Personuppgiftsbiträdesavtal

Detta Avtal gäller mellan Kunden (“Personuppgiftsansvarig”) och Inkassogram AB, org.nr. 559012-7725, Sveavägen 9, 111 57 Stockholm, (“Personuppgiftsbiträdet”). Inkassogram och Kunden benämns var för sig ”Part” och gemensamt ”Parterna”.

1. Bakgrund

1.1 Parterna har ingått ett avtal avseende Inkassograms ABs faktureringstjänst Fakturagram (”Fakturatjänsten”) i enlighet med avtalsvillkor (”Huvudavtalet”) och/eller påminnelse- och inkassotjänst Inkassogram (”Inkassotjänsten”) i enlighet med avtalsvillkor (”Huvudavtalet”), gemensamt kallat ”Tjänsterna” genom vilket Personuppgiftsbiträdet kommer behandla personuppgifter för Personuppgiftsansvariges räkning.

1.2 Parterna har ingått detta personuppgiftsbiträdesavtal (”Biträdesavtal”) för att säkerställa skyddet för den personliga integriteten och grundläggande fri- och rättigheter för individer vid Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvariges räkning.

2. Definitioner

2.1 Begrepp i detta avtal ska anses ha samma innebörd som i Tillämplig Dataskyddslag samt den praxis som vid var tid utvecklats avseende Tillämplig Dataskyddslag. Det innebär att detta Biträdesavtals definitioner kommer att ändras under avtalets löptid.

Behandling” avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddsförordningen” avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävandet av direktiv 95/46/EG inklusive alla eventuella ändringar och tillägg till denna.

EU-regleringen” avser (i) fram till och med den 24 maj 2018, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, och alla ändringar och tillägg till detta, (ii) fram till och med den 24 maj 2018, lokala lagar där direktivet som anges i (i) är implementerat och alla ändringar och tillägg i dessa; och (iii) från och med den 25 maj 2018, Dataskyddsförordningen.

Personuppgift” avser varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet.

Tillsynsmyndighet” avser varje domstol, myndighet eller organ som enligt tillämplig lagstiftning och/eller förordning (inklusive Tillämplig Dataskyddslag), utövar tillsyn över integritetsfrågor och/eller behandling av personuppgifter.

Tillämplig Dataskyddslag” avser sådan integritets- och personuppgiftslagstiftning, inklusive förordningar och Tillsynsmyndighets beslut och föreskrifter, samt annan eventuell lagstiftning och nyligen nämnda typer av beslut och föreskrifter, som är tillämpliga på den personuppgiftsbehandling som sker under detta Biträdesavtal, inklusive nationell sådan lagstiftning, beslut och föreskrifter, och EU-regleringen och sådan lagstiftning, beslut och föreskrifter som vid varje tidpunkt kan komma att ersätta ovan nämnda lagstiftning, beslut och föreskrifter.

3. Behandling av personuppgifter

3.1 I syfte att utföra de åtaganden som Personuppgiftsbiträdet har under Huvudavtalet, nämligen att leverera avtalade tjänster, kommer Personuppgiftsbiträdet att få tillgång till vissa personuppgifter och behandling av dessa är en naturlig del av Huvudavtalet. Personuppgiftsbiträdet kommer därmed att, på uppdrag av Personuppgiftsansvarig behandla personuppgifter förekommande i Personuppgiftsansvariges system i enlighet med instruktioner för behandling av personuppgifter, bilaga 1.

3.2 Ovan beskrivna personuppgifter får endast behandlas i syfte att utföra de åtaganden som Personuppgiftsbiträdet har under Huvudavtalet och de ändamål som närmare beskrivs i bilaga 1.

4. Ansvar och instruktion

4.1 Personuppgiftsansvarig ska vara personuppgiftsansvarig för de personuppgifter som behandlas för Personuppgiftsansvariges räkning under Huvudavtalet. Personuppgiftsansvarig ansvarar därmed för att:

a) samtycke eller annat lagstöd finns för den behandling av personuppgifter som Personuppgiftsansvarig genom Huvudavtalet och detta Biträdesavtal uppdrar åt Personuppgiftsbiträdet;

b) de registrerade har fått tillräcklig information om personuppgiftsbehandlingen i enlighet med Tillämplig Dataskyddslag, inklusive att Personuppgiftsbiträdet kan komma att behandla personuppgifterna för Personuppgiftsansvariges räkning;

c) vara kontaktperson gentemot de registrerade;

d) de instruktioner som Personuppgiftsansvarig lämnar Personuppgiftsbiträdet vad gäller behandlingen är i enlighet med Tillämplig Dataskyddslag; och

e) informera Personuppgiftsbiträdet om felaktiga, rättade, uppdaterade eller raderade personuppgifter som omfattas av Personuppgiftsbiträdets behandling, omedelbart efter att detta kommit till Personuppgiftsansvariges kännedom.

4.2 Personuppgiftsbiträdet ska vara personuppgiftsbiträde för de personuppgifter som behandlas för Personuppgiftsansvariges räkning under Huvudavtalet.

4.3 Personuppgiftsbiträdet åtar sig att, vad gäller den behandling av personuppgifter som ska ske under Huvudavtalet, endast utföra sådan behandling i enlighet med Huvudavtalet och detta Biträdesavtal och Personuppgiftsansvariges vid var tid givna tillkommande dokumenterade instruktioner. Personuppgiftsbiträdet förbinder sig att inte lämna ut eller på annat sätt göra personuppgifter som har behandlats enligt detta personuppgiftsbiträdesavtal tillgängliga för tredje part, med undantag av underbiträden som har anlitats enligt Biträdesavtalet.

4.4 Personuppgiftsbiträdet skall informera Personuppgiftsansvarig om Personuppgiftsbiträdet anser att en instruktion som Personuppgiftsansvarig lämnat strider mot Tillämplig Dataskyddslag. För undvikande av missförstånd ska Huvudavtalet och detta Biträdesavtal anses vara sådana dokumenterade instruktioner. Personuppgiftsbiträdet får utföra behandling av personuppgifter utöver Personuppgiftsansvariges givna dokumenterade instruktioner i den mån sådan behandling krävs enligt Tillämplig Dataskyddslag. Personuppgiftsbiträdet ska dock informera Personuppgiftsansvarig om sådan behandling innan den utförs, om det inte föreligger hinder mot att lämna sådan information enligt Tillämplig Dataskyddslag.

4.5 Personuppgiftsbiträdet skall utan oskäligt dröjsmål, dock senast trettio (30) dagar från Personuppgiftsansvariges begäran, ge denne tillgång till de personuppgifter Personuppgiftsbiträdet behandlar för Personuppgiftsansvariges räkning samt genomföra begärd ändring, radering, begränsning eller överföring av nämnda personuppgifter så till vida detta inte är oförenligt med Tillämplig Dataskyddslag. Om Personuppgiftsansvarig raderat eller anvisat Personuppgiftsbiträdet att radera personuppgifter skall Personuppgiftsbiträdet vidta åtgärder för att personuppgiften inte skall kunna återskapas. Detta åtagande skall dock inte påverka Personuppgiftsbiträdets möjligheter till sedvanlig back-up av data för säkerhetsändamål.

4.6 Personuppgiftsbiträdet ska upprätthålla ett skriftligt register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarige, samt att på Personuppgiftsansvariges eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:

a) namn och kontaktuppgifter hos Personuppgiftsbiträdet och i förekommande fall namn och kontaktuppgifter hos varje annan personuppgiftsansvarig som anlitar Biträdet som personuppgiftsbiträde, sådana företrädare som Biträdet anlitar, och i förekommande fall Biträdets företrädare, dataskyddsombud och i förekommande fall anlitade av Underbiträden;

b) den behandling som utförs av Personuppgiftsbiträdet för Personuppgiftsansvariges räkning

c) i förekommande fall, överföring av personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits, samt

d) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå.

5. Kapacitet och Förmåga

5.1 Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Tillämplig Dataskyddslag.

5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran, eller oberoende tredje part som denna anlitat, styrka att de skyldigheter som framgår av detta Biträdesavtal och Tillämplig Dataskyddslag uppfylls genom att utan onödigt dröjsmål tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner av lokaler, IT-system och andra tillgångar och/eller tillhandahålla annan adekvat bevisning.

6. Säkerhet och sekretess

6.1 Personuppgiftsbiträdet ska vidta alla åtgärder som krävs för att uppfylla säkerhetskraven i samband med behandlingen av personuppgifter enligt Tillämplig Dataskyddslag bland annat, men inte begränsat till, i fråga om pseudonymisering och kryptering av personuppgifter, förmågan att fortlöpande säkerställa integritet och motståndskraft hos behandlingssystemen och tjänsterna samt förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

6.2 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt samt tillse att personalen endast behandlar personuppgifterna när Personuppgiftsansvarige instruerats att så ska ske samt i enlighet med de instruktioner som lämnats av Personuppgiftsansvarige.

6.3 Personuppgiftsbiträdet ska Behandla Personuppgifter med sekretess och tillse att personer med behörighet att Behandla Personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.

6.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarige om förekomsten av eller risken för oavsiktlig eller obehörig åtkomst till personuppgifter eller andra säkerhetsincidenter (personuppgiftsincident). En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet.

7. Samverkan

7.1 Personuppgiftsbiträdet ska på Personuppgiftsansvariges förfrågan bistå denne att fullgöra sina skyldigheter enligt Tillämplig Dataskyddslag, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av personuppgiftsincidenter. Med tanke på behandlingens art ska Personuppgiftsbiträdet även bistå med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att efterfölja en registrerads begäran om insyn, information om och tillgång till personuppgifter, radering, rättelse, begränsning av behandling eller dataportabilitet eller annan begäran i enlighet med Tillämplig Dataskyddslag om utövande av den registrerades rättigheter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.

7.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning.

7.3 Personuppgiftsbiträdet ska skriftligen och i förväg informera Personuppgiftsansvarige om planerade ändringar av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Personuppgiftsbiträdets efterlevnad av Tillämplig Dataskyddslag. Innan sådana ändringar genomförs ska Personuppgiftsansvarige lämna sitt samtycke, vilket inte skäligen ska förvägras.

8. Anlitande av underbiträde och överföring till tredje land

8.1 Personuppgiftsbiträdet har rätt att anlita underleverantör för fullgörandet av Personuppgiftsbiträdets åtaganden enligt detta Biträdesavtal, förutsatt att sådan underleverantör ingår ett skriftligt så kallat underbiträdesavtal med Personuppgiftsbiträdet med villkor som motsvarar villkoren i detta Biträdesavtal, och då särskilt för att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i Tillämplig Dataskyddslag. De underbiträden som anges i bilaga 2 till detta biträdesavtal är godkända av Personuppgiftsansvarig per dagen för detta Biträdesavtal.

8.2 Innan Personuppgiftsbiträdet anlitar en ny underleverantör eller byter ut befintlig underleverantör för behandling av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige så att den Personuppgiftsansvarige har möjlighet att invända mot sådan förändring. Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige all information som den Personuppgiftsansvarige kräver för bedömning av underleverantören. Motsätter sig Personuppgiftsansvarige den föreslagna underleverantören eller återkallar sitt tidigare medgivande om användning av en underleverantör har Personuppgiftsansvarige rätt att säga upp detta Biträdesavtal och andra ingångna avtal som berör behandling av personuppgifter. Under uppsägningstiden får överföring av personuppgifter till den nya underleverantören inte ske. 

8.3 I de fall Personuppgiftsbiträdet anlitar underbiträde är det Personuppgiftsbiträdets ansvar att den anlitade underleverantören utför uppdraget på ett sådant sätt att underleverantören uppfyller alla de åtaganden och iakttar de begränsningar som följer av detta Biträdesavtal eller Tillämplig Dataskyddslag.

8.4 Om Personuppgiftsbiträdet avser att i samband med Behandling av Personuppgifter överföra personuppgifter till underleverantör som är etablerad utanför Europeiska Ekonomiska Samarbetsområdet (”EES”) och som av Europeiska Kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Tillämplig Dataskyddslag skall Personuppgiftsbiträdet vidta de åtgärder som krävs för att tillse att laglig grund för överföring enligt Tillämplig Dataskyddslag uppfylls, i den mån detta krävs enligt Tillämplig Dataskyddslag. Bilaga 2 innehåller en lista över underentreprenörer som är förhandsgodkända vid det datum då personuppgiftsbiträdesavtalet träder i kraft.

8.5 Om Personuppgifter överförs utanför Europeiska unionen ska Personuppgiftsbiträdet säkerställa att det finns rättsliga grunder enligt tillämpliga dataskyddslagar för dessa överföringar, till exempel Europeiska unionens modellklausuler. Den Personuppgiftsansvarige ger Personuppgiftsbiträdet fullmakt att på den personuppgiftsansvariges vägnar gå in i Europeiska unionens modellklausuler (2017/87/EU).

8.6 Personuppgiftsbiträdet får inte överföra personuppgifter utanför EES i annat fall än vad som anges ovan, såvida inte sådan överföring krävs enligt Tillämplig Dataskyddslag. I så fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om kravet på överföring innan sådan överföring görs.

9. Rätt till insyn och underrättelser

9.1 Personuppgiftsbiträdet ska ge Personuppgiftsansvarig tillgång till all information som krävs för att Personuppgiftsansvarig ska kunna kontrollera att Personuppgiftsbiträdet, samt eventuella underleverantörer enligt punkt 8 ovan, uppfyller de åtaganden som har beskrivits under detta Biträdesavtal.

9.2 Vid inträffad eller befarad personuppgiftsincident ska Personuppgiftsbiträdet rapportera per e-post till Personuppgiftsansvarig

10. Skada

10.1 De ansvarsbegränsningar för skada som anges i Huvudavtalet ska gälla på motsvarande sätt för de åtaganden som görs under detta Biträdesavtal.

11. Ersättning

11.1 Personuppgiftsbiträdet har rätt till särskild ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för arbete som utförs enligt punkterna 4.5, 5.2, 7, 9.1 och 13.1.

12. Avtalstid och upphörande av behandling av personuppgifter

12.1 Detta gäller så länge som Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning med anledning av detta Biträdesavtal eller Huvudavtalet.

12.2 Vid upphörande av Huvudavtalet (oavsett orsak) ska Personuppgiftsbiträdets behandling av Personuppgiftsansvariges personuppgifter upphöra.  Personuppgiftsbiträdet ska då, enligt instruktion från Personuppgiftsansvarig, återlämna eller förstöra all data som innehåller personuppgifter som Personuppgiftsansvarig överlämnat till Personuppgiftsbiträdet eller som på annat sätt kommit Personuppgiftsbiträdet tillhanda, inklusive sådana uppgifter som genererats vid Personuppgiftsbiträdets behandling av Personuppgiftsansvariges uppgifter, i ett av Personuppgiftsansvarig skäligen begärt format och lagringsmedium senast inom tre (3) månader från det att Huvudavtalet eller detta Biträdesavtal upphörde att gälla. Sådant återlämnande eller sådan förstöring av data ska innebära att aktuell data inte längre ska finnas kvar samt inte gå att återskapa hos Personuppgiftsbiträdet eller i Personuppgiftsbiträdets system. För det fall förstöring ska ske ska Personuppgiftsbiträdet, utan dröjsmål, skriftligen bekräfta att förstöring skett. Denna punkt 12.2 gäller såvida inte Tillämplig Dataskyddslag eller annan lagstiftning tillämplig på Personuppgiftsbiträdets verksamhet förhindrar Personuppgiftsbiträdet att återlämna eller radera personuppgifterna. I sådana fall ska Personuppgiftsbiträdet hantera alla personuppgifter med sekretess samt inte behandla personuppgifterna utöver vad som är tillåtet enligt Tillämplig Dataskyddslag eller annan tillämplig lagstiftning.  Oaktat vad som stadgas ovan äger Personuppgiftsbiträdet rätt att behålla och använda anonymiserad data för användning för statistik, marknadsundersökning och produktutveckling.

13. Tillägg och ändringar

13.1 Om Tillämplig Dataskyddslag förändras under tiden för Biträdesavtalet, eller om behöriga Tillsynsmyndigheter publicerar riktlinjer, beslut eller föreskrifter kring tillämpningen som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett avtal rörande behandling av personuppgifter ska detta Biträdesavtal ändras för att uppfylla sådana krav. Sådan ändring ska träda i kraft senast trettio (30) dagar efter att Personuppgiftsansvarig skickat skriftligt meddelande till Personuppgiftsbiträdet om ändringen, eller annars senast inom sådan tidperiod som krävs enligt den ändrade Tillämpliga Dataskyddslagen. Om Personuppgiftsbiträdet skulle vägra sådan ändring har Personuppgiftsansvarig rätt att säga upp Huvudavtalet, inklusive detta Biträdesavtal, med omedelbar verkan.

14. Tvist och lagval

14.1 Detta Biträdesavtal ska regleras av materiell svensk rätt utan beaktande av dess lagvalsregler. Tvister som uppstår i anledning av detta Biträdesavtal ska avgöras enligt Huvudavtalets bestämmelser om tvistlösning.

Bilaga 1

Instruktioner för behandling av personuppgifter

Ändamål: Tillhandahållande av tjänster för i enlighet med Huvudavtalet.

Kategorier av uppgifter: Namn, personnummer, kontaktuppgifter, bankkontonummer, inloggnings-ID, adress, telefonnummer, e-postadress, närmaste anhörig, skuldsaldo, och meddelanden till/från den registrerade.

Kategorier av registrerade: Kontaktpersoner hos Kund, anställda, ägare, entreprenörer; Leverantörer som är fysiska personer; Kunder samt potentiella kunder som är fysiska personer; Användare av Inkassograms system som är fysiska personer; Gäldenärer.

Behandlingar: Insamling, registrering, lagring, behandling, bearbetning och spridning. Import av personuppgifter via filöverföring: samkörning av personuppgifter gentemot externa register t ex folkbokföringsregister. Överföring till andra bolag inom Berazy-koncernen. Överföring av personuppgifter till myndigheter.

Plats för behandlingar: Behandling av personuppgifter äger rum i Sverige.

Informationssäkerhet: Personuppgifterna krypteras och lagras i två geografiskt separata datahallar i Sverige med full redundans och är endast åtkomliga av vår IT-säkerhetsansvarige. Processer och rutiner är implementerade för behandlingen av personuppgifter enligt GDPR, och validering sker kontinuerligt för att kontrollera efterlevnaden av detta. Fullständig information avseende organisatoriska och tekniska åtgärder för informationssäkerhet finns på /integritetspolicy.

Bilaga 2

Godkända underbiträden

Underbiträde:                                         Plats för behandling:

DGC Access AB                                      – Sverige

21 Grams AB                                           – EU

Tre Partner Communication AB         – Sverige

Handelsbanken                                      – Sverige

LiveChat                                                  – USA

Google Gsuit                                           – EU

Crediflow AB                                          – Sverige

Bisnode Sverige AB                              – Sverige

PipeDrive                                                – Tyskland