Allmänna villkor för SoftOne-Tjänster
Allmänna villkor för SoftOne-Tjänster
§ 1. Tjänsten och dess tillhandahållande
§ 1.1 Parterna har kommit överens om att SoftOne AB (publ) (556239-4717) och/eller dess koncernbolag (”SOFTONE”) till KUNDEN ska tillhandahålla den programtjänst som anges i ömsesidigt undertecknat avtal eller offert ("Tjänsten") på de villkor som anges i avtalet eller offerten samt dessa Allmänna villkor (gemensamt, ”Avtalet”). I den mån det finns motstridigheter mellan dessa Allmänna villkor och villkor i sagda avtal eller offert, ska dock villkoren i sådant avtal eller offert äga företräde.
§ 1.2 Tjänsten är en så kallad SaaS-tjänst (Software-as-a- Service). Det innebär att SOFTONE tillhandahåller Tjänsten via internet, samt att KUNDEN prenumererar på Tjänsten av SOFTONE. SOFTONE ansvarar för drift och underhåll av Tjänsten samt säkerhetskopiering med lämplig regelbundenhet, allt i enlighet med SOFTONEs rutiner för den data eller annan information som KUNDEN eller KUNDENs behöriga användare ställer till SOFTONEs förfogande, från tid till annan (”Kundens Data”).
§ 1.3 I Tjänsten ingår Standard Service tillhandahållen av SOFTONE i enlighet med de särskilda villkor som anges i SLA Standard Service, se xxx.xxxxxxx.xx/xxxxx (”Standard Service”). Standard Service är kostnadsfri för KUNDEN så länge KUNDENs supportärenden avser Tjänstens funktionalitet. Grundläggande kunskaper om Tjänsten är en förutsättning för att KUNDEN ska kunna nyttja Standard Service. SOFTONE erbjuder utbildning avseende Tjänsten enligt separat överenskommelse och avgift. SOFTONE påtar sig inte i något fall ansvar för hårdvara, operativsystem och/eller programvaralevererad eller utvecklad av annan än SOFTONE (”Tredjepartsprodukter”), ej heller för åtgärdande av buggar eller andra fel, förseningar eller liknande i och av Tredjepartsprodukter.
§ 1.4 KUNDEN erhåller genom Avtalet en icke-exklusiv och icke-överlåtbar licens att använda Tjänsten i KUNDENs egen affärsverksamhet (inklusive en rätt att ge KUNDENs användare tillgång till Tjänsten för detta ändamål), med förbehåll för de begränsningar som i övrigt följer av Avtalet. Eventuella Tredjepartsprodukter i Tjänsten kan vara föremål för separata villkor, som respektive tredjepartsleverantör tillämpar. KUNDEN är ansvarig för attange vilka användare som är behöriga att använda Tjänsten. KUNDEN har inte rätt att ge någon annan än angivna behöriga användare rätt att nyttja Tjänsten och ska tillse att det vid var tid finns en förteckning över sådana behöriga användare. SOFTONE ska ha rätt att när som helst under Avtalets giltighetstid ta del av denna förteckning. KUNDENs brott mot denna punkt utgör ett väsentligt avtalsbrott, som ger SOFTONE rätt att säga upp Avtalet enligt punkt 8.3.
§ 1.5 SOFTONE har rätt att ensidigt göra ändringar i Tjänsten under förutsättning att sådan ändring inte påverkar Tjänsten negativt och att SOFTONE meddelarKUNDEN om sådan ändring så snart det är praktiskt möjligt.
§ 1.6 Vid förlust eller förvanskning av Kundens Data är SOFTONEs skyldigheter uteslutande begränsade till att med skäliga ansträngningar söka återskapa den förlorade eller förvanskade datan med hjälp av den senast tagna säkerhetskopia som SOFTONE har av Kundens Data. SOFTONE bär inte något ansvar för förlust eller förvanskning av Kundens Data som beror på sådan tredje man som SOFTONE inte svarar för.
§ 1.7 Om tillhandahållandet av Tjänsten medför risk för skada för SOFTONE eller för annan kund till Tjänsten, fårSOFTONE stänga av eller begränsa åtkomsten till Tjänsten. SOFTONE ska meddela KUNDEN om sådan begränsning så snart det är praktiskt möjligt. Förutsatt att Avtalet inte stipulerar särskilda servicenivåer,
äger SOFTONE rätt att vidta eventuella planerade åtgärder som kan påverka tillgängligheten till Tjänsten, om så är påkallat av tekniska, underhålls-, drifts- eller säkerhetsmässiga skäl. SOFTONE ska utföra sådana åtgärder skyndsamt och på ett sådant sätt att eventuella störningar begränsas. SOFTONE åtar sig att meddela KUNDEN inom skälig tid innan åtgärderna vidtas och om möjligt förlägga planerade åtgärder till tid utanför normal arbetstid.
§ 1.8 Samtliga rättigheter, däribland alla immateriella rättigheter, till Tjänsten samt däri ingående programvaror (inklusive förbättringar av desamma) innehas av och tillkommer SOFTONE och/eller SOFTONEs licensgivare. SOFTONE har rätt att använda aggregerad information från Tjänsten för produktutveckling.
§ 2. SOFTONEs särskilda skyldigheter etc.
§ 2.1 SOFTONE ska tillhandahålla Tjänsten fackmannamässigt och i överensstämmelse med vad som specificeras i Avtalet.
§ 2.2 Vid brist i åtagandet enligt föregående punkt ska SOFTONEs enda skyldighet vara att på egen bekostnadvidta skäliga åtgärder för att skyndsamt åtgärda bristen. KUNDEN har således inte rätt till skadeståndeller annan liknande ersättning vid sådan brist.
§ 2.3 SOFTONE är inte ansvarig för användning av Tjänsten på ett sätt som strider mot SOFTONEs instruktioner. SOFTONE garanterar inte att KUNDENs användning av Tjänsten kan ske utan avbrott eller fel.
§ 2.4 SOFTONE ska vidta skäliga åtgärder för att hålla Tjänsten uppdaterad på sätt att den som sådan inte strider mot gällande lagar eller förordningar. SOFTONE avhjälper härtill hänförliga brister i Tjänsten utan särskild kostnad för KUNDEN.
§ 3. KUNDENs särskilda skyldigheter etc
§ 3.1 KUNDEN ska samarbeta med SOFTONE och därvidlämna SOFTONE allt sådant biträde som är nödvändigt föratt SOFTONE ska kunna tillhandahålla Tjänsten och fullgöra sina skyldigheter enligt Avtalet. Vidare ska kundenlämna SOFTONE all erforderlig relevant information med avseende på KUNDENs IT- miljö.
§ 3.2 KUNDEN ansvarar för uppkoppling till Tjänsten samtför att KUNDEN innehar den utrustning och programvara som SOFTONE angivit krävs för nyttjande av Tjänsten eller som annars uppenbart krävs för sådant nyttjande.
§ 3.3 KUNDEN ansvarar för att inloggningsuppgifter, säkerhetsmetoder och annan information som SOFTONEtillhandahåller för tillgång till Tjänsten hanteras med sekretess enligt punkten 6 nedan.
KUNDEN ska omedelbart meddela SOFTONE för det fall obehörig fått kunskap om uppgift enligt denna punkt. KUNDENs brott mot denna punkt utgör ett väsentligt avtalsbrott somger SOFTONE rätt att säga
upp Avtalet enligt punkt 8.3.
§ 3.4 KUNDEN ansvarar för om, och ska hålla SOFTONE skadeslös i förhållande till krav i anledning av att, Kundens Data gör intrång i tredje mans rätt eller på annat sätt står i strid med gällande lagstiftning.
§ 3.5 KUNDEN åtar sig att inte använda Tjänsten för kontinuerlig överföring av data, till exempel regelbunden uppdatering av kamerabilder. KUNDEN äger inte rätt att använda Tjänsten för lagring av program, film eller musik,,om inte annat överenskommits. KUNDEN ska särskilt säkerställa att samtliga behöriga användare följer bestämmelserna i denna punkt.
§ 4. Pris och betalning
§ 4.1 Priset för Tjänsten och eventuella tilläggstjänster framgår av SOFTONEs vid var tid gällande prislista. SOFTONE har rätt att justera priserna genom skriftligt meddelande till KUNDEN. Avgifter för tilläggstjänster tillkommer om inte annat anges i Avtalet.
§ 4.2 Om inte annat anges i Avtalet, ska samtliga avgifter erläggas i förskott. KUNDEN ska erlägga betalning till SOFTONE inom den betalningsfrist som anges på fakturan. Vid försenad betalning har SOFTONE rätt att debitera lagstadgad påminnelseavgift samt dröjsmålsränta om referensräntan plus åtta (8) procentenheter. Även KUNDENs rätt till Standard Service avbryts till dess att betalning erlagts. Om parterna avtalat om autogiro, förbehåller sig SOFTONE rätten att justera priset med i Avtalet angivet procentuellt tillägg per faktura.
§ 4.3 SOFTONE har rätt att på årlig basis justera samtliga priser i överensstämmelse med förändringen enligt det av SCB publicerade Labour Cost Index (LCI) för tjänstemän preliminärt index, SNI 2007 kod J (Informations- och kommunikationsverksamhet), dock lägst med +2 % per år.
Basmånad för indexberäkningen är juli månad och ändringen träder i kraft i januari.
§ 4.4 Tjänsten är modul- och användarbaserad där KUNDEN beställer och betalar för de moduler som KUNDEN avser använda. Om KUNDEN vill avsluta moduler som tidigare använts, ska KUNDEN meddela detta skriftligen till SOFTONE senast tre (3) månader före ingången av nästa avtalsperiod. Justerad ersättning för Tjänsten vid minskning av antalet moduler träder i kraft i samband med ny avtalsperiod.
§ 4.5 Om SOFTONE förorsakas merarbete eller merkostnader på grund av omständigheter som KUNDEN svarar för, ska KUNDEN ersätta SOFTONE för sådant merarbete och sådan merkostnad enligt SOFTONEs vid tillfället gällande prislista.
§ 6. Sekretess
§ 6.1 Parterna är medvetna om att de i sin avtalsrelation kan komma att erhålla information rörande bland annat affärs- eller driftförhållanden i motpartens rörelse, inklusiveförhållanden rörande parternas samarbete och Avtalet. All slags information som part erhåller från den andre parten, oavsett om den dokumenterats skriftligen eller meddelats muntligen, ska betraktas som konfidentiell, dock med undantag för sådan information som är allmänt känd eller blir allmänt känd utan parts brott mot Avtalet. Mottagande part får inte utan den andre partens föregående skriftliga samtycke avslöja den andra partens konfidentiella information för tredje man.
§ 6.2 Xxxxxxx parten ansvarar för att ovanstående sekretessåtaganden följs av partens personal och uppdragstagare, och informera dessa om gällande sekretess. Om part begär det, ska särskild sekretessförbindelse tecknas av den andre partens berörda personal och uppdragstagare.
§ 6.3 Ovanstående sekretessåtaganden ska gälla även efter Avtalet upphörande. Dessa sekretessåtaganden gäller dock inte:
a) sådan information som part kan visa blivit känd för
b) information som är allmänt känd eller blir allmänt kändutan brott mot Xxxxxxx; eller
c) uppgifter som part enligt lag, domstolsbeslut eller annatmyndighetsbeslut är skyldig att lämna ut.
§ 7. Ansvar
§ 7.1 SOFTONEs ansvar enligt detta Avtal för fel eller dröjsmål i Tjänsten eller för skada som orsakats på grund av SOFTONEs avtalsbrott eller vårdslöshet, ska, utom i fall av uppsåtligt handlande eller grov vårdslöshet, vara begränsat till direkta skador. Inte i något fall ska SOFTONEs ansvar omfatta ersättning för s k indirekt skada, såsom inkomstbortfall, skada på annans egendom, anspråk från tredje man, eller annan följdskada.
§ 7.2 Med undantag för vad som anges i punkt 1.6, har SOFTONE inget ansvar för skada eller förlust som drabbarKUNDEN på grund av förlust, fel eller förvanskning i eller av Kundens Data, eller på grund av åtgärd som vidtas av SOFTONE på begäran av KUNDEN.
§ 7.3 SOFTONEs ansvar för bristande uppfyllelse av garantier, fel eller annat avtalsbrott ska vara begränsat till de påföljder som uttryckligen framgår av detta Avtal och KUNDEN äger således inte rätt att mot SOFTONE göra gällande annan påföljd på grund av fel, försummelse eller annat avtalsbrott, vare sig detta grundas på köplagen eller på annan grund utanför Avtalet.
§ 7.4 Oaktat vad som i övrigt är stadgat, är SOFTONEs ansvar enligt Avtalet vid var tid alltid begränsat till ett belopp motsvarande de avgifter som KUNDEN erlagt under de tolv (12) månader som föregått den dag då grunden för kravet uppkom. KUNDEN ska, för att inte förlora sin rätt till anspråk, framställa krav skriftligen till SOFTONE senast inom sex (6) månader från skadetillfället.
§ 8. Avtalets giltighetstid och upphörande
§ 8.1 Avtalet gäller från det att parterna undertecknat detsamma och gäller därefter under den initiala avtalsperiod som anges i Avtalet, såvida inte Avtalet upphör dessförinnan i enlighet med bestämmelserna i denna punkt 8. Om annat inte anges i Avtalet, är den initiala avtalsperioden tolv (12) månader räknat från den initiala faktureringen för Tjänsten.
§ 8.2 Endera Part har rätt att säga upp Avtalet till upphörande vid utgången av den innevarande avtalsperioden under förutsättning att uppsägningen sker skriftligen senast tre (3) månader före utgången av denna period. Om sådan uppsägning inte sker, förlängs Avtalet automatiskt med ett (1) år i sänder, med motsvarande uppsägningstid var gång.
§ 8.3 Part äger rätt att säga upp Avtalet till omedelbart upphörande eller till upphörande senast inom tre (3) månader från uppsägningen (enligt den partens egna beslut) om den andre parten begår väsentligt avtalsbrott och inte vidtar rättelse inom trettio (30) dagar efter skriftlig anmodan därom.
§ 8.4 Härutöver har part rätt att säga upp Avtalet till omedelbart upphörande eller upphörande senast inom tre (3) månader från uppsägningen (enligt den partens egna beslut) om motparten har försatts i konkurs, inleder ackordsförhandlingar, är föremål för företagsrekonstruktioneller annars är på obestånd.
§ 9. Konsekvenser av Avtalets upphörande
§ 9.1 Följande gäller vid Avtalets upphörande:
a) KUNDENs samtliga rättigheter att använda Tjänsten upphör omedelbart och med automatik.
b) Om inte KUNDEN senast tio (10) dagar från dagen för Avtalets upphörande skriftligen begär en kopia av den Kundens Data som SOFTONE disponerar över, äger SOFTONE rätt att radera sådan Kundens Data. Om SOFTONE dock erhåller sådan begäran från KUNDEN, ska SOFTONE vidta skäliga ansträngningar för att leverera en kopia av den Kundens Data som SOFTONE innehar vid tidpunkten för KUNDENs begäran, dock under förutsättning att KUNDEN vid den tidpunkten har erlagt samtliga under Avtalet förfallna belopp till SOFTONE. KUNDEN ska ersätta SOFTONE för SOFTONEs skäliga kostnader för åtgärder med att tillhandahålla kopia av Kundens Data enligt ovan.
§ 10. Force majeure
§ 10.1 Om part förhindras fullgöra sina åtaganden enligt Avtalet på grund av omständighet som part inte kunnat råda över, ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från ansvar att erlägga skadestånd och andra eventuella påföljder. Sådan befrielse förutsätter dock att part som önskar befrielse skriftligen och utan dröjsmål meddelat den andra parten om den hindrande omständigheten samt begärt befrielse från förpliktelse på den grunden.
§ 11. Övriga bestämmelser
§ 11.1 Uppsägning och andra meddelanden ska ske genom bud, rekommenderat brev eller elektroniskt meddelande till motpartens kontaktperson på av motparten angiven adress. Meddelandet ska anses ha kommit motparten till handa:
a) om avlämnat med bud: vid avlämnandet,
b) om avsänt med rekommenderat brev: fem (5) dagar efter avsändandet för postbefordran, eller
c) om avsänt som elektroniskt meddelande: vid mottagande, då det elektroniska meddelandet kommit till mottagarens elektroniska adress.
§ 11.2 Ändringar av och tillägg till Avtalet ska överenskommas skriftligen och undertecknas av behöriga företrädare för respektive part.
§ 11.3 Part äger inte överlåta rättigheter eller skyldigheter enligt detta Avtal utan motpartens föregående skriftliga godkännande. SOFTONE får dock utan KUNDENs föregående medgivande överlåta Avtalet till ett koncernbolag samt även överlåta rätten att ta emot betalning under Avtalet.
§ 11.4 SOFTONE får anlita underleverantör för fullgörande av Tjänsten eller andra åtaganden enligt Avtalet. SOFTONE ansvarar därvid för underleverantörs arbete såsom för eget arbete.
§ 11.5 Avtalet ska tolkas och regleras enligt svensk lag, utan tillämpning av dess lagvalsregler.
§ 11.6 Om det uppstår tvist i anledning av Xxxxxxx ska parterna i första hand försöka lösa tvisten genom förhandling parterna emellan. Kan tvisten trots detta inte lösas, ska tvisten slutligt avgöras genom skiljedom enligt reglerna för Stockholms Handelskammares Skiljedomsinstitut. Förenklat skiljeförfarande enligt reglerna för samma Skiljedomsinstitut ska tillämpas vid tvist vars initiala värde understiger 500.000 kronor. Skiljeförfarande
som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. SOFTONE ska dock aldrig vara förhindrad att väcka talan om betalningsansvar hos kronofogdemyndighet eller allmän domstol.
PERSONUPPGIFTSBITRÄDESAVTAL
mellan
KUNDEN härefter benämnt Personuppgiftsansvarige, och
SoftOne AB (publ), xxx.xx 556239-4717, Box 596, Xxxxxxxxxxxxxx 00, 000 00 Xxxxxxxxx, härefter benämnt Bolaget.
BAKGRUND
Personuppgiftsansvarige och Bolaget har ingått avtal avseende SoftOne Tjänster, härefter benämnt Huvudavtalet.
Med anledning av ovan nämnda Huvudavtal får Bolaget tillgång till personuppgifter för vilken Personuppgiftsansvarige är personuppgiftsansvarig.
Personuppgiftsansvarige ger härigenom Bolaget såsom Personuppgiftsbiträde uppgift att behandla personuppgifter i enlighet med villkoren i detta avtal.
1. DEFINITIONER
I detta personuppgiftsbiträdesavtal ska följande uttryck ha den betydelse som anges nedan, dock att i den mån som tillämplig dataskyddslagstiftning innehåller begrepp som motsvarar dem som används i detta personuppgiftsbiträdesavtal, ska sådana begrepp tolkas i enlighet med tillämplig dataskyddslagstiftning:
”behandling” | betyder en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, utplåning eller förstöring. |
”dataskyddsförordningen” | betyder Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. |
”Personuppgiftsansvarig” | betyder den juridiska person som enligt detta personuppgiftsbiträdesavtal bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
”Personuppgiftsbiträde” | betyder den juridiska personen som behandlar personuppgifter för den Personuppgiftsansvariges räkning enligt detta personuppgiftsbiträdesavtal. |
”Personuppgifter” | betyder varje upplysning som avser en identifierad eller identifierbar fysisk person. |
”tillämplig dataskyddslagstiftning” | betyder dataskyddsförordningen och varje annan lagstiftning eller föreskrift med tillämpning från tid till annan på behandlingen av personuppgifter under detta personuppgiftsbiträdesavtal. |
”underbiträde” | betyder en underleverantör som anlitats av Personuppgiftsbiträdet och som ska behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med underleverantörens uppdragatt tillhandahålla tjänsten. |
2. BEHANDLING AV PERSONUPPGIFTER
2.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter i enlighet med dokumenterade instruktioner som från tid till annan meddelats av den Personuppgiftsansvarige. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet angående behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta personuppgiftsbiträdesavtal och i Bilaga1.
2.2 När Personuppgiftsbiträdet behandlar personuppgifter enligt detta personuppgiftsbiträdesavtal ska denne uppfylla alla tillämpliga dataskyddslagar och tillämpliga rekommendationer från Integritetsskyddsmyndigheten (IMY) och andra behöriga myndigheter. Personuppgiftsbiträdet ska godkänna de eventuella ändringar och tillägg till detta personuppgiftsbiträdesavtal som krävs enligt tillämplig dataskyddslagstiftning.
2.3 Personuppgiftsbiträdet ska biträda den Personuppgiftsansvarige vid fullgörandet av sina skyldigheter enligt tillämplig dataskyddslagstiftning, innefattande men inte begränsat till den Personuppgiftsansvariges skyldighet att hantera krav gällande utövande av de registrerade personernas rättigheter till information om behandlingen av deras personuppgifter (registerutdrag) och till att få personuppgifter rättade, blockerade eller utplånade.
2.4 Personuppgiftsbiträdet ska omgående meddela den Personuppgiftsansvarige om Personuppgiftsbiträdet om en instruktion som utfärdats enligt avsnitt 6 nedan uppenbarligen strider mot tillämplig dataskyddslagstiftning.
2.5 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande av den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta personuppgiftsbiträdesavtal tillgängliga för tredje part, med undantag för underbiträde som anlitats enligt detta personuppgiftsbiträdesavtal samt för fullgörande av skyldighet enligt lag eller föreskrift.
2.6 Om registrerad person, behörig myndighet eller annan tredje part begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet hänskjuta sådan begäran till den Personuppgiftsansvarige, om inte tillämplig dataskyddslagstiftning föreskriver annat. Personuppgiftsbiträdet får inte handla för den Personuppgiftsansvariges räkning eller som dennes ombud, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om inte tillämplig dataskyddslagstiftning föreskriver annat. Om det enligt tillämpliga lagar och regelverk begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldig – förutsatt att tillämplig dataskyddslagstiftning så medger – att omgående meddela den Personuppgiftsansvarige om detta och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
3. UNDERBITRÄDE
3.1 Med förbehåll för punkt 3.3 nedan, äger Personuppgiftsbiträdet rätt att under detta personuppgiftsbiträdesavtal anlita underbiträden för behandling av personuppgifter inom EU/EES utan föregående skriftligt medgivande från den Personuppgiftsansvarige. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta personuppgiftsbiträdesavtal.
3.2 Under detta personuppgiftsbiträdesavtal äger Personuppgiftsbiträdet rätt att anlita underbiträden för behandling av personuppgifter utanför EU/EES endast om den Personuppgiftsansvarige på förhand skriftligen godkänt detta, varvid parterna särskilt ska iaktta punkt 4 nedan.
3.3 Parterna är överens om att Personuppgiftsbiträdet har rätt att anlita de underbiträden som Personuppgiftsbiträdet anlitar vid personuppgiftsavtalets ingående. Om Personuppgiftsbiträdet avser att anlita ett nytt underbiträde för att behandla personuppgifter som omfattas av detta personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet dessförinnan meddela den Personuppgiftsansvarige om detta senast fem (5) dagar innan personuppgifter delas med underbiträdet. Har Personuppgiftsansvarige inte invänt mot anlitandet av underbiträdet inom sagda tidsram, ska Personuppgiftsansvarige anses ha godkänt anlitandet av det nya underbiträdet.
3.4 Personuppgiftsbiträdet är ansvarig gentemot den Personuppgiftsansvarige för underbiträdets utförande av sina förpliktelser.
4. ÖVERFÖRING TILL TREDJE LAND
4.1 Personuppgiftsbiträdet ska säkerställa att personuppgifter hanteras och lagras inom EU/EES av en juridisk person som är etablerad inom EU/EES, om inte parterna skriftligen överenskommit om annat.
4.2 Personuppgiftsbiträdet äger endast rätt att överföra personuppgifter till tredje land för behandling om den Personuppgiftsansvarige på förhand skriftligen godkänt en sådan överföring enligt instruktioner för detta ändamål.
4.3 Överföring till tredje land för behandling av personuppgifter enligt detta personuppgiftsbiträdesavtal, får endast ske om den är förenlig med tillämplig dataskyddslagstiftning och uppfyller de krav på behandlingen vilka ställs i detta personuppgiftsbiträdesavtal. Parterna ska gemensamt vidta de eventuella ytterligare åtgärder och ingå de eventuella ytterligare överenskommelser som krävs för en sådan tredjelandsöverföring.
5. DATASÄKERHET OCH SEKRETESS
(i) existerande tekniska möjligheter;
(ii) kostnaderna för att utföra åtgärderna;
(iii) de särskilda risker som är förknippade med behandlingen av personuppgifterna; samt
(iv) känsligheten hos de behandlade personuppgifterna.
(v) pseudonymisering och kryptering av personuppgifter;
(vi) förmågan att säkerställa kontinuerlig sekretess, integritet, tillgänglighet och robusthet i de system och tjänster som behandlar personuppgifter;
(vii) förmågan att snabbt återställa tillgänglighet och åtkomst till personuppgifterna i händelse av fysiska eller tekniska incidenter; samt
(viii) en process för att regelbundet testa, bedöma och utvärdera effektiviteten i de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet.
5.3 Personuppgiftsbiträdet ska om möjligt och utan onödigt dröjsmål underrätta den Personuppgiftsansvarige och vidta alla nödvändiga åtgärder vid oavsiktlig eller obehörig åtkomst av personuppgifter eller annan säkerhetsincident (personuppgiftsincident) när Personuppgiftsbiträdet får vetskap om sådan incident. Sådan underrättelse ska minst:
(i) beskriva personuppgiftsincidentens karaktär, om möjligt med angivande av kategorier och antal berörda registrerade och kategorier och antal berörda personuppgifter;
(ii) innehålla namn och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt där ytterligare information kan erhållas;
(iii) beskriva de sannolika konsekvenserna av personuppgiftsincidenten;
(iv) beskriva vilka åtgärder som vidtagits eller som den personuppgiftsansvarige föreslås vidta för att avhjälpa personuppgiftsincidenten, i förekommande fall inkluderande åtgärder för att minska eventuella negativa effekter.
5.4 Mot bakgrund av 5.1 – 5.2 ovan har Parterna kommit överens om de säkerhetsåtgärder som framgår av Bilaga 2.
5.5 Personuppgiftsbiträdet är skyldig att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt detta personuppgiftsbiträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse avseende dessa personuppgifter som motsvarar vad som gäller för Personuppgiftsbiträdet enligt detta personuppgiftsbiträdesavtal.
5.6 Personuppgiftsbiträdet är medveten om att lag (2018:558) om företagshemligheter kan vara tillämplig på uppgifter som utlämnas under detta personuppgiftsbiträdesavtal.
5.7 Den sekretessförbindelse som anges i detta avsnitt 5 ska fortsätta att gälla även efter att detta personuppgiftsbiträdesavtal upphört.
6. RÄTT TILL GRANSKNING
Den Personuppgiftsansvarige ska, i sin egenskap som personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta personuppgiftsbiträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs. Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige alla uppgifter och allt biträde som krävs för att verifiera efterlevnaden av de skyldigheter som anges i detta personuppgiftsbiträdesavtal, samt att möjliggöra för och medverka vid sådan granskning, inklusive kontroll på plats, som genomförs av Personuppgiftsansvarig eller annan granskare (som inte får vara konkurrent till Personuppgiftsbiträdet) som utsetts av Personuppgiftsansvarige.
7. AVTALSTID
Bestämmelserna i detta personuppgiftsbiträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.
8. TILLÄMPLIG LAG
Detta avtal ska regleras av och tolkas enligt svensk materiell rätt.
9. ÅTGÄRDER NÄR BEHANDLINGEN AV PERSONUPPGIFTER AVSLUTATS
9.1 När detta personuppgiftsbiträdesavtal upphör ska Personuppgiftsbiträdet, efter den Personuppgiftsansvariges beslut som meddelas till Personuppgiftsbiträdet senast inom trettio (30) dagar efter personuppgiftsbiträdesavtalets upphörande, förstöra eller återlämna alla personuppgifter till den Personuppgiftsansvarige och tillse att alla underbiträden gör detsamma.
9.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande.
10. ERSÄTTNING
10.1 Personuppgiftsbiträdet har rätt till ersättning för allt arbete som utförs enligt detta personuppgiftsbiträdesavtal. Ersättningen ska, om annat inte överenskommits, utgå på löpande räkning enligt Xxxxxxxxxxxxxxxxxxxxxxx vid var tid gällande prislista.
11. ANSVAR
11.1 Huvudavtalets bestämmelser om begränsningar av Personuppgiftsbiträdets ansvar ska vara tillämpliga även på detta personuppgiftsbiträdesavtal.
12. MEDDELANDEN
12.1 Alla meddelanden och annan kommunikation enligt detta avtal från en part till den andra ska upprättas skriftligen och avlämnas genom e-post, bud eller rekommenderat brev till parternas ovan listade adresser eller hos Bolagsverket senare registrerade adresser.
12.2 Meddelande ska anses ha kommit mottagaren tillhanda:
a) vid avlämnande med bud; vid tidpunkten för avlämnandet,
b) vid avsändande med rekommenderat brev; den tredje (3) vardagen efter avlämnandet för postbefordran under parts i inledningen angivna eller senare ändrad postadress, eller
c) vid avsändande med e-post; efter bekräftelse om mottagande från den andra parten.
13. TVISTLÖSNING
13.1 Tvist i anledning av detta avtal ska slutligt avgöras genom skiljedom administrerat vid Stockholms Handelskammares Skiljedomsinstitut, härefter refererat till som Institutet. Institutets Regler för Förenklat Skiljeförfarande ska gälla om inte Institutet med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Regler för Stockholms Handelskammares Skiljedomsinstitut ska tillämpas på förfarandet. I sistnämnda fall ska Institutet också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Plats för skiljeförfarandet ska vara Stockholm och språket vid förfarandet ska vara svenska. Parterna skall iaktta sekretess om förekomsten av tvist, skiljeförfarandet och skiljedom.
Bilaga 1
Instruktioner för databehandlingen
Ändamål Ange alla ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet | Ändamålet för behandlingen är i förekommande fall kund-, leverantörs, lön- samt personaladministration och schemaläggning av arbetstid inom Tjänsten för Affärs- och/eller HR-system. Ändamålet är också att tillhandahålla kommunikationsmöjligheter mellan arbetsgivare och personal. Detta innebär att personal kan se sina valda uppgifter i en applikation på Internet samt i en mobilapplikation. |
Kategorier av uppgifter Ange vilka personuppgifter som ska behandlas av Personuppgiftsbiträdet | Kontaktuppgifter såsom namn, e-post, personnummer, telefonnummer, adress samt uppgifter avseende arbetstid, sjukfrånvaro, lön, bilder etc. beroende på val av modul. Kontaktuppgifter så som namn, telefonnummer, e-post, adress och inloggningsuppgifter till administratörer av verktygen hos Personuppgiftsansvarige samt kontaktuppgifter till Personuppgiftsansvarige i syfte att fullgöra Huvudavtalet t.ex. om behörig firmatecknares namn. |
Kategorier av registrerade Ange för vilka kategorier av registrerade som Personuppgiftsbiträdet kommer att behandla personuppgifter om. | Bolaget kan komma att registrera och behandla personuppgifter om Personuppgiftsansvariges personal inklusive tillfällig extrapersonal, administratörer hos Personuppgiftsansvarige samt kontaktpersoner hos Personuppgiftsansvarige som ett led i fullgörande av Huvudavtalet. |
Behandlingsaktiviteter Ange vilka behandlingsaktiviteter som kommer att utföras av Personuppgiftsbiträdet. | Registrering, behandling, lagring och gallring av personuppgifter. |
Plats för behandling av personuppgifterna Ange alla platser där personuppgifter kommer att behandlas av Personuppgiftsbiträdet. | EU och EES. |
Gallring I förekommande fall: Ange tiden som Personuppgiftsbiträdet lagrar personuppgifter. | Personuppgifter får inte sparas längre än vad som är nödvändigt med hänsyn till ändamålen. Nedan följer några gallringsrutiner som Bolaget och Personuppgiftsansvarige rekommenderas att tillse efterlevs inom systemen: Kontaktuppgifter till personal/extrapersonal: Kontaktuppgifter till personal får sparas i systemen under den tid personalen är anställd. För extrapersonal bör personuppgifter gallras bort i rimlig tid när det inte längre förväntas att extrapersonalen står till förfogande. Personuppgiftsansvarige ansvarar för att löpande tillse att inaktuella kontaktuppgifter avseende personal gallras bort när dessa är inaktuella eller när det inte längre är nödvändigt med hänsyn till ändamålen för behandlingen. Bolaget bör tillse att det finns funktionalitet för att administratörer hos Personuppgiftsansvarige att radera dessa uppgifter. Schemalagd arbetstid: Schemalagd arbetstid kan behöva sparas en tid efter avslutad anställning av arbetsgivaren (Personuppgiftsansvarige) för att fullgöra kraven i 47 § lag om arbetslöshetsförsäkring om arbetsgivarintyg. En sådan begäran från en enskild avser de senaste 12 månadernas arbete, och begärs som huvudregel i anslutning till att anställningen upphör. Schemaläggningar bör sparas i innevarande år samt 12 månader bakåt. Finns det behov för Personuppgiftsansvarige att spara informationen under längre tid än så rekommenderas Personuppgiftsansvarige att spara ned denna information i egna HR-system. Sjukfrånvaro: Sjukfrånvaro noteras men inte bakomliggande orsak. Sjukfrånvaro är en känslig personuppgift och bör omgärdas av hög sekretess. Information kring hur en arbetstagare varit frånvarade finns sällan anledning att spara efter att anställningen har upphört. Det kan även finnas anledning att gallra sådan information under anställningens gång. |
Underbiträden I förekommande fall, ange godkända underbiträden: | Iver Sverige – Host av cloudtjänster inom EU och EES (Sverige) SuperOffice Sweden AB – CRM och ticketsystem inom EU och EES (Norge) Microsoft Azure – Handhåller av SoftOne Online inom EU och EES (Nederländerna) Avalosys Oy / Visma – API bankintergration till nordiska banker inom EU och EES (Finland) InExchange / Visma – Digital brevlåda för fakturor inom EU och EES ReadSoft / Kofax – Digital skanner av leverantörsfakturor inom EU och EES |
Bilaga 2
Tekniska och organisatorsika säkerhetsåtgärder
SoftOne Group är certifierade enligt ISO 27001 ramverk som är en internationellt erkänd standard som hjälper organisationer som strävar efter förbättrad kontroll för informationssäkerhet.
De tekniska och organisatoriska säkerhetsåtgärderna är i enlighet med de åtgärder som personuppgiftsbiträdet tillämpar under SoftOnes vid vad tid gällande certifieringar.