Personuppgifts-biträdesavtal för användare
1. BAKGRUND
1.1 Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) gäller när Kivra Sverige AB, org. nr 556917-3544, eller annat bolag inom samma koncern som Kivra Sverige AB (”Kivra”) tillhandahåller en Tjänst som beskrivs i Kivras allmänna villkor för användare eller Kivras allmänna villkor för företagsanvändare (gemensamt “Allmänna Villkor”).
1.2 Vid tillhandahållande av tillämplig Tjänst enligt de Allmänna Villkoren kommer Kivra att behandla personuppgifter i egenskap av personuppgiftsbiträde åt (i) Användare som utför behandlingar för privat bruk eller som har samband med Användarens privata hushåll; (ii) Användare som utför behandlingar för annat än privat bruk eller dess privata hushåll såsom vid enskild näringsverksamhet; och/eller (iii) Företagsanvändare (gemensamt “Användare”). Användaren är personuppgiftsansvarig för samma behandlingar.
1.3 Kivras skyldigheter enligt punkt 5.4 i detta Personuppgiftsbiträdesavtal gäller inte gentemot Användare enligt (i) i punkt 1.2 då dessa Användare inte har några skyldigheter enligt Dataskyddsförordningen (se artikel 2.2 c) i Dataskyddsförordningen (s.k. privatbruksundantaget)). I övrigt gäller detta Personuppgiftsbiträdesavtal i sin helhet för alla Användare.
1.4 Om och i den mån annat bolag i samma koncern som Användaren är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med Användaren) för behandling som omfattas av detta Personuppgiftsbiträdesavtal, bekräftar Användaren härmed att man inhämtat nödvändiga tillstånd för att ingå Personuppgiftsbiträdesavtalet även för sådant bolags räkning.
2. DEFINITIONER
2.1 De definitioner och termer som används i detta Personuppgiftsbiträdesavtal ska ha samma betydelse och innebörd som de definitioner och termer som anges i de Allmänna Villkoren om inte annat framkommer.
2.2 Följande begrepp ska ha nedan angiven betydelse om inte omständigheterna tydligt föranleder något annat (och termer som inte är definierade i Personuppgiftsbiträdesavtalet såsom t.ex. ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”, ”behandling”, ”personuppgiftsincident” ska ha den betydelse som framgår av Dataskyddsförordningen):
”Dataskyddsförordningen” avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
”Registrerad” avser en fysisk person vars personuppgifter ingår i Uppgifterna.
”Tillämplig Dataskyddslagstiftning” avser: (i) Dataskyddsförordningen och ersättande rättsakter; (ii) tillämplig svensk lag avseende dataskydd; och (iii) till i) och ii) ovan hörande förordningar och föreskrifter som utfärdats av Tillsynsmyndighet och som är tillämpliga på Parts verksamhet.
”Tillsynsmyndighet” avser Integritetsskyddsmyndigheten och i förekommande fall annan behörig tillsynsmyndighet som med stöd av lag utövar tillsyn över Parts verksamhet.
”Uppgifterna” avser de personuppgifter som överförs till, lagras eller på annat sätt behandlas av Kivra på uppdrag av Användaren enligt detta Personuppgiftsbiträdesavtal. Vilka typer av personuppgifter som omfattas anges i Specifikationen.
3. INSTRUKTIONER
3.1 Personuppgiftsbiträdesavtalet består av detta dokument och Specifikationen. I Specifikationen finns en översikt över vilka behandlingar som sker,vilka ändamål som finns med behandlingen; vilka Uppgifter som behandlas; vilka kategorier av Registrerade som omfattas,; hur länge Uppgifterna sparas; samt eventuella underbiträden och var denna behandling i sådana fall är lokaliserad.
3.2 Användaren ger Kivra tillstånd att överföra Uppgifter till tredje part i de fall som krävs för att uppfylla syftet med detta Personuppgiftsbiträdesavtal, inbegripet dess instruktioner, och/eller för att uppfylla en rättslig förpliktelse. Detta inkluderar, men är inte begränsat till, överföring av Uppgifter till leverantörer, samarbetspartners och myndigheter.
3.3 Kivra får inte behandla Uppgifterna på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i detta Personuppgiftsbiträdesavtal, Användarens instruktioner och Tillämplig Dataskyddslagstiftning. För det fall att Kivra bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta Personuppgiftsbiträdesavtal, eller om Kivra uppmärksammar att instruktionerna strider mot Tillämplig Dataskyddslagstiftning, ska Kivra omedelbart informera Användaren om sin inställning samt invänta vidare instruktioner från Användaren. Kivra är således inte skyldig att följa en instruktion för det fall Kivra anser att instruktionen strider mot Tillämplig Dataskyddslagstiftning.
3.4 Kivra får dock behandla Uppgifterna för egna ändamål i rollen som personuppgiftsansvarig i syfte att tillhandahålla och förbättra sina tjänster till användare i enlighet med de Allmänna Villkoren. Kivra ansvarar för att informera om denna behandling i Kivras vid var tid gällande dataskyddsinformation.
4. SÄKERHET - TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER
4.1 Kivra är skyldigt att vidta sådana lämpliga tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, och därigenom säkerställa att de Registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Kivra skyddar Uppgifterna mot obehörig åtkomst, förstörelse eller ändring.
4.2 Kivra åtar sig att säkerställa att Kivra har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt vad gäller kraven på säkerhet enligt ovan. Kivra åtar sig även att de åtgärder som vidtas kommer att ses över och uppdateras vid behov.
5. INFORMATIONSPLIKT OCH ASSISTANS
5.1 Kivra ska utan onödigt dröjsmål efter det att Kivra upptäckt fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av Uppgifterna och andra personuppgiftsincidenter, informera Användaren om detta. För det fall Tjänsten, eller delar av Tjänsten, är otillgänglig av andra anledningar än nyssnämnda händelser, exempelvis vid interna systemstörningar, kommer information därom att meddelas direkt i Tjänsten och kivra.se.
5.2 När Kivra underrättar Användaren enligt punkt 5.1 ovan ska underrättelsen innehålla information om:
a) personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet Registrerade som berörs samt de kategorier av och det ungefärliga antalet Uppgifter som berörs,
b) namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
c) de sannolika konsekvenserna av personuppgiftsincidenten, och
d) de åtgärder som Kivra har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
5.3 Om och i den utsträckning det inte är möjligt att tillhandahålla information enligt punkt 5.2 samtidigt, får informationen tillhandahållas i omgångar, dock utan ytterligare onödiga dröjsmål.
5.4 Kivra ska bistå och samarbeta med Användaren i en skälig omfattning med att se till att skyldigheterna enligt artiklarna 32–36 Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Kivra har att tillgå samt för att säkerställa att Registrerades rättigheter enligt Tillämplig Dataskyddslagstiftning kan uppfyllas.
6. GRANSKNING
6.1 Användaren har rätt att själv eller genom en oberoende tredje man genomföra kontroller av Kivras behandling av Uppgifterna för att försäkra sig om att vad som anges i Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtalet och av de instruktioner som utfärdats efterlevs. Om annat inte följer av särskild separat skriftlig överenskommelse står respektive Part sina egna kostnader vid granskning och för tillhandahållandet av information enligt denna punkt 6.1.
6.2 Kivra ska i skälig utsträckning bidra till sådana kontroller och granskningar och på begäran tillhandahålla Användaren den assistans och den dokumentation som rimligen krävs för detta.
6.3 Om Användaren anlitar tredje part att utföra inspektion av Kivras behandling av Uppgifter för Användarens räkning ska Användaren tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.
6.4 Insyn för granskning, informationslämning och dylikt ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Kivras verksamhet. Granskning av Kivra ska ske med iakttagande av de säkerhetsåtgärder som Kivra uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen.
7. ANLITANDE AV UNDERBITRÄDEN
7.1 Användaren godkänner härmed användandet av de av Kivra redan anlitade underbiträden som framgår av Specifikationen till detta Personuppgiftsbiträdesavtal.
7.2 Kivra åtar sig att informera Användaren om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst trettio (30) dagar innan sådana planer genomförs. Meddelande om anlitande av nya underbiträden och/eller ersättande av befintliga underbiträden kommer ske i samband med att Användaren loggar in i Tjänsten genom webben eller via Kivras app. Användaren är ansvarig för att hålla sig uppdaterad om sådana eventuella meddelanden genom att logga in i Tjänsten.
7.3 Om Användaren inte återkommer till Kivra inom de trettio (30) dagarna enligt punkt 7.2 anses Användaren ha accepterat Kivras plan på att anlita/ersätta det/de underbiträde(n) som Kivra informerat Användaren om. Om att Användaren inte godkänner ett underbiträde som Kivra avser att använda, har Användaren rätt att säga upp detta Personuppgiftsbiträdesavtal omgående.
7.4 Kivra åtar sig att teckna ett skriftligt avtal med befintliga och nya underbiträden som reglerar den behandling som underbiträdet utför. I fråga om dataskydd ska avtalet ålägga underbiträdet samma skyldigheter som åläggs Kivra i detta Personuppgiftsbiträdesavtal. För det fall underbiträdet inte uppfyller sina skyldigheter i fråga om behandlingen ska Kivra förbli ansvarig gentemot Användaren för underbiträdets uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.
7.5 Vid eventuella överföringar av Uppgifter till underbiträden utanför EU/EES ska Kivra tillse att överföringen sker till länder som, av EU-kommissionen beslutats, innehar en adekvat skyddsnivå eller vid behov ingå EU-kommissionens vid var tid gällande standardavtalsklausuler.
8. ANSVAR
8.1 Om Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta Personuppgiftsbiträdesavtal eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant otillåtet agerande orsakat.
8.2 Kivra ska ansvara för skada uppkommen till följd av behandling av Uppgifter endast om Kivra inte har fullgjort de skyldigheter enligt detta Personuppgiftsbiträdesavtal som specifikt riktar sig till Kivra. Kivra ska undgå ansvar om det visar att Kivra inte på något sätt är ansvarigt för den händelse som orsakade skadan.
8.3 Parts rätt till ersättning enligt punkt 8.1 är begränsad enligt vad som framgår i tillämpliga Allmänna Villkor.
8.4 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som påförts en sådan avgift av Tillsynsmyndighet.
8.5 Om endera Part får kännedom om omständighet som kan leda till skada för någon annan Part ska denne omedelbart informera den andra Parten om förhållandet och aktivt arbeta tillsammans för att förhindra och minimera sådan skada.
9. SEKRETESS
9.1 Part ska se till att de personer som har åtkomst till Uppgifterna eller konfidentiell information har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt i enlighet med kraven i Tillämplig Dataskyddslagstiftning samt är informerade om hur de får behandla Uppgifterna.
10. ÄNDRINGAR OCH MEDDELANDEN
10.1 Användaren får ändra innehållet i detta Personuppgiftsbiträdesavtal endast i den mån så erfordras för att tillgodose krav som följer av Tillämplig Dataskyddslagstiftning. Sådan ändring träder i kraft senast trettio (30) dagar efter att meddelandet om ändring kommit Kivra tillhanda.
10.2 Eventuella justeringar av Användarens instruktioner som närmare beskrivs i Specifikationen ska meddelas av Användaren till Kivra inom skälig tid i enlighet med punkt 10.4 så att nödvändiga ändringar i rutiner kan genomföras. Kivra har rätt att avsäga sig uppdraget för det fall att Användarens instruktioner inte rimligen kan uppfyllas. Sådan ändring träder i kraft senast trettio (30) dagar efter att meddelandet om ändring kommit Kivra tillhanda.
10.3 Kivra förbehåller sig rätten att när som helst ändra och/eller göra tillägg i detta Personuppgiftsbiträdesavtal. Sådana ändringar och tillägg ska meddelas av Kivra senast trettio (30) dagar innan ändringen träder i kraft. Kivra har dock alltid rätt att omedelbart vidta sådana ändringar och tillägg som föranleds av Tillämplig Dataskyddslagstiftning eller myndighetsbeslut. Om Användaren inte godkänner de nya villkoren, har Användaren rätt att säga upp detta Personuppgiftsbiträdesavtal omgående.
10.4 Alla meddelanden och annan kommunikation enligt detta Personuppgiftsbiträdesavtal från en Användare till Kivra ska ske skriftligen genom e-post till dataskydd@kivra.se. Alla meddelanden och annan kommunikation från Kivra till Användaren ska ske skriftligen genom e-post till den e-postadress som Användaren har registrerat i Tjänsten eller direkt i Tjänsten genom webben eller via Kivras app om inte annan kommunikationskanal framkommer i detta Personuppgiftsbiträdesavtal. Ansvaret för att hålla sina kontaktuppgifter uppdaterade vilar på respektive Part.
11. AVTALSTID OCH ÅTGÄRDER VID UPPHÖRANDE
11.1 Personuppgiftsbiträdesavtalet gäller från den tidpunkt när Användaren registrerar sig för Tjänsten hos Kivra och så länge som Kivra behandlar Uppgifter för Användarens räkning.
11.2 Parterna är överens om att Kivra och eventuella underbiträden efter behandlingens upphörande ska utan onödigt dröjsmål men senast inom trettio (30) dagar radera överförda Uppgifter.
12. TILLÄMPLIG LAG OCH TVISTLÖSNING
12.1 Tillämplig lag och tvistlösning följer av de Allmänna Villkoren.
SPECIFIKATION
BEHANDLING | ÄNDAMÅL MED BEHANDLINGEN | KATEGORIER AV PERSONUPPGIFTER | KATEGORIER AV REGISTRERADE | TID SOM PERSONUPPGIFTERNA BEHANDLAS FÖR ÄNDAMÅLET | UNDERBITRÄDEN (LOKALISERING) |
Lagring och hantering av Innehåll (alltid tillämplig) | Kivra ska ta emot, lagra, radera och hantera Innehåll med tillhörande uppgifter | Personuppgifter som förekommer i ditt Innehåll Uppgifter om ditt Innehåll | Användare Personer som förekommer i Innehåll | 20 dagar efter att Användaren har avslutat Tjänsten Kvitton sparas i det tidigare av (i) 8 år efter mottagandet; eller (ii) 20 dagar efter att Användaren har avslutat Tjänsten | Ej tillämpligt Om Användaren laddar upp betalbara dokument i Kivras Android-app används teknologi för textigenkänning från Google LLC där Google är personuppgiftsansvarig, se villkoren för Google ML Kit |
Anpassning av Tjänsten (alltid tillämplig) | Kivra ska anpassa Tjänsten efter Användarens val, inställningar och interaktioner med Tjänsten | Namn Användar-ID Uppgifter om dina val, inställningar och interaktioner med Tjänsten Uppgifter om ditt Innehåll Uppgifter om den digitala enhet (t.ex. mobiltelefon eller dator) som du använder | Användare | 20 dagar efter att Användaren har avslutat Tjänsten | Ej tillämpligt |
Notifiering (valbar)
| Kivra ska notifiera Användare om händelser i Tjänsten
| Namn E-postadress Uppgifter om den digitala enhet (t.ex. mobiltelefon eller dator) som du använder Personuppgifter som förekommer i notiser
| Användare
| Fram till att notifieringen har levererats till Användaren | Braze Inc. (EU/EES) som tillhandahåller en tjänst för notifiering Google Cloud EMEA Limited (Firebase Cloud Messaging) (USA) som tillhandahåller en tjänst för pushnotiser för Android Apple Inc. (Apple Push Notification service) (USA) som tillhandahåller en tjänst för pushnotiser för Apple Mailgun Inc. (EU/EES) som tillhandahåller en tjänst för e-postnotifiering |
Betalningar med Tink (valbar) | Kivra ska dela uppgifter med, och ta emot uppgifter från, Tink för att möjliggöra och hantera betalning Kivra ska även lagra och hantera information om betalningen i Tjänsten | Namn Personnummer Information om betalning | Användare | Delningen sker omedelbart 20 dagar efter att Användaren har avslutat Tjänsten | Ej tillämpligt Delning med Tink AB sker där Tink är personuppgiftsansvarig. Se Tinks dataskyddsinformation här |
Betalningar med Swish (valbar) | Kivra ska lagra och hantera information om betalning i Tjänsten | Information om betalning | Användare | 20 dagar efter att Användaren har avslutat Tjänsten | Ej tillämpligt |
Automatiska betalningar (valbar) | Kivra ska lagra och hantera information om autogiromedgivande och betalning | Information om autogiromedgivande och betalning | Användare | 20 dagar efter att Användaren har avslutat Tjänsten | Ej tillämpligt |
Delning av Innehåll (valbar) | Kivra ska dela Innehåll med de Användare och andra parter som Användaren väljer i Tjänsten | Personuppgifter som förekommer i Innehåll som du väljer att dela Uppgifter om ditt Innehåll | Användare Personer som förekommer i Innehåll | Fram till att Användaren väljer att avsluta delningen | Ej tillämpligt |
Inbjudningar till delade mappar (valbar) | Kivra ska hantera inbjudningar till delade mappar | Namn Personnummer | Personer som Användaren bjuder in till delade mappar | 30 dagar från inbjudan | Ej tillämpligt |
Hantera samt verifiera signerade dokument (valbar) | Kivra ska visa Användaren uppgifter om signeringar i Tjänsten samt verifiera signerade dokument | Information om signeringar | Användare Personer som förekommer i signerade dokument | Det tidigare av: i) 30 dagar efter att samtliga parter har raderat ett signerat dokument; eller ii) upp till 20 dagar efter att samtliga parter har avslutat Tjänsten Verifierade dokument raderas 13 månader från avslutat ärende hos Kivras kundtjänst | Ej tillämpligt |
Tilldela och återkalla behörighet att företräda en Företagsanvändare (valbar för Företagsanvändare) | Kivra ska möjliggöra för Företagsanvändare att säkerställa att representanter har rätt att företräda Företagsanvändaren | Personnummer Uppgifter om dina bolagsbefattningar | Användare som representerar Företagsanvändaren
| Så länge Användaren representerar Företagsanvändaren | Ej tillämpligt |
Skanning samt lagring av fysisk post (valbar för Företagsanvändare) | Kivra ska ta emot, öppna, skanna in och lagra fysisk post samt förmedla dessa som E-försändelser till Företagsanvändaren | Personuppgifter som förekommer i fysisk post och E-försändelser Uppgifter om dina försändelser | Personer som förekommer i fysisk post och E-försändelser | Lagring av fysik post för bokföringsändamål pågår i sju (7) år från det att den fysiska posten har levererats till Kivra | PostNord Strålfors AB (Sverige) som tillhandahåller en tjänst för skanning och lagring av fysisk post |
E-post (valbar för Företagsanvändare) | Kivra ska ta emot e-post samt förmedla dessa som E-försändelser till Företagsanvändaren | Personuppgifter som förekommer i e-post och E-försändelser Uppgifter om dina försändelser | Personer som förekommer i e-post och E-försändelser | 20 dagar efter att Företagsanvändaren har avslutat Tjänsten | Amazon Web Services EMEA SARL (EU/EES) som tillhandahåller en tjänst för tillfällig lagring av e-post. Supportärenden kan i undantagsfall behandlas i USA |