Contract
1 Innehåll och syfte
1.1
Innehåll. Den här bilagan och dess Underbilagor utgör tillsammans ”Personuppgiftsbi- trädesavtalet” eller “Biträdesavtalet”. Mellan Preem och Kunden finns ett avtal (”Allmänna Villkor”) angående det Företags-kort och förmånsprogram för företag som Preem ska till- handahålla Kunden. Enligt de Allmänna Villkoren har Kunden beviljats Preems Företags-ko- rt och därtill relaterade tjänster. Genom de Allmänna Villkoren får Kunden allmängiltigt kort (s.k. 1-kort), eller fordons- och förarkort (s.k. 2-kort) utfärdat till Kunden och dess anställda som kan användas för tankning och diverse övriga inköp på Preems stationer. De utfärdade korten är inte personliga utan ett avtal mellan Preem och kunden (Företaget) som beslutar om vad som skall präglas på Preem Företagskort och Preem har därmed ingen kännedom om vem som är användare av respektive kort. Kunden kan däremot, genom administra- tion och distribution av korten till sina anställda samt genom dokumentation över arbetet och förande av loggbok, ha sådan kännedom. Kunden har därmed kunskap om vem av Xxxxxxx personal som använt respektive kort vid var tid.
1.2
Som en del av de Allmänna Villkoren som gäller mellan Kunden och Preem tillhandahåller Preem information om registrerade inköp på korten som resulterar i viss statistik för användning av respektive kort. Köphistoriken och statistiken kopplat till respektive kort kan indirekt (dvs. med hjälp av Kundens kännedom och dokumentation) kopplas till enskilda anställda och utgör därmed personuppgifter. Om Xxxxxx i samband med ansökan om Företags-kort ansökt om medlemskap i förmånsprogram kommer även personuppgifter till den firmatecknare som signerat kortansökan att behandlas i samband med detta. Kunden kan i samband med registrering av medlemskap i förmånsprogram för företag, därefter registrera sin personal så att de (genom inloggning med BankID/MobiltBankID) kan logga in på medlemssidorna för att ta del av förmånerna i förmåndsprogrammet. (Dock enbart så länge företaget är kund hos Preem med giltiga Företagskort och dessutom medlemskap i Företag Plus). De tjänster som Preem tillhandahåller enligt de Allmänna Villkoren innefattar därmed behandling av personuppgifter. En närmare beskrivning av de Behandlingar som ska genomföras av Preem för Kundens räkning i anledning av de tjänster och/eller produk- ter som Preem vid var tid tillhandahåller framgår av Underbilaga 1.
1.3
Syfte. Detta Biträdesavtal har till syfte att uppfylla Dataskyddslagarnas regler om att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets Behandling av de Personuppgifter för vilka Xxxxxx är Personuppgiftsansvarig när Preem behandlar dessa på uppdrag av Xxxxxx.
1.4
Giltighetstid. Detta Biträdesavtal gäller så under samma period som de Allmänna Vilk- lkoren är ikraft mellan Parterna alternativt så länge Preem behandlar Personuppgifter för Kundens räkning om upphörandet av Behandlingen inträffar vid en senare tidpunkt.
2 Definitioner
2.1
“Behandling” är en åtgärd eller en kombination av åtgärder beträffande Personuppgift- er, som definierat under Dataskyddslagarna. Detta inkluderar exempelvis registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning och läsning av Personuppgifter.
2.2
“Dataskyddslagar” är de tillämpliga lagar som syftar till att skydda individers grundläg- gande rättigheter och friheter och specifikt deras integritet, inbegripet för Preem tillämplig nationell lagstiftning, inkluderande Direktiv 95/46/EC och Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) som den 25 maj 2018 ersätter Direktiv 95/46/EC och personuppgiftslagen (1998:204).
2.3
“Kunden” avser Preems avtalspart i detta Biträdesavtal.
2.4
“Personuppgifter” är varje upplysning som avser en identifierad eller identifierbar fysisk person, som definierat under Dataskyddslagarna.
2.5
“Personuppgiftsansvarig” är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter, som definierat under Dataskyddslagarna.
2.6
“Personuppgiftsbiträde” är en fysisk eller juridisk person, offentlig myndighet, institu- tion eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning, som definierat under Dataskyddslagarna.
2.7
“Preem” är Preem AB.
2.8
“Registrerad person” är en identifierad eller identifierbar fysisk person, som definierat enligt Dataskyddslagarna.
2.9
“Underleverantör” är varje tredje part som Personuppgiftsbiträdet anlitar för utförandet av en specifik behandling på den personuppgiftsansvariges vägnar under de Allmänna Villkoren och/eller detta Biträdesavtal i enlighet med avsnitt 6.
3 Behandling av Personuppgifter
3.1
Behandlingens ändamål, kategorier av behandling, typer av uppgifter m.m. Underbila- ga 1 beskriver föremålet för behandlingen, kategorier av Registrerade personer för vilka Personuppgifter hanteras, typer av Personuppgifter, syfte, art, ändamål och varaktighet för Behandlingen samt tekniska och organisatoriska säkerhetsåtgärder.
3.2
Parternas roller. Kunden ska vara Personuppgiftsansvarig för de Personuppgifter som Behandlas för Kundens räkning och i enlighet med dennes instruktioner. Preem, samt even- tuella Underleverantörer, ska anses utgöra Personuppgiftsbiträden för de Personuppgifter som Behandlas för Kundens räkning.
3.3
Personuppgiftsansvarig. Kunden ansvarar bland annat för att Personuppgifterna är lagligen insamlade, att det föreligger en legal grund för den Behandling för vilken Xxxxxx är Personuppgiftsansvarig och för att i god tid utfärda dokumenterade och lagenliga instruktioner för Preems personuppgiftsbehandling. Kunden ansvarar vidare för riktigheten gällande Personuppgifterna samt för att informera Preem om felaktiga, rättade, uppdat- erade eller raderade Xxxxxxxxxxxxxxx som omfattas av Preems Behandling, omedelbart efter att detta kommit till Xxxxxxx kännedom. Kunden ansvarar även för att de Registre- rade personerna har fått tillräcklig information om personuppgiftsbehandlingen i enlighet med Dataskyddslagarna, inklusive att Preem kan komma att behandla personuppgifterna för Kundens räkning samt för att vara kontaktperson gentemot de Registrerade personer- na.
3.4
Personuppgiftsbiträde. Preem får som Personuppgiftsbiträde endast Behandla de Personuppgifter för vilka Xxxxxx är Personuppgiftsansvarig på uppdrag av Xxxxxx i enlighet med Kundens instruktioner och i den mån det är nödvändigt för att uppfylla Preems skyldigheter enligt detta Biträdesavtal och de Allmänna Villkoren. Preem har endast rätt att anlita Underleverantörer för Behandling av Personuppgifter under detta Biträdesavtal i enlighet med avsnitt 6. Vidare ansvarar Preem för att säkerställa att Under- leverantörer som man anlitar enbart Behandlar Personuppgifter i enlighet med Biträdesav- talet och Dataskyddslagarna.
4 Preems personal
4.1
Konfidentialitet. Preem ansvarar för att personal hos Preem och Underleverantörer som Behandlar Personuppgifter för vilka Xxxxxx är Personuppgiftsansvarig beaktar skydd för de Registrerade personernas integritet vid Behandlingen samt iakttar sekretess eller
omfattas av lämplig lagstadgad tystnadsplikt. Sekretessåtagandet ska gälla även efter att detta Biträdesavtal upphört att gälla. I övrigt ska vad som sägs i de Allmänna Villkoren mellan Parterna äga tillämpning för Preems sekretessåtagande.
4.2
Begränsad tillgänglighet. Preem ansvarar för att enbart den personal hos Preem och Underleverantörer som behöver Personuppgifterna för att uppfylla Preems åtagande enligt tillämpliga Allmänna Villkor har tillgång till Personuppgifterna.
5 Skydd för Personuppgifter
5.1
Tekniska och organisatoriska åtgärder. Preem ska vidta de tekniska och organisatoriska åtgärder till skydd för Personuppgifterna som är lämpliga med hänsyn till Behandlingens art, omfattning sammanhang och ändamål, hur känsliga Personuppgifterna är; de särskilda risker som finns; befintliga tekniska möjligheter samt med beaktande av kostnaderna
för att genomföra åtgärderna. Förutsatt att Xxxxxx i god tid informerar Preem att det önskar bistånd, ska Preem i enlighet med artikel 35 och 36 i GDPR bistå Kunden ifråga om eventuell konsekvensbedömning och förhandssamråd avseende dataskydd. Kunden ska vidare vid var tid följa myndighets beslut om åtgärder för att uppfylla Dataskyddslagarnas krav på säkerhet.
5.2
Registrerade personers rättigheter. Preem ska, i den mån det är möjligt och med beaktande av typen av behandling och information Preem har att tillgå, assistera och vara Kunden behjälplig så att Kunden kan fullgöra sin skyldighet att hantera Registrerade personers förfrågningar och rättigheter.
5.3
Myndighetskommunikation. Preem ska utan onödigt dröjsmål meddela Kunden om en myndighet kontaktar Preem angående de Personuppgifter som hanteras under tillämpliga Allmänna Villkor. Preem ska på förfrågan från Kunden i rimlig utsträckning vara Kunden behjälplig vid sådan myndighetskommunikation, och i övrigt tillhandahålla information så att Xxxxxx har möjlighet att svara på sådan myndighetskommunikation inom rimlig tid.
6 Underleverantörer
6.1
Användande av Underleverantör. Preem får anlita Underleverantörer, d.v.s. andra underbi- träden, under förutsättning att Preem ingår ett bindande skriftligt underbiträdesavtal med sådana Underleverantörer som innebär att Underleverantören åtminstone måste uppfylla samtliga åtaganden och iaktta de begränsningar gällande personuppgiftsbehandling och revision som gäller för Preem enligt detta Biträdesavtal. Preem ska innan en Underlev- erantör anlitas meddela Kunden skriftligen om den nya Underleverantören, och Xxxxxx har efter mottagande av meddelandet rätt att invända mot den nya Underleverantören i enlighet med avsnitt 6.4. För undvikande av tvivel, Xxxxxx har samtyckt till och godkänt samtliga Underleverantörer som Preem redan ingått avtal med vid detta Biträdesavtals ingående, inklusive Preems dotterbolag, oavsett om de vid tidpunkten för ingåendet av Biträdesavtalet agerar Underleverantörlista över samtliga Underleverantörer finns vid var tid att hämta på xxx.xxxxx.xx
6.2
Ändring av Underleverantör. Preem har rätt att ersätta en befintlig Underleverantör endast under förutsättning att Preem, innan en ny Underleverantör anlitas, skriftligen meddelar Xxxxxx om den nya Underleverantören, och Kunden efter mottagande av meddelandet haft en rätt att invända mot den nya Underleverantören i enlighet med avsnitt 6.4.
För undvikande av tvivel samtycker och godkänner kunden till samtliga leverantörer som Preem ingått avtal med och som innehar ett biträdesavtal, för att Preem skall kunna utföra de tjänster som kunden beställt, eller signerat kortavtal.
6.3
Avtalsskyldighet. Preem ansvarar för att all Behandling av Personuppgifter som sker av en Underleverantör regleras genom ett skriftligt avtal mellan Preen och Underleverantören som minst motsvarar kraven i detta Biträdesavtal, inklusive krav på lämpliga tekniska och organisatoriska åtgärder i enlighet med avsnitt 5.1 samt rätt till granskning i enlighet med avsnitt 7.
6.4
Invändningar. Om Xxxxxx har fog för att invända mot någon Underleverantör ska Kunden skriftligen meddela Preem om detta. Om Xxxxxx vill utnyttja sin rätt enligt avsnitt 6.1 eller
6.2 att invända mot en föreslagen ny Underleverantör ska Kunden skriftligen meddela Preem om detta inom fem (5) dagar efter mottagandet av Preems meddelande. Om ingen invändning görs, och Preem antar den nya Underleverantören, kommer Preem att uppdat- era listan på Underleverantörer.
6.5
Lösning av invändningar. Om Xxxxxx har invänt mot en Underleverantör enligt avsnitt 6.4 ovan ska parterna tillsammans diskutera olika aktiviteter för att lösa orsaken till Kundens invändning. Om parterna inte kan komma överens om en lösning inom rimlig tid, vilket inte ska överstiga sju (7) dagar, har Kunden rätt att säga upp de Allmänna Villkoren genom
att meddela detta skriftligen till Preem. Detta kan då också innebära att även kortavtalet måste sägas upp och kontot avslutas, efter att eventuella skulder blivit reglerade.
6.6
Preems ansvar. Preem ansvarar för Underleverantörs Behandling av Personuppgifter under tillämpliga Allmänna Villkor, och är fullt ansvarig för Underleverantör som inte uppfyller sina skyldigheter på det sätt som åligger Preem enligt Biträdesavtalet, som om detta hade utförts av Preem själv.
7 Granskningar
7.1
Kundens rätt till granskning. Preem ska under normal kontorstid och inom rimlig tid (minst tjugo (20) dagar) ge Kunden och Kundens oberoende granskare tillgång till sådan information och till sina lokaler (där Kundens personuppgifter behandlas) som rimligen kan behövas för att Kunden ska kunna granska att Preem uppfyller sina åtaganden enligt Biträdesavtalet.
7.2
Myndighets rätt till granskning. Tillsynsmyndighet ska alltid ha rätt till tillgång till Preems lokaler, system och dokumentation för att kunna kontrollera att Preems personuppgiftsbe- handling sker i enlighet med Dataskyddslagarna.
7.3
Begränsningar i Kundens rätt till granskning. Följande begränsningar i Kundens rätt till granskning ska gälla:
a) Om inte Dataskyddslagarna ställer andra krav eller Xxxxxx har en anledning att misstänka att Preem eller en Underleverantör inte uppfyller sina åtaganden enligt Biträdesavtalet ska granskning enligt avsnitt 7.1 vara begränsad till en gång per år.
b) Granskningen ska ske med iakttagande av Preems säkerhetsföreskrifter. Granskningen ska genomföras under rimlig tid och på ett sådant sätt att Preem inte orimligen störs i sin verksamhet.
c) Kunden ska stå för samtliga kostnader associerade med sådan revision som avses punkt 7.1.
8 Incidenter och meddelande vid säkerhetsintrång
8.1
Incidenthantering och underrättelse till Kunden. Preem ska utan onödigt dröjsmål meddela Kunden om en Incident identifierats och tillhandahålla all relevant information som Preem rimligen har tillgång till relaterat till Incidenten. Preem ska, med beaktande av den information Preem har tillgång till, därvid:
a) beskriva personuppgiftsincidentens art,
b) förmedla kontaktuppgifter till eventuellt dataskyddsombud etc.,
c) beskriva sannolika konsekvenser av Incidenten, samt
d) beskriva de åtgärder som vidtagits eller föreslås vidtas för att åtgärda Incidenten.
9 Återlämnande och radering av Personuppgifter
9.1
Återlämning och radering. Inom tre (3) månader ifrån detta Biträdesavtals upphörande ska Preem radera alla Personuppgifter som Preem Behandlat under tillämpliga Allmänna Villkor, inkluderat Personuppgifter som hanterats i backuper och liknande, om inte annat skriftligen avtalats eller såvida inte lagring av Personuppgifterna krävs enligt lag. På Kundens begäran och bekostnad ska Preem återlämna alla Personuppgifter som Preem Behandlat under tillämpliga Allmänna Villkor innan raderingen sker. Preem ska på begäran visa att radering/återlämnande skett, såvida inte lagring av Personuppgifterna hos Preem krävs enligt lag.
9 Återlämnande och radering av Personuppgifter
9.1
Återlämning och radering. Inom tre (3) månader ifrån detta Biträdesavtals upphörande ska Preem radera alla Personuppgifter som Preem Behandlat under tillämpliga Allmänna Villkor, inkluderat Personuppgifter som hanterats i backuper och liknande, om inte annat skriftligen avtalats eller såvida inte lagring av Personuppgifterna krävs enligt lag. På Kundens begäran och bekostnad ska Preem återlämna alla Personuppgifter som Preem Behandlat under tillämpliga Allmänna Villkor innan raderingen sker. Preem ska på begäran visa att radering/återlämnande skett, såvida inte lagring av Personuppgifterna hos Preem krävs enligt lag.
10 Ersättning
10.1
Ersättning för Preems åtaganden enligt detta Biträdesavtal ska anses vara inkluderad i den ersättning som Kunden ska erlägga enligt tillämpliga Allmänna Villkor (om någon). Preem ska alltså inte vara berättigad till ytterligare ersättning på grund av detta Biträdesavtal.
Oaktat ovan ska Preem, för det fall Kundens instruktioner eller andra förfrågningar under detta Biträdesavtal, leder till ytterligare åtgärder
från Preems sida jämfört med vad som skäligen kan förväntas under de Allmänna Villkoren, ha rätt till ersättning för sina kostnader i anslutning därtill. Preem ska till exempel ha rätt till särskild ersättning då det bistår Kunden med förfrågningar från Registrerade.
10.2
Om (i) Kunden ändrar de skriftliga instruktioner avseende personuppgiftsbehandling som anges i detta Biträdesavtal (inklusive Underbilaga 1), eller (ii) Kunden skulle begära
vidtagande av tekniska eller organisatoriska åtgärder utöver de som anges i Underbilaga 1 och detta skulle medföra en kostnadsökning för Preem, så får Preem begära motsvarande justering av ersättningen.
11 Ansvar och skadestånd
11.1
Rätt till förtida uppsägning. Vardera Part har rätt att omedelbart säga upp detta Biträde- savtal till upphörande om den andre Parten väsentligen bryter mot detta Biträdesavtal.
11.2
Behandling i strid med lag eller avtal. Vardera Part åtar sig att hålla den andra Parten skadeslös om den förstnämnda Parten är skyldig att utge skadestånd till en Registrerad person enligt artikel 82 i GDPR, eller annan ersättning till myndighet eller annan tredje man, om den Behandling av Personuppgifter som ligger till grund för kravet på ersättning uppstår ur eller har samband med förstnämnda Partens avtalsbrott.
11.3
Indirekta skador. Part ska inte vara skyldig att utge ersättning för indirekta skador såsom exempelvis utebliven vinst enligt detta Avtal, med mindre om Part agerat uppsåtligt eller med grov oaktsamhet.
11.3
Ansvarsbegränsning. Preems totala ansvar gentemot Kunden ska aldrig överstiga ett prisbasbelopp.
12 Överföring av Personuppgifter till tredjeländer eller internationella organisationer
12.1
Generellt. Preem och dess Underleverantörer får endast Behandla Personuppgifter under tillämpliga Allmänna Villkor inom EU och de länder som EU-kommissionen bedömt har en adekvat skyddsnivå, om inte annat skriftligen godkänts av Kunden och kraven för
överföring uppfyller Dataskyddslagarna och annan vid var tid tillämplig lag. Preem får inte heller överföra Personuppgifter till en internationell organisation utan skriftligt godkän- nande av Kunden, såvida inte annat föreskrivs i tillämplig lag.
13 Tillämplig lag och tvistlösning
13.1
Lagvals- och tvistlösningsmekanism under detta Biträdesavtal ska vara densamma som i tillämpliga Allmänna Villkor.
Underbilaga 1 – Beskrivning av behandlingen
Preem AB (publ) • Mars 2018 • Sida 4
Denna Underbilaga 1 beskriver föremålet för Behandlingen, kategorier av Registrerade personer för vilka Personuppgifter hanteras, typer av Personuppgifter, syfte, art, ändamål och varaktighet för Behandlingen samt tekniska och organisatoriska säkerhetsåtgärder.
Föremålet för behandlingen
I det följande beskrivs objektet för, samt ändamålet med, tjänsterna/produkterna som levereras under de Allmänna Villkoren som kommer att innebära Behandling av Personup- pgifter och som detta Biträdesavtal avser att reglera.
Objektet för behandlingen: Vid tillhandahållande av tjänsten Företags-kort enligt de Allmänna Villkoren ska Preem tillhandahålla information om registrerade inköp på Kundens utfärdade Företags-kort samt statistik för användning av respektive Företags-kort.
Tillhandahållandet av denna information och statistik kan kopplas till Kundens enskilda anställda och innebär därmed behandling av personuppgifter. Om Kunden i samband med kortansökan även registrerat medlemskap i förmånsprogram kommer Preem även att behandla Kunden och Kundens anställdas personuppgifter för att de ska kunna få tillgång till förmånsprogrammet.
Syfte/ändamål med behandlingen: Ändamålet med behandlingen av personuppgifter är att Preem i enlighet med Parternas Allmänna Villkor ska tillhandahålla Kunden information och statistik över användningen och inköpen på respektive utfärdat Företags-förarkort samt ge Kunden och dess anställda tillgång till förmånsprogrammet (om tillämpligt).
Behandlingens art (kategorier av behandling): Behandlingen av uppgifterna kommer att bestå i registrering av inköpshistorik, bearbetning och sammanställande av statistik, lagring samt överföring av inköpshistorik och statistik till Kunden, för framtagning och organise- ring av förmåner och erbjudanden, uppgradering och nedgradering i förmånsnivåer, för distribution av information och inbjudningar samt för bearbetning, sammanställning och lagring. Behandlingen av uppgifterna relaterat till förmånsprogrammet kommer att bestå
i registrering av Kundens anställdas uppgifter, bearbetning vid inloggning, lagring och radering av uppgifter.
Varaktighet: Personuppgifterna kommer att Behandlas så länge Kunden har ett giltigt Företagskort eller är medlem i Företag Plus eller längre om det är nödvändigt enligt lag eller för att kräva in återstående skulder som inte betalats av Kunden. Om Xxxxxx avslutar sitt konto hos Preem innebär att personuppgifterna kommer att raderas tre år efter att Xxxxxx avslutat sitt konto och samtliga skulder är reglerade. Vissa uppgifter som behövs för vår bokföring (fakturor, kvitton och liknande) kan enligt lag behöva sparas längre, i sju eller tio år. Om Xxxxxx avslutar sitt medlemskap i SÅIFA Rewards raderas information om medlemskap direkt, men Kundens uppgifter kopplade till SÅIFA-kort kommer då att finns kvar enligt ovan.
Kategorier av Registrerade personer
Behandlingen av Personuppgifter under Biträdesavtalet gäller följande kategorier av Registrerade personer: Personer som använder Kundens Företags-förarkort och/eller förmånsprogrammet (om tillämpligt), t.ex. Kundens medarbetare, anställda och konsulter samt övriga enskilda som använder Kundens Företags-förarkort och förmånsprogrammet.
Typer av uppgifter: Personuppgifterna kopplat till varje kategori av Registrerade personer som kan komma att behandlas är följande:
Uppgifter kopplat till användning av Företags-kortet:
• Kortnummer; korttyp, giltighetstid
• Eventuell prägling på kortet
• Inköpshistorik på respektive kort
• Statistik över kortanvändning
• Liknande information som genereras genom användning av respektive Företag-förarkort
Uppgifter kopplat till förmånsprogrammet (om tillämpligt):
• Namn
• Personnummer (för BankID inloggning)
• E-postadress
• Mobilnummer
• Besällningar och betalningar i förmånsprogrammet
• Vilka kommunikationskanaler som man önskar bli kommunicverad via
• För registrerad personal även hemadress, postnr & ort
Säkerhetsåtgärder
Beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som Preem ska vidta:
Preem ska vidta rimliga åtgärder i förhållande till typen av Personuppgifter som Behandlas i enlighet med Biträdesavtalet, såsom pseudonymisering och kryptering av Personup- pgifter, säkerställa konfidentialitet och integritet i förhållande till system och tjänster
som används vid Behandling av Personuppgifterna samt ha erfoderliga brandväggar och virusskydd för att skydda mot förlust/obehörig åtkomst.
Instruktioner
Preem och personer som utför arbete under Personuppgiftsbiträdets överinseende får endast behandla de Personuppgifter för vilka Kunden är Personuppgiftsansvarig i enlighet med Biträdesavtalet och dokumenterade instruktioner från Kunden, inbegripet när det gäller överföringar av Personuppgifter till ett tredjeland eller en internationell organisation. Kunden ansvarar för att ge Preem instruktioner gällande Behandling av Personuppgifter under tillämpliga Allmänna Villkor. Om Preem bedömer att en instruktion går emot Data- skyddslagarnas krav ska Preem utan dröjsmål meddela Kunden detta.