Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal (härefter “Personuppgiftsbiträdesavtalet”) har ingåtts mellan å ena sidan Billecta AB med organisationsnummer 556971-6011 och adress Xxxxxxxxxxxxx 0, 000 00 Xxxxxxxxx (“härefter “Billecta” eller “Personuppgiftsbiträdet”), och å andra sidan Billectas kund (härefter “Kunden” eller den “Personuppgiftsansvarige”). Personuppgiftsbiträdesavtalet gäller tillsammans med det tjänsteavtal som parterna har ingått (härefter ”Tjänsteavtalet”) enligt vilket Personuppgiftsbiträdet ska tillhandahålla digitala tjänster inom fakturaservice och/eller inkasso till den Personuppgiftsansvarige (härefter är dessa tjänster gemensamt benämnda som “Tjänsterna”).
Vid fullgörandet av Tjänsteavtalet kommer Personuppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med Personuppgiftsbiträdesavtalet och den Personuppgiftsansvariges dokumenterade instruktioner (bilaga 1).
Personuppgiftsbiträdesavtalet gäller inte för de personuppgifter som Billecta behandlar i egenskap av personuppgiftsansvarig.
1. DEFINITIONER
1.1 Av tabellen nedan följer definitioner av ett antal relevanta begrepp som återkommer i detta Personuppgiftsbiträdesavtal. Definitionerna i Personuppgiftsbiträdesavtalet har samma innebörd oavsett om de inleds med versaler eller inte.
GDPR | Allmänna dataskyddsförordningen (EU) 2016/679 |
Gällande rätt | GDPR och annan tillämplig dataskyddslagstiftning. |
Personuppgifter | Varje upplysning som antingen direkt eller indirekt kan knytas till en fysisk (levande) person. |
Behandling | En åtgärd eller en kombination av åtgärder som relaterar till hanteringen av personuppgifter, till exempel insamling, lagring, användning, utlämning genom överföring, justering, begränsning eller radering. |
Registrerad | En identifierad eller identifierbar fysisk (levande) person vars personuppgifter behandlas. |
Personuppgiftsansvarig | En fysisk (levande) eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt, eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
Personuppgiftsbiträde | En fysisk (levande) eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. |
Personuppgiftsincident | En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
2. DEN PERSONUPPGIFTSANSVARIGES SÄRSKILDA ÅTAGANDEN
2.1 Den Personuppgiftsansvarige åtar sig:
I. att se till att det finns en rättslig grund för den behandling som Personuppgiftsbiträdet ska utföra,
II. att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med Gällande rätt,
III. att informera Personuppgiftsbiträdet om felaktiga, rättade, uppdaterade eller raderade personuppgifter som omfattas av Personuppgiftsbiträdets behandling,
IV. att dokumentera och informera Personuppgiftsbiträdet om de kategorier av registrerade samt kategorier av personuppgifter som kommer att behandlas, och hålla Personuppgiftsbiträdet löpande uppdaterad avseende detta,
V. att informera Personuppgiftsbiträdet vid eventuell justering, ändring eller utvidgning av den eller de ändamål för vilka personuppgifter behandlas för den Personuppgiftsansvariges räkning,
VI. att utfärda dokumenterade instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftsbehandling och se till att dessa hålls uppdaterade, samt
VII. att utföra sina skyldigheter enligt Xxxxxxxxxxxxxxxxxxxxxxxxxxxxx i enlighet med Gällande Rätt.
3. PERSONUPPGIFTSBITRÄDETS SÄRSKILDA ÅTAGANDEN
3.1 Personuppgiftsbiträdet åtar sig:
I. att behandla personuppgifter i enlighet med Gällande Rätt, Personuppgiftsbiträdesavtalet och den Personuppgiftsansvariges dokumenterade instruktioner,
II. att säkerställa att de personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt,
III. att i enlighet med artikel 32 i GDPR, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken,
IV. att med hänsyn till behandlingens art, bistå den Personuppgiftsansvarige med implementeringen av lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den Personuppgiftsansvarige kan fullgöra dess skyldighet att svara på den registrerades begäran om utövande av den registrerades rättigheter enligt Gällande Rätt,
V. att med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige i säkerhetsfrågor, incidenthantering och konsekvensbedömningar enligt artiklarna 32–36 i GDPR,
VI. att beroende på vad den Personuppgiftsansvarige väljer, radera eller återlämna alla personuppgifter till den Personuppgiftsansvarige efter det att Tjänsteavtalet har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller nationell rätt,
VII. att ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i Personuppgiftsbiträdesavtalet har fullgjorts, samt möjliggöra och bidra till granskningar under arbetstid, inbegripet inspektioner, som genomförs av tillsynsmyndighet eller av annan behörig myndighet, inför vilket Personuppgiftsbiträdet ska ges skälig tid att sammanställa information,
VIII. att säkerställa att eventuell överföring av personuppgifter till tredje land sker i enlighet med Gällande Rätt genom att till exempel använda Europeiska kommissionens standardavtalsklausuler, samt
IX. att informera den Personuppgiftsansvarige om man anser att Personuppgiftsbiträdesavtalet eller de dokumenterade instruktionerna strider mot Gällande Rätt, samt
X. att i händelse av en personuppgiftsincident som rör uppgifter som behandlas av Personuppgiftsbiträdet på uppdrag av den Personuppgiftsansvarige, underrätta den Personuppgiftsansvarige utan onödigt dröjsmål efter det att Personuppgiftsbiträdet har fått vetskap om incidenten.
4. ANVÄNDNING AV UNDERLEVERANTÖRER
4.1 Personuppgiftsbiträdet har den Personuppgiftsansvariges allmänna tillstånd att anlita underleverantörer (underbiträden). Personuppgiftsbiträdet ska skriftligen informera den Personuppgiftsansvarige om alla avsiktliga förändringar avseende tillägg eller utbyte av underleverantörer minst 14 dagar i förväg och därmed ge den Personuppgiftsansvarige möjlighet att invända mot sådana förändringar innan berörd underleverantör anlitas.
4.3 Om Personuppgiftsbiträdet använder en underleverantör för att utföra specifik behandling, gäller samma skyldigheter för underleverantören som för Personuppgiftsbiträdet.
4.4 Personuppgiftsbiträdet är ansvarigt gentemot den Personuppgiftsansvarige för utförandet av underleverantörens skyldigheter.
4.5 Om den Personuppgiftsansvarige motsätter sig anlitandet av en ny underleverantör eller byte av redan en existerande underleverantör, har Personuppgiftsbiträdet rätt att med omedelbar verkan säga upp Tjänsteavtalet, inklusive Personuppgiftsbiträdesavtalet, och/eller stänga av den Personuppgiftsansvariges möjlighet att nyttja hela eller delar av Tjänsterna. Personuppgiftsbiträdet ska inte bli ersättningsskyldig gentemot den Personuppgiftsansvarige för några kostnader och/eller skador som en sådan uppsägning och/eller avstängning eventuellt skulle kunna medföra. Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige vid en uppsägning och/eller avstängning.
5. ERSÄTTNING
5.1 Personuppgiftsbiträdet har rätt till skälig ersättning för det arbete som avses i punkterna
3.1 (V) och 3.1 (VII) samt 6.2. liksom full ersättning för kostnader i samband därmed.
6. AVTALSTID OCH UPPHÖRANDE
6.1 Personuppgiftsbiträdesavtalet gäller från och med att Kunden ingår Tjänsteavtalet med Billecta. Personuppgiftsbiträdesavtalet gäller därefter under hela den period Tjänsteavtalet är i kraft. Personuppgiftsbiträdesavtalet kan, med undantag för vad som anges i punkten 4.5, endast sägas upp på de villkor som anges i Tjänsteavtalet.
6.2 Vid Personuppgiftsbiträdesavtalets upphörande ska Personuppgiftsbiträdet avsluta behandlingen av personuppgifter för den Personuppgiftsansvariges räkning och ombesörja att samtliga personuppgifter som Personuppgiftsbiträdet eller dess underbiträden har i sin besittning eller kontroll antingen återlämnas till den Personuppgiftsansvarige (eller av denne utsedd tredje part) i enlighet med den Personuppgiftsansvariges instruktioner och på ett säkert sätt, alternativt att personuppgifterna förstörs, beroende på vad den Personuppgiftsansvarige bestämmer, såvida inte lagring av personuppgifterna krävs enligt Gällande Rätt eller annan tvingande
lagstiftning. Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran bekräfta att Personuppgiftsbiträdet har återlämnat eller förstört samtliga kopior av sådana personuppgifter.
7. TILLÄMPLIG LAG OCH TVISTLÖSNING
7.1 De lagvals- och tvistlösningsmekanismer som anges i Tjänsteavtalet ska tillämpas även på Personuppgiftsbiträdesavtalet.
BILAGA 1 - DEN PERSONUPPGIFTSANSVARIGES DOKUMENTERADE INSTRUKTIONER
Utöver vad som redan framgår av Personuppgiftsbiträdesavtalet ska Personuppgiftsbiträdet även följa nedanstående instruktioner från den Personuppgiftsansvarige.
1. Ändamål för vilka personuppgifterna behandlas för den Personuppgiftsansvariges räkning Ändamålet med behandlingen av personuppgifter är att möjliggöra tillhandahållande av Tjänsterna till den Personuppgiftsansvarige i enlighet med Tjänsteavtalet.
2. Kategorier av registrerade som Personuppgiftsbiträdet behandlar
Den Personuppgiftsansvariges kunder som erhåller fakturor och/eller betalningspåminnelser genom Billecta (härefter “Gäldenären”).
3. Kategorier av personuppgifter som Personuppgiftsbiträdet behandlar Personuppgiftsbiträdet behandlar följande kategorier av personuppgifter för den Personuppgiftsansvariges räkning:
Förnamn, efternamn och personnummer. |
Adress, e-postadress och telefonnummer. |
Inspelade telefonsamtal, chattkonversationer och e-postkorrespondens vid Gäldenärens kontakt med Personuppgiftsbiträdets kundtjänst. |
Detaljer om vilken typ av vara eller tjänst Gäldenären har köpt, aktuell skuld, fakturanummer, uppgifter om när fakturan betalats och vilket betalsätt som använts, samt eventuellt datum för autogiromedgivande och på vilket sätt den signerats. |
Bank- och kontonummer, clearingnummer, postgironummer, bankgironummer samt uppgifter om bankens namn. |
4. Behandlingens varaktighet
Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning så länge Tjänsteavtalet är i kraft, alternativt så länge det krävs enligt lag.
5. Överföring av personuppgifter till tredje land
Personuppgiftsbiträdet delar vissa kategorier av personuppgifter med underleverantörer som är etablerade i USA. Av förteckningen på Billectas webbplats framgår vilka kategorier av personuppgifter som Billecta delar med vilken underleverantör. Personuppgiftsbiträdet och respektive USA-etablerad underleverantör har ingått avtal i enlighet med Europeiska kommissionens standardavtalsklausuler.
6. Tekniska och organisatoriska åtgärder
Personuppgiftsbiträdet ska implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inkluderar:
● att all lagring av data krypteras i Personuppgiftsbiträdets databas,
● att pseudonymisering av personuppgifter sker kontinuerligt,
● att konfidentialitet, integritet och tillgänglighet upprätthålls av Personuppgiftsbiträdet och dess anställda,
● att använda så kallade “SFTP-filer” vid överföring av data, vilket innebär att all information är krypterat i filerna,
● att alla händelser i systemet loggas, vilket gör det möjligt att gå tillbaka och spåra vad som hänt,
● att kontinuerligt rensning sker av personuppgifter i enlighet med riktlinjer,
● att begränsa åtkomsten till personuppgifter baserat på anställdas roll och ansvar,
● att clean-desk-policy tillämpas på Personuppgiftsbiträdets kontor, vilket inkluderar att allt material (inklusive laptop) ska förvaras i låsta skåp efter kontorstid,
● att exportfunktion finns lättillgängligt för de Personuppgiftsansvarige att enkelt kunna exportera sitt kundregister och historik,
● att penetrationstester sker, både interna och externa, för att säkerställa att Personuppgiftsbiträdets it-säkerhetsåtgärder fungerar i enlighet med interna riktlinjer och policies.