GDPR - Integritetspolicy och Allmänna villkor
Dataskyddsförordningen (GDPR, The General Data Protection Regulation) gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras.
Här nedan kan du läsa mer om vår intgritetspolicy, hantering av personuppgifter och våra allmänna villkor. Har du några frågor eller funderingar, var god kontakta oss på info@casai.io
Integritetspolicy och hantering av personuppgifter
CASAI Personuppgiftsbiträdesavtal Ver 1, 2022-10-18
- Bakgrund
1.1 Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) reglerar Personuppgiftsbiträdets (enligt definition nedan) behandling av personuppgifter för den Personuppgiftsansvariges (enligt definition nedan) räkning i enlighet med de avtal avseende tillhandahållande av Personuppgiftsbiträdets mjukvaruprogram, onlinetjänster, datamedia, hjälpfunktioner och/eller handledningar samt ändringar eller annan utveckling av sådan produkt (“Produkten”) och, om tillämpligt, tillhandahållande av Personuppgiftsbiträdets tjänster (”Tjänsterna”) som träffats mellan Personuppgiftsansvarig och Personuppgiftsbiträdet (var för sig ”Produktavtalet” respektive ”Uppdragsavtalet” och gemensamt “Avtalen”).
1.2 Genom att teckna Avtalen och/eller godkänna Diagonas allmänna villkor (”Allmänna villkoren”) och Biträdesavtalet blir Personuppgiftsansvarig och Personuppgiftsbiträdet bundna av detta Biträdesavtal vilket utgör en integrerad del av Avtalen.
1.3 Personuppgiftsansvarig bestämmer ändamålen och medlen för behandlingen av personuppgifter under detta Biträdesavtal och är därmed personuppgiftsansvarig för sådan behandling. För det fall Personuppgiftsansvarig agerar som personuppgiftsbiträde för en tredje parts räkning och Personuppgiftsbiträdet agerar som underbiträde ska detta Biträdesavtal gälla på motsvarande sätt.
1.4 Personuppgiftsbiträdet behandlar personuppgifter under detta Biträdesavtal för den Personuppgiftsansvariges räkning och är därmed personuppgiftsbiträde för sådan behandling.
- Definitioner och tolkning
2.1 Begrepp i detta Biträdesavtal ska tolkas i enlighet med tillämplig dataskyddslagstiftning (härefter ”Tillämplig Dataskyddslagstiftning”). Med Tillämplig Dataskyddslagstiftning avses, om inte annat särskilt överenskommits, alla vid var tid gällande lagar och förordningar som är tillämpliga på Personuppgiftsbiträdets behandling av personuppgifter inom ramen för Biträdesavtalet (inklusive, men inte begränsat till Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”)) och tillsynsmyndighets bindande föreskrifter och beslut som är tillämpliga på behandlingen av personuppgifter inom ramen för Biträdesavtalet.
2.2 “Personuppgiftsansvarig” avser den part som definierats som kund enligt Produktavtalet och/eller uppdragsgivare enligt Uppdragsavtalet.
2.3 “Personuppgiftsbiträde” avser Diagona AB och i tillämpliga fall dess koncernbolag.
2.4 Begrepp med stor begynnelsebokstav i detta Biträdesavtal ska ha den innebörd som anges i de Allmänna villkoren.
2.5 Vid bristande överensstämmelse mellan Biträdesavtalet och Avtalen ska, avseende behandling av personuppgifter, bestämmelserna i Biträdesavtalet äga företräde framför Avtalen.
- Bilagor till Biträdesavtalet
Se Bilaga 1
- Behandling av personuppgifter
4.1 Instruktioner
4.1.1 Personuppgiftsansvarig är ansvarig för att behandling av personuppgifter sker i enlighet med Tillämplig Dataskyddslagstiftning. Personuppgiftsansvarig ansvarar för att Personuppgiftsbiträdet inte ska behandla andra kategorier av personuppgifter än sådana som anges i Bilaga 1 och i däri angiven omfattning.
4.1.2 Personuppgiftsbiträdet, och varje person som är behörig att utföra arbete för dess räkning, åtar sig att endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner som framgår av Bilaga 1 till detta Biträdesavtal, såvida inte Personuppgiftsbiträdet har en skyldighet enligt tillämplig lag att behandla personuppgifterna. I sådana fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om detta innan behandlingen påbörjas, i den mån det är tillåtet enligt aktuell reglering. Parterna ska säkerställa att den andra parten har rätt att behandla kontaktuppgifter, och eventuellt andra personuppgifter, till den första partens anställda om och i den utsträckning det behövs för att underlätta tillhandahållandet av Produkten och Tjänsterna.
4.1.3 Med undantag för det som framgår av punkten 4.1.2 ovan får Personuppgiftsbiträdet inte behandla personuppgifter för egna ändamål eller andra ändamål än de som framgår av Bilaga 1 samt Avtalen. Personuppgiftsbiträdet ska dock ha rätt att behandla personuppgifter i syfte att tillhandahålla, underhålla och lämna support i förhållande till Produkten, samt utveckla och förbättra Produkten om det uttryckligen framgår av Bilaga 1. Personuppgiftsbiträdet ska dessutom ha rätt att behandla personuppgifter i syfte att tillhandahålla, utveckla och förbättra Tjänsten om det uttryckligen framgår av Bilaga
4.1.4 Biträdesavtalet, inklusive Bilaga 1, utgör Personuppgiftsansvarigs samtliga instruktioner för behandlingen av personuppgifter under Biträdesavtalet, med undantag för de eventuella skriftliga instruktioner som Personuppgiftsansvarig under avtalstiden är skyldig att lämna för att kunna uppfylla Tillämplig Dataskyddslagstiftning. Andra eventuella ändringar ska överenskommas separat. Personuppgiftsbiträdet ska ha rätt till skälig ersättning vid ändrade skriftliga instruktioner. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion strider mot Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet är inte skyldig att implementera en sådan instruktion. Om Personuppgiftsbiträdet meddelar Personuppgiftsansvarig inom rimlig tid att Personuppgiftsbiträdet har sakliga skäl för att motsätta sig Personuppgiftsansvarigs ändrade instruktioner för uppfyllandet av Tillämplig Dataskyddslagstiftning, ska endera part ha rätt att skriftligen säga upp Avtalen till omedelbart upphörande. Om inte annat överenskommits ifråga om avgifter för förtida upphörande utan skäl, ska Personuppgiftsbiträdet återbetala eventuella avgifter som erlagts i förskott för icke utnyttjade produkter eller tjänster enligt Avtalen och Personuppgiftsansvarig ska ersätta Personuppgiftsbiträdets kostnader för Produktens, och om tillämpligt Tjänstens, förtida upphörande.
4.2 Säkerhetsåtgärder
4.2.1 Personuppgiftsbiträdet ska implementera de organisatoriska och tekniska åtgärder som krävs enligt Tillämplig Dataskyddslagstiftning och som i övrigt framgår av Avtalen för att skydda de personuppgifter som behandlas.
4.2.2 Personuppgiftsansvarig svarar för att de i punkt 4.2.1 avtalade säkerhetsåtgärderna uppfyller Personuppgiftsansvarigs skyldigheter enligt Tillämplig Dataskyddslagstiftning om krav på säkerhet för de personuppgifter som behandlas. Om Personuppgiftsansvarig begär ändring av säkerhetsåtgärderna gäller för sådan begäran samma bestämmelser som gäller för Personuppgiftsansvarigs instruktioner enligt punkt 4.1.4. Vid Personuppgiftsbiträdets begäran om ändrade säkerhetsåtgärder gäller vad som följer av punkten 4.2.3.
4.2.3 Om Personuppgiftsbiträdet upptäcker att avtalade säkerhetsåtgärder enligt punkten 4.2.1 helt eller delvis strider mot Tillämplig Dataskyddslagstiftning ska Personuppgiftsbiträdet inom skälig tid skriftligen meddela Personuppgiftsansvarig om sin inställning och invänta Personuppgiftsansvarigs skriftliga instruktioner om lämpliga säkerhetsåtgärder enligt punkt 4.1.4. Om Personuppgiftsansvarig trots uppmaning inte lämnar nya instruktioner inom skälig tid ska Personuppgiftsbiträdet ha rätt att på Personuppgiftsansvarigs bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder för att uppfylla Tillämplig Dataskyddslagstiftning.
4.2.4 Personuppgiftsbiträdet ska se till att samtliga personer med behörighet att behandla personuppgifter för vilka den Personuppgiftsansvarige ansvarar åtar sig att iaktta konfidentialitet eller om relevant omfattas av en lämplig lagstadgad tystnadsplikt innan sådana personer får behörighet att behandla personuppgifterna.
4.3 Skyldighet att bistå Personuppgiftsansvarig
4.3.1 Personuppgiftsbiträdet ska, utöver vad som följer av punkt 4.2 implementera lämpliga tekniska och organisatoriska åtgärder för att på Personuppgiftsansvarigs skriftliga begäran assistera Personuppgiftsansvarig i uppfyllandet av de registrerades rättigheter enligt kapitel III i Dataskyddsförordningen, såsom insyn och villkor, information och tillgång till personuppgifter, rättelse och radering och rätt att göra invändningar samt automatiserat individuellt beslutsfattande. Personuppgiftsbiträdets skyldighet enligt denna punkt ska endast gälla i den mån detta är möjligt och i den utsträckning som behandlingens art kräver det.
4.3.2 Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå, därutöver vara skyldig att på Personuppgiftsansvarigs skriftliga begäran bistå Personuppgiftsansvarig så att denne kan fullgöra de skyldigheter som Personuppgiftsansvarig har avseende säkerhet, personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd enligt Tillämplig Dataskyddslagstiftning.
4.3.3 Om annat inte skriftligen överenskommits, ska Personuppgiftsbiträdet ha rätt till skälig ersättning för det bistånd som Personuppgiftsbiträdet tillhandahåller Personuppgiftsansvarig enligt denna punkt 4.3.
- Utlämnande av personuppgifter
5.1 Personuppgiftsbiträdet ska inte till registrerad eller tredje part lämna ut eller annars röja personuppgifter som omfattas av Biträdesavtalet, om annat inte följer av Avtalen eller av lag, domstols- eller myndighetsbeslut. I de fall Personuppgiftsbiträdet måste lämna ut sådan information på grund av lag, domstols- eller myndighetsbeslut ska Personuppgiftsbiträdet, såvida detta inte är förbjudet enligt lag, domstols- eller myndighetsbeslut, meddela Personuppgiftsansvarig detta.
5.1.1 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om en registrerad begär information som rör dess behandling av personuppgifter under Biträdesavtalet, samt hänvisa den registrerade till Personuppgiftsansvarig. Personuppgiftsbiträdet ska i enlighet med punkt 4.3 bistå Personuppgiftsansvarig med att besvara en sådan förfrågan.
5.2.2 Personuppgiftsbiträdet och dess företrädare är enligt Tillämplig Dataskyddslagstiftning skyldig att samarbeta med tillsynsmyndigheten för dataskydd vid tillsynsåtgärder, om tillsynsmyndigheten för dataskydd begär det. Personuppgiftsbiträdet åtar sig att utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om förfrågningar från tillsynsmyndigheten för dataskydd eller annan tillsynsmyndighet som specifikt rör dess behandling av personuppgifter under Biträdesavtalet. Personuppgiftsbiträdet ska inte ha rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning vid sådana förfrågningar. Personuppgiftsbiträdet ska ha rätt till skälig ersättning vid sådant begärt samarbete som hänför sig specifikt till behandlingen av Personuppgiftsansvarigs personuppgifter och som inte är en följd av att Personuppgiftsbiträdet brutit mot sina åtaganden enligt Biträdesavtalet om behandlingen av personuppgifter.
- Underbiträden
6.1 Personuppgiftsbiträdet har, om annat inte framgår av Avtalen, rätt att anlita underbiträden inom och utanför EU/EES för behandlingen av personuppgifter. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem samma skyldigheter vid behandlingen av personuppgifter som de skyldigheter som gäller enligt Biträdesavtalet. Om underbiträdet inte uppfyller de skyldigheter som följer av Biträdesavtalet, ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Personuppgiftsansvarig för utförandet av underbiträdets skyldigheter.
6.2 Personuppgiftsbiträdet ska tillhandahålla en lista över sådana underbiträden som Personuppgiftsbiträdet anlitar från tid till annan på https://casai.io/gdpr. Personuppgiftsbiträdet kommer att uppdatera den Personuppgiftsansvarige i skälig tid innan Personuppgiftsbiträdet anlitar nya eller ersätter befintliga underbiträden. Personuppgiftsansvarig ska utan dröjsmål skriftligen invända mot sådana förändringar om den Personuppgiftsansvarige har rimliga skäl att tvivla på det nya underbiträdets förmåga att efterleva Tillämplig Dataskyddslagstiftning. Personuppgiftsansvarig ska framföra eventuella invändningar mot nya eller ersatta underbiträden inom fem (5) arbetsdagar från den dag då Personuppgiftsbiträdet meddelade Personuppgiftsansvarig om det nya eller ersatta underbiträdet. Om Personuppgiftsansvarig inte har framfört några invändningar mot ett nytt eller ersatt underbiträde inom tidsfristen ska Personuppgiftsansvarig anses ha accepterat underbiträdet. Den Personuppgiftsansvarige förstår och accepterar att sådan invändning kan resultera i att Personuppgiftsbiträdet inte kan uppfylla sina åtaganden enligt Avtalen i den utsträckning sådant åtagande är relaterat till underbiträdet i fråga.
- Tredjelandsöverföringar
7.1 Personuppgiftsbiträdet ska säkerställa att det finns en laglig grund för överföring av personuppgifter till, eller tillgängliggörande från, en plats utanför EU/EES, exempelvis genom användandet av EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land eller bestämmelser som ersätter dessa. I det fall Personuppgiftsbiträdet anlitar underbiträden och ett sådant anlitande involverar behandling av personuppgifter för den Personuppgiftsansvariges räkning, ger Personuppgiftsansvarig härmed fullmakt till Personuppgiftsbiträdet att för Personuppgiftsansvarigs räkning och i dess namn ingå de avtal som krävs enligt tillämplig lag för att Personuppgiftsbiträdet ska kunna överföra personuppgifter till underbiträden utom EU/EES, vilket kan inkludera ingående av bindande avtal i enlighet med EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land (i vilka Personuppgiftsansvarig ska anses som uppgiftsutförare och, beroende på vad som är tillämpligt, Personuppgiftsbiträdet eller underbiträdet som uppgiftsinförare).
- Underrättelse vid dataintrång
8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.
8.2 En sådan underrättelse ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå:
a) beskriva personuppgifts- incidentens art, och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b)beskriva de sannolika konsekvenserna av personuppgiftsincidenten, samt
c)beskriva de åtgärder som har vidtagits eller bör vidtas för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.
8.3 Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
8.4 Om Personuppgiftsansvarig i strid med Tillämplig Dataskyddslagstiftning inte informerar den registrerade om en personuppgiftsincident och tillsynsmyndigheten för dataskydd förelägger Personuppgiftsbiträdet att åtgärda bristen, ska Personuppgiftsansvarig ersätta Personuppgiftsbiträdets kostnader för att uppfylla sådant beslut av tillsynsmyndigheten för dataskydd.
- Konsekvensbedömning avseende dataskydd
9.1 Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som är tillgänglig för Personuppgiftsbiträdet, genom lämpliga tekniska och organisatoriska åtgärder bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter avseende konsekvensbedömning avseende dataskydd samt föregående samråd enligt Tillämplig Dataskyddslagstiftning.
- Rätt till granskning
10.1 Personuppgiftsbiträdet ska, utöver vad som följer av Avtalen, ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att de skyldigheter som följer av Tillämplig Dataskyddslagstiftnings krav på personuppgiftsbiträden har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller av Personuppgiftsansvarig utsedd revisor (vilken inte får vara en direkt eller indirekt konkurrent till Personuppgiftsbiträdet). Den Personuppgiftsansvarige eller en av den Personuppgiftsansvarige utsedd revisor har högst en gång per år eller fler gånger om det är påkallat av en särskild händelse rätt att utföra granskning (inklusive inspektion) under normal kontorstid av Personuppgiftsbiträdets efterlevnad av detta Biträdesavtal. I det fall Personuppgiftsansvarig önskar genomföra en inspektion ska Personuppgiftsansvarig informera Personuppgiftsbiträdet om detta i skälig tid i förväg och samtidigt specificera inspektionens innehåll och omfattning. Innehållet och omfattningen av en granskning får inte överstiga vad som är nödvändigt med hänsyn till syftet med granskningen. Samtliga kostnader relaterade till granskning ska bäras av den Personuppgiftsansvarige. Personuppgiftsbiträdets skäliga kostnader i samband med genomförande av sådan granskning får debiteras Personuppgiftsansvarig.
10.2 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om Personuppgiftsbiträdet anser att information, inbegripet inspektioner, enligt punkt 10.1 inte krävs eller strider mot Tillämplig Dataskyddslagstiftning. Om annat inte följer av Avtalen, får inspektion endast göras om granskning enligt Tillämplig Dataskyddslagstiftning inte kan fullgöras genom Personuppgiftsbiträdets tillhandahållande av information.
10.3 En granskning enligt punkt 10.1 förutsätter att Personuppgiftsansvarig, eller av Personuppgiftsansvarig utsedd revisor, har träffat nödvändiga sekretessåtaganden och följer Personuppgiftsbiträdets säkerhetsbestämmelser på platsen där inspektionen ska genomföras samt att inspektionen genomförs utan att den riskerar att hindra Personuppgiftsbiträdets verksamhet eller skyddet för andra kunders information. Information som samlas in som en del av granskningen ska raderas efter fullgjord inspektion eller när den inte längre behövs för ändamålet med granskningen.
- Avtalstid
11.1 Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
- Åtgärder när behandlingen av personuppgifter avslutats
12.1 När detta Biträdesavtal upphör ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige väljer, enligt den Personuppgiftsansvariges instruktion radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet inom trettio (30) dagar efter Avtalens upphörande, om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning. Personuppgiftsbiträdets ansvar enligt denna punkt 12.1 gäller endast sådant ansvar för radering och återföring av personuppgifter som följer av Tillämplig Dataskyddslagstiftning.
12.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 12.1 ovan.
- Ersättning
13.1 Utöver vad som annars följer av Biträdesavtalet, ska Personuppgiftsbiträdet ha rätt till skälig ersättning för att följa Personuppgiftsansvarigs skriftliga instruktioner om den begärda åtgärden inte specifikt framgår av Avtalen i övrigt. Om Personuppgiftsbiträdet har rätt till ersättning för utfört arbete ska Personuppgiftsbiträdets vid var tid gällande prislista gälla för sådant arbete.
- Ansvar
14.1 Part som blir föremål för krav från registrerade ska inom skälig tid skriftligen underrätta den andra parten om framförda krav när det är sannolikt att krav mot andra parten kan komma att framställas och låta den andra parten få insyn i den registrerades och partens handlingar i sådant mål och låta den andra parten lämna synpunkter på detta.
14.2 Skadeståndskrav respektive regresskrav avseende skadestånd som utbetalats till registrerad enligt Tillämplig Dataskyddslagstiftning ska framställas av part senast inom 6 månader från det att skadan uppstod respektive då part utbetalat skadestånd till registrerad.
14.3 Utöver vad som anges i denna punkt 14 framgår begränsning av parts ansvar under Biträdesavtalet av de Allmänna villkoren.
- Ändringar och tillägg
15.1 Ändringar och tillägg till detta Biträdesavtal och/eller instruktionerna i Bilaga 1 till detta Biträdesavtal, inklusive denna punkt 15.1, ska för att vara bindande upprättas skriftligen och undertecknas av både Personuppgiftsbiträdet och Personuppgiftsansvarig.
- Tillämplig lag och tvistelösning
16.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt, dock med undantag för sådana internationellt privaträttsliga bestämmelser som medför tillämpning av rätten i någon annan jurisdiktion.
16.2 Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska lösas i enlighet med de Allmänna villkoren.
Bilaga 1 – Specifikation för personuppgiftsbehandling
Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Person- uppgiftsbiträdet vid behandlingen av personuppgifter för den Personuppgifts- ansvariges räkning. Genom godkännande av Biträdesavtalet bekräftar Personuppgiftsbiträdet att biträdet fått del av dessa instruktioner. Alla ändringar och tillägg till dessa instruktioner ska vara skriftliga för att gälla.
Typ av behandling
Personuppgiftsbiträdet får endast vidta de behandlingar som behövs för att utföra Produktavtalet och, om tillämpligt, Uppdragsavtalet. Personuppgiftsbiträdet kommer inom ramen för Uppdragsavtalet att bistå den Personuppgiftsansvarige med bokföringsuppdrag, bokslutsuppdrag, årsbokslut eller årsredovisningsuppdrag och liknande åtgärder som är nödvändiga för att fullgöra Uppdragsavtalet.
Ändamål för behandling
Ändamålen med behandlingen är t.ex. att Personuppgiftsbiträdet ska kunna tillhandahålla Produkten som är beskriven i Produktavtalet och, om tillämpligt, tillhandahålla Tjänsterna som är beskrivna i Uppdragsavtalet till den Personuppgiftsansvarige.
Kategorier av personuppgifter
Personuppgiftsbiträdet kommer att behandla de personuppgifter som den Personuppgiftsansvarige tillgängliggjort inom ramen för Produkten. Inom ramen för utförande av Tjänster enligt ett tecknat Uppdragsavtal kan Personuppgiftsbiträdet komma att behandla personuppgifter av följande slag:
- kontaktuppgifter som t.ex. namn, adress, telefonnummer och e-postadresser.
Kategorier av registrerade
De personuppgifter som Personuppgiftsbiträdet kommer att behandla rör följande kategorier av registrerade: t.ex. den Personuppgiftsansvariges anställda och konsulter samt kontaktuppgifter hänförliga till anställda och konsulter hos den Personuppgiftsansvariges kunder och leverantörer.
Mottagare av personuppgifter
Personuppgifterna kan komma att göras tillgängliga för följande mottagare som inte är Underbiträden, t.ex. Skatteverket (vid skatterevision).
Gallring
Gallring sker i enlighet med vad som anges i Avtalen.
Tekniska och organisatoriska åtgärder
Följande tekniska och organisatoriska säkerhetsåtgärder ska vidtas vid behandling av personuppgifter: t.ex. åtkomstskydd, säkerhetskopiering, behörighetskontroll, loggning, kryptering.
Allmänna Villkor
Allmänna villkor för CASAI ver 1, 2020-06-01
- Allmänt 1.1 Dessa allmänna villkor ska tillämpas då Diagona AB och andra bolag inom samma koncern (”Diagona”) tillhandahåller produkter och tjänster till sina kunder. Dessa allmänna villkor utgör en integrerad del av det avtal som ingåtts mellan Diagona och Kunden (enligt definition nedan) avseende tillhandahållande av Diagonas produkter (”Avtalet”)
- Definitioner
- Avtalstid
- Licens
- Support
- Produkten
- Säkerhets- och kontrollsystem
- Kundens datormiljö
- Betalning
- Immateriella Rättigheter
- Kundens data
- Tillgänglighet
- Underleverantörer
- Ansvarsbegränsning
- Sekretess och hantering av information
- Behandling av personuppgifter
- Force Majeure
- Användning av Produkten
- Förtida uppsägning
- Följder av avtalets upphörande
- Ändringar och tillägg
- Överlåtelse
- Meddelanden
- Övrigt
- Tvister
1.2 Genom att underteckna särskild avtalshandling och/eller beställa Produkten (enligt definition nedan) via https://casai.io/ och/eller börja använda Produkten bekräftar Kunden att Kunden accepterar dessa allmänna villkor inklusive Personuppgiftsbiträdesavtalet.
1.3 Dessa allmänna villkor gäller i den utsträckning annat inte skriftligen avtalas mellan parterna.
”Avtalet” avser det avtal om tillhandahållande och nyttjande av Produkten som träffats mellan Diagona och Kunden genom undertecknande av särskild avtalshandling eller, om sådan avtalshandling saknas, genom beställning av Produkten eller användning av Produkten. Avtalet innefattar samtliga bilagor till avtalshandling eller beställning.
”Kunden” avser sådan nyttjare av Produkten som ingått avtal med Diagona avseende nyttjande av Produkten.
”Kundens Data” avser all data och information som Kunden, eller enskilda användare av Produkten på uppdrag av Kunden, tillgängliggjort och som hanteras inom ramen för Produkten.
”Produkten” avser mjukvaruprogram, onlinetjänster, datamedia, hjälpfunktioner och/eller handledningar vilka Diagona ska tillhandahålla Kunden enligt Avtalet inklusive eventuella Ändringar eller annan utveckling av Produkten.
”Ändringar” har den betydelse som anges i punkt 6.2.
a) den dag Kund undertecknar särskild Avtalshandling,
b) beställer Produkt via https://casai.io/, eller
c) börjar använda Produkten.
3.2 Vardera parten har rätt att skriftligen säga upp Avtalet med iakttagande av tre (3) månaders uppsägningstid. Avtalet upphör därefter vid närmast följande kalendermånadsskifte.
5.2 Support tillhandahålls vardagar mellan 8.00 och 17.00 CET. Diagona äger rätt att avvakta med, avbryta och/eller göra uppehåll i support som begärs eller utsträcker sig under övrig tid. Diagona hanterar supportförfrågningar med den skyndsamhet som omständigheterna kräver. Kunden har möjlighet att beställa prioriterad support som en tilläggstjänst mot betalning.
5.3 I samtliga kontakter med Diagona avseende support av Produkten ska Kunden vara beredd att på begäran från Diagona uppge kundnummer och eventuellt lösenord, lämna noggrann redogörelse för sitt datasystem och dess grundläggande struktur, de eventuella driftsstörningar Kunden upplever samt vilken inverkan driftsstörningarna har på Kundens verksamhet i stort.
6.2 Diagona har rätt men är inte skyldig att, utan föregående underrättelse till Kunden, utveckla, uppgradera, företa ändringar i, göra tillägg till och/eller införa nya versioner (”Ändringar”) av Produkten eller ändra hur Produkten tillhandahålls. Diagona är inte skyldig att vidta Ändringar av Produkten för att anpassa Produkten till tredjepartsprogramvara.
7.2 Diagona har inget ansvar för bristande eller felaktig information som kan komma att uppstå vid användande av Produkten till följd av handhavandefel på Kundens sida. Kunden ska hålla Diagona skadelöst för varje krav från tredje man med anledning av sådant handhavandefel.
7.3 Kundnummer får endast brukas av Kunden. Kunden ansvarar för att eventuella inloggningsuppgifter förvaras på betryggande sätt så att obehöriga personer inte kan ta del av dem. Kunden ska omedelbart meddela Diagona om inloggningsuppgifter förlorats, röjts, kommit till tredje parts kännedom eller om Kunden i övrigt misstänker missbruk av dessa uppgifter.
7.4 I de fall Produkten ska hantera information från system som tillhör Kunden eller annan på Kundens sida, ska sådan information tillgängliggöras i det format som Diagona anvisar. Om informationen inte följer Diagonas angivna format kan Produktens funktion inte garanteras. Det åligger Kunden att anpassa sitt datasystem för det fall filspecifikationer förändras till följd av förändringar på marknaden.
8.2 Kunden ansvarar även för anslutning mot Produkten.
8.3 Kunden ska tillse att denne har erforderligt skydd mot skadlig kod och ansvarar för att Kundens Data:
(i) är fri från virus, trojaner, maskar eller annan skadlig programvara eller kod;
(ii) är i överenskommet format; samt
(iii) på annat sätt inte kan skada eller inverka negativt på Diagonas system eller Produkten.
9.2 Betalning erlägges mot faktura, vilken ska betalas senast 20 dagar efter fakturadatum.
9.3 Vid dröjsmål med betalning ska dröjsmålsränta utgå efter en årlig räntesats om 16 procent. Diagona äger även rätt att debitera Kunden förseningsavgift enligt tillämplig lag.
10.2 Diagona innehar samtliga rättigheter inklusive immateriella rättigheter (innefattande men inte begränsat till patent, upphovsrätt, varumärken och know-how) hänförbara till utveckling av Produkten, vilka utförs i samband med fullföljandet av Avtalet, oavsett om sådan utveckling sker på uppdrag av eller i enlighet med instruktioner från Kunden eller på Diagonas eget initiativ. Sådan utveckling ska utgöra en del av Produkten och omfattas av bestämmelserna i Avtalet. Kunden erhåller genom Avtalet endast den begränsade nyttjanderätt till sådana utvecklingar som särskilt framgår av Avtalet.
10.3 I de fall rättigheter, inklusive immateriella rättigheter, avseende utveckling av Produkten enligt tillämplig tvingande lag tillkommer Kunden och punkt 10.2 därmed inte går att tillämpa, ska Diagona ha en icke-exklusiv, kostnadsfri och i tiden obegränsad rätt att återanvända (innefattat rätten att fritt använda, utveckla, ändra och licensera till tredje part) utvecklingen i sin verksamhet. I de fall Kunden planerar att överlåta rättigheterna till tredje part åtar sig Kunden att innan rättigheterna överlåts till annan, ge Diagona rätt att förvärva utvecklingen mot skälig ersättning.
11.2 Diagona äger rätt att använda Kundens Data, för drift, underhåll och utveckling av Produkten samt för att erbjuda Kunden och tredje part nya tjänster samt för administration av kundkontakter, support och skräddarsydd information om och marknadsföring av Diagonas tjänster eller produkter. I det fall användardata innefattar personuppgifter äger Diagona endast rätt att behandla sådana personuppgifter i enlighet med punkt 16.
11.3 Diagona äger vidare rätt att framställa statistik med hjälp av Kundens Data. Statistik som Diagona framställt i enlighet med denna punkt 11.3 utgör Diagonas egendom i den mån sådan statistik är avidentifierad, oaktat att sådan statistik baseras på information som tillhör Kunden.
11.4 Diagona förbehåller sig rätt att lagra och behandla information från Kunden på en server som kan finnas utanför det land där Kunden har sin verksamhet. I den mån sådan information utgör personuppgifter ska behandling ske enligt punkt 16.
12.2 Diagona förbehåller sig rätten att vidta planerade driftstopp avseende Produkten utan att dessförinnan meddela Kunden härom.
12.3 Diagona ska utan onödigt dröjsmål vidta åtgärder för att avhjälpa och minimera tiden för driftstopp av Produkten samt de eventuella störningar som detta medför för Kundens verksamhet.
14.2 Diagonas sammanlagda och totala skadeståndsansvar under Avtalet avseende en eller flera händelser (oavsett om dessa har samband med varandra eller inte) ska inte i något fall överstiga ett belopp motsvarande två (2) prisbasbelopp som, vid var tid, gäller enligt Socialförsäkringsbalken (2010:110).
14.3 Oavsett vad som i övrigt i detta avsnitt 14 anges ansvarar Diagona inte för skador som uppstår på grund av förhållanden som Kunden svarar för, t ex eventuella säkerhetsbrister hos Kunden och/eller dennes datasystem, eller skador som uppstår på grund av den information som Kunden tillgängliggjort genom Produkten eller felaktig användning av Produkten. Diagona ansvarar inte heller i något fall för Kundens och/eller tredje parts hantering av information som exporteras från och/eller importeras till Produkten.
15.2 Med konfidentiell information avses all information – teknisk, kommersiell eller av annan art -, oavsett om upplysningen dokumenterats eller inte, som Part, dess arbets- eller uppdragstagare erhåller från den andra Parten eller som annars framkommer vid användningen av Produkten, inklusive alla dokument, inloggningsuppgifter, utvärderings- och förbättringsförslag, personuppgifter och annan data med undantag för:
a) upplysning, som är allmänt känd eller kommer till allmän kännedom på annat sätt än genom Parts brott mot innehållet i Avtalet;
b) upplysning, som Part kan visa att den redan kände till innan Part mottog den från andra Parten; och
c) upplysning, som Part kan visa att den mottagit eller kommer att motta från tredje man utan att vara bunden av sekretessplikt i förhållande till denne.
15.3 Parts åtaganden enligt denna punkt 15 förhindrar inte Part från att lämna ut sådan information som Part är skyldigt att lämna ut enligt lag, dom eller myndighetsbeslut eller avtal med börs eller annan marknadsplats. Om det inte strider mot tvingande lag är dock Part skyldig att informera den andra Parten innan sådant utlämnade sker, för att den andra Parten ska kunna vidta erforderliga skyddsåtgärder
15.4 I fall som avses under 15.2 c) ovan har part dock inte rätt att avslöja för utomstående att samma upplysning även mottagits från den andra parten enligt Avtalet.
15.5 Part förbinder sig att tillse att anställda, konsulter och styrelseledamöter hos respektive Part inte röjer eller använder konfidentiell information i strid med denna punkt 15. Det åligger därvid Part att tillse att de anställda som kan antas komma i kontakt med konfidentiell information är bundna att hemlighålla denna information i samma utsträckning som Parten själv enligt Avtalet.
18.2 Kunden ansvarar för att dess slutanvändare inte bryter mot, kringgår, tar bort eller påverkar den teknik och de säkerhetssystem som Diagona använder för att skydda Produkten och innehållet i Produkten. Kunden ska tillse att dess slutanvändare inte agerar på ett sätt som kan innebära att Produkten sätts ur funktion, överbelastas försämras eller skadas, eller på annat sätt som kan innebära att Diagona lider skada.
18.3 Produkten får endast användas för avsett ändamål och i enlighet med Diagonas anvisningar, Avtalet och dessa allmänna villkor. Vid annan användning eller om användning medför skada eller men för Diagona äger Diagona rätt att stänga av Kunden från användning av Produkten intill dess rättelse har vidtagits. Diagona har även rätt att förhindra och blockera Kundens användning av Produkten om Kunden använder Produkten på ett sätt som enligt Diagonas bedömning kan anses stå i strid med gällande lagstiftning. Kunden äger inte rätt till återbetalning av erlagda avgifter för Produkten under den period användningen av Produkten är avstängd. Om rättelse inte vidtagits inom fjorton (14) dagar från tidpunkten för avstängning äger Diagona rätt att skriftligen säga upp Avtalet till omedelbart upphörande.
a) den andra Parten gör sig skyldig till väsentligt avtalsbrott och underlåter att vidta rättelse inom trettio (30) dagar efter mottagandet av skriftlig anmodan därom med angivande av vari avtalsbrottet består;
b) den andra Parten ställer in sina betalningar, inleder företagsrekonstruktion, ackordsförhandling eller liknande förfarande, försätts i konkurs eller träder i likvidation eller på annat sätt skäligen kan antas ha kommit på obestånd och att det med fog kan befaras att sådan Parts åtaganden enligt Avtalet inte blir rätteligen fullgjorda; eller
c) det i övrigt uttryckligen anges i Avtalet.
19.2 Diagona äger rätt att skriftligen säga upp Avtalet med omedelbar verkan om Kundens ägarförhållanden väsentligen förändras. Kunden ska omedelbart meddela Diagona om sådan förändring i Kundens ägarförhållanden.
20.2 Vid Avtalets upphörande, oavsett anledningen därtill, ska Kunden upphöra med användningen av Produkten samt inom fjorton (14) dagar återlämna dokumentation och annat material som erhållits från Diagona. På begäran ska Kunden skriftligen intyga till Diagona att Kunden upphört att använda Produkten och/eller tillhörande dokumentation eller kopia därav. Sådant intyg ska undertecknas av behörig ställföreträdare för Kunden.
20.3 Vid Avtalets upphörande ska Diagona på Kundens skriftliga begäran återlämna eller radera Kundens Data. Återlämnandet ska ske på sätt Diagona finner lämpligt. Begäran om återlämnande av Kundens Data ska ske inom fjorton (14) dagar, varefter Diagona äger rätt att radera Kundens Data. Kundens rätt enligt denna punkt 20.3 omfattar inte sådan statistik som Diagona framställt enligt punkt 11.3.
21.2 Diagona förbehåller sig rätten att ändra dessa allmänna villkor genom meddelande härom till Kunden. Ändringar som inte uppenbart är till Kundens fördel ska Diagona informera Kunden om senast trettio (30) dagar innan dessa träder i kraft. Om Kunden inte accepterar sådana ändringar har Kunden rätt att inom fjorton (14) dagar från att sådan information lämnats, skriftligen säga upp Avtalet med verkan från den tidpunkt då ändringen träder i kraft. Om Kunden inte tillställer Diagona någon underrättelse om att ändringen inte godtas inom utsatt tid ska Kunden anses ha accepterat förändringen.
22.2 Kunden äger inte rätt att överlåta sina rättigheter och skyldigheter enligt Avtalet utan Diagonas skriftliga godkännande.
23.2 Meddelandet ska anses ha kommit mottagaren tillhanda:
a) om avlämnat med bud: vid avlämnandet;
b) om avsänt med rekommenderat brev: tre (3) dagar efter avlämnandet för postbefordran;
c) om avsänt med e-post: dagen efter det att meddelandet avsänts till mottagarens angivna e-postadress, förutsatt att avsändande part inte erhåller något besked om fel vid avsändandet.
23.3 Allmänna meddelanden från Diagona till Kund, vilka rör alla eller flertalet kunder till Diagona, till exempel meddelanden avseende adressändringar ska anses ha kommit Kunden tillhanda när sådant meddelande tillgängliggjorts på https://casai.io/.
23.4 Det åligger Part som byter kontaktpersoner, postadress, telefonnummer eller e-postadress att skriftligen utan onödigt dröjsmål meddela den andra parten om detta.
24.2 Skulle någon bestämmelse i Avtalet eller del därav befinnas ogiltig ska detta inte innebära att Avtalet i dess helhet är ogiltigt utan ska, i den mån ogiltigheten väsentligen påverkar Parts utbyte av eller prestation enligt Avtalet, skälig jämkning av Avtalet ske.
25.2 Tvist som uppstår i anledning av Avtalet ska slutligen avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en (1) eller tre (3) skiljemän. Skiljeförfarandets säte ska vara Göteborg och språket för förfarandet ska vara svenska.