Personuppgiftsbiträdesavtal

1. Allmänt

• Onslip Cloud AB, 559118-1200, (”Onslip”), och Onslips kund (”Kunden”), har ingått ett avtal avseende Onslips tillhandahållande av kassa- och betalningslösningar samt mindre affärssystemslösningar (”Avtalet”). Lösningarna tillhandahålls genom tjänster och tilläggstjänster (”Tjänster”) och/eller genom hårdvaruprodukter m.m. (”Produkter”). Avtalet och Kundens användning av avtalade Tjänster och Produkter innebär att Onslip kommer att Behandla (enligt definition nedan) Personuppgifter (enligt definition nedan) för Kundens räkning.
• Enligt reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter m.m. (”Dataskyddsförordningen”) ska sådan Behandling regleras genom avtal eller liknande.
• Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) kompletterar därför Avtalet vad avser Behandling av Personuppgifter.
• Utöver Avtalet och detta Personuppgiftsbiträdesavtal gäller för beställda Tjänster och Produkter de allmänna villkor (”Allmänna Villkor ”) och de särskilda villkor (”Särskilda Villkor”) som framgår av Avtalet och som tillhandahålls på www.onslip.com (”Webbplatsen”).
• Vid eventuell bristande överensstämmelse mellan avtalshandlingarna gäller de i följande ordning för Behandling av Personuppgifter: 1) Personuppgiftsbiträdesavtalet, 2) Avtalet, 3) Särskilda Villkor, 4) Allmänna Villkor.

2. Definitioner

• Utöver ovan angivna definitioner ska följande definitioner, oberoende av böjningsform, ha den betydelse som anges nedan. Begrepp och definitioner i detta Personuppgiftsbiträdesavtal ska ha motsvarande betydelse som i Dataskyddsförordningen samt tolkas och tillämpas i enlighet med Dataskyddsregler.
• ”Behandling” avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
• ”Dataskyddsregler” avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter, vilket innefattar men inte är begränsat till Dataskyddsförordningen; samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.
• ”Känsliga Personuppgifter” avser Personuppgifter som anses vara känsliga enligt Dataskyddsregler såsom ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en Registrerads sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som identifierar en Registrerad.
• ”Tillsynsmyndighet” avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregler (i skrivande stund i Sverige Datainspektionen).
• ”Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifikator som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
• ”Personuppgiftsansvarig” avser den som på egen hand eller tillsammans med andra, fastställer ändamål och medel för behandlingen av Personuppgifterna.
• ”Personuppgiftsbiträde” avser den som behandlar Personuppgifter på uppdrag av den Personuppgiftsansvarige.
• ”Registrerad” avser den fysiska person som en Personuppgift avser.
• ”Särskilt Skyddsvärda Personuppgifter” avser personnummer, löneuppgifter, värderande uppgifter, information som rör någons privata sfär, uppgifter om sociala förhållanden och eventuella andra Personuppgifter som anses vara särskilt skyddsvärda enligt Dataskyddsregler eller Tillsynsmyndighet.
• ”Underbiträde” avser den som Behandlar Personuppgifter som underleverantör åt Personuppgiftsbiträdet.

3. Ansvar och instruktion

• Kunden är Personuppgiftsansvarig för de Personuppgifter som Behandlas för Kundens räkning under Avtalet. Kunden ansvarar för att Behandla dessa Personuppgifter i Produkterna och Tjänsterna på ett sätt som är förenligt med tillämpliga Dataskyddsregler.
• Onslip är Personuppgiftsbiträde för de Personuppgifter som Behandlas för Kundens räkning under Avtalet. Onslip åtar sig att endast utföra sådan Behandling i enlighet med Avtalet och detta Personuppgiftsbiträdesavtal och Kundens dokumenterade instruktioner. De instruktioner som gäller vid Personuppgiftbiträdesavtalets träffande gällande bl.a. föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typer av Personuppgifter, samt kategorier av Registrerade beskrivs i punkt 14 Utöver de instruktioner som framgår av punkt 14 ska detta Personuppgiftsbiträdesavtal och Avtalet i övrigt anses utgöra Kundens initiala instruktioner till Onslip avseende Behandling av Personuppgifter. Vidare kan Kunden lämna vissa instruktioner genom sin användning av Tjänsterna, genom att t.ex. lägga till eller ta bort Personuppgifter inom ramen för en Tjänst.
• Onslip har på grund av Tjänsternas och Produkternas beskaffenhet behov av att kundernas instruktioner för Behandling av Personuppgifter är relativt standardiserade. Kunden har dock rätt att utöva sina rättigheter avseende ändring av instruktioner m.m. som följer av Dataskyddsregler i förhållande till Onslip. Om Kunden lämnar instruktioner som enligt Onslips skäliga bedömning inte är förenliga med Tjänsterna eller Produkternas standardiserade beskaffenhet, har dock Onslip rätt att säga upp Avtalet med iakttagande av en (1) månads uppsägningstid, eller den kortare uppsägningstid som Kunden skriftligen meddelar Onslip vid mottagande av Onslips uppsägning med stöd av denna punkt. Om Kunden ändrar sina instruktioner för Behandling av Personuppgifter utan att Onslip säger upp Avtalet enligt denna punkt, kan Onslip ha rätt till ersättning för det arbete eller de ökade kostnader som de ändrade instruktionerna föranleder i enlighet med principerna i punkt 10
• Om Onslip anser att en instruktion från Kunden strider mot Dataskyddsregler ska Onslip utan dröjsmål informera Kunden härom och invänta ytterligare instruktioner från Kunden.
• Onslip får utföra Behandling av Personuppgifter utöver Kundens givna dokumenterade instruktioner i den mån sådan Behandling krävs enligt unionsrätten eller en medlemsstats nationella rätt som Onslip omfattas av. Onslip ska dock informera Kunden om sådan Behandling innan den utförs, såvida sådan information inte är förbjuden med hänvisning till ett allmänintresse enligt denna rätt.
• För undvikande av missförstånd har Onslip rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter lagra och behandla data som härrör från Kunden i aggregerat eller anonymiserat format, d.v.s. data som inte innehåller personuppgifter.

4. Säkerhet

• Onslip ska vidta alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och för att skydda de Personuppgifter som Behandlas på uppdrag av Kunden från obehörig eller olaglig Behandling, oavsiktlig eller olaglig förlust, förstöring eller ändring eller obehörigt röjande av eller åtkomst till sådana Personuppgifter. Nämnda åtagande omfattar att vidta åtgärder för att skydda Personuppgifterna som krävs enligt Dataskyddsförordningens artikel 32. Onslip ska också i skälig omfattning bistå Kunden med att uppfylla skyldigheterna enligt Dataskyddsförordningen, artiklarna 32–36, med beaktande av typen av Behandling och den information som Onslip har att tillgå.
• Onslip ska säkerställa att dess personal samt eventuella konsulter med behörighet att Behandla Personuppgifterna iakttar sekretess i relation till Personuppgifterna. Onslip får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter till tredje man utan uttrycklig instruktion från Kunden, dock med undantag för sådana parter med vilka det finns underbiträdesavtal i enlighet med punkt 6
• Onslip har, för att uppfylla de krav på säkerhet som anges i detta Personuppgiftsbiträdesavtal, vidtagit de säkerhetsåtgärder som anges i punkt 14. Kunden bekräftar att dessa säkerhetsåtgärder enligt Kundens bedömning är tillräckliga. Om Kunden kräver ytterligare säkerhetsåtgärder ska Onslip i möjligaste mån möta dessa krav, mot erläggande av skälig ersättning från Kunden.

5. Assistans

• Om Onslip tar emot en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man med avseende på Personuppgifter som Behandlas av Onslip för Kundens räkning, ska Onslip hänvisa denna tredje part till Kunden. Onslip ska inte lämna ut sådana Personuppgifter till tredje part om sådant utlämnande inte är tvingande enligt tillämplig lag eller Dataskyddsregler som Onslip omfattas av. I det senare fallet ska Onslip ändå informera Kunden om begäran, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
• Onslip ska assistera Kunden, genom lämpliga tekniska och organisatoriska åtgärder (i den mån detta är möjligt), i relation till en begäran från en Registrerad vid den Registrerades utövande av sina rättigheter enligt Dataskyddsregler med avseende på Personuppgifter som Behandlas av Onslip för Kundens räkning, i den mån och utsträckning detta krävs under Dataskyddsregler.
• Onslip ska utan dröjsmål informera Kunden om en misstanke om eller konstaterat dataintrång i relation till Personuppgifterna som Behandlas för Kundens räkning och ska mot skälig ersättning assistera Kunden i framtagandet av information och rapporter till Registrerade och myndigheter, i den mån och utsträckning detta krävs under Dataskyddsregler, såsom enligt Dataskyddsförordningen, artiklarna 33 och 34.

6. Underbiträden och överföring av Personuppgifter utanför EU/EES

• Personuppgifter får Behandlas av ett Underbiträde under förutsättning att Onslip på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som Onslip åläggs enligt detta Personuppgiftsbiträdesavtal.
• De Underbiträden som Onslip använder sig av vid ingåendet av detta Personuppgiftsbiträdesavtal framgår av denna lista. Genom att ingå detta Personuppgiftsbiträdesavtal godkänner Kunden Onslips användning av de Underbiträden som framgår av listan.
• Onslip åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar. Om Kunden invänder mot anlitandet av ett sådant Underbiträde ska Kunden ersätta Onslip för Onslips skäliga och styrkta merkostnader som Onslip har för att byta ut nämnt Underbiträde mot ett annat Underbiträde. Om Kunden inte accepterar att ersätta dessa merkostnader, har Onslip en rätt att säga upp Avtalet och detta Personuppgiftsbiträdesavtal till upphörande i enlighet med reglerna om avtalets förtida upphörande i punkt 11 i de Allmänna Villkoren.
• Om Onslip anlitar Underbiträde i enlighet med punkt 1 ovan är det Onslips ansvar att det anlitade Underbiträdet utför uppdraget på ett sådant sätt att Underbiträdet uppfyller alla de åtaganden och iakttar de begränsningar som enligt detta Personuppgiftsbiträdesavtal åläggs Onslip.
• Överföring av Personuppgifter av Onslip eller av Underbiträde till en plats utanför EES-området får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsregler uppfylls.

7. Rätt till insyn

• Onslip ska ge Kunden tillgång till den information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Kunden till Onslip. Detta medför bland annat att Kunden, i egenskap av Personuppgiftsansvarig, har rätt att vidta nödvändiga åtgärder för att verifiera att Onslip kan fullfölja sina åtaganden enligt Personuppgiftsbiträdesavtalet och att Onslip faktiskt har vidtagit åtgärder för att säkerställa detta.
• Onslip ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Personuppgiftsbiträdesavtalet har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en oberoende revisor som har bemyndigats av Kunden och som Onslip skäligen kan acceptera.
• Kunden accepterar att sådan rätt till insyn och information som anges i punkterna 1-7.2 ovan, anses uppfyllda genom att Kunden antingen själv eller genom en oberoende tredje man, såsom revisor, genomför en sådan granskning på Kundens uppdrag i den mån detta inte står i strid med kraven enligt Dataskyddsregler. Onslip ska med hänsyn till skyldigheterna enligt denna punkt 7 omedelbart informera Kunden om Onslip anser att en instruktion strider mot Dataskyddsregler.
• Kunden ska stå för samtliga kostnader associerade med sådan revision och/eller inspektion m.m. som avses i punkt 2, inklusive eventuella kostnader hänförliga till Onslips Underbiträdens medverkan till revisionen. Om revisionen påvisar en allvarlig brist i Onslips åtaganden i strid med detta Personuppgiftsbiträdesavtal, ska dock Onslip ersätta Kunden för skäliga och verifierade kostnader som denne haft i samband med revisionen.

8. Skada

• Om Onslip, den som arbetar under Onslips ledning eller av Onslip anlitat Underbiträde, Behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal, de lagenliga dokumenterade instruktioner som Kunden har lämnat eller Dataskyddsregler, ska Onslip med tillämplighet av de ansvarsbegränsningar som följer av Avtalet, ersätta Kunden för den direkta skada som Kunden orsakas på grund av den felaktiga Behandlingen.
• Kunden ska ersätta Onslip för den direkta skada som Onslip orsakas genom överträdelse av Dataskyddsregler som beror på otydliga, bristfälliga eller otillåtna instruktioner från Kunden eller i övrigt förhållande som Kunden svarar för enligt detta Personuppgiftsbiträdesavtal eller Avtalet.
• Parterna är ense om att eventuella administrativa sanktionsavgifter och skadeståndskrav från Registrerade ska anses utgöra direkt skada enligt detta Personuppgiftsbiträdesavtal.
• Parts ersättningsskyldighet avseende krav och skador enligt denna punkt 8 gäller under förutsättning att den skadelidande Parten utan onödigt dröjsmål, dock senast inom sex (6) månader från att kravet uppmärksammades av den skadelidande Parten, skriftligen underrättar den andra Parten om kravet.

9. Kategorier av Personuppgifter

• Som standard erbjuder Onslip en säkerhetsnivå vilken är anpassad för Behandling av harmlösa Personuppgifter samt, till vissa delar, Särskilt Skyddsvärda Personuppgifter i form av personnummer.
• Kunden förpliktar sig att på förhand informera Onslip om Behandlingen innefattar Känsliga Personuppgifter eller andra Särskilt Skyddsvärda Personuppgifter än personnummer.
• Onslip kommer inte att göra någon bedömning om vilka kategorier av Personuppgifter som läggs in i Produkten och/eller Tjänsten, utan det är Kundens ansvar att tillse att de Personuppgifterna som Behandlas tillhör den kategorin som Onslip har blivit informerad om. Kundens ansvarar även för att bedöma att de säkerhetsåtgärder som Onslip vidtar säkerställer en säkerhetsnivå som är lämplig i förhållande till risken.
• Kunden accepterar att Behandling av Känsliga Personuppgifter eller andra Särskilt Skyddsvärda Personuppgifter än personnummer ger Onslip rätt till ersättning i enlighet med punkt 10

10. Ersättning

• Onslip ska ha rätt till skälig ersättning för styrkta och skäliga kostnader avseende arbete och kostnader som beror på dokumenterade instruktioner för Behandlingen från Kunden som går utöver de funktioner och den säkerhetsnivå som följer av de tjänster som Onslip normalt erbjuder sina kunder, eller som kräver att Onslip behöver göra specialanpassningar för Kundens räkning. Motsvarande gäller i den mån Kundens behandling innefattar förhållanden eller Personuppgifter enligt punkt 4 ovan.

11. Avtalstid och upphörande av Behandling av Personuppgifter

• Personuppgiftsbiträdesavtalet gäller från det första av (i) Kundens undertecknande Personuppgiftsbiträdesavtalet eller Kundens godkännande av Personuppgiftsbiträdes­avtalet på annat sätt, och (ii) Kundens användning av Tjänsten eller Produkten innebärande att Onslip Behandlar Personuppgifter för Kundens räkning och gäller därefter så länge som Onslip Behandlar Personuppgifter för Kundens räkning enligt Avtalet eller av annat skäl.
• Under Avtalets eller Personuppgiftsbiträdesavtalets giltighetstid, har Kunden möjlighet att själv radera Personuppgifter från Produkterna och Tjänsterna. Kundens radering av Personuppgifter utgör en instruktion till Onslip att radera Personuppgifterna från Onslips system i enlighet med gällande Dataskyddsregler. Onslip kommer därmed att radera uppgifterna så snart det skäligen kan ske, dock senast sex (6) månader efter det att instruktionen har lämnats.
• Vid Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) ska Onslip, beroende på Kundens val såsom det meddelas till Onslip, radera eller återlämna alla Personuppgifter till Kunden och säkerställa att varje Underbiträde gör detsamma. Om Kunden inte lämnar meddelande om att Personuppgifter ska återlämnas ska Onslip radera uppgifterna senast sex (6) månader efter Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först). Onslip ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt Dataskyddsregler.

12. Ändringar i Personuppgiftsbiträdesavtalet

• Om (i) Dataskyddsregler ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsregler som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal, eller (ii) andra författningar, branschbestämmelser eller för Onslip bindande eller rekommenderade regelverk avseende Tjänsterna eller Produkterna ändras på ett sätt som bedöms påverka Onslips behandling av Personuppgifter, har Onslip rätt att ändra/göra tillägg till detta Personuppgiftsbiträdesavtal (inklusive instruktionerna) för att tillgodose sådana nya eller tillkommande krav.
• Vid sådan ändring som avses i punkt 1 ska Kunden aviseras senast en (1) månad innan ändringen av Personuppgiftsbiträdesavtalet träder i kraft. Kunden har rätt att senast femton (15) dagar efter erhållande av meddelande om aktuell villkorsändring via e-mail eller, om tillämpligt, i Tjänsterna säga upp Avtalet (inklusive detta Personuppgiftsbiträdes­avtal) till upphörande i förtid om Kunden inte accepterar den aktuella villkorsändringen och sådan ändring medför negativ förändring avseende Personuppgifts­biträdes­­avtalet för Kunden. Vid sådan uppsägning i förtid av Kunden ska Avtalet och Personuppgifts­biträdes­avtalet upphöra att gälla från och med den tidpunkt då den aktuella ändringen träder i kraft.
• Vid avisering inom Tjänsterna ska (i) Kundens kvittering av sådant meddelande/meny eller (ii) fortsatta användning av Tjänsterna under den period då ändring av Personuppgiftsbiträdesavtalet trätt ikraft, jämställas med att Kunden tagit del och accepterat det aktuella meddelandet och aviserad ändring av Personuppgiftsbiträdesavtalet.
• Utan hinder av vad som anges i punkterna 1-12.3 ovan har Onslip rätt att göra ändringar och tillägg i Personuppgiftsbiträdesavtalet som inte är till Kundens nackdel. Sådana ändringar och tillägg träder i kraft trettio (30) dagar efter det att meddelande härom gjorts tillgängligt på Webbplatsen.

13. Övrigt

• För undvikande av missförstånd klargörs att svensk lag under alla omständigheter ska tillämpas på Onslips Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.
• Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med Avtalets tvistlösningsbestämmelser i punkt 18 i de Allmänna Villkoren.

 

14. Instruktioner för Behandling av Personuppgifter

Syfte och ändamål Specificera alla skäl till att Onslip kommer att Behandla Personuppgifter.	Syftet med Behandlingen är att Onslip ska kunna tillhandahålla följande tjänster eller uppdrag: Tjänster och Produkter i form av kassa- och betalningslösningar samt mindre affärssystemslösningar.
Kategorier av Personuppgifter Specificera de typer av Personuppgifter som kommer att Behandlas av Onslip.	–        Harmlösa Personuppgifter: namn, kontaktuppgifter, m.m. –        Känsliga Personuppgifter: Inte tillämpligt –        Särskilt Skyddsvärda Personuppgifter: personnummer.
Kategorier av Registrerade Specificera de kategorier av Registrerade vars Personuppgifter kommer Behandlas av Onslip.	–        Anställda –        Kunder (eller kontaktpersoner hos kunder)
Typ av Behandling Specificera alla slags Behandlingsverksamheter som ska utföras av Onslip.	–        Införande av uppgifter i kassasystem/affärssystem –        Lagring av uppgifter i kassasystem/kassahårdvara –        Lagring av backuper i externa servrar –        Radering av uppgifter i kassasystem/kassahårdvara –        Analyser och sammanställningar av rapporter inom ramen för Tjänsten. –        För att tillmötesgå Kundens behov av support lagrar Onslip personuppgifter vid användning av Tjänsten genom loggning.
Gallringstid Specificera gallringstid avseende när Personuppgifterna som behandlas av Onslip ska gallras.	–        Onslip gallrar genom anonymisering av personuppgiftsdata 6 månader efter avtalets upphörande. Uppgifter som är del av den elektroniska journalen enligt Skatteverkets regler enligt kassaregisterlagen eller bokföringslagen, gallras dock genom anonymisering 7 år efter insamling av uppgifterna. –       Onslip gallrar säkerhetskopior kontinuerligt efter 12 månader.
Specifika säkerhetskrav Onslip ska vidta dessa säkerhetsåtgärder.	–        Begränsning av åtkomst –        Loggning och övervakning –        Auktorisation och behörigheter –        Kryptering av datakommunikation gör vid överföring med HTTPS –        Radering –        Sekretessavtal –        För åtkomst till uppgifter i säkerhetskopior krävs särskild behörighet