Personuppgiftsbiträdesavtal enligt Artikel 28 Datsskyddslagen

Detta personuppgiftsbiträdesavtal (”Avtalet”) gäller mellan Kunden (Personuppgiftsansvarig) och KreditBevakarna i Linköping HB (Leverantören) med organisationsnummer 916518–2438.

Parterna benämns fortsättningsvis gemensamt som ”Partnerna” och var för sig som ”Part”.

1. BAKGRUND

1.1 Parterna har sedan tidigare, eller inleder, ett Samarbete där Kunden utnyttjar Leverantörens påminnelser och/eller inkassotjänster.

1.2 Inom åtagandena som följer av detta Samarbete behandlar Leverantören personuppgifter samt annan information för Kundens räkning.

1.3 Med anledning av detta ingår Parterna detta avtal för att reglera förutsättningarna för Leverantörens behandling och tillgång till personuppgifter tillhörande Kunden enligt definitioner nedan.

2. DEFINITIONER

Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i detta dokument ha nedan angiven betydelse och sådan definition eller begrepp som används i Dataskyddförordningen och som inte har angivits nedan, ska ha motsvarande definition som följer av artikel 4 i Dataskyddsförordningen.

”Annat Regelverk” Avser Nationella lagar som från tid till annan är tillämpliga på Behandling av Personuppgifter (exkluderande Dataskyddsförordningen).

”Behandling” Avser en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

”Dataskyddsförordningen” Avser Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”Instruktionen” Avser de instruktioner som Kunden inom ramen för detta Avtal ger Leverantören.

”Personuppgifter” Avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

”Personuppgiftsansvarig” Avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

”Personuppgiftsbiträde” Avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

”Personuppgiftsincident” Avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

”Registrerad” Avser den fysiska person i livet vars Personuppgifter Behandlas.

3. DOKUMENT

3.1 Avtalet består av detta dokument och den bilagda Instruktionen.

3.2 För det fall det finns motsägelser mellan detta dokument och Instruktionen ska detta dokument äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.

4. ALLMÄNT OM PERSONUPPGIFTSBEHANDLINGEN

4.1 Kunden är Personuppgiftsansvarig för de Personuppgifter som Behandlas inom ramen för Samarbetet.

4.2 Leverantören är att betrakta som Personuppgiftsbiträde åt Kunden.

4.3 Leverantören har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att Behandlingen av Personuppgifter uppfyller kraven i Dataskyddsförordningen och Annat Regelverk samt för att säkerställa att den Registrerades rättigheter skyddas.

4.4 Leverantören ska, med beaktande av Behandlingens art, assistera Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

4.5 Om Leverantören anser att Instruktionen eller annan instruktion eller meddelande från Kunden står i strid med Dataskyddsförordningen eller Annat Regelverk äger Leverantören rätt att meddela Kunden detta och avvakta med Behandlingen ifråga.

5. ÄNDAMÅL OCH TYP AV PERSONUPPGIFTER M.M.

5.1 I Instruktionen ska bl.a. framgå föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av Registrerade.

6. LEVERANTÖRENS PERSONAL M.M.

6.1 Leverantören, dess anställda och andra personer som utför arbete under Leverantörens överinseende, och som får del av Personuppgifter tillhöriga Kunden, får endast Behandla dessa på instruktion från Kunden, såvida denne inte är skyldig att göra det enligt unionsrätten eller svensk nationell rätt.

6.2 Inom ramen för inkassohanteringen har Leverantören och dess anställda tystnadsplikt enligt 11 § Inkassolagen (1974:182).

7. SÄKERHET

7.1 Leverantören ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.

7.2 Med beaktande av typen av Behandling och den information som Leverantören har ska Leverantören bistå Kunden med att se till att skyldigheterna kring säkerhet – på sätt som följer av artikel 32 i Dataskyddsförordningen – kan fullgöras.

7.3 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

8. PERSONUPPGIFTSINCIDENT

8.1 Leverantören ska, med beaktande av typen av Behandling och den information som Leverantören har att tillgå, bistå Kunden med att tillse att skyldigheterna i samband med eventuell Personuppgiftsincident kan fullgöras på sätt som följer av artikel 33–34, i Dataskyddsförordningen.

9. KONSEKVENSBEDÖMNING OCH FÖRHANDSSAMRÅD

9.1 Leverantören ska, med beaktande av Behandlingens art och den information som är tillgänglig för Leverantören, bistå Kunden med att uppfylla dennes eventuella skyldigheter för utövandet av konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet enligt artikel 35 och 36 Dataskyddsförordningen.

10. INSTRUKTIONEN

10.1 Leverantören får endast Behandla Personuppgifterna som omfattas av detta Avtal på de dokumenterade Instruktionerna, inbegripet när det gäller överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören omfattas av, och i så fall ska Leverantören informera Kunden om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt relevant nationell rätt.

10.2 Kunden har rätt att uppdatera Instruktionen från tid till annan. Leverantören äger rätt till ersättning för merkostnader om Kunden förändrar Instruktionen.

11. UNDERBITRÄDE

11.1 Parterna är överens om att Leverantören har rätt att anlita underbiträde för att utföra arbetet enligt Avtalet.

11.2 Om Leverantören planerar att anlita ett nytt personuppgiftsbiträde eller ersätta befintligt personuppgiftsbiträde ska denne informera Kunden så att Kunden har möjlighet att invända mot detta (invändning får dock inte ske om det inte föreligger objektivt godtagbara skäl).

11.3 Leverantören ska tillse att sådant underbiträde ingår ett skriftligt personuppgiftsbiträdesavtal innan underbiträdet påbörjar arbete som har anknytning till Kunden. Ett sådant personuppgiftsbiträdesavtal ska innehålla de åtaganden och skyldigheter som följer av Avtalet. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.

11.4 Om underbiträdet inte fullgör sina skyldigheter ska Leverantören vara ansvarig gentemot Kunden för utförandet av underbiträdets skyldigheter.

11.5 Leverantören är medveten om att denne måste respektera vad som anges avseende anlitande av underbiträde.

11.6 Leverantören anlitar i förekommande fall följande underbiträden:
SYNA AB – För kontroll av adresser, betalningsanmärkningar mm.
Space2u Webbhosting AB – För beställning och inloggning på webben.

11.7 Information överförs även i förekommande fall till följande myndigheter: Kronofogdemyndigheten, Domstolar, Socialtjänst vid kommuner.

12. ÖVERFÖRING TILL TREDJE LAND

12.1 Leverantören får förflytta, förvara, överföra eller på annat sätt Behandla Personuppgifter tillhöriga Kunden utanför EU/EES om sådan överföring uppfyller de krav och åtgärder som följer av Dataskyddsförordningen.

13. RÄTT TILL INSYN

13.1 Leverantören ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och för att möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som bemyndigats av Kunden. Leverantören ska alltid ha rätt till skäligt varsel för det fall Kunden vill utnyttja sin rätt att genomföra en granskning eller inspektion och Kunden ska ersätta Leverantören för dennes kostnader i samband med sådan granskning eller inspektion.

14. ERSÄTTNING

14.1 Leverantören ska inte erhålla någon ersättning för åtgärder eller liknande som denne vidtar avseende Behandling av Personuppgifter i enlighet med Avtalet eller som en följd av Avtalet i övrigt utöver vad som följer av punkt 10.2 och 13.1.

15. ANSVAR

15.1 Parterna är medvetna om att ansvarsbegränsningen inte gäller (i) för det fall tillsynsmyndighet eller domstol utdömer administrativ avgift gentemot någon av Parterna, (ii) Part har regressrätt gentemot den andra Parten i anledning av sådan Part fått erlägga administrativ avgift som rätteligen (eller genom solidariskt ansvar) skulle ålagts förstnämnda Part eller (iii) vid skadeståndstalan från Registrerad.

16. AVTALETS UPPHÖRANDE

16.1 När Leverantören upphör med Behandling av Personuppgifter för Kundens räkning ska Leverantören, beroende på vad Kunden väljer, radera eller återlämna alla personuppgifter till Kunden, och radera befintliga kopior (såvida inte lagring av Personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten).

17. SEKRETESS

17.1 Parterna förbinder sig att under avtalstiden och därefter att inte till utomstående lämna information avseende Avtalets innehåll och annan information som Parterna fått ta del av med anledning av Avtalet, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell information”). Parterna förbinder sig att använda Konfidentiell information enbart i syfte att fullgöra sina åtaganden under Avtalet och inte för något annat ändamål. Mottagande Part förbinder sig vidare att vidta erforderliga åtgärder för att förhindra att anställd, underkonsult eller annan mellanman använder eller avslöjar Konfidentiell information för utomstående samt att använda samma nivå av aktsamhet (men inte lägre nivå än skälig aktsamhet) för att undvika utlämnande eller nyttjande av Konfidentiell information som Parten använder avseende sin egen konfidentiella eller upphovsrättsskyddade information.

17.2 Ovanstående gäller inte för sådan information som vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet; eller) redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot Avtalet.

17.3 Denna sekretessförbindelse förhindrar inte Part från att lämna sådan information som Part har skyldighet att lämna ut enligt lag, dom eller myndighets beslut eller avtal med börs eller annan marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, åtar sig Parterna att omedelbart underrätta den andra Parten för att ge denne möjlighet att vidta skyddsåtgärder. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.

18. ÖVERLÅTELSE AV AVTALET

18.1 Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Avtalet utan den andra Partens skriftliga i förväg lämnade godkännande.

19. TILLÄMPLIG LAG OCH TVISTER

19.1 Svensk lag ska tillämpas på Avtalet.

Bilaga 1 – INSTRUKTIONEN

Art och- ändamål med behandlingen: Tillhandahållande av påminnelse- och inkassotjänster.

Föremålet för behandlingen: Kunder till den personuppgiftsansvarige som överlämnats till Leverantören för inkasso.

Behandlingar som görs: Insamling, registrering, lagring, behandling och bearbetning. Överföring av personuppgifter till myndigheter.

Behandlingens varaktighet: Behandlingen pågår normalt till dess uppdraget från Kunden är slutfört eller att det återkallas av Kunden.

Typen av personuppgifter som registreras: Namn, personnummer, adress, kontaktuppgifter, kundnummer, bankkontonummer, telefonnummer, telefaxnummer, mejladress, skuldsaldo samt meddelande från och till den registrerade.

Kategorier av registrerade: De av Kundens egna kunder som är fysiska personer, enskilda näringsidkare, bolagsmän i handelsbolag och komplementärer i kommanditbolag. Kundens kontaktperson.

Platsen för behandlingen: Sverige