nya Underbiträden, förutsatt att Xxxxxx har en motiverad anledning att inte godkänna det nya Underbiträdet. Om Kunden vill invända mot ett byte av ett Underbiträde ska sådan invändning vara skriftlig.
5.6 Överföring av Personuppgifter utanför EU/EES
5.6.1 Överföring av Personuppgifter inom EU, EES och till länder eller organisationer som Europeiska kommissionen har beslutat säkerställer en adekvat skyddsnivå är tillåten, förutsatt att det säkerställs att Personuppgifterna är tillräckligt skyddade, d.v.s. genom användandet av klausuler för skydd av personuppgifter.
5.6.2 Alla andra överföringar utanför EU/EES som inte på annat sätt är tillåtna enligt detta avsnitt 5.6 är tillåtna under förutsättning att överföringen och Behandlingen därefter är föremål för adekvata skyddsåtgärder enligt paragraf 7.8 Internationell överföring i Bilaga 1.
5.6.3 PayEx har rätt att överföra Personuppgifter, oavsett Kundens instruktioner, i fall då PayEx är skyldigt att göra det enligt EU- eller medlemsstatslagar som PayEx lyder under. I en sådan händelse kommer PayEx att informera Xxxxxx om lagkravet innan sådan överföring görs, såvida inte den lagen förbjuder att sådan information med hänvisning till skäl av allmänt intresse eller liknande.
5.7 Ersättning och ansvar
5.7.1 PayEx är ansvarigt för direkta skador som Kunden ådrar sig till följd av PayEx Behandling av Personuppgifter i strid med dess skyldigheter som Personuppgiftsbiträde enligt Tillämplig Lag som specifikt reglerar Personuppgiftsbiträdets ansvar, och om PayEx har överskridit eller agerat i strid med Kundens lagliga instruktioner. PayEx ansvar är begränsat i den utsträckning som anges i Avtalet eller, där det inte finns någon sådan ansvarsbegränsning i Avtalet, till det belopp exklusive moms och andra skatter som PayEx har fakturerat Kund under de föregående 12 månaderna enligt Xxxxxxx, om skadan inte är orsakad av grov vårdslöshet eller uppsåtligt fel av PayEx.
5.7.2 Om krav eller administrativa böter riktas mot PayEx som ett resultat av brott mot detta DPA eller Tillämplig Lag, ska PayEx utan onödigt dröjsmål meddela Kunden om detta och vidta alla rimliga åtgärder för att mildra skadorna till följd av överträdelsen.
5.8 Sekretess
5.8.1 PayEx garanterar att Behandla och lagra Personuppgifter strikt konfidentiellt. Utöver vad som anges i punkt 7.4 i Bilaga 1 ska följande bestämmelser 5.8.2-
-5.8.3 gälla.
5.8.2 Med förbehåll för vad som anges i detta DPA, Avtalet och Tillämplig Lag, förbinder sig vardera Parten att inte avslöja och lagra konfidentiell information om Personuppgifter och Behandling av Personuppgifter enligt detta DPA, och innehållet i detta DPA.
5.8.3 Utan hinder av ovanstående kommer PayEx att säkerställa att personer som är behöriga att Behandla Personuppgifter (inklusive men inte begränsat till anställda på PayEx) har förbundit sig till konfidentialitet eller är under en lämplig lagstadgad konfidentialitet jämförbar med konfidentialitetsvillkoren i detta DPA.
6. Avtalstid och ändringar
6.1 Detta DPA träder i kraft när det är vederbörligen undertecknad av båda Parter och förblir i kraft så länge som PayEx skyldigheter med avseende på Behandling av Personuppgifter för vilken Xxxxxx är personuppgiftsansvarig (eller, i tillämpliga fall, som tilldelats till PayEx) fortgår.
6.2 I händelse av ändring i Tillämplig Lag eller i händelse av en slutgiltig dom utfärdad av domstol i en jurisdiktion där XxxXx är verksam som föranleder en annan tolkning av Tillämplig Lag, eller då tjänsterna enligt Avtalet kräver ändringar av detta DPA, eller i händelse av en väsentlig förändring av Kundens ägarstruktur, ska Parterna i god tro samarbeta för att uppdatera DPA i enlighet med sådana omständigheter.
6.3 PayEx har rätt att skriftligen meddela uppsägning av detta DPA och Avtalet, med omedelbar verkan eller vid ett senare tillfälle, i händelse av att Parterna inte kan komma överens om en lämplig ändring av detta DPA på grund av ändringar i Tillämplig lag, eller en ändring föranledd av någon annan av omständigheterna som omnämns i 6.2 ovan.
6.4 Alla meddelanden och annan kommunikation enligt denna DPA måste vara skriftlig på svenska eller engelska. PayEx kommer att meddela Kunden i enlighet med Avtalet eller, om meddelandet är av allmän karaktär eller om sådant meddelande avser listan över Underbiträden, på en webbsida som är avsedd för meddelanden enligt detta DPA.
7. Tvister och lagval
Detta DPA ska regleras av och tolkas i enlighet med svensk lag, exklusive dess bestämmelser gällande lagkonflikter. Varje tvist, kontrovers eller anspråk som uppstår ur eller i samband med detta DPA, eller brott, uppsägning eller ogiltighet därav, ska slutligt avgöras genom skiljedom som administreras av Stockholms Handelskammares Skiljedomsinstitut. Reglerna för påskyndat skiljeförfarande ska tillämpas, om inte Stockholms Handelskammare efter eget gottfinnande bestämmer, med beaktande av ärendets komplexitet, det omtvistade beloppet och övriga omständigheter, att Skiljedomsreglerna ska gälla. I det senare fallet ska Stockholms Handelskammare också besluta om skiljenämnden ska bestå av en eller tre skiljemän. Säte för skiljeförfarandet ska vara Stockholm. Det språk som ska användas i skiljeförfarandet ska vara svenska eller engelska. Bestämmelserna om konfidentiell information ska gälla för skiljeförfarandet och all information som presenteras.
Denna DPA är en bilaga till Ramavtalet för Fakturaservice och/eller Reskontraservice mellan PayEx och Kunden. Dataskyddsmyndigheten gäller omedelbart och reglerar behandlingen av personuppgifter mellan parterna i förhållande till fakturerings- och/eller reskontratjänsten.