Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
1. Introduktion
1.1. Vid Användarens nyttjande av Fakturaservicetjänsten, Kontoinformationstjänsten och/eller Autogirotjänsten kommer Billecta att Behandla Personuppgifter för Användarens räkning i enlighet med Personuppgiftsbiträdesavtalet och Användarens dokumenterade instruktioner (Bilaga A). Användaren är Personuppgiftsansvarig och Billecta är Personuppgiftsbiträde för den Behandling av Personuppgifter som sker inom ramen för Personuppgiftsbiträdesavtalet.
1.2. Personuppgiftsbiträdesavtalet utgör en integrerad del av Avtalet mellan Billecta och Användaren.
2. Definitioner
2.1. De definitioner som följer av Villkoren ska gälla även i detta Personuppgiftsbiträdesavtal, såvida inte omständigheterna uppenbarligen föranleder annat.
3. Användarens särskilda åtaganden
3.1. Användaren åtar sig:
I. att se till att det finns en rättslig grund för den Behandling av Personuppgifter som Billecta ska vidta för Användarens räkning,
II. att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att Behandlingen av Personuppgifter utförs i enlighet med Gällande Dataskyddslagstiftning,
III. att informera Xxxxxxxx om felaktiga, rättade, uppdaterade eller raderade Personuppgifter som omfattas av Billectas Behandling av Personuppgifter,
IV. att dokumentera och informera Billecta om de kategorier av Registrerade samt kategorier av Personuppgifter som kommer att Behandlas, och hålla Billecta löpande uppdaterad avseende detta,
V. att informera Billecta vid eventuell justering, ändring eller utvidgning av den eller de ändamål för vilka Personuppgifter Behandlas för Användarens räkning,
VI. att utfärda dokumenterade instruktioner till Billecta avseende Billectas Behandling av Personuppgifter och se till att dessa hålls uppdaterade, samt
VII. att i övrigt utföra sina skyldigheter enligt Personuppgiftsbiträdesavtalet i enlighet med Gällande Dataskyddslagstiftning.
4. Billectas särskilda åtaganden
4.1. Billecta åtar sig:
I. att Behandla Personuppgifter i enlighet med Gällande Dataskyddslagstiftning, Personuppgiftsbiträdesavtalet och Användarens dokumenterade instruktioner,
II. att säkerställa att de personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt,
III. att i enlighet med artikel 32 i GDPR vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken,
IV. att med hänsyn till Behandlingens art, bistå Användaren med implementeringen av lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Användaren kan fullgöra dess
skyldighet att svara på den Registrerades begäran om utövande av den Registrerades rättigheter enligt Gällande Dataskyddslagstiftning,
V. att med beaktande av typen av Behandling och den information som Billecta har att tillgå, bistå
Användaren i säkerhetsfrågor, incidenthantering och konsekvensbedömningar enligt artiklarna 32–36 i GDPR,
VI. att beroende på vad Användaren väljer, radera eller återlämna alla Personuppgifter till Användaren efter det att Xxxxxxx har avslutats, och xxxxxx befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller nationell rätt,
VII. att ge Användaren tillgång till all information som krävs för att visa att de skyldigheter som fastställs i Personuppgiftsbiträdesavtalet har fullgjorts, samt möjliggöra och bidra till granskningar under arbetstid, inbegripet inspektioner, som genomförs av tillsynsmyndighet eller av annan behörig
myndighet, inför vilket Billecta ska ges skälig tid att sammanställa information,
VIII. att säkerställa att eventuell överföring av Personuppgifter till tredje land sker i enlighet med Gällande Dataskyddslagstiftning genom att till exempel använda Europeiska kommissionens
standardavtalsklausuler, samt
IX. att informera Användaren om Billecta anser att Personuppgiftsbiträdesavtalet eller Användarens dokumenterade instruktioner strider mot Gällande Dataskyddslagstiftning, samt
X. att i händelse av en Personuppgiftsincident som rör Personuppgifter som Behandlas av Billecta på uppdrag av Användaren, underrätta Användaren utan onödigt dröjsmål efter det att Billecta har fått vetskap om incidenten.
5. Användning av underleverantörer
5.1. Billecta har Användarens allmänna tillstånd att anlita underleverantörer (underbiträden). Billecta ska skriftligen informera Användaren om alla avsiktliga förändringar avseende tillägg eller utbyte av underleverantörer minst 14 dagar i förväg och därmed ge Användaren möjlighet att invända mot sådana förändringar innan berörd
underleverantör anlitas.
5.2. Genom att ingå Avtalet godkänner Användaren att Billecta använder sig av, och delar Personuppgifter med, de underleverantörer som anges i förteckningen på Billectas webbplats.
5.3. Om Billecta använder en underleverantör för att utföra specifik Behandling gäller samma skyldigheter för underleverantören som för Billecta.
5.4. Billecta är ansvarigt gentemot Användaren för utförandet av underleverantörens skyldigheter.
6. Ersättning
6.1. Billecta har rätt till skälig ersättning för det arbete som avses i punkterna 4.1 (V) och 4.1 (VII) samt punkten 7.2 liksom full ersättning för kostnader i samband därmed.
7. Uppsägning och upphörande
7.1. Om Användaren motsätter sig anlitandet av en ny underleverantör eller byte av redan en existerande
underleverantör har Xxxxxxxx rätt att med omedelbar verkan säga upp Avtalet och/eller stänga av Användarens
möjlighet att nyttja hela eller delar av Tjänsterna. Billecta ska inte bli ersättningsskyldigt gentemot Användaren för kostnader och/eller skador som en sådan uppsägning och/eller avstängning eventuellt skulle kunna medföra.
Billecta ska skriftligen meddela Användaren vid en uppsägning och/eller avstängning.
7.2. Avtalet kan, med undantag för vad som anges i stycket ovan, endast sägas upp under de förutsättningar som anges i Villkoren.
7.3. Vid Avtalets upphörande ska Billecta avsluta Behandlingen av Personuppgifter för Användarens räkning och ombesörja att samtliga Personuppgifter som Billecta eller dess underbiträden har i sin besittning eller kontroll antingen återlämnas till Användaren (eller av denne utsedd tredje part) i enlighet med Användarens instruktioner och på ett säkert sätt. Alternativt ska Billecta se till att kopiorna av Personuppgifterna förstörs, såvida inte lagring av Personuppgifterna krävs enligt Gällande Dataskyddslagstiftning eller annan tvingande lagstiftning. Billecta ska
på Användarens begäran bekräfta att Billecta har återlämnat eller förstört samtliga kopior av sådana Personuppgifter.
8. Tillämplig lag och tvistlösning
8.1. De lagvals- och tvistlösningsmekanismer som anges i Villkoren ska tillämpas även på Personuppgiftsbiträdesavtalet.
Bilaga A - Användarens dokumenterade instruktioner
1. Introduktion
1.1. Utöver vad som framgår av Personuppgiftsbiträdesavtalet ska Billecta följa nedanstående instruktioner från Användaren.
2. Ändamål för vilka Personuppgifterna Behandlas för Användarens räkning
2.1. Ändamålet med Behandlingen av Personuppgifter för Användarens räkning är att möjliggöra tillhandahållande av Fakturaservicetjänsten, Kontoinformationstjänsten och/eller Autogirotjänsten till Användaren i enlighet med Avtalet.
3. Kategorier av Registrerade som Billecta Behandlar för Användarens räkning
3.1. Slutkunder.
4. Kategorier av Personuppgifter som Billecta kan komma att Xxxxxxxx för Användarens räkning
4.1. Billecta kan komma att Behandla sådana kategorier av Personuppgifter som anges i tabellen nedan för
Användarens räkning. Vilka kategorier av Personuppgifter Billecta faktiskt Behandlar för Användarens räkning beror på om Användaren nyttjar Fakturaservicetjänsten, Kontoinformationstjänsten och/eller Autogirotjänsten.
Identifieringsuppgifter | Uppgifter såsom förnamn, efternamn och personnummer. |
Kontaktuppgifter | Uppgifter såsom adress, e-postadress och telefonnummer. |
Betalnings- och faktureringsuppgifter | Uppgifter såsom betalningsvillkor, referensnummer för betalning, detaljer om vilken typ av vara eller tjänst Slutkunden har köpt, aktuell fordran eller skuld, fakturanummer, fakturabelopp, fakturadatum, förfallodatum, uppgifter om när fakturan betalats och vilket betalsätt som har använts, datum för autogiromedgivande och på vilket sätt den signerats, samt datum för återkallelse av autogiromedgivande. |
Bank- och kontouppgifter | Uppgifter såsom kontonummer, clearingnummer, postgironummer, bankgironummer, samt uppgifter om bankens namn. |
5. Behandlingens varaktighet
5.1. Billecta Behandlar Personuppgifter för Användarens räkning så länge Avtalet är i kraft eller så länge det krävs enligt lag.
6. Överföring av Personuppgifter till tredje land
6.1. Billecta överför vissa kategorier av Personuppgifter till underleverantörer som är baserade i USA. Av förteckningen på Billectas webbplats framgår vilka kategorier av Personuppgifter som Billecta överför till vilken underleverantör. Billectas överföringar sker antingen med stöd av EU-kommissionens standardavtalsklausuler eller med stöd av
EU-kommissionens beslut om adekvat skyddsnivå där berörda USA-baserade företag som mottar personuppgifter från Billecta har anslutit sig till ramverket "EU-U.S. Data Privacy Framework".
7. Tekniska och organisatoriska åtgärder
7.1. Billecta ska implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inkluderar:
I. att all lagring av data krypteras i Billectas databas,
II. att pseudonymisering av Personuppgifter sker kontinuerligt,
III. att konfidentialitet, integritet och tillgänglighet upprätthålls av Billecta och dess anställda,
IV. att använda SFTP-filer vid överföring av data, vilket innebär att all information är krypterat i filerna,
V. att alla händelser i systemet loggas, vilket gör det möjligt att spåra vad som hänt,
VI. att kontinuerligt rensning sker av Personuppgifter i enlighet med riktlinjer,
VII. att begränsa åtkomsten till Personuppgifter baserat på anställdas roll och ansvar,
VIII. att tvåfaktorsautentisering används för inloggning i Billectas system för att på så sätt införa ett extra skydd mot obehörig åtkomst,
IX. att clean-desk-policy tillämpas på Billectas kontor, vilket inkluderar att allt material (inklusive laptop) ska förvaras i låsta skåp efter kontorstid,
X. att exportfunktion finns lättillgängligt för de Användaren att enkelt kunna exportera sitt kundregister och historik, samt
XI. att penetrationstester sker, både interna och externa, för att säkerställa att Billectas it-säkerhetsåtgärder fungerar i enlighet med interna riktlinjer och policies.