Allmänna villkor Geposit AB.

Allmänna villkor Geposit AB.

§ 1 ALLMÄNT

Dessa avtalsvillkor (”Användarvillkoren”) reglerar bolagets användning av Geposits (så som definierat nedan) tjänster och produkter så som dessa tillhandahålls på dess webbsiter och API (”Hemsidan”) vid var tid. Genom att använda Geposits tjänster, godkänner Bolaget Användarvillkoren och ett avtal ingås mellan bolaget och Geposit AB, registreringsnummer 556878-4655 med

adress c/x xXxxxxx, Xxxxxxxxxx 00, 000 00 Xxxxxxxxx (”Geposit”).

För det fall Xxxxxxx inte accepterar dessa Användarvillkor, ber Geposit Bolaget att inte använda Tjänsten.

§ 2 DEFENITIONER

Geposit tillhandahåller digitala tjänster och produkter i form av exempelvis adresskontroller och kartverktyg så som dessa tillhandahålls på Hemsidan vid var tid (”Tjänsten”). Bolaget som använder Tjänsten beskrivs i dessa Användarvillkor som ”Bolaget” och Bolagets representanter beskrivs som

”Användare”.

§ 3 TJÄNSTEN

Tjänsten är normalt i drift dygnet runt samtliga dagar under veckan. Detta innebär att det är möjligt för Bolaget att kommunicera med Tjänsten under denna period med undantag för planerade eller icke planerade driftsstopp.

Geposit tillhandahåller en kundtjänstfunktion med uppgift att bistå Bolaget när problem uppstått avseende utnyttjande av Tjänsten för att lösa problem eller få svar på fråga. Kundtjänst ges via antingen telefon eller e-post samt via information på Hemsidan.

Bolaget ansvarar själv för att Bolagets data inte förloras eller obehörigen kan åtkommas i det egna systemet. I den mån Bolaget förlorar information eller utsätts för intrång som kan leda till att information kan förloras skall Bolaget skyndsamt skriftligen informera Geposit. Geposit ansvarar inte för förlust av eller obehörig åtkomst till den data som lagras centralt i Tjänsten, såvida inte sådan förlust eller obehörig åtkomst hänför sig till att Geposit inte efterkommit de bestämmelser som gäller enligt Xxxxxxxx vid var tid gällande Informationssäkerhetspolicy. Geposit ansvarar inte för överföringsfel, förvanskning av data eller för säkerheten vid överföring av data i telenätet.

Geposit har rätt att till sina Samarbetspartners tillhandahålla statistik, rörande Användarnas nyttjande av respektive Samarbetspartnerstjänst.

§ 4 ANVÄNDNING AV TJÄNSTEN

Som användare av samtliga Geposits Tjänster får Bolaget enbart använda Tjänsten i enlighet med nedan.

a) Tjänsten får användas fritt i den egna organisationen eller för eget bruk, men inte vidareförsäljas, delas, inkluderas, bortskänkas eller överlåtas utan skriftligt tillstånd från Geposit.

b) För att använda vissa av Geposit produkter och tjänster måste Bolagets Användare erhålla användar-id och lösenord. Varje användar-id och lösenord är unikt per Användare och får endast användas av det företag och de behöriga Användare som det är avsett för.

c) För det fall Bolaget kommer behandla personuppgifter ska detta ske i enlighet med dataskyddsförordningen (”GDPR”).

d) Bolaget svarar för utrustning som är anslutningsbar till Tjänsten samt för erforderliga teletjänster för att kunna kommunicera med Tjänsten, samt för samtliga kostnader för utrustning och anslutning.

e) Bolaget ska tillse att individ som slutar sin anställning hos Xxxxxxx eller som inte längre behöver ha åtkomst omedelbart ska fråntas sin behörighet till Tjänsten.

f) Via Tjänsten kan Bolaget få tillgång till känslig information. Informationsleverantören tillsammans med Geposit har definierat en vid var tid gällande Informationssäkerhetspolicy för hur informationen ska hanteras. Denna policy finns att läsa på xxx.xxxxxxx.xx.

Bolaget ansvarar för att samtliga anställda hos Bolaget som använder Tjänsten accepterar villkoren i detta avtal och enbart använder Tjänsten i enlighet med avtalet.

§ 5 IMMATERIELLA RÄTTIGHETER

Bolaget förstår och accepterar att Xxxxxxxx och Tjänsten innehåller material tillhandahållet av Geposit och tredje parter och att sådant material kan innehålla immateriella rättigheter.

Bolaget samtycker till att respektera samtliga immateriella rättigheter, inklusive men inte begränsat till upphovsrätt, varumärke och firmanamn (oaktat om det registrerats eller ej) innefattat eller uppvisat på Hemsidan eller som Bolaget fått tillgång till i samband med Tjänsterna.

Bolaget får enbart använda innehållet på Hemsidan för Bolagets eget användning av Tjänsten och Xxxxxxx får inte använda innehållet på Hemsidan i strid med tillämplig lagstiftning eller dessa Användarvillkor. Bolaget får använda sådant innehåll enbart för ändamålet att använda Tjänsten.

Bolaget erhåller ingen annan licens att använda ovan nämnda immateriella rättigheter utom vad som uttryckligen anges i dessa Användarvillkor.

Bolaget förstår och accepterar att innehåll som publiceras på Hemsidan kan tillhöra tredje parter, samt att Geposit inte har kontroll över sådant innehåll. Därför förstår och accepterar Xxxxxxx att Geposit inte ska hållas ansvariga för sådant innehåll som tillhandahålls av tredje part och visas upp eller finns tillgängligt på Hemsidan eller i Tjänsten.

§ 6 BETALNING

För anslutning till Tjänsten debiterar Geposit avgifter enligt vid var tid gällande prislista, såvida annat inte särskilt överenskommits. Bolaget skall informeras om prishöjningar respektive prissänkningar minst en (1) månad innan de träder i kraft. Geposit förbehåller sig dock rätten att ändra sina priser med omedelbar verkan beroende på kostnadshöjande händelser utanför Geposits kontroll. Om Bolaget inte godkänner ändring eller tillägg skall Bolaget senast två (2) veckor före de nya villkorens ikraftträdande säga upp avtalet. Om sådan uppsägning inte sker, anses Xxxxxxx ha godkänt de nya villkoren.

Alla avgifter anges exklusive mervärdeskatt och andra på debiterade belopp utgående statliga pålägg. Dessa skall betalas av Bolaget.

Engångsavgift debiteras i samband med att Bolaget ansluts till Tjänsten. Årsavgift och andra fasta avgifter debiteras i förskott. Rörliga avgifter debiteras månadsvis eller kvartalsvis i efterskott. Betalningsvillkor är 30 dagar netto från fakturadatum. Dröjsmålsränta utgår med 18% efter förfallodatum. Geposit debiterar lagstadgade avgifter för påminnelse och inkassering. Om Bolaget ligger i dröjsmål med betalning till Geposit äger Geposit rätt att utan förvarning utestänga användare. Bolagets användning aktiveras igen så snart handling som styrker betalning kommit Geposit tillhanda. För Xxxxx som upprepade gånger är i dröjsmål med betalning och till följd av detta utestängts äger Geposit rätt att kräva betalning i förskott.

BOLAGET ÄR SKYLDIGT ATT OMEDELBART INFORMERA GEPOSIT OM DE UPPGIFTER SOM ANGIVITS BETRÄFFANDE BOLAGETS FIRMA/NAMN, ADRESS SKULLE KOMMA ATT ÄNDRAS.

§ 7 BEHANDLING AV PERSONUPPGIFTER

Geposit behandlar personuppgifter som Geposit erhåller i samband med användandet av Tjänsten.

Personuppgifterna rörande Användare

behandlas i enlighet med Xxxxxxxx vid var tid gällande Personuppgiftspolicy som uppdateras löpande för att vara förenlig med gällande lagstiftning. Policyn återfinns på xxxxx://xxx.xxxxxxx.xx/xxxxxxxxxxxxxxxxxx et/.

Bolaget ansvarar för att Bolagets behandling av personuppgifter, som sker i samband med användning av Tjänsterna, sker i enlighet med GDPR. Vidare åtar sig Xxxxxxx att följa Datainspektionens allmänna råd om Säkerhet för personuppgifter.

För det fall Geposit behandlar personuppgifter i egenskap av personuppgiftsbiträde till Bolaget kommer Geposit att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Geposit kommer enbart behandla personuppgifterna för att tillhandahålla Tjänsten till Bolaget och i enlighet med instruktion från Bolaget.

Geposits behandling av personuppgifter i egenskap av personuppgiftsbiträde regleras i Personuppgiftsbiträdesavtal, Bilaga A till dessa Användarvillkor.

Bolaget accepterar Xxxxxx A som personuppgiftsbiträdesavtal för alla delar av Tjänsten som Bolaget utnyttjat. En vid var tid gällande lista för de delar av Tjänsten där Geposit behandlar personuppgifter i egenskap av personuppgiftsbiträde till Bolaget finns tillgänglig på xxxxx://xxx.xxxxxxx.xx/xxxxxxxxxxxxxxxxxx et/.

Bolaget åtar sig att aktivt medverka vid eventuell utbildning och att följa eventuella instruktioner om hantering av personuppgiftsbehandling som kan komma att anordnas/anvisas av Geposit.

§ 8 ANSVARSBEGRÄNSNING

Tjänsten tillhandahålls i befintligt skick utan garantier av något slag. Bolagets användning av Tjänsten är enbart Bolagets eget ansvar och sker på egen risk. Geposit lämnar inte några garantier - direkta, underförstådda eller på annat sätt

- rörande tillgängligheten, kvaliteten, lämpligheten eller riktigheten av Xxxxxxxx eller Tjänsten i övrigt eller dess innehåll. Geposit skall alltid ges möjlighet att rätta brist i Tjänsten innan avtalsbrott skall anses föreligga. Geposit tar ej ansvar för driftstopp som orsakas av Informationsleverantör.

Geposit förbehåller sig rätten att i framtiden ändra eller upphöra med tillhandahållandet av Tjänsten.

Geposit ansvarar endast för skada eller förlust som Geposit orsakat Bolaget genom grov vårdslöshet eller väsentligt avtalsbrott. I den utsträckning som tillåts under tvingande lagstiftning ansvarar Geposit inte gentemot Bolaget eller någon tredje part för någon direkt, indirekt eller någon annan skada av något slag

inklusive, men ej begränsat till, utebliven vinst, inkomstförlust, minskad omsättning, avbrott i verksamheten eller goodwillförluster som uppkommer på grund av eller i samband med dessa Användarvillkor eller Tjänsten. Geposit är inte ansvariga gentemot Bolaget för några tredjepartskrav som riktas mot Bolaget.

Under inga omständigheter ska Geposits totala ansvar gentemot Bolaget i samband med Tjänsten för skador, förluster och talan överskrida de samlade avgifter som Bolaget erlagt under den tolvmånadersperiod som närmast föregick skadetillfället, dock högst ett belopp motsvarande två (2) basbelopp vid skadetillfället enligt lagen (1962:381) om allmän försäkring.

Anspråk avseende skadestånd kan inte göras gällande med mindre än att talan väcks inom ett (1) år från den dag då Xxxxxxx fått eller borde fått kännedom om den omständighet på vilken talan grundas.

Geposit är inte ansvarigt för dröjsmål eller förlust som har sin grund i händelse utanför Geposits kontroll och som Geposit inte rimligen kunde ha räknat med då Xxxxxxx anslöts till Tjänsten eller vars följder Geposit inte rimligen kunde ha undvikit eller övervunnit. Sådana händelser kan vara naturkatastrof, eldsvåda, krig, mobilisering, upplopp, sabotage, skadegörelse, handelsrestriktioner, arbetskonflikt, knapphet på transportmedel, avbrott i teleförbindelser, elavbrott, försening hos underleverantör eller annan avtalspart som har sin grund i omständigheter som angivits häri. Så länge hinder på grund av angiven händelse består och skälig tid därefter skall Geposit vara befriad från skyldigheten att fullfölja sina åtaganden.

§ 9 SKADESLÖSHET

Bolaget är ansvarig gentemot Geposit för all skada som åsamkas Geposit, eller tredje part, på grund av Bolagets brott mot dessa Användarvillkor, inklusive men ej begränsat till missbruk av Hemsidan och/eller Tjänsten, användning av Tjänsten i strid med Användarvillkoren samt otillbörlig marknadsföring. Vidare ska Bolaget hålla Geposit skadeslösa i relation till samtliga krav, kostnader (inklusive rimliga legala kostnader), skador, utlägg, skadestånd och förluster som Geposit åsamkats på något sätt på grund av Bolagets brott mot dessa Användarvillkor eller annan tillämplig lag.

§ 10 ÄNDRING AV VILLKOREN SAMT ÄNDRING OCH UPPSÄGNING AV TJÄNSTEN

Geposit har rätt att ändra dessa Användarvillkor. Geposit kommer att informera Xxxxxxx om sådana ändringar senast trettio (30) dagar innan en ändring

träder i kraft. Geposit kommer att lämna Bolaget sådan information på Hemsidan.

Vardera part har rätt att säga upp Tjänsten med tre månaders föregående uppsägningstid. Uppsägning skall ske skriftligen. Erlagda avgifter återbetalas inte. Om Geposit har anledning att tro att Xxxxxxx bryter mot dessa Användarvillkor har Geposit rätt att stänga av Bolagets tillgång till Tjänsten med omedelbar verkan.

Geposit äger rätt att genom utestängning av Bolaget säga upp Bolagets anslutning till Geposit till omedelbart upphörande om Bolaget är i dröjsmål med betalning till Geposit eller Bolaget ansöks eller försätts i konkurs, ställer in betalningar, upptar ackordsförhandling, träder i likvidation eller eljest kan anses ha kommit på obestånd.

Vidare förbehåller Geposit sig rätten att, utefter eget godtycke, när som helst modifiera Tjänsten. Om tjänst eller information innehåller fast avgift skall uppgörelse med kund träffas innan tjänst tas bort eller läggs till. Geposit informerar Xxxxxxx om ändringar i så god tid att Xxxxxxx hinner vidta nödvändiga åtgärder. Om Xxxxxxx önskar ändra sin anslutning till Geposit skall Geposit informeras härom i sådan tid att Geposit hinner vidta nödvändiga åtgärder. Bolaget skall ersätta de direkta kostnader som Geposit åsamkas av sådan ändrad anslutning.

Bolaget accepterar att Geposit inte ansvarar gentemot Bolaget eller någon tredje part för sådan modifikation, avbrott eller upphörande.

§ 11 MEDDELANDEN

Uppsägning eller andra meddelanden med anledning av dessa Användarvillkor ska ske skriftligen till xxxx@xxxxxxx.xx och anses ha kommit Geposit tillhanda om mottagandet har bekräftats.

Bolaget förbinder sig att alltid ha en giltig e-postadress till behörig kontaktperson hos Bolaget registrerad i Tjänsten. Denna e-postadress används av Geposit för viktiga meddelanden avseende Tjänsten.

§ 12 ÖVERLÅTELSE

Bolaget får inte överlåta eller överföra några rättigheter, skyldigheter eller licenser som framgår av dessa Användarvillkor. Geposit kan överlåta och överföra sina rättigheter enligt dessa Användarvillkor utan Bolagets samtycke och utan meddelande till Bolaget.

§ 13 TILLÄMPLIG LAG OCH TVISTER

Dessa Användarvillkor ska styras av och tolkas i enlighet med svensk lag, utan tillämpning av dess lagvalsregler.

Tvister som uppstår i anledning av detta avtal ska slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Skiljeförfarandet skall äga rum i Stockholm.

Xxxxxx ovan äger part alltid rätt att vända sig till allmän domstol eller behörig myndighet för att söka erhålla betalning för klar och förfallen fordran.

2018-10-01

BILAGA A - PERSONUPPGIFTSBITRÄDESAVTAL

mellan

Personuppgiftsansvarig: ”Bolaget” och

Personuppgiftsbiträde: Geposit AB, registreringsnummer 556878-4655 med

adress c/o iOffice, Xxxxxxxxxx 00, 0000

22 Stockholm (”Geposit”).

Med “Personuppgiftsbiträdet” avses Geposit AB för tjänsterna angivna i Geposit AB Allmänna Villkor, §1 Allmänt. Med ”Personuppgiftsansvarig” avses Bolaget.

Geposits kontaktperson för allmänna frågor om avtalet samt Geposits behandling av personuppgifter redovisas på xxxxx://xxx.xxxxxxx.xx/ informationssakerhet/.

§ 1 INLEDNING

1.1 Båda Parterna bekräftar detta personuppgiftsbiträdesavtal (”Avtal”) är en integrerad del av det/de tjänsteavtal som tecknats mellan Parterna

(”Tjänsteavtalet”) och som regleras av Geposit vid var tid gällande allmänna villkor (”Allmänna villkor”). Detta Avtal reglerar Behandlingen av Personuppgifter med anledning av vid var tid gällande Tjänsteavtal.

1.2 Geposit agerar i enlighet med Geposit informationssäkerhetspolicy som finns tillgänglig på xxxxx://xxx.xxxxxxx.xx/ informationssakerhet/.

§ 2 DEFINITIONER

2.1 Definitionen av Personuppgifter, Särskilda kategorier av Personuppgifter (Känsliga Personuppgifter), Behandling av Personuppgifter, Registrerad, Personuppgiftsincident, Personuppgiftsansvarig och Personuppgiftsbiträdet är densamma som används i gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen (GDPR - General Data Protection Regulation), gällande i detta Avtal samt i Europa från den 25 maj 2018 samt vid varje tidpunkt gällande nationell kompletterande lagstiftning, tillsammans xxxxx xxxxxx ”Gällande Personuppgiftslagstiftning”.

2.2 I denna bilaga benämns Personuppgiftsansvarig som ”Bolaget” eller ”Parten”, Personuppgiftsbiträdet som ”Geposit” eller ”Parten” och kollektivt som ”Parterna”.

§ 3 OMFATTNING

3.1 Avtalet reglerar Geposit Behandling av Personuppgifter på uppdrag av Xxxxxxx och beskriver hur Geposit ska säkerställa dataskydd, genom tekniska och organisatoriska åtgärder enligt Gällande Dataskyddslagstiftning.

3.2 Syftet med Geposit Behandling av Personuppgifter på uppdrag av Xxxxxxx är att uppfylla åtaganden enligt Tjänsteavtalet.

3.3 Detta Avtal har företräde framför eventuella motstridiga bestämmelser om Behandling av Personuppgifter i Tjänsteavtal eller i andra avtal som ingåtts mellan Parterna.

§ 4 GEPOSITS SKYLDIGHETER

4.1 Geposit får endast Behandla Personuppgifter på uppdrag av och i enlighet med Bolagets dokumenterade instruktioner. Genom att ingå detta Avtal instruerar Bolaget Geposit att Behandla Personuppgifter på följande sätt:

i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Bolagets normala användning av Geposit tjänster och iv) på så sätt som anges i detta Avtal.

4.2 Geposit har ingen anledning att tro att det finns lagstiftning som förhindrar att Geposit följer de ovan angivna instruktionerna. Geposit ska, efter att ha blivit medveten om det, informera Xxxxxxx i de fall Xxxxxxxx instruktioner eller behandling, enligt Geposit, strider mot gällande dataskyddslagstiftning.

4.3 De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Avtal framgår i detta dokument.

4.4 Geposit ska säkerställa sekretess, integritet och tillgänglighet av Personuppgifter enligt Gällande Personuppgiftslagstiftning. Geposit ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en lämplig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas.

4.5 Geposit ska bistå Bolaget med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den informationen som är tillgänglig för Geposit, för att uppfylla Bolagets skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36.

4.6 Om Bolaget behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Geposit Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Geposit för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Geposit, kan Geposit debitera Bolaget för sådana ytterligare tjänster.

4.7 Geposit och dennes personal ska säkerställa sekretess för Personuppgifter som Behandlas under detta Avtal. Detta villkor gäller även efter att Avtalet upphört att gälla.

4.8 Geposit ska, genom att skyndsamt och utan onödigt dröjsmål meddela Bolaget, göra det möjligt för Xxxxxxx att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter.

4.9 Vidare ska Geposit, i den utsträckning det är praktiskt möjligt och lagligt, meddela Bolaget om;

i) förfrågningar om utlämnande av Personuppgifter som erhållits från en Registrerad ii) förfrågningar från myndigheter, exempelvis Polisen, om utlämnande av Personuppgifter

4.10 Geposit får inte svara direkt på förfrågningar från Registrerade utan medgivande från Bolaget. Geposit får inte delge innehåll rörande Avtalet till myndigheter som Polisen, inklusive Personuppgifter, med undantag för vad som är lagstadgat, exempelvis genom domstolsbeslut eller liknande beslut.

4.11 Geposit har inte kontroll över huruvida och hur Bolaget väljer att använda sig av eventuella tredjepartsintegrationer via Geposit API, via direkt databaskoppling eller liknande. Ansvaret för sådana integrationer med tredje part åligger uteslutande Bolaget och Bolaget är ansvarig för eventuell behandling av Personuppgifter genom sådan tredjepartsintegration.

4.12 Om en Personuppgiftsincident inträffar är Geposit skyldig att så snart som möjligt anmäla till Bolaget att det har inträffat en Personuppgiftsincident. Anmälan ska ske utan dröjsmål och aldrig senare än 24 timmar efter att Geposit har fått kännedom om Personuppgiftsincidenten. Alla Personuppgiftsincidenter ska dokumenteras och rapporteras till Bolaget.

4.13 En anmälan om Personuppgiftsincident skall åtminstone; beskriva Personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter

som berörs, förmedla namnet på och kontaktuppgifterna för kontaktpunkter hos Geposit där mer information kan erhållas, beskriva de sannolika konsekvenserna av Personuppgiftsincidenten, och beskriva de åtgärder som Geposit har vidtagit eller föreslagit för att åtgärda Personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Om det inte är möjligt att tillhandahålla informationen samtidigt, får Geposit tillhandahålla informationen i omgångar utan onödigt ytterligare dröjsmål.

Om en Personuppgiftsincident har inträffat och som, enligt Dataskyddsförordningen, medför krav på att den registrerade ska informeras ska samtlig kommunikation med den registrerade ske genom Bolaget. Geposit ska vid sådan Personuppgiftsincident omedelbart meddela detta i tjänsten samt kontakta Xxxxxxx.

Geposit ska snarast dokumentera samtliga omständigheter som relaterar till Personuppgiftsincidenten, vilka effekter Personuppgiftsincidenten har haft samt vilka korrigerande åtgärder som Geposit har vidtagit med anledning av Personuppgiftsincidenten.

Dokumentationen ska vara så detaljerad att Tillsynsmyndighet och Bolaget kan kontrollera efterlevnaden av Dataskyddsförordningen samt att Bolaget kan kontrollera efterlevnaden av avtalet.

§ 5 BOLAGETS SKYLDIGHETER

5.1 Bolaget bekräftar att Bolaget:

vid användning av de tjänster som tillhandahålls av Geposit enligt Tjänsteavtal, Behandla Personuppgifter i enlighet med kraven i gällande dataskyddslagstiftning.

har rättslig grund att Behandla och utlämna de aktuella Personuppgifterna till Geposit (inklusive eventuella underbiträden som Geposit använder).

är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de Personuppgifter som lämnats till Geposit.

har uppfyllt alla eventuella obligatoriska krav och skyldigheter att anmäla hos eller få tillstånd från relevanta myndigheter för Behandlingen av Personuppgifter.

har fullgjort sina skyldigheter att tillhandahålla relevant information till Registrerade avseende Behandling av Personuppgifter enligt Gällande Personuppgiftslagstiftning.

instämmer i att Geposit har lämnat garantier avseende implementeringen av tekniska och organisatoriska säkerhetsåtgärder som är tillräckliga för

att skydda Registrerades integritet och Personuppgifter.

ska upprätthålla ett uppdaterat register över de typer och kategorier av Personuppgifter som denne Behandlar.

§ 6 ANVÄNDANDE AV UNDERBITRÄDEN OCH ÖVERFÖRING AV DATA

6.1 Som en del av leveransen av tjänster till Bolaget enligt Tjänsteavtal och detta Avtal, kan Geposit använda sig av underleverantörer i rollen underbiträde. Sådana underbiträden kan vara systerbolag till Geposit AB eller externa underleverantörer (tredje part) inom eller utanför EU. Geposit ska säkerställa att underleverantörer genom avtal samtycker till att åta sig ansvar som motsvarar de skyldigheter som anges i detta Avtal.

6.2 Nuvarande underleverantörer med tillgång till Personuppgifter publiceras på Geposit Hemsida xxxxx://xxx. xxxxxxx.xx/xxxxxxxxxxxxxxxxxxxx/ vilka genom detta Avtal har accepterats som underbiträden av Xxxxxx.

6.3 Kunden kan när som helst begära en fullständig översikt och mer detaljerad information om de underleverantörer som är involverade i leverans av tjänsten enligt Tjänsteavtalet.

6.4 Om underleverantörerna finns utanför EU ska Geposit säkerställa att överföring sker enligt Gällande Personuppgiftslagstiftning. Kunden ger härmed Geposit behörighet och befogenhet för att säkerställa lämpliga rättsliga grunder för överföring av Personuppgifter utanför EU på Kundens uppdrag, t ex genom att för Kundens räkning underteckna EU- standardavtalsklausuler eller överföra Personuppgifter i enlighet med EU/ US Privacy Shield.

6.5 Kunden ska underrättas innan ändringar sker rörande underleverantörer som Behandlar Personuppgifter. Om ny underleverantör bevisligen inte efterlever gällande dataskyddslagstiftning och underleverantören fortsatt inte efterlever gällande dataskyddslagstiftning, efter att Geposit har fått rimlig tid på sig att säkerställa att underleverantören efterlever regelverket, kan Xxxxxx säga upp Xxxxxxx. Sådan uppsägning kan innebära rätt att säga upp Tjänsteavtal, helt eller delvis, enligt de uppsägningsklausuler som finns i respektive Tjänsteavtal. En viktig del av sådana bedömningar ska vara i vilken mån underleverantörens Behandling av Personuppgifter är en nödvändig del av de tjänster som tillhandahålls enligt Tjänsteavtal. En ändring av underleverantör ska inte i sig att betraktas som ett brott mot Tjänsteavtal.

6.6 Genom detta Avtal accepterar Xxxxxx att Geposit använder sig av underleverantörer på så sätt som beskrivs ovan.

§ 7 SÄKERHET

7.1 Geposit har åtagit sig att tillhandahålla en hög säkerhetsnivå i sina produkter och tjänster. Geposit tillhandahåller säkerhetsnivån genom organisatoriska, tekniska och fysiska säkerhetsåtgärder, i enlighet med kraven på informationssäkerhet som beskrivs i dataskyddsförordningen artikel 32.

Vidare syftar Geposits informationssäkerhetspolicy till att skydda sekretess, riktighet, tillgänglighet, och spårbarhet av Personuppgifter. Följande åtgärder är av särskild betydelse i detta avseende:

Klassificering av Personuppgifter för att säkerställa genomförandet av säkerhetsåtgärder som motsvarar riskbedömning.

Utvärdering av användning av kryptering och pseudonymisering som riskreducerande faktorer.

Begränsning av tillgång till Personuppgifter till de som behöver tillgång för att fullgöra skyldigheterna i detta Avtal eller Tjänsteavtal.

Användande av system som upptäcker, återställer, förhindrar och rapporterar personuppgiftsincidenter.

Genomförande av säkerhetsanalyser för att bedöma kvaliteten i nuvarande tekniska och organisatoriska åtgärder för att skydda Personuppgifter, med beaktande av kraven i gällande dataskyddslagstiftning.

Geposits informationssäkerhetspolicy finns tillgänglig på Geposit Hemsida xxxxx://xxx.xxxxxxx.xx/ informationssakerhet/

§ 8 REVISIONSRÄTTIGHETER

8.1 bolaget har rätt att genomföra årlig revision av Geposit uppfyllande av villkoren i Avtalet. Om lagstiftningen kräver det kan Xxxxxxx begära revisioner oftare. Då Xxxxxxxx tjänster är fleranvändarmiljöer ger Bolaget Geposit befogenhet, att av säkerhetsskäl, bestämma att revision ska utföras av en neutral tredjepartsrevisor som Geposit väljer.

8.2 Om det begärda revisionsområdet är upptaget i en ISAE-, ISO- eller liknande granskningsrapport som utförts av en kvalificerad tredjepartsrevisor inom de föregående tolv månaderna, och Geposit bekräftar att det inte finns några kända

väsentliga förändringar i de åtgärder som granskats, accepterar Xxxxxxx denna granskningsrapport istället för att begära en ny revision av åtgärder som redan granskats.

8.3 Om Xxxxxx inte accepterar den av Geposit valda neutrala tredjepartsrevisorn, kan Bolaget tillsammans med Geposit välja en annan neutral tredjepartsrevisor.

8.4 Kunden står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från Geposit som överstiger standardtjänsten som tillhandahålls av Geposit och/eller Geposits underleverantörer för att följa gällande dataskyddslagstiftning, kommer att debiteras.

§ 9 VARAKTIGHET OCH UPPSÄGNING

9.1 Detta Avtal är giltigt så länge som Geposit Behandlar Personuppgifter på uppdrag av Xxxxxxx enligt gällande Tjänsteavtal.

9.2 Avtalet upphör automatiskt när Tjänsteavtalet upphör att gälla. När Xxxxxxx upphör kommer Geposit att radera eller återlämna Personuppgifter som Behandlas på uppdrag av Xxxxxx, i enlighet med gällande klausuler i Tjänsteavtalet. Om inte annat avtalats skriftligen ska kostnaden för sådana åtgärder baseras på;

i) timtaxa för Geposit tid och ii) komplexiteten i den begärda processen.

9.3 Geposit kan behålla Personuppgifter efter att Xxxxxxx har upphört, i den utsträckning det krävs enligt lag eller avtal med myndighet, med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i detta Avtal.

§ 10 ANSVAR

10.1 Ansvaret för överträdelse av villkoren i detta avtal, regleras av ansvarsklausuler i Allmänna villkor. Detta gäller även för eventuella överträdelser som begåtts av Geposits underleverantörer.

§ 11 TILLÄMPLIG LAG OCH JURISDIKTION

11.1 Detta Avtal är underkastat tillämplig lag och den jurisdiktion som anges i Allmänna villkor.

§ 12 KATEGORIER AV PERSONUPPGIFTER OCH REGISTRERADE

12.1 En vid var tid gällande lista för de delar av Tjänsten där Geposit behandlar

personuppgifter i egenskap av personuppgiftsbiträde till Bolaget samt information om vilka kategorier av registrerade och personuppgifter som behandlas finns tillgänglig på xxxxx://xxx.xxxxxxx.xx/ informationssakerhet/.

§ 13 ÖVERSIKT ÖVER NUVARANDE UNDERLEVERANTÖRER

13.1 Aktuella underleverantörer till Geposit som har tillgång till Bolagets Personuppgifter redovisas på xxxxx://xxx.xxxxxxx.xx/ informationssakerhet/

2018-10-01