PUB-avtal för kvittotjänsten

1. Bakgrund

1.1 Kvittoutställaren har godkänt Kivra Sverige AB:s, org. nr 556917–3544 (“Kivra”) Allmänna Villkor (“Allmänna Villkor”) avseende en tjänst som möjliggör för Kvittoutställaren att förmedla digitala kvitton (“Digitala Kvitton”) till privatpersoner som har ingått ett särskilt användaravtal med Kivra (”Användare”) för Digitala Kvitton.

1.2 Som ett led i Kivras fullgörande av de Allmänna Villkoren kommer Kivra att behandla personuppgifter för Kvittoutställarens räkning som Kvittoutställaren är personuppgiftsansvarig för, och därmed vara Kvittoutställarens personuppgiftsbiträde. Därför ingås detta personuppgiftsbiträdesavtal (”PUB”).

1.3 Om och i den mån annat bolag i samma koncern som Kvittoutställaren är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med Kvittoutställaren) för behandling som omfattas av detta PUB bekräftar Kvittoutställaren härmed att man inhämtat nödvändiga tillstånd för att ingå detta PUB även för sådant bolags räkning.

2. Definitioner

2.1 I detta PUB ska begreppen som listas nedan anses ha den betydelse som anges nedan. Termer som inte är definierade i detta PUB (t.ex. ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”, ”behandling”, ”personuppgiftsincident”) ska ha den betydelse som framgår av Tillämplig Dataskyddslagstiftning eller de Allmänna Villkoren:

• "Dataskyddsförordningen"

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

• "Uppgifterna"

Personuppgifter i de Digitala Kvitton som överförs till, eller på annat sätt behandlas av Kivra under detta PUB och personuppgifter som krävs för att kunna förmedla Digitala Kvitton till rätt mottagare. De personuppgifter som kan omfattas anges i Bilaga A (Specifikation) .

• ”Tillämplig Dataskyddslagstiftning”

(i) Dataskyddsförordningen och ersättande rättsakter; (ii) tillämplig svensk lag avseende dataskydd; och (iii) till i) och ii) ovan hörande förordningar och föreskrifter samt riktlinjer som utfärdats av Tillsynsmyndighet och som är tillämpliga på Parts verksamhet.

• ”Tillsynsmyndighet”

Integritetsskyddsmyndigheten och i förekommande fall annan behörig tillsynsmyndighet som med stöd av lag utövar tillsyn över Parts verksamhet.

• “Tokenuppgifter”

Uppgifter Kivra behandlar för Kvittoutställarens räkning när Kivra identifierar mottagare av ett visst Digitalt Kvitto baserat på delar av kundens betalkortsuppgifter.

3. Allmänt om behandlingen av personuppgifter under detta PUB

3.1 Kvittoutställaren är personuppgiftsansvarig för Uppgifterna när de skickas till Kivra intill dess att Kivra har bekräftat att det Digitala Kvittot tillgängliggjorts i den mottagande Användarens brevlåda (”Förmedlingsbekräftelsen”). Vid tidpunkten för Förmedlingsbekräftelsen upphör Kvittoutställarens personuppgiftsansvar och Kivras roll som Kvittoutställarens personuppgiftsbiträde för Uppgifterna.

3.2 Ändamålet med behandlingen av Uppgifterna enligt detta PUB är att Kivra säkert och effektivt ska motta och förmedla Digitala Kvitton till Användare på uppdrag av Kvittoutställaren (”Ändamålet”). Om Kvittoutställaren nyttjar Kivras tilläggstjänst Digital Papperskorg är Ändamålet också att motta och radera de Digitala Kvitton som inte kan mottas av en Användare.

3.3 Vilka Uppgifter Kivra behöver behandla för Ändamålet framgår av Specifikationen (Bilaga A).

4. Avtalsdokument, tillämpning och instruktioner

4.1 Detta PUB består av detta dokument och Specifikationen (Bilaga A). Detta PUB är en del av och lyder under villkoren i de Allmänna Villkoren. Detta PUB äger företräde framför eventuella övriga bilagor till de Allmänna Villkoren.

4.2 Kivra ska enbart behandla Uppgifterna för att fullgöra Ändamålet och i enlighet med detta PUB, de instruktioner som Kvittoutställaren från tid till annan skriftligen meddelar och Tillämplig Dataskyddslagstiftning.

4.3 Parterna är dock överens om att Kivra har rätt att, i egenskap av personuppgiftsansvarig,behandla data om innehållet i Digitala Kvitton. Det är nödvändigt bl.a. för att Kivra ska kunna visa upp information om Digitala Kvitton för Användare i Kivras tjänst, och för att låta Användare söka i sina Digitala Kvitton. Det Digitala Kvittot kommer att finnas tillgängligt för Användaren så länge Användaren tar del av Kivras tjänster.

4.4 Kvittoutställaren har rätt att löpande instruera Kivra gällande Kivras behandling av Uppgifterna och Kivra är skyldig att följa sådana dokumenterade instruktioner. För de instruktioner som gäller vid detta PUB:s tecknande se Specifikationen i Bilaga A. Om Kvittoutställaren ändrar sina instruktioner till Kivra efter detta PUB:s ingående gäller vad som sägs avsnitt i 14.1 nedan.

4.5 Om Kivra bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt detta PUB, eller om Kivra uppmärksammar att instruktionerna strider mot Tillämplig Dataskyddslagstiftning, ska Kivra informera Kvittoutställaren om sin inställning, ange om fullgörandet av de Allmänna Villkoren kan påverkas av behovet av instruktioner och invänta vidare instruktioner från Kvittoutställaren. Kivra är alltså inte skyldig att följa en instruktion från Kvittoutställaren om Kivra anser att instruktionen strider mot Tillämplig Dataskyddslagstiftning.

5. Säkerhet och tekniska åtgärder

5.1 Kivra vidtar sådana lämpliga tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, och därigenom säkerställa att de registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Kivra skyddar Uppgifterna mot obehörig åtkomst, förstörelse eller ändring.

5.2 Kivra iakttar särskilt följande:

• a. Åtkomstskydd - När datorutrustning och löstagbara datamedier hos Kivra inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Uppgifterna krypteras. För det fall eventuella bärbara datorer används vid Behandlingar ska Uppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

• b. Säkerhetskopia - Uppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att Uppgifterna kan återskapas efter en störning. Kivra ska ha en rutin för test av återläsning.

• c. Behörighetskontroll - Ett tekniskt system för behörighetskontroll ska styra åtkomsten till Uppgifterna för Kivra. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

• d. Loggning - Åtkomst till Uppgifterna ska kunna följas upp i efterhand genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Kivra och återrapporteras till Kvittoutställaren.

• e. Datakommunikation - Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Uppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Kivra ska skyddas med innehållskryptering.

• f. Utplåning - När fasta eller löstagbara lagringsmedier som innehåller Uppgifter inte längre ska användas för sitt ändamål ska Uppgifterna raderas på sådant sätt att de inte kan återskapas.

• g. Reparation och service - När reparation och service av datorutrustning, vilken används för att lagra Kvittoutställarens Uppgifter, utförs av annan än Kivra, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under Kivras överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Uppgifter avlägsnas. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

5.3 Kivra åtar sig att säkerställa att Kivra har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt vad gäller kraven på säkerhet enligt ovan, samt att de åtgärder som vidtas kommer att ses över och uppdateras vid behov.

5.4 Kivra ska se till att berörd personal följer detta PUB och de instruktioner som ges av Kvittoutställaren samt att de hålls informerade om bestämmelserna i Tillämplig Dataskyddslagstiftning.

6. Radering av uppgifterna

6.1 Kivra får inte lagra Uppgifterna för längre tid än vad som är nödvändigt för fullgörande av Ändamålet eller vad som annars följer av Tillämplig Dataskyddslagstiftning, detta PUB eller Kvittoutställarens instruktioner. Uppgifterna ska därefter, så länge inte något annat överenskommits med Kvittoutställaren, raderas.

7. Kivras informationsplikt

7.1 Kivra ska utan onödigt dröjsmål, och senast inom 24 timmar efter det att Kivra upptäckt fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av Uppgifterna och andra personuppgiftsincidenter, informera Kvittoutställaren om detta. Om en personuppgiftsincident endast består i att personuppgifter temporärt inte finns tillgängliga på grund av bristande tillgänglighet eller funktionalitet i Kivras tjänster är parterna överens om att en sådan händelse inte behöver notifieras enligt det här avsnittet 7.1, eftersom Kvittoutställaren notifieras om en sådan händelse i enlighet med de Allmänna Villkoren (se avsnitt 7.1 i de Allmänna Villkoren).

7.2 När Kivra underrättar Kvittoutställaren enligt avsnitt 7.1 ovan ska underrättelsen innefatta information om (i) incidentens art, kategorier av registrerade, kategorier av Uppgifter och det ungefärliga antalet registrerade som berörs, (ii) kontaktuppgifterna till Kivras dataskyddsombud alternativt andra funktioner där Kvittoutställaren kan erhålla information, (iii) sannolika konsekvenser av incidenten; (iv) de åtgärder som redan vidtagits av Kivra alternativt de åtgärder som planeras och eller föreslås att vidtas; och (v) all sådan eventuell ytterligare nödvändig information som krävs för att Kvittoutställaren i förekommande fall ska kunna fullgöra sin rapporterings-/informationsskyldighet gentemot Tillsynsmyndighet och/eller registrerade.

7.3 För det fall den registrerade, Tillsynsmyndighet eller tredje man begär information från Kivra som specifikt rör behandlingen av Uppgifter under detta PUB ska Kivra hänvisa till Kvittoutställaren. Kivra får inte lämna ut Uppgifter eller annan information om behandlingen av Uppgifter under detta PUB utan uttrycklig instruktion från Kvittoutställaren, eller om utlämnandet är en följd av en skyldighet enligt lag.

7.4 Part ska utan dröjsmål informera den andra Parten om eventuella kontakter med Tillsynsmyndigheten som rör Kivras behandling av Uppgifter åt Kvittoutställaren under PUB. Part har inte rätt att företräda den andra Parten eller agera för dennes räkning gentemot Tillsynsmyndigheten.

8. Registrerades rättigheter

8.1 Registrerade har rätt att från Kvittoutställaren begära registerutdrag och annan information om den personuppgiftsbehandling som utförs under detta PUB. Kvittoutställaren ska också se till att personuppgifter om en registrerad på dennes begäran kan rättas, blockeras eller raderas. Om en registrerad begär att få utnyttja sina rättigheter på ett vis som berör personuppgiftsbehandlingen under detta PUB ska Kivra, med hänsyn till de begränsningar som gäller enligt avsnitt 7.3 ovan, bistå Kvittoutställaren så att registrerades rättigheter kan säkerställas.

8.2 Både Kvittoutställaren och Kivra garanterar att de har rutiner på plats som gör det möjligt att tillgodose registrerades rättigheter enligt avsnitt 8.1 ovan.

9. Kontroll av Kivras behandling

9.1 Kivra ska tillåta de inspektioner som Tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Uppgifterna. Kivra ska följa av Tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt Tillämplig Dataskyddslagstiftning.

9.2 Kvittoutställaren har rätt att själv eller genom en oberoende tredje man genomföra kontroller av Kivras behandling av Uppgifterna för att försäkra sig om att vad som anges i Tillämplig Dataskyddslagstiftning, detta PUB och av de instruktioner som utfärdats av Kvittoutställaren efterlevs. Om annat inte följer av särskild separat skriftlig överenskommelse står respektive Part sina egna kostnader vid granskning och för tillhandahållandet av information enligt detta avsnitt 9.2.

9.3 Kivra ska i skälig utsträckning bidra till sådana kontroller och granskningar, inbegripet inspektioner och tillgång till Kivras lokaler, datorutrustning m.m., och på begäran tillhandahålla Kvittoutställaren den assistans och den dokumentation som rimligen erfordras för detta.

9.4 Om Kvittoutställaren anlitar tredje part att utföra inspektion av Kivras behandling av Uppgifter för Kvittoutställaren räkning ska Kvittoutställaren tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.

9.5 Insyn för granskning, informationslämning och dylikt ska äga rum vid det tillfälle som Kvittoutställaren eller Tillsynsmyndigheten begär, vilket i möjligaste mån ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Parternas respektive ordinarie verksamheter. Granskning av Kivra ska ske med iakttagande av de säkerhetsåtgärder som Kivra uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen.

9.6 Om Kvittoutställaren vid kontroll enligt ovan eller på annat sätt finner att Kivra inte uppfyller kraven på lämplig säkerhetsnivå eller på annat sätt behandlar Uppgifterna i strid med detta PUB eller Tillämplig Dataskyddslagstiftning är Kivra skyldig att omgående rätta sig efter Kvittoutställaren påpekande. Om så inte sker och detta kan medföra olägenhet för Kvittoutställaren har Kvittoutställaren rätt att säga upp detta PUB och de Allmänna Villkoren med omedelbar verkan.

10. Överföring till tredje land

10.1 Kivras behandling av Uppgifterna sker som huvudregel inom EU/EES. Om Kvittoutställaren väljer att förmedla Digitala Kvitton baserat på Tokenuppgifter kan Tokenuppgifterna komma att överföras utanför EU/EES (Se (“Lokalisering av behandling” i Specifikationen (Bilaga A)). Kivra åtar sig att säkerställa att den aktuella överföringen sker med stöd av Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 och att andra skyddsåtgärder finns tillgängliga.

11. Anlitande av underbiträden

11.1 Kvittoutställaren godkänner härmed att Kivra använder de redan anlitade underbiträden (”Godkända underbiträden”) som framgår av Specifikationen i Bilaga A till detta PUB.

11.2 För nya underbiträden åtar sig Kivra att informera Kvittoutställaren om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst 45 dagar innan sådana planer genomförs, och Kvittoutställaren har rätt att avsluta de Allmänna Villkoren inklusive detta PUB om Kvittoutställaren inte godkänner förslaget på nytt underbiträde. Om Kvittoutställaren inte återkommer till Kivra inom de 45 dagarna anses Kvittoutställaren ha accepterat Kivras plan att anlita/ersätta det/de underbiträde(n) som Kivra informerat Kvittoutställaren om.

11.3 Kvittoutställaren godkännande enligt avsnitt 11.1 samt 11.2 ska betraktas som ett särskilt tillstånd för Kivra att i det enskilda fallet, för Kvittoutställaren räkning, ingå personuppgiftsbiträdesavtal med underbiträden som ska behandla Uppgifter. Sådant personuppgiftsbiträdesavtal mellan Kivra och ett underbiträde måste vara ett skriftligt avtal varigenom underbiträdet åläggs motsvarande åtaganden och skyldigheter som detta PUB ålägger Kivra.

11.4 Kivra är ansvarig för att Tillämplig Dataskyddslagstiftning beaktas vid anlitande av underbiträden. Kivra ska vidta alla nödvändiga åtgärder för att säkerställa att anlitade underbiträden inte behandlar Uppgifterna i strid med detta PUB och säkerställa att dessa ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder.

11.5 Om underbiträdet inte uppfyller sina skyldigheter i fråga om behandling ska Kivra förbli fullt ansvarig gentemot Kvittoutställaren för underbiträdets uppfyllande av sina skyldigheter enligt detta PUB.

12. Ansvar

12.1 Om Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta PUB eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant otillåtet agerande orsakat. Detta ska dock inte gälla om den skadevållande Parten kan visa att denne eller av denne anlitat underbiträde inte på något sätt är ansvarig(a) för den händelse, det agerande eller den underlåtenhet som orsakade den andre Parten skadan, såsom att anspråket inte hade kunnat undvikas genom skadevållande Parts uppfyllande av sina skyldigheter enligt de Allmänna Villkoren, detta PUB, Tillämplig Dataskyddslagstiftning eller av skriftliga instruktioner som utfärdats av Kvittoutställaren.

12.2 Under inga omständigheter ska Part enligt avsnitt 12.1 vara ansvarig för indirekta skador, såsom utebliven vinst, inkomstförlust, förlust av data, hinder att uppfylla förpliktelse mot tredje man, ersättningsskyldighet mot tredje man eller andra följdskador. Denna ansvarsbegränsning ska dock inte gälla vid grov vårdslöshet eller uppsåt.

12.3 Parternas rätt till ersättning vad gäller krav från tredje man regleras i sin helhet i enlighet med artikel 82 i Dataskyddsförordningen. Detta inkluderar rätten för den Part som betalat full ersättning för den skada som orsakats tredje man att från den andra Parten, om denne medverkat vid samma behandling, återkräva den del av ersättningen som motsvarar den Partens del av ansvaret för skadan.

13. Sekretess

13.1 Part åtar sig att inte avslöja någon som helst information av konfidentiell art, som Part direkt eller indirekt fått del av under samarbetet med den andre Parten, beträffande den andre Partens verksamheter, till tredje man.

13.2 Kivra åtar sig att inte lämna ut Uppgifterna eller annan information om behandlingen av Uppgifterna till tredje man utan uttrycklig instruktion eller förhandsgodkännande från Kvittoutställaren.

13.3 Part ska se till att de personer som har åtkomst till Uppgifterna har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt i enlighet med kraven i Tillämplig Dataskyddslagstiftning och är informerade om hur de får behandla Uppgifterna. Detta sekretessåtagandet är inte tillämpligt i förhållande till underbiträden med vilka det finns underbiträdesavtal i enlighet med avsnitt 11 ovan. Sådant underbiträdesavtal ska dock innehålla motsvarande sekretessåtagande för underbiträdet.

14. Ändringar

14.1 Eventuella justeringar av Kvittoutställarens instruktioner angående behandling av Uppgifter ska meddelas Kivra i rimlig tid för att nödvändiga ändringar i Kivras rutiner ska kunna genomföras, och åtminstone trettio (30) dagar i förväg, såvida inte en kortare implementationstid är nödvändig för att uppfylla Tillämplig Dataskyddslagstiftning. Meddelandet ska ske i enlighet med avsnitt 15.3 nedan och, förutsatt att Kivra accepterar sådan ändring, dokumenteras av Parterna genom uppdatering av texten hörande till rubriken “Särskilda instruktioner från Kvittoutställaren” i Specifikationen (Bilaga A).

14.2 Om Kivra, efter en ändring enligt avsnitt 14.1, bedömer att Kvittoutställarens instruktioner inte rimligen kan uppfyllas har Kivra har rätt att avsäga sig uppdraget under de Allmänna villkoren helt eller delvis. Kivra ska i sådan uppsägning ange från och med vilket datum uppsägningen ska gälla.

14.3 Om Kivra inte accepterar en ändring enligt avsnitt 14.1 har Kvittoutställaren rätt att säga upp de Allmänna Villkoren inklusive detta PUB helt eller delvis. Kvittoutställaren ska i sådan uppsägning ange från och med vilket datum uppsägningen ska gälla.

14.4 Övriga ändringar av och tillägg till detta PUB ska ske i enlighet med avsnitt 10 i de Allmänna Villkoren.

15. Meddelanden

15.1 Alla meddelanden och annan kommunikation enligt detta PUB från en Part till den andra ska upprättas skriftligen och avlämnas genom e-post, bud eller rekommenderat brev till Parternas angivna adresser alternativt kommuniceras via anvisad webbplats. För kontaktkanaler hänvisas till uppgifter lämnade vid de Allmänna Villkorens ingående. Ansvaret för att hålla sina kontaktuppgifter uppdaterade vilar på respektive Part.

15.2 Meddelande ska anses ha kommit mottagaren tillhanda:

a) vid avsändande med e-post; vid tidpunkten för avsändande förutsatt att negativ kvittens ej erhålles.

b) vid avlämnande med bud; vid tidpunkten för avlämnandet.

c) vid avsändande med rekommenderat brev; den tredje (3:e) vardagen efter avlämnandet för postbefordran under parts i inledningen angivna eller senare ändrad postadress.

d) vid kommunikation via anvisad webbplats: vid inloggning av hos Part behörig person.

16. Övrigt

16.1 Detta PUB gäller från dess undertecknande och så länge Kivra behandlar Uppgifter för Kvittoutställarens räkning.

16.2 Part får inte överlåta detta PUB och inte heller helt eller delvis överlåta skyldigheter eller rättigheter enligt detta PUB utan den andre Partens godkännande.

16.3 Svensk lag ska tillämpas på detta PUB inklusive all behandling av Uppgifter under detta PUB.

16.4 Bestämmelser om tvistlösning återfinns i de Allmänna Villkoren.