GDPR – Integritet och villkor

CASAI Personuppgiftsbiträdesavtal Ver 1, 2020-06-01

Bakgrund

1.1 Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) reglerar Personuppgiftsbiträdets (enligt definition nedan) behandling av personuppgifter för den Personuppgiftsansvariges (enligt definition nedan) räkning i enlighet med de avtal avseende tillhandahållande av Personuppgiftsbiträdets mjukvaruprogram, onlinetjänster, datamedia, hjälpfunktioner och/eller handledningar samt ändringar eller annan utveckling av sådan produkt (”Produkten”) och, om tillämpligt, tillhandahållande av Personuppgiftsbiträdets tjänster (”Tjänsterna”) som träffats mellan Personuppgiftsansvarig och Personuppgiftsbiträdet (var för sig ”Produktavtalet” respektive ”Uppdragsavtalet” och gemensamt ”Avtalen”).

1.2 Genom att teckna Avtalen och/eller godkänna Diagonas allmänna villkor (”Allmänna villkoren”) och Biträdesavtalet blir Personuppgiftsansvarig och Personuppgiftsbiträdet bundna av detta Biträdesavtal vilket utgör en integrerad del av Avtalen.

1.3 Personuppgiftsansvarig bestämmer ändamålen och medlen för behandlingen av personuppgifter under detta Biträdesavtal och är därmed personuppgiftsansvarig för sådan behandling. För det fall Personuppgiftsansvarig agerar som personuppgiftsbiträde för en tredje parts räkning och Personuppgiftsbiträdet agerar som underbiträde ska detta Biträdesavtal gälla på motsvarande sätt.

1.4 Personuppgiftsbiträdet behandlar personuppgifter under detta Biträdesavtal för den Personuppgiftsansvariges räkning och är därmed personuppgiftsbiträde för sådan behandling.

Definitioner och tolkning

2.1 Begrepp i detta Biträdesavtal ska tolkas i enlighet med tillämplig dataskyddslagstiftning (härefter ”Tillämplig Dataskyddslagstiftning”). Med Tillämplig Dataskyddslagstiftning avses, om inte annat särskilt överenskommits, alla vid var tid gällande lagar och förordningar som är tillämpliga på Personuppgiftsbiträdets behandling av personuppgifter inom ramen för Biträdesavtalet (inklusive, men inte begränsat till Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”)) och tillsynsmyndighets bindande föreskrifter och beslut som är tillämpliga på behandlingen av personuppgifter inom ramen för Biträdesavtalet.

2.2 ”Personuppgiftsansvarig” avser den part som definierats som kund enligt Produktavtalet och/eller uppdragsgivare enligt Uppdragsavtalet.

2.3 ”Personuppgiftsbiträde” avser Diagona AB och i tillämpliga fall dess koncernbolag.

2.4 Begrepp med stor begynnelsebokstav i detta Biträdesavtal ska ha den innebörd som anges i de Allmänna villkoren.

2.5 Vid bristande överensstämmelse mellan Biträdesavtalet och Avtalen ska, avseende behandling av personuppgifter, bestämmelserna i Biträdesavtalet äga företräde framför Avtalen.

Bilagor till Biträdesavtalet

Se Bilaga 1

4. Behandling av personuppgifter

4.1 Instruktioner

4.1.1 Personuppgiftsansvarig är ansvarig för att behandling av personuppgifter sker i enlighet med Tillämplig Dataskyddslagstiftning. Personuppgiftsansvarig ansvarar för att Personuppgiftsbiträdet inte ska behandla andra kategorier av personuppgifter än sådana som anges i Bilaga 1 och i däri angiven omfattning.

4.1.2 Personuppgiftsbiträdet, och varje person som är behörig att utföra arbete för dess räkning, åtar sig att endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner som framgår av Bilaga 1 till detta Biträdesavtal, såvida inte Personuppgiftsbiträdet har en skyldighet enligt tillämplig lag att behandla personuppgifterna. I sådana fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om detta innan behandlingen påbörjas, i den mån det är tillåtet enligt aktuell reglering. Parterna ska säkerställa att den andra parten har rätt att behandla kontaktuppgifter, och eventuellt andra personuppgifter, till den första partens anställda om och i den utsträckning det behövs för att underlätta tillhandahållandet av Produkten och Tjänsterna.

4.1.3 Med undantag för det som framgår av punkten 4.1.2 ovan får Personuppgiftsbiträdet inte behandla personuppgifter för egna ändamål eller andra ändamål än de som framgår av Bilaga 1 samt Avtalen. Personuppgiftsbiträdet ska dock ha rätt att behandla personuppgifter i syfte att tillhandahålla, underhålla och lämna support i förhållande till Produkten, samt utveckla och förbättra Produkten om det uttryckligen framgår av Bilaga 1. Personuppgiftsbiträdet ska dessutom ha rätt att behandla personuppgifter i syfte att tillhandahålla, utveckla och förbättra Tjänsten om det uttryckligen framgår av Bilaga

4.1.4 Biträdesavtalet, inklusive Bilaga 1, utgör Personuppgiftsansvarigs samtliga instruktioner för behandlingen av personuppgifter under Biträdesavtalet, med undantag för de eventuella skriftliga instruktioner som Personuppgiftsansvarig under avtalstiden är skyldig att lämna för att kunna uppfylla Tillämplig Dataskyddslagstiftning. Andra eventuella ändringar ska överenskommas separat. Personuppgiftsbiträdet ska ha rätt till skälig ersättning vid ändrade skriftliga instruktioner. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion strider mot Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet är inte skyldig att implementera en sådan instruktion. Om Personuppgiftsbiträdet meddelar Personuppgiftsansvarig inom rimlig tid att Personuppgiftsbiträdet har sakliga skäl för att motsätta sig Personuppgiftsansvarigs ändrade instruktioner för uppfyllandet av Tillämplig Dataskyddslagstiftning, ska endera part ha rätt att skriftligen säga upp Avtalen till omedelbart upphörande. Om inte annat överenskommits ifråga om avgifter för förtida upphörande utan skäl, ska Personuppgiftsbiträdet återbetala eventuella avgifter som erlagts i förskott för icke utnyttjade produkter eller tjänster enligt Avtalen och Personuppgiftsansvarig ska ersätta Personuppgiftsbiträdets kostnader för Produktens, och om tillämpligt Tjänstens, förtida upphörande.

4.2 Säkerhetsåtgärder

4.2.1 Personuppgiftsbiträdet ska implementera de organisatoriska och tekniska åtgärder som krävs enligt Tillämplig Dataskyddslagstiftning och som i övrigt framgår av Avtalen för att skydda de personuppgifter som behandlas.

4.2.2 Personuppgiftsansvarig svarar för att de i punkt 4.2.1 avtalade säkerhetsåtgärderna uppfyller Personuppgiftsansvarigs skyldigheter enligt Tillämplig Dataskyddslagstiftning om krav på säkerhet för de personuppgifter som behandlas. Om Personuppgiftsansvarig begär ändring av säkerhetsåtgärderna gäller för sådan begäran samma bestämmelser som gäller för Personuppgiftsansvarigs instruktioner enligt punkt 4.1.4. Vid Personuppgiftsbiträdets begäran om ändrade säkerhetsåtgärder gäller vad som följer av punkten 4.2.3.

4.2.3 Om Personuppgiftsbiträdet upptäcker att avtalade säkerhetsåtgärder enligt punkten 4.2.1 helt eller delvis strider mot Tillämplig Dataskyddslagstiftning ska Personuppgiftsbiträdet inom skälig tid skriftligen meddela Personuppgiftsansvarig om sin inställning och invänta Personuppgiftsansvarigs skriftliga instruktioner om lämpliga säkerhetsåtgärder enligt punkt 4.1.4. Om Personuppgiftsansvarig trots uppmaning inte lämnar nya instruktioner inom skälig tid ska Personuppgiftsbiträdet ha rätt att på Personuppgiftsansvarigs bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder för att uppfylla Tillämplig Dataskyddslagstiftning.

4.2.4 Personuppgiftsbiträdet ska se till att samtliga personer med behörighet att behandla personuppgifter för vilka den Personuppgiftsansvarige ansvarar åtar sig att iaktta konfidentialitet eller om relevant omfattas av en lämplig lagstadgad tystnadsplikt innan sådana personer får behörighet att behandla personuppgifterna.

4.3 Skyldighet att bistå Personuppgiftsansvarig

4.3.1 Personuppgiftsbiträdet ska, utöver vad som följer av punkt 4.2 implementera lämpliga tekniska och organisatoriska åtgärder för att på Personuppgiftsansvarigs skriftliga begäran assistera Personuppgiftsansvarig i uppfyllandet av de registrerades rättigheter enligt kapitel III i Dataskyddsförordningen, såsom insyn och villkor, information och tillgång till personuppgifter, rättelse och radering och rätt att göra invändningar samt automatiserat individuellt beslutsfattande. Personuppgiftsbiträdets skyldighet enligt denna punkt ska endast gälla i den mån detta är möjligt och i den utsträckning som behandlingens art kräver det.

4.3.2 Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå, därutöver vara skyldig att på Personuppgiftsansvarigs skriftliga begäran bistå Personuppgiftsansvarig så att denne kan fullgöra de skyldigheter som Personuppgiftsansvarig har avseende säkerhet, personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd enligt Tillämplig Dataskyddslagstiftning.

4.3.3 Om annat inte skriftligen överenskommits, ska Personuppgiftsbiträdet ha rätt till skälig ersättning för det bistånd som Personuppgiftsbiträdet tillhandahåller Personuppgiftsansvarig enligt denna punkt 4.3.

Utlämnande av personuppgifter

5.1 Personuppgiftsbiträdet ska inte till registrerad eller tredje part lämna ut eller annars röja personuppgifter som omfattas av Biträdesavtalet, om annat inte följer av Avtalen eller av lag, domstols- eller myndighetsbeslut. I de fall Personuppgiftsbiträdet måste lämna ut sådan information på grund av lag, domstols- eller myndighetsbeslut ska Personuppgiftsbiträdet, såvida detta inte är förbjudet enligt lag, domstols- eller myndighetsbeslut, meddela Personuppgiftsansvarig detta.

5.1.1 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om en registrerad begär information som rör dess behandling av personuppgifter under Biträdesavtalet, samt hänvisa den registrerade till Personuppgiftsansvarig. Personuppgiftsbiträdet ska i enlighet med punkt 4.3 bistå Personuppgiftsansvarig med att besvara en sådan förfrågan.

5.2.2 Personuppgiftsbiträdet och dess företrädare är enligt Tillämplig Dataskyddslagstiftning skyldig att samarbeta med tillsynsmyndigheten för dataskydd vid tillsynsåtgärder, om tillsynsmyndigheten för dataskydd begär det. Personuppgiftsbiträdet åtar sig att utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om förfrågningar från tillsynsmyndigheten för dataskydd eller annan tillsynsmyndighet som specifikt rör dess behandling av personuppgifter under Biträdesavtalet. Personuppgiftsbiträdet ska inte ha rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning vid sådana förfrågningar. Personuppgiftsbiträdet ska ha rätt till skälig ersättning vid sådant begärt samarbete som hänför sig specifikt till behandlingen av Personuppgiftsansvarigs personuppgifter och som inte är en följd av att Personuppgiftsbiträdet brutit mot sina åtaganden enligt Biträdesavtalet om behandlingen av personuppgifter.

Underbiträden

6.1 Personuppgiftsbiträdet har, om annat inte framgår av Avtalen, rätt att anlita underbiträden inom och utanför EU/EES för behandlingen av personuppgifter. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem samma skyldigheter vid behandlingen av personuppgifter som de skyldigheter som gäller enligt Biträdesavtalet. Om underbiträdet inte uppfyller de skyldigheter som följer av Biträdesavtalet, ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Personuppgiftsansvarig för utförandet av underbiträdets skyldigheter.

6.2 Personuppgiftsbiträdet ska tillhandahålla en lista över sådana underbiträden som Personuppgiftsbiträdet anlitar från tid till annan på https://casai.io/gdpr. Personuppgiftsbiträdet kommer att uppdatera den Personuppgiftsansvarige i skälig tid innan Personuppgiftsbiträdet anlitar nya eller ersätter befintliga underbiträden. Personuppgiftsansvarig ska utan dröjsmål skriftligen invända mot sådana förändringar om den Personuppgiftsansvarige har rimliga skäl att tvivla på det nya underbiträdets förmåga att efterleva Tillämplig Dataskyddslagstiftning. Personuppgiftsansvarig ska framföra eventuella invändningar mot nya eller ersatta underbiträden inom fem (5) arbetsdagar från den dag då Personuppgiftsbiträdet meddelade Personuppgiftsansvarig om det nya eller ersatta underbiträdet. Om Personuppgiftsansvarig inte har framfört några invändningar mot ett nytt eller ersatt underbiträde inom tidsfristen ska Personuppgiftsansvarig anses ha accepterat underbiträdet. Den Personuppgiftsansvarige förstår och accepterar att sådan invändning kan resultera i att Personuppgiftsbiträdet inte kan uppfylla sina åtaganden enligt Avtalen i den utsträckning sådant åtagande är relaterat till underbiträdet i fråga.

Tredjelandsöverföringar

7.1 Personuppgiftsbiträdet ska säkerställa att det finns en laglig grund för överföring av personuppgifter till, eller tillgängliggörande från, en plats utanför EU/EES, exempelvis genom användandet av EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land eller bestämmelser som ersätter dessa. I det fall Personuppgiftsbiträdet anlitar underbiträden och ett sådant anlitande involverar behandling av personuppgifter för den Personuppgiftsansvariges räkning, ger Personuppgiftsansvarig härmed fullmakt till Personuppgiftsbiträdet att för Personuppgiftsansvarigs räkning och i dess namn ingå de avtal som krävs enligt tillämplig lag för att Personuppgiftsbiträdet ska kunna överföra personuppgifter till underbiträden utom EU/EES, vilket kan inkludera ingående av bindande avtal i enlighet med EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land (i vilka Personuppgiftsansvarig ska anses som uppgiftsutförare och, beroende på vad som är tillämpligt, Personuppgiftsbiträdet eller underbiträdet som uppgiftsinförare).

Underrättelse vid dataintrång

8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.

8.2 En sådan underrättelse ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå:

a) beskriva personuppgifts- incidentens art, och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b)beskriva de sannolika konsekvenserna av personuppgiftsincidenten, samt
c)beskriva de åtgärder som har vidtagits eller bör vidtas för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.

8.3 Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

8.4 Om Personuppgiftsansvarig i strid med Tillämplig Dataskyddslagstiftning inte informerar den registrerade om en personuppgiftsincident och tillsynsmyndigheten för dataskydd förelägger Personuppgiftsbiträdet att åtgärda bristen, ska Personuppgiftsansvarig ersätta Personuppgiftsbiträdets kostnader för att uppfylla sådant beslut av tillsynsmyndigheten för dataskydd.

Konsekvensbedömning avseende dataskydd

9.1 Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som är tillgänglig för Personuppgiftsbiträdet, genom lämpliga tekniska och organisatoriska åtgärder bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter avseende konsekvensbedömning avseende dataskydd samt föregående samråd enligt Tillämplig Dataskyddslagstiftning.

Rätt till granskning

10.1 Personuppgiftsbiträdet ska, utöver vad som följer av Avtalen, ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att de skyldigheter som följer av Tillämplig Dataskyddslagstiftnings krav på personuppgiftsbiträden har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller av Personuppgiftsansvarig utsedd revisor (vilken inte får vara en direkt eller indirekt konkurrent till Personuppgiftsbiträdet). Den Personuppgiftsansvarige eller en av den Personuppgiftsansvarige utsedd revisor har högst en gång per år eller fler gånger om det är påkallat av en särskild händelse rätt att utföra granskning (inklusive inspektion) under normal kontorstid av Personuppgiftsbiträdets efterlevnad av detta Biträdesavtal. I det fall Personuppgiftsansvarig önskar genomföra en inspektion ska Personuppgiftsansvarig informera Personuppgiftsbiträdet om detta i skälig tid i förväg och samtidigt specificera inspektionens innehåll och omfattning. Innehållet och omfattningen av en granskning får inte överstiga vad som är nödvändigt med hänsyn till syftet med granskningen. Samtliga kostnader relaterade till granskning ska bäras av den Personuppgiftsansvarige. Personuppgiftsbiträdets skäliga kostnader i samband med genomförande av sådan granskning får debiteras Personuppgiftsansvarig.

10.2 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om Personuppgiftsbiträdet anser att information, inbegripet inspektioner, enligt punkt 10.1 inte krävs eller strider mot Tillämplig Dataskyddslagstiftning. Om annat inte följer av Avtalen, får inspektion endast göras om granskning enligt Tillämplig Dataskyddslagstiftning inte kan fullgöras genom Personuppgiftsbiträdets tillhandahållande av information.

10.3 En granskning enligt punkt 10.1 förutsätter att Personuppgiftsansvarig, eller av Personuppgiftsansvarig utsedd revisor, har träffat nödvändiga sekretessåtaganden och följer Personuppgiftsbiträdets säkerhetsbestämmelser på platsen där inspektionen ska genomföras samt att inspektionen genomförs utan att den riskerar att hindra Personuppgiftsbiträdets verksamhet eller skyddet för andra kunders information. Information som samlas in som en del av granskningen ska raderas efter fullgjord inspektion eller när den inte längre behövs för ändamålet med granskningen.

Avtalstid

11.1 Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Åtgärder när behandlingen av personuppgifter avslutats

12.1 När detta Biträdesavtal upphör ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige väljer, enligt den Personuppgiftsansvariges instruktion radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet inom trettio (30) dagar efter Avtalens upphörande, om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning. Personuppgiftsbiträdets ansvar enligt denna punkt 12.1 gäller endast sådant ansvar för radering och återföring av personuppgifter som följer av Tillämplig Dataskyddslagstiftning.

12.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 12.1 ovan.

Ersättning

13.1 Utöver vad som annars följer av Biträdesavtalet, ska Personuppgiftsbiträdet ha rätt till skälig ersättning för att följa Personuppgiftsansvarigs skriftliga instruktioner om den begärda åtgärden inte specifikt framgår av Avtalen i övrigt. Om Personuppgiftsbiträdet har rätt till ersättning för utfört arbete ska Personuppgiftsbiträdets vid var tid gällande prislista gälla för sådant arbete.

Ansvar

14.1 Part som blir föremål för krav från registrerade ska inom skälig tid skriftligen underrätta den andra parten om framförda krav när det är sannolikt att krav mot andra parten kan komma att framställas och låta den andra parten få insyn i den registrerades och partens handlingar i sådant mål och låta den andra parten lämna synpunkter på detta.

14.2 Skadeståndskrav respektive regresskrav avseende skadestånd som utbetalats till registrerad enligt Tillämplig Dataskyddslagstiftning ska framställas av part senast inom 6 månader från det att skadan uppstod respektive då part utbetalat skadestånd till registrerad.

14.3 Utöver vad som anges i denna punkt 14 framgår begränsning av parts ansvar under Biträdesavtalet av de Allmänna villkoren.

Ändringar och tillägg

15.1 Ändringar och tillägg till detta Biträdesavtal och/eller instruktionerna i Bilaga 1 till detta Biträdesavtal, inklusive denna punkt 15.1, ska för att vara bindande upprättas skriftligen och undertecknas av både Personuppgiftsbiträdet och Personuppgiftsansvarig.

Tillämplig lag och tvistelösning

16.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt, dock med undantag för sådana internationellt privaträttsliga bestämmelser som medför tillämpning av rätten i någon annan jurisdiktion.

16.2 Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska lösas i enlighet med de Allmänna villkoren.

Bilaga 1 – Specifikation för personuppgiftsbehandling

Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Person- uppgiftsbiträdet vid behandlingen av personuppgifter för den Personuppgifts- ansvariges räkning. Genom godkännande av Biträdesavtalet bekräftar Personuppgiftsbiträdet att biträdet fått del av dessa instruktioner. Alla ändringar och tillägg till dessa instruktioner ska vara skriftliga för att gälla.

Typ av behandling Personuppgiftsbiträdet får endast vidta de behandlingar som behövs för att utföra Produktavtalet och, om tillämpligt, Uppdragsavtalet. Personuppgiftsbiträdet kommer inom ramen för Uppdragsavtalet att bistå den Personuppgiftsansvarige med bokföringsuppdrag, bokslutsuppdrag, årsbokslut eller årsredovisningsuppdrag och liknande åtgärder som är nödvändiga för att fullgöra Uppdragsavtalet.

Ändamål för behandling Ändamålen med behandlingen är t.ex. att Personuppgiftsbiträdet ska kunna tillhandahålla Produkten som är beskriven i Produktavtalet och, om tillämpligt, tillhandahålla Tjänsterna som är beskrivna i Uppdragsavtalet till den Personuppgiftsansvarige.

Kategorier av personuppgifter Personuppgiftsbiträdet kommer att behandla de personuppgifter som den Personuppgiftsansvarige tillgängliggjort inom ramen för Produkten. Inom ramen för utförande av Tjänster enligt ett tecknat Uppdragsavtal kan Personuppgiftsbiträdet komma att behandla personuppgifter av följande slag:

• kontaktuppgifter som t.ex. namn, adress, telefonnummer och e-postadresser,
• uppgifter om anställning som t.ex. anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
• uppgifter om hälsa och frånvaro, t.ex. läkarintyg och uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet,
• uppgift om medlemskap i Svenska kyrkan (kyrkoskatt),
• personnummer/samordningsnummer,
• uppgifter om ekonomiska förhållanden som t.ex. bankkontouppgifter, uppgifter om lön och andra förmåner, försäkringsuppgifter, fordonsuppgifter,
• bankkontonummer, och
• löneuppgifter (lönelistor).

Kategorier av registrerade De personuppgifter som Personuppgiftsbiträdet kommer att behandla rör följande kategorier av registrerade: t.ex. den Personuppgiftsansvariges anställda och konsulter samt kontaktuppgifter hänförliga till anställda och konsulter hos den Personuppgiftsansvariges kunder och leverantörer.

Mottagare av personuppgifter Personuppgifterna kan komma att göras tillgängliga för följande mottagare som inte är Underbiträden, t.ex. Skatteverket (vid skatterevision), Bolagsverket (årsredovisning).

Gallring Gallring sker i enlighet med vad som anges i Avtalen.

Tekniska och organisatoriska åtgärder Följande tekniska och organisatoriska säkerhetsåtgärder ska vidtas vid behandling av personuppgifter: t.ex. åtkomstskydd, säkerhetskopiering, behörighetskontroll, loggning, kryptering.

Allmänna villkor för CASAI ver 1, 2020-06-01

Allmänt

1.1 Dessa allmänna villkor ska tillämpas då Diagona AB och andra bolag inom samma koncern (”Diagona”) tillhandahåller produkter och tjänster till sina kunder. Dessa allmänna villkor utgör en integrerad del av det avtal som ingåtts mellan Diagona och Kunden (enligt definition nedan) avseende tillhandahållande av Diagonas produkter (”Avtalet”)

1.2 Genom att underteckna särskild avtalshandling och/eller beställa Produkten (enligt definition nedan) via https://casai.io/ och/eller börja använda Produkten bekräftar Kunden att Kunden accepterar dessa allmänna villkor inklusive Personuppgiftsbiträdesavtalet.

1.3 Dessa allmänna villkor gäller i den utsträckning annat inte skriftligen avtalas mellan parterna.



Definitioner

2.1 Utöver de definitioner som anges ovan, ska nedanstående termer och uttryck ha den innebörd som anges nedan.

”Avtalet” avser det avtal om tillhandahållande och nyttjande av Produkten som träffats mellan Diagona och Kunden genom undertecknande av särskild avtalshandling eller, om sådan avtalshandling saknas, genom beställning av Produkten eller användning av Produkten. Avtalet innefattar samtliga bilagor till avtalshandling eller beställning.

”Kunden” avser sådan nyttjare av Produkten som ingått avtal med Diagona avseende nyttjande av Produkten.

”Kundens Data” avser all data och information som Kunden, eller enskilda användare av Produkten på uppdrag av Kunden, tillgängliggjort och som hanteras inom ramen för Produkten.

”Produkten” avser mjukvaruprogram, onlinetjänster, datamedia, hjälpfunktioner och/eller handledningar vilka Diagona ska tillhandahålla Kunden enligt Avtalet inklusive eventuella Ändringar eller annan utveckling av Produkten.

”Ändringar” har den betydelse som anges i punkt 6.2.



Avtalstid

3.1 Avtalstid regleras i Avtalet. Om avtalstid inte framgår av Avtalet ska Avtalet gälla tillsvidare från den första av följande tidpunkter:

a) den dag Kund undertecknar särskild Avtalshandling,
b) beställer Produkt via https://casai.io/, eller
c) börjar använda Produkten.

3.2 Vardera parten har rätt att skriftligen säga upp Avtalet med iakttagande av tre (3) månaders uppsägningstid. Avtalet upphör därefter vid närmast följande kalendermånadsskifte.



Licens

Kunden erhåller och Diagona upplåter en icke exklusiv, icke överlåtbar, tidsbegränsad rätt till Kunden att för dennes eget bruk under avtalstiden och i enlighet med Avtalet (inklusive dessa allmänna villkor) använda Produkten och eventuella utvecklingar därav. Med eget bruk avses användning inom Kundens normala verksamhet samt användning hos konsulter, underleverantörer och andra uppdragstagare till Kunden i den mån sådan tillgång till Produkten är nödvändig för att kunna tillhandahålla tjänster till Kunden inom dennes normala verksamhet.



Support

5.1 Kunden erbjuds support på Produkten via e-post, hjälpsidor och hjälpdokument. Support lämnas inte på programvara eller hårdvara som tillhandahålls av annan än CASAI/Diagona.

5.2 Support tillhandahålls vardagar mellan 8.00 och 17.00 CET. Diagona äger rätt att avvakta med, avbryta och/eller göra uppehåll i support som begärs eller utsträcker sig under övrig tid. Diagona hanterar supportförfrågningar med den skyndsamhet som omständigheterna kräver. Kunden har möjlighet att beställa prioriterad support som en tilläggstjänst mot betalning.

5.3 I samtliga kontakter med Diagona avseende support av Produkten ska Kunden vara beredd att på begäran från Diagona uppge kundnummer och eventuellt lösenord, lämna noggrann redogörelse för sitt datasystem och dess grundläggande struktur, de eventuella driftsstörningar Kunden upplever samt vilken inverkan driftsstörningarna har på Kundens verksamhet i stort.



Produkten

6.1 Diagona ska tillhandahålla Produkten och eventuella tilläggstjänster till Kunden i enlighet med Avtalet. Diagona äger dock rätt att neka beställning av Produkten som görs av Kunden via https://casai.io/.

6.2 Diagona har rätt men är inte skyldig att, utan föregående underrättelse till Kunden, utveckla, uppgradera, företa ändringar i, göra tillägg till och/eller införa nya versioner (”Ändringar”) av Produkten eller ändra hur Produkten tillhandahålls. Diagona är inte skyldig att vidta Ändringar av Produkten för att anpassa Produkten till tredjepartsprogramvara.



Säkerhets- och kontrollsystem

7.1 Diagona ansvarar för att rimliga säkerhets- och kontrollsystem inrättas för att förhindra obehörig åtkomst till Produkten och Kundens Data som lagras hos Diagona.

7.2 Diagona har inget ansvar för bristande eller felaktig information som kan komma att uppstå vid användande av Produkten till följd av handhavandefel på Kundens sida. Kunden ska hålla Diagona skadelöst för varje krav från tredje man med anledning av sådant handhavandefel.

7.3 Kundnummer får endast brukas av Kunden. Kunden ansvarar för att eventuella inloggningsuppgifter förvaras på betryggande sätt så att obehöriga personer inte kan ta del av dem. Kunden ska omedelbart meddela Diagona om inloggningsuppgifter förlorats, röjts, kommit till tredje parts kännedom eller om Kunden i övrigt misstänker missbruk av dessa uppgifter.

7.4 I de fall Produkten ska hantera information från system som tillhör Kunden eller annan på Kundens sida, ska sådan information tillgängliggöras i det format som Diagona anvisar. Om informationen inte följer Diagonas angivna format kan Produktens funktion inte garanteras. Det åligger Kunden att anpassa sitt datasystem för det fall filspecifikationer förändras till följd av förändringar på marknaden.



Kundens datormiljö

8.1 Kunden ansvarar för att Kunden vid varje tidpunkt har erforderlig teknisk utrustning för att i normal omfattning kunna utnyttja Produkten. Detta gäller även vid förändrad funktionalitet på Produkten på grund av Ändringar, förändrade säkerhetsrutiner och/eller andra förändrade tekniska krav på marknaden.

8.2 Kunden ansvarar även för anslutning mot Produkten.

8.3 Kunden ska tillse att denne har erforderligt skydd mot skadlig kod och ansvarar för att Kundens Data:

(i) är fri från virus, trojaner, maskar eller annan skadlig programvara eller kod;
(ii) är i överenskommet format; samt
(iii) på annat sätt inte kan skada eller inverka negativt på Diagonas system eller Produkten.



Betalning

9.1 Ersättning för tjänster och tilläggstjänster till Produkten utgår enligt Avtalet eller, om sådan ersättning inte regleras av Avtalet, i enlighet med Diagonas vid var tid gällande prislista. Lagstadgad mervärdeskatt och andra allmänna skatter eller avgifter samt eventuell frakt tillkommer på sådan ersättning.

9.2 Betalning erlägges mot faktura, vilken ska betalas senast 20 dagar efter fakturadatum.

9.3 Vid dröjsmål med betalning ska dröjsmålsränta utgå efter en årlig räntesats om 16 procent. Diagona äger även rätt att debitera Kunden förseningsavgift enligt tillämplig lag.



Immateriella Rättigheter

10.1 Diagona, eller i tillämpliga fall dess licensgivare, innehar samtliga rättigheter inklusive immateriella rättigheter (innefattande men inte begränsat till patent, upphovsrätt, varumärken och know-how) hänförbara till Produkten och däri ingående programvara. Inget i Avtalet eller dessa allmänna villkor ska tolkas som att i denna punkt 10.1 nämnda rättigheter eller del därav övergår till Kunden. Kunden erhåller genom Avtalet endast den begränsade nyttjanderätt till Produkten som särskilt framgår av Avtalet.

10.2 Diagona innehar samtliga rättigheter inklusive immateriella rättigheter (innefattande men inte begränsat till patent, upphovsrätt, varumärken och know-how) hänförbara till utveckling av Produkten, vilka utförs i samband med fullföljandet av Avtalet, oavsett om sådan utveckling sker på uppdrag av eller i enlighet med instruktioner från Kunden eller på Diagonas eget initiativ. Sådan utveckling ska utgöra en del av Produkten och omfattas av bestämmelserna i Avtalet. Kunden erhåller genom Avtalet endast den begränsade nyttjanderätt till sådana utvecklingar som särskilt framgår av Avtalet.

10.3 I de fall rättigheter, inklusive immateriella rättigheter, avseende utveckling av Produkten enligt tillämplig tvingande lag tillkommer Kunden och punkt 10.2 därmed inte går att tillämpa, ska Diagona ha en icke-exklusiv, kostnadsfri och i tiden obegränsad rätt att återanvända (innefattat rätten att fritt använda, utveckla, ändra och licensera till tredje part) utvecklingen i sin verksamhet. I de fall Kunden planerar att överlåta rättigheterna till tredje part åtar sig Kunden att innan rättigheterna överlåts till annan, ge Diagona rätt att förvärva utvecklingen mot skälig ersättning.



Kundens data

11.1 Om inte annat anges i Avtalet äger Diagona samtliga rättigheter till Kundens Data. Om inget annat uttryckligen framgår av Avtalet eller dessa allmänna villkor ska sådana rättigheter eller del därav inte övergå till Diagona.

11.2 Diagona äger rätt att använda Kundens Data, för drift, underhåll och utveckling av Produkten samt för att erbjuda Kunden och tredje part nya tjänster samt för administration av kundkontakter, support och skräddarsydd information om och marknadsföring av Diagonas tjänster eller produkter. I det fall användardata innefattar personuppgifter äger Diagona endast rätt att behandla sådana personuppgifter i enlighet med punkt 16.

11.3 Diagona äger vidare rätt att framställa statistik med hjälp av Kundens Data. Statistik som Diagona framställt i enlighet med denna punkt 11.3 utgör Diagonas egendom i den mån sådan statistik är avidentifierad, oaktat att sådan statistik baseras på information som tillhör Kunden.

11.4 Diagona förbehåller sig rätt att lagra och behandla information från Kunden på en server som kan finnas utanför det land där Kunden har sin verksamhet. I den mån sådan information utgör personuppgifter ska behandling ske enligt punkt 16.



Tillgänglighet

12.1 Diagona avser i möjligaste mån tillhandahålla Produkten utan tekniska störningar och fel. Kunden är dock medveten om att Produkten från tid till annan kan komma att göras otillgänglig med anledning av, planerade eller oplanerade, driftstopp för nödvändig service och underhåll av Produkten och/eller Diagonas system.

12.2 Diagona förbehåller sig rätten att vidta planerade driftstopp avseende Produkten utan att dessförinnan meddela Kunden härom.

12.3 Diagona ska utan onödigt dröjsmål vidta åtgärder för att avhjälpa och minimera tiden för driftstopp av Produkten samt de eventuella störningar som detta medför för Kundens verksamhet.



Underleverantörer

Diagona äger rätt att utan Kundens godkännande anlita underleverantörer för utförandet av sina åtaganden enligt Avtalet. Diagona ansvarar för sådan underleverantör såsom om arbetet utförts av Diagona själv.



Ansvarsbegränsning

14.1 Diagonas ansvar omfattar endast ersättning för direkt skada. Diagona ansvarar inte för skador till följd av driftsavbrott, förlust eller påverkan på data, utebliven vinst eller annan allmän förmögenhetsskada eller indirekt skada av annat slag, såsom utebliven vinst och produktionsbortfall.

14.2 Diagonas sammanlagda och totala skadeståndsansvar under Avtalet avseende en eller flera händelser (oavsett om dessa har samband med varandra eller inte) ska inte i något fall överstiga ett belopp motsvarande två (2) prisbasbelopp som, vid var tid, gäller enligt Socialförsäkringsbalken (2010:110).

14.3 Oavsett vad som i övrigt i detta avsnitt 14 anges ansvarar Diagona inte för skador som uppstår på grund av förhållanden som Kunden svarar för, t ex eventuella säkerhetsbrister hos Kunden och/eller dennes datasystem, eller skador som uppstår på grund av den information som Kunden tillgängliggjort genom Produkten eller felaktig användning av Produkten. Diagona ansvarar inte heller i något fall för Kundens och/eller tredje parts hantering av information som exporteras från och/eller importeras till Produkten.



Sekretess och hantering av information

15.1 Parterna förbinder sig att, utan begränsning i tiden inte för tredje part avslöja konfidentiell information eller använda konfidentiell information i annat syfte än att uppfylla sina åtaganden och rättigheter enligt Avtalet.

15.2 Med konfidentiell information avses all information – teknisk, kommersiell eller av annan art -, oavsett om upplysningen dokumenterats eller inte, som Part, dess arbets- eller uppdragstagare erhåller från den andra Parten eller som annars framkommer vid användningen av Produkten, inklusive alla dokument, inloggningsuppgifter, utvärderings- och förbättringsförslag, personuppgifter och annan data med undantag för:

a) upplysning, som är allmänt känd eller kommer till allmän kännedom på annat sätt än genom Parts brott mot innehållet i Avtalet;
b) upplysning, som Part kan visa att den redan kände till innan Part mottog den från andra Parten; och
c) upplysning, som Part kan visa att den mottagit eller kommer att motta från tredje man utan att vara bunden av sekretessplikt i förhållande till denne.

15.3 Parts åtaganden enligt denna punkt 15 förhindrar inte Part från att lämna ut sådan information som Part är skyldigt att lämna ut enligt lag, dom eller myndighetsbeslut eller avtal med börs eller annan marknadsplats. Om det inte strider mot tvingande lag är dock Part skyldig att informera den andra Parten innan sådant utlämnade sker, för att den andra Parten ska kunna vidta erforderliga skyddsåtgärder

15.4 I fall som avses under 15.2 c) ovan har part dock inte rätt att avslöja för utomstående att samma upplysning även mottagits från den andra parten enligt Avtalet.

15.5 Part förbinder sig att tillse att anställda, konsulter och styrelseledamöter hos respektive Part inte röjer eller använder konfidentiell information i strid med denna punkt 15. Det åligger därvid Part att tillse att de anställda som kan antas komma i kontakt med konfidentiell information är bundna att hemlighålla denna information i samma utsträckning som Parten själv enligt Avtalet.



Behandling av personuppgifter

I den mån Diagona behandlar personuppgifter för Kundens räkning regleras sådan behandling av Personuppgiftsbiträdesavtal.



Force Majeure

Om Parts fullgörande av något av Parts åtaganden förhindras eller avsevärt försvåras på grund av omständighet som part inte kunnat råda över, såsom lagbud, arbetskonflikt, mobilisering, terrorhandling, krig, rekvisition, uppror, upplopp, eldsvåda, vattenskada, blixtnedslag, naturkatastrof, inbrott, dataintrång, myndighetsbestämmelse, myndighetsingripande, fel, brist eller dröjsmål i energiförsörjningen, inskränkningar i fråga om drivkraft, varor och energi och därmed jämställda omständigheter, eller fel eller försening i tjänster från underleverantörer på grund av omständigheter som här angivits, ska detta utgöra befrielsegrund som medför tidsförskjutning av tidpunkt för prestation och befrielse från skadestånd och andra eventuella påföljder, förutsatt att den Part som inte kan fullgöra sina åtaganden utan dröjsmål meddelat den andra parten därom. Om Avtalets fullgörande förhindras under en längre tid än tre (3) månader på grund av här angiven omständighet, har part rätt att skriftligen säga upp Avtalet till omedelbart upphörande. Så snart hindret för fullgörande upphör ska åtagandet fullgöras på avtalat sätt.



Användning av Produkten

18.1 Kunden ansvarar för att användande av Produkten inte sker i strid med gällande lagstiftning eller i strid med Avtalet.

18.2 Kunden ansvarar för att dess slutanvändare inte bryter mot, kringgår, tar bort eller påverkar den teknik och de säkerhetssystem som Diagona använder för att skydda Produkten och innehållet i Produkten. Kunden ska tillse att dess slutanvändare inte agerar på ett sätt som kan innebära att Produkten sätts ur funktion, överbelastas försämras eller skadas, eller på annat sätt som kan innebära att Diagona lider skada.

18.3 Produkten får endast användas för avsett ändamål och i enlighet med Diagonas anvisningar, Avtalet och dessa allmänna villkor. Vid annan användning eller om användning medför skada eller men för Diagona äger Diagona rätt att stänga av Kunden från användning av Produkten intill dess rättelse har vidtagits. Diagona har även rätt att förhindra och blockera Kundens användning av Produkten om Kunden använder Produkten på ett sätt som enligt Diagonas bedömning kan anses stå i strid med gällande lagstiftning. Kunden äger inte rätt till återbetalning av erlagda avgifter för Produkten under den period användningen av Produkten är avstängd. Om rättelse inte vidtagits inom fjorton (14) dagar från tidpunkten för avstängning äger Diagona rätt att skriftligen säga upp Avtalet till omedelbart upphörande.



Förtida uppsägning

19.1 Vardera Part äger rätt att skriftligen säga upp Avtalet till omedelbart upphörande om:

a) den andra Parten gör sig skyldig till väsentligt avtalsbrott och underlåter att vidta rättelse inom trettio (30) dagar efter mottagandet av skriftlig anmodan därom med angivande av vari avtalsbrottet består;
b) den andra Parten ställer in sina betalningar, inleder företagsrekonstruktion, ackordsförhandling eller liknande förfarande, försätts i konkurs eller träder i likvidation eller på annat sätt skäligen kan antas ha kommit på obestånd och att det med fog kan befaras att sådan Parts åtaganden enligt Avtalet inte blir rätteligen fullgjorda; eller
c) det i övrigt uttryckligen anges i Avtalet.

19.2 Diagona äger rätt att skriftligen säga upp Avtalet med omedelbar verkan om Kundens ägarförhållanden väsentligen förändras. Kunden ska omedelbart meddela Diagona om sådan förändring i Kundens ägarförhållanden.



Följder av avtalets upphörande

20.1 I det fall Diagona äger rätt att säga upp Avtalet med omedelbar verkan enligt avsnitt 19 är Diagona inte skyldig att återbetala eventuella ersättningar erlagda i förskott av Kunden med avräkning per uppsägningsdagen.

20.2 Vid Avtalets upphörande, oavsett anledningen därtill, ska Kunden upphöra med användningen av Produkten samt inom fjorton (14) dagar återlämna dokumentation och annat material som erhållits från Diagona. På begäran ska Kunden skriftligen intyga till Diagona att Kunden upphört att använda Produkten och/eller tillhörande dokumentation eller kopia därav. Sådant intyg ska undertecknas av behörig ställföreträdare för Kunden.

20.3 Vid Avtalets upphörande ska Diagona på Kundens skriftliga begäran återlämna eller radera Kundens Data. Återlämnandet ska ske på sätt Diagona finner lämpligt. Begäran om återlämnande av Kundens Data ska ske inom fjorton (14) dagar, varefter Diagona äger rätt att radera Kundens Data. Kundens rätt enligt denna punkt 20.3 omfattar inte sådan statistik som Diagona framställt enligt punkt 11.3.



Ändringar och tillägg

21.1 Ändringar av och tillägg till Avtalet ska för att vara bindande vara skriftligen avfattade och behörigen undertecknade av båda Parterna.

21.2 Diagona förbehåller sig rätten att ändra dessa allmänna villkor genom meddelande härom till Kunden. Ändringar som inte uppenbart är till Kundens fördel ska Diagona informera Kunden om senast trettio (30) dagar innan dessa träder i kraft. Om Kunden inte accepterar sådana ändringar har Kunden rätt att inom fjorton (14) dagar från att sådan information lämnats, skriftligen säga upp Avtalet med verkan från den tidpunkt då ändringen träder i kraft. Om Kunden inte tillställer Diagona någon underrättelse om att ändringen inte godtas inom utsatt tid ska Kunden anses ha accepterat förändringen.



Överlåtelse

22.1 Diagona äger rätt att utan Kundens medgivande överlåta sina rättigheter och skyldigheter enligt Avtalet till tredje part.

22.2 Kunden äger inte rätt att överlåta sina rättigheter och skyldigheter enligt Avtalet utan Diagonas skriftliga godkännande.



Meddelanden

23.1 Uppsägning eller andra meddelanden enligt Avtalet ska ske skriftligen genom bud, rekommenderat brev eller e-post till motpartens i Avtalet angivna eller senare ändrade adress och kontaktperson.

23.2 Meddelandet ska anses ha kommit mottagaren tillhanda:

a) om avlämnat med bud: vid avlämnandet;
b) om avsänt med rekommenderat brev: tre (3) dagar efter avlämnandet för postbefordran;
c) om avsänt med e-post: dagen efter det att meddelandet avsänts till mottagarens angivna e-postadress, förutsatt att avsändande part inte erhåller något besked om fel vid avsändandet.

23.3 Allmänna meddelanden från Diagona till Kund, vilka rör alla eller flertalet kunder till Diagona, till exempel meddelanden avseende adressändringar ska anses ha kommit Kunden tillhanda när sådant meddelande tillgängliggjorts på https://casai.io/.

23.4 Det åligger Part som byter kontaktpersoner, postadress, telefonnummer eller e-postadress att skriftligen utan onödigt dröjsmål meddela den andra parten om detta.



Övrigt

24.1 Avtalet med dess bilagor utgör Parternas fullständiga reglering av alla frågor som Avtalet berör. Samtliga skriftliga eller muntliga åtaganden och utfästelser som föregått Avtalet ersätts av innehållet i Avtalet.

24.2 Skulle någon bestämmelse i Avtalet eller del därav befinnas ogiltig ska detta inte innebära att Avtalet i dess helhet är ogiltigt utan ska, i den mån ogiltigheten väsentligen påverkar Parts utbyte av eller prestation enligt Avtalet, skälig jämkning av Avtalet ske.



Tvister

25.1 Tvist rörande tolkning och/eller tillämpning av Avtalet och dessa allmänna villkor ska göras enligt svensk materiell rätt.

25.2 Tvist som uppstår i anledning av Avtalet ska slutligen avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en (1) eller tre (3) skiljemän. Skiljeförfarandets säte ska vara Göteborg och språket för förfarandet ska vara svenska.