Kom igång med Lerry.ai
Ange ert telefonnummer så kontaktar vi er och hjälper er komma igång.
Detta personuppgiftsbiträdesavtal ("PUBA") är en del av ett avtal ("Huvudavtalet") enligt vilket Accounting Software Scandinavia AB ("Biträdet") ska tillhandahålla den part i Huvudavtalet definierats som "Kunden" ("Ansvarig") den AI-drivna assistenten inom ekonomi ("Tjänsten"). Tjänsten innefattar Biträdets behandling av enskildas personuppgifter för Ansvarigs räkning. PUBA ska tillämpas på varje sådan behandling, varvid Ansvarig är personuppgiftsansvarig och Biträdet är personuppgiftsbiträde. Ansvarig och Biträdet benämns nedan var för sig som "Part" och gemensamt som "Parterna".
PUBA utgör en bilaga till Huvudavtalet. Om det föreligger motsättningar mellan Huvudavtalet och PUBA, ska PUBA gälla såvitt motsättningarna avser behandling av personuppgifter.
1. Definitioner
1.1 Termer som används i detta PUBA som är definierade i Europaparlamentets och Rådets förordning (EU) 2016/679 ("GDPR") ska ha samma betydelse när de används häri, om inte särskilt angivits i PUBA eller i Huvudavtalet. GDPR och varje kompletterande lokal anpassning som är tillämplig på en Part kallas nedan gemensamt "Tillämplig Lag".
2. Behandling av personuppgifter
2.1 Som personuppgiftsansvarig är det Ansvarigs ansvar att personuppgifter behandlas i enlighet med Tillämplig Lag. I egenskap av personuppgiftsbiträde ska Biträdet behandla alla personuppgifter för Ansvarigs räkning i enlighet med (i) Huvudavtalet, (ii) Tillämplig Lag, och (iii) Ansvarigs dokumenterade instruktioner ("Instruktionerna"). Därutöver utgör PUBA Ansvarigs instruktioner. Biträdet ska inte vidta några åtgärder avseende personuppgifter som mottagits från Ansvarig eller som insamlats för Ansvarigs räkning för andra ändamål än de som anges i Instruktionerna, såvida det inte krävs enligt Tillämplig Lag i vilket fall Biträdet på förhand ska skriftligen informera Ansvarig om detta (om Biträdet inte är förhindrad att göra så enligt Tillämplig Lag). Parterna ska uppdatera Instruktionerna, där så är nödvändigt för att spegla nya eller ändrade instruktioner.
2.2 Biträdet kan vägra att följa Instruktionerna som tillhandahållits av Ansvarig om det skulle innebära behandling av personuppgifter i strid med Tillämplig Lag, under förutsättning att Biträdet skyndsamt underrättar Ansvarig om detta (om Biträdet inte är förhindrad att göra så enligt Tillämplig Lag).
3. Säkerhetsåtgärder
3.1 Ansvarig och Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas enligt PUBA, särskilt skydd mot oavsiktlig eller lagstridig förstöring, ändring, obehörigt avslöjande, obehörig åtkomst och andra typer av ej auktoriserad behandling.
3.2 Åtgärderna ska vara anpassade till en nivå som är lämplig med hänsyn till graden av känslighet för personuppgifterna, de särskilda risker som finns, existerande tekniska möjligheter och kostnaden för att utföra åtgärderna. Som ett minimum ska Ansvarig och Biträdet upprätthålla samma säkerhetsnivå som den som följer av Tillämplig Lag.
3.3 Biträdet ska bara låta personal få tillgång till personuppgifter om de har behov av detta. Biträdet ska tillse att all personal som har tillgång till personuppgifter omfattas av adekvata sekretessåtaganden.
3.4 Med beaktande av behandlingens art och den information som är tillgänglig för Biträdet ska Biträdet bistå Ansvarig med lämpliga tekniska och organisatoriska åtgärder för att uppfylla Ansvarigs åtaganden att svara på begäran om att utöva en registrerads rättigheter enligt Tillämplig Lag.
3.5 Ansvarig och Biträdet ska följa varje beslut från tillsynsmyndighet som har jurisdiktion över Ansvarig eller Biträdet. Biträdet ska också tillåta tillsynsmyndighet att ha tillsyn över behandlingen enligt detta PUBA.
4. Personuppgiftsincident
4.1 Vid en personuppgiftsincident ska Biträdet utan onödigt dröjsmål underrätta Ansvarig och enligt begäran bistå Ansvarig för att uppfylla dess anmälningsskyldighet. Underrättelsen ska, om så är möjligt, åtminstone omfatta följande:
- a) en beskrivning av personuppgiftsincidentens art innefattande, om så är möjligt, de kategorier och det ungefärliga antalet registrerade som berörs samt de kategorier och det ungefärliga avtalet personuppgifter som berörs.
- b) namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpersoner där mer information kan erhållas;
- c) en beskrivning och de sannolika konsekvenserna av personuppgiftsincidenten; och
- d) en beskrivning av de åtgärder som Ansvarig har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, innefattande, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
5. Register och riskbedömningar
5.1 Biträdet ska föra skriftligt register (inklusive i elektronisk form) över all behandling som utförs för Ansvarig, i enlighet med Tillämplig Lag.
5.2 Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Biträdet skäligen bistå Ansvarig, före behandlingen, med att utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter (innefattande att bistå Ansvarig vid samråd med tillsynsmyndigheten). I enlighet med Tillämplig Lag ska sådant bistånd ta hänsyn till behandlingens art och den information som är tillgänglig för Biträdet.
6. Registrerades rättigheter
6.1 Biträdet ska omgående till Ansvarig hänvisa varje begäran från registrerade samt meddelanden, förfrågningar och liknande från tillsynsmyndigheter (om Biträdet inte är förhindrad att göra så enligt Tillämplig Lag).
7. Granskning
7.1 Efter skriftlig förvarning har Ansvarig rätt att genom en välrenommerad extern revisor genomföra en granskning av Biträdet för att undersöka att Biträdets behandling av personuppgifter överensstämmer med detta PUBA. Granskningen ska utföras under kontorstid och med minimal störning av Biträdets verksamhet. Granskningen ska inte ge revisorn tillgång till affärshemligheter eller konfidentiell information, såvida detta inte erfordras för att följa Tillämplig Lag.
7.2 Ansvarig ska tillse att den externa revisorns personal som utför granskningen omfattas av adekvata sekretessåtaganden. Biträdet ska ge det bistånd som erfordras för att genomföra sådan granskning och ska, efter skriftlig begäran från revisorn, tillhandahålla all rimligt tillgänglig information avseende behandling av personuppgifter. Båda Parter har rätt att få en kopia av granskningsrapporten.
8. Underbiträden
8.1 Biträdet kommer för tillhandahållandet av Tjänsten att anlita vissa tredje parter ("Underbiträden") som kommer att agera som underbiträden enligt detta PUBA. Ansvarig bekräftar att det inte har någon invändning mot de Underbiträden som Biträdet för närvarande anlitar, vilka listas på Biträdets hemsida, och att Biträdet får anlita nya Underbiträden (inklusive att ersätta befintliga Underbiträden). Biträdet ska dock skriftligen informera Ansvarig (e-post är tillräckligt) om alla planerade förändringar avseende tillägg till eller utbyte av Underbiträden. Efter mottagandet av sådan information ska Ansvarig snabbt fatta ett beslut och i vart fall inom 10 dagar från mottagandet. Om Ansvarig underlåter att underrätta Biträdet om sitt beslut inom angiven tidsram ska det utgöra ett godkännande av underbiträdet. En invändning från Ansvarig måste baseras på rimliga skäl (t ex att anlitandet av underbiträdet kommer att öka riskerna för den registrerade).
8.2 När Biträdet anlitar ett underbiträde enligt punkt 8.1 ovan, ska det endast göras genom ett skriftligt avtal med underbiträdet som ålägger underbiträdet adekvata åtaganden avseende dataskydd vilka i allt väsentligt liknar dem i detta PUBA. Biträdet förblir ansvarig för underbiträdets skyldigheter enligt sådant avtal.
9. Internationella dataöverföringar
9.1 Biträdet får inte överföra personuppgifter utanför EU/EES (eller anlita ett underbiträde för att behandla personuppgifter utanför EU/EES) utan att Ansvarig i förväg skriftligen samtyckt. Om Ansvarig samtycker till sådan överföring ska Biträdet (i) uppfylla minst en av punkterna a) – d) nedan, och (ii) på Ansvarigs begäran visa uppfyllelse av sådan punkt:
- a) det mottagande landet har en adekvat skyddsnivå för personuppgifter, enligt beslut av Europeiska kommissionen;
- b) Ansvarig bekräftar att den registrerade har lämnat sitt samtycke till överföringen;
- c) överföringen omfattas av Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter till tredjeland; eller
- d) Biträdet omfattas av bindande företagsbestämmelser och den mottagande parten i tredjelandet omfattas också av bindande företagsbestämmelser.
10. Avtalets upphörande och radering av data
10.1 Efter Huvudavtalets upphörande och tillhandahållandet av Tjänsten avslutats ska Biträdet i enlighet med Tillämplig Lag och Instruktionerna, på Ansvarigs skriftliga begäran, antingen radera eller återlämna de personuppgifter som härunder behandlats för Ansvarigs räkning och Biträdet ska inte behandla några personuppgifter för vilka Ansvarig är personuppgiftsansvarig utöver den behandling som beskrivs i denna punkt, såvida inte Biträdet är skyldigt att göra detta enligt Tillämplig Lag och, om så är fallet, ska Biträdet upplysa Ansvarig om sådana skyldigheter.