Person­uppgifts­biträdesavtal

Kivra personuppgiftsbiträde till Företagsanvändaren

1 BAKGRUND

1.1 Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) gäller när Kivra Sverige AB, org. nr 556917-3544, eller annat bolag inom samma koncern som Kivra Sverige AB (”Kivra”) tillhandahåller en Tjänst som beskrivs i Kivras Allmänna Villkor för Tjänsten (“Allmänna villkor”) för företagsanvändare, inklusive enskilda firmor, (”Företagsanvändare”).

1.2 Eftersom Kivra kommer att utföra behandling av personuppgifter för Företagsanvändarens räkning som Företagsanvändaren är personuppgiftsansvarig för och därmed vara Företagsanvändarens personuppgiftsbiträde behövs detta Personuppgiftsbiträdesavtal.

1.3 Personuppgiftsbiträdesavtalet gäller från och med den tidpunkt när Företagsanvändaren registrerar sig för Tjänsten hos Kivra. Personuppgiftsbiträdesavtalet gäller i tillägg till de Allmänna villkoren.

1.4 Personuppgiftsbiträdesavtalet är anpassat för att uppfylla de krav som följer av Tillämplig Dataskyddslagstiftning (enligt definition nedan) i förhållande till den behandling som Kivra utför för Företagsanvändarens räkning.

1.5 Om och i den mån annat bolag i samma koncern som Företagsanvändaren är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med Företagsanvändaren) för behandling som omfattas av detta Personuppgiftsbiträdesavtal, bekräftar Företagsanvändaren härmed att man inhämtat nödvändiga tillstånd för att ingå Personuppgiftsbiträdesavtalet även för sådant bolags räkning.

2 DEFINITIONER

2.1 Begrepp som definieras i de Allmänna Villkoren ska ha samma betydelse i detta Personuppgiftsbiträdesavtal. Vidare ska följande begrepp ha nedan angiven betydelse om inte omständigheterna tydligt föranleder något annat (och termer som inte är definierade i Personuppgiftsbiträdesavtalet såsom t.ex. ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”, ”behandling”, ”personuppgiftsincident” ska ha den betydelse som framgår av Tillämplig Dataskyddslagstiftning):

"Dataskyddsförordningen"

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”Uppgifterna”

Personuppgifter som överförs till, lagras eller på annat sätt behandlas av Kivra på uppdrag av Företagsanvändaren enligt detta Personuppgiftsbiträdesavtal. Vilka typer av personuppgifter som kan omfattas anges i Specifikationen (enligt definition nedan).

"Registrerad"

Fysisk person vars personuppgifter ingår i Uppgifterna.

”Tillämplig Dataskyddslagstiftning” avser: (i) Dataskyddsförordningen och ersättande rättsakter; (ii) tillämplig svensk lag avseende dataskydd; och (iii) till i) och ii) ovan hörande förordningar och föreskrifter samt riktlinjer som utfärdats av Tillsynsmyndighet och som är tillämpliga på Parts verksamhet.

”Tillsynsmyndighet”

Integritetsskyddsmyndigheten och i förekommande fall annan behörig tillsynsmyndighet som med stöd av lag utövar tillsyn över Parts verksamhet.

3 ALLMÄNT OM BEHANDLINGEN AV PERSONUPPGIFTER UNDER DETTA PERSONUPPGIFTSBITRÄDESAVTAL

3.1 Ändamålen med behandlingen av Uppgifterna enligt detta Personuppgiftsbiträdesavtal anges i Specifikationen (enligt definition nedan) (”Ändamålen”).

3.2 Kivra åtar sig såsom personuppgiftsbiträde till Företagsanvändaren att enbart behandla Uppgifterna för att fullgöra Ändamålen enligt detta Personuppgiftsbiträdesavtal och i enlighet med Företagsanvändarens instruktioner, se Specifikationen (enligt definition nedan).

4 AVTALSDOKUMENT, TILLÄMPNING OCH INSTRUKTIONER

4.1 Personuppgiftsbiträdesavtalet består av detta dokument med tillhörande specifikation samt specifikationer till de särskilda villkoren för eventuella Tilläggstjänster som Företagsanvändaren använder (gemensamt “Specifikationen”).

4.2 Kivra ska behandla Uppgifterna i enlighet med detta Personuppgiftsbiträdesavtal, Företagsanvändarens instruktioner och Tillämplig Dataskyddslagstiftning. Företagsanvändarens närmare instruktioner framgår av Specifikationen.

4.3 Kivra får inte behandla Uppgifterna på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i detta Personuppgiftsbiträdesavtal, Företagsanvändarens instruktioner och Tillämplig Dataskyddslagstiftning. För det fall att Kivra bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta Personuppgiftsbiträdesavtal, eller om Kivra uppmärksammar att instruktionerna strider mot Tillämplig Dataskyddslagstiftning, ska Kivra omedelbart informera Företagsanvändaren om sin inställning samt invänta vidare instruktioner från Företagsanvändaren. Kivra är således inte skyldig att följa en instruktion från Företagsanvändaren för det fall Kivra anser att instruktionen strider mot Tillämplig Dataskyddslagstiftning.

4.4 Företagsanvändaren äger rätt att löpande instruera Kivra skriftligen gällande Kivras behandling av Uppgifter, varvid Kivra har motsvarande skyldighet att följa sådana dokumenterade instruktioner (för detta Personuppgiftsbiträdesavtals vid var tid gällande instruktioner framgår av Specifikationen).

4.5 Eventuella justeringar av Företagsanvändarens instruktioner angående säkerhet och behandling av Uppgifter ska meddelas Kivra i rimlig tid så att nödvändiga ändringar i rutiner kan genomföras. Kivra har rätt att avsäga sig uppdraget för det fall att Företagsanvändarens instruktioner inte rimligen kan uppfyllas.

4.6 Kivra åtar sig att bistå Företagsanvändaren med att se till att skyldigheterna enligt artiklarna 35-36 i Dataskyddsförordningen (t.ex. bistånd vid risk- och sårbarhetsanalyser och förhandssamråd) fullgörs, med beaktande av typen av behandling och den information som Kivra har att tillgå.

5 SÄKERHET - TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

5.1 Kivra är skyldigt att vidta sådana lämpliga tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, och därigenom säkerställer att de Registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Kivra skyddar Uppgifterna mot obehörig åtkomst, förstörelse eller ändring. Företagsanvändaren har rätt att på begäran informeras om vilka åtgärder som vidtas.

5.2 Kivra ska åstadkomma en säkerhetsnivå som Företagsanvändaren efter samråd med Kivra bedömer vara lämplig med beaktande av: ● de tekniska möjligheter som finns, ● kostnaderna för att genomföra åtgärderna, ● de särskilda risker som finns med den aktuella behandlingen av personuppgifter och ● hur känsliga de personuppgifter som behandlas är.

5.3 Särskilt ska beaktas säkerheten vid överföringar av personuppgifter som kan innebära större säkerhetsrisker. Kivra ska under alla omständigheter se till att: ● Uppgifterna skyddas från obehörig åtkomst av tredje man via Internet eller annat lättillgängligt medium; ● IT-utrustning som används för behandling av Uppgifterna har ett tillfredsställande skydd mot stöld och händelser som kan förstöra utrustningen; ● lämpligt system för behörighetskontroll upprätthålls; ● tillfredsställande rutiner för säkerhetskopiering finns; och ● en säkerhetsnivå beträffande Uppgifterna som motsvarar minst den säkerhetsnivå som Kivra tillämpar för behandling av sin egen data upprätthålls.

5.4 Kivra ska vidare särskilt iaktta följande:

a. Åtkomstskydd - När datorutrustning och löstagbara datamedier hos Kivra inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Uppgifterna krypteras. För det fall eventuella bärbara datorer används vid Behandlingar ska Uppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

b. Säkerhetskopia - Uppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att Uppgifterna kan återskapas efter en störning. Kivra ska ha en rutin för test av återläsning.

c. Behörighetskontroll - Ett tekniskt system för behörighetskontroll ska styra åtkomsten till Uppgifterna för Kivra. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

d. Loggning - Åtkomst till Uppgifterna ska kunna följas upp i efterhand genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Kivra och återrapporteras till Företagsanvändaren.

e. Datakommunikation - Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Uppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Kivra ska skyddas med innehållskryptering.

f. Utplåning - När fasta eller löstagbara lagringsmedier som innehåller Uppgifter inte längre ska användas för sitt ändamål ska Uppgifterna raderas på sådant sätt att de inte kan återskapas.

g. Reparation och service - När reparation och service av datorutrustning, vilken används för att lagra Företagsanvändarens Uppgifter, utförs av annan än Kivra, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under Kivras överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Uppgifter avlägsnas. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

5.5 Kivra åtar sig att säkerställa att Kivra har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt vad gäller kraven på säkerhet enligt ovan, samt att de åtgärder som vidtas kommer att ses över och uppdateras vid behov.

5.6 Kivra ska tillåta de inspektioner som Tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Uppgifterna. Kivra ska följa av Tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt Tillämplig Dataskyddslagstiftning.

6 GALLRING OCH RADERING

6.1 Kivra får inte lagra Uppgifterna för längre tid än vad som är nödvändigt för fullgörande av Ändamålen eller vad som annars följer av Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtal eller Företagsanvändarens instruktioner. Uppgifterna ska därefter, så länge inte något annat överenskommits med Företagsanvändaren, raderas.

6.2 Kivra ska tillse att det finns tekniska lösningar som innebär att en automatisk gallring och radering genomförs på Uppgifterna. För det fall detta saknas ska rutiner för manuell gallring och radering delges Företagsanvändaren.

7 KIVRAS PERSONAL

7.1 Kivra åtar sig att i sin verksamhet vid var tid se till att berörd personal följer detta Personuppgiftsbiträdesavtal och de instruktioner som ges av Företagsanvändaren samt att de hålls informerade om bestämmelserna i Tillämplig Dataskyddslagstiftning.

7.2 Åtkomst till Uppgifterna ska inom Kivras organisation begränsas till sådana personer som behöver dem för att kunna utföra sina mellan Kivra och Företagsanvändaren avtalade arbetsuppgifter enligt detta Personuppgiftsbiträdesavtal.

8 KIVRAS INFORMATIONSPLIKT

8.1 Kivra ska utan onödigt dröjsmål efter det att Kivra upptäckt fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av Uppgifterna och andra personuppgiftsincidenter, informera Företagsanvändaren om detta.

8.2 När Kivra underrättar Företagsanvändaren enligt avsnitt 8.1 ovan ska underrättelsen innefatta information om (i) incidentens art, kategorier av registrerade, kategorier av Uppgifter och det ungefärliga antalet registrerade som berörs, (ii) kontaktuppgifterna till Kivras dataskyddsombud alternativt andra funktioner där Företagsanvändaren kan erhålla information, (iii) sannolika konsekvenser av incidenten; (iv) de åtgärder som redan vidtagits av Kivra alternativt de åtgärder som planeras och eller föreslås att vidtas; och (v) all sådan eventuell ytterligare nödvändig information som krävs för att Företagsanvändaren i förekommande fall ska kunna fullgöra sin rapporterings- /informationsskyldighet gentemot Tillsynsmyndighet och/eller Registrerade.

8.3 För det fall den Registrerade, Tillsynsmyndigheten eller tredje man begär information från Kivra som rör behandling av Uppgifter, ska Kivra hänvisa till Företagsanvändaren. Kivra får inte lämna ut Uppgifter eller annan information om behandlingen av Uppgifter utan uttrycklig instruktion från Företagsanvändaren, eller om utlämnandet är en följd av en skyldighet enligt lag.

8.4 Kivra ska utan dröjsmål informera Företagsanvändaren om eventuella kontakter med Tillsynsmyndigheten som rör, eller kan vara av betydelse för, Kivras behandling av Uppgifter. Åtagandet är dock begränsat till sådan behandling av Uppgifter som berör eller kan komma att beröra Företagsanvändaren. Kivra har inte rätt att företräda Företagsanvändaren eller agera för dennes räkning gentemot Tillsynsmyndigheten.

9 FÖRFRÅGNINGAR FRÅN REGISTRERADE

9.1 Registrerade har laglig rätt att begära registerutdrag och annan information om den personuppgiftsbehandling som utförs avseende den Registrerades personuppgifter. Vidare ska personuppgifter om en registrerad på dennes begäran kunna rättas, blockeras eller raderas. Kivra är skyldigt att bistå Företagsanvändaren i sådan omfattning att denna rätt liksom övriga av de Registrerades rättigheter enligt Tillämplig Dataskyddslagstiftning kan säkerställas.

9.2 Kivra ska utan dröjsmål informera Företagsanvändaren om all kontakt med Registrerade, Tillsynsmyndigheter eller annan tredje man, som avser Kivras behandling av Uppgifterna. Kivra har inte rätt att företräda Företagsanvändaren eller på annat sätt agera för Företagsanvändarens räkning gentemot Registrerade, Tillsynsmyndighet eller annan tredje man.

9.3 Både Företagsanvändaren och Kivra garanterar att de har rutiner och strukturer på plats som möjliggör för ett utlämnande av information till en Registrerad, med hänsyn tagen till den begränsning som gäller för Kivra enligt avsnitt 8.3 ovan.

10 KONTROLL AV KIVRAS BEHANDLING

10.1 Företagsanvändaren har rätt att själv eller genom en oberoende tredje man genomföra kontroller av Kivras behandling av Uppgifterna för att försäkra sig om att vad som anges i Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtalet och av de instruktioner som utfärdats av Företagsanvändaren efterlevs. Företagsanvändaren ska stå för kostnaderna vid granskning och för tillhandahållandet av information enligt detta avsnitt 10.

10.2 Kivra ska i skälig utsträckning bidra till sådana kontroller och granskningar, inbegripet inspektioner och tillgång till Kivras lokaler, datorutrustning m.m., och på begäran tillhandahålla Företagsanvändaren den assistans och den dokumentation som rimligen erfordras för detta.

10.3 Om Företagsanvändaren anlitar tredje part att utföra inspektion av Kivras behandling av Uppgifter för Företagsanvändarens räkning ska Företagsanvändaren tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.

10.4 Insyn för granskning, informationslämning och dylikt ska äga rum vid det tillfälle som Företagsanvändaren eller Tillsynsmyndigheten begär vilket i möjligaste mån ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Parternas respektive ordinarie verksamheter. Granskning av Kivra ska ske med iakttagande av de säkerhetsåtgärder som Kivra uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen.

10.5 Om Företagsanvändaren vid kontroll enligt ovan eller på annat sätt finner att Kivra inte uppfyller kraven på lämplig säkerhetsnivå eller på annat sätt behandlar Uppgifterna i strid med Personuppgiftsbiträdesavtalet eller Tillämplig Dataskyddslagstiftning är Kivra skyldig att omgående rätta sig efter Företagsanvändarens påpekande. Om så inte sker och detta kan medföra olägenhet för Företagsanvändaren har Företagsanvändaren rätt att säga upp Personuppgiftsbiträdesavtalet med omedelbar verkan.

11 ÖVERFÖRING TILL TREDJE LAND

11.1 Kivra får endast överföra Uppgifterna utanför EU/EES-området om Företagsanvändaren har lämnat sitt godkännande. Detta innebär bl.a. att Kivra inte utan Företagsanvändarens medgivande får utföra behandlingen av Uppgifterna på utrustning eller med användning av resurser lokaliserade utanför EU/EES-området.

11.2 För det fall Parterna med beaktande av ovan överenskommer att Uppgifterna ska överföras till plats utanför EU/EES-området ska Parterna säkerställa att överföringen är tillåten enligt Tillämplig Dataskyddsslagstiftning och efter behov underteckna erforderliga separata personuppgiftsbiträdesavtal i enlighet med t.ex. Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Uppgifter till tredje land och vidta andra nödvändiga åtgärder.

12 ANLITANDE AV UNDERBITRÄDEN

12.1 Företagsanvändaren godkänner härmed användandet av de av Kivra redan anlitade underbiträden (”Godkända underbiträden”) som framgår av Specifikationen.

12.2 För nya underbiträden åtar sig Kivra att informera Företagsanvändaren om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst en månad innan sådana planer genomförs med en rätt för Företagsanvändaren att avsluta detta Personuppgiftsbiträdesavtal om Företagsanvändaren inte godkänner förslaget på nytt underbiträde. Om Företagsanvändaren inte återkommer till Kivra inom en månad anses Företagsanvändaren ha accepterat Kivras plan på att anlita/ersätta det/de underbiträde(n) som Kivra informerat Företagsanvändaren om.

12.3 Företagsanvändarens godkännande enligt avsnitt 12.1 samt 12.2 ska betraktas som ett särskilt tillstånd för Kivra att i det enskilda fallet, för Företagsanvändarens räkning, ingå personuppgiftsbiträdesavtal med underbiträden som ska behandla Uppgifter. Sådant personuppgiftsbiträdesavtal mellan Kivra och ett underbiträde måste vara ett skriftligt avtal varigenom underbiträdet åläggs motsvarande åtaganden och skyldigheter som detta Personuppgiftsbiträdesavtal ålägger Kivra.

12.4 Kivra är ansvarig för att tillse att relevanta regler i Tillämplig Dataskyddslagstiftning beaktas vid anlitande av underbiträden. Kivra ska vidta alla nödvändiga åtgärder för att säkerställa att anlitade underbiträden inte behandlar Uppgifterna i strid med Personuppgiftsbiträdesavtalet och tillse att dessa ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder.

12.5 För det fall behandling av Uppgifter planeras att utföras av underbiträde i tredje land gäller vad som anges i avsnitt 11 ovan.

12.6 Om underbiträdet inte uppfyller sina skyldigheter i fråga om behandling ska Kivra förbli fullt ansvarig gentemot Företagsanvändaren för underbiträdets uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.

13 ERSÄTTNING

13.1 Kivra är inte berättigat till någon ersättning för de åtaganden och skyldigheter som följer av detta avtal om sådan ersättning inte uttryckligen avtalats mellan Företagsanvändaren och Kivra.

14 ANSVAR

14.1 Om Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta Personuppgiftsbiträdesavtal eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant otillåtet agerande orsakat. Detta ska dock inte gälla om den skadevållande Parten kan visa att denne eller av denne anlitat underbiträde inte på något sätt är ansvarig(a) för den händelse, det agerande eller den underlåtenhet som orsakade den andre Parten skadan, såsom att anspråket inte hade kunnat undvikas genom skadevållande Parts uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning eller av skriftliga instruktioner som utfärdats av Företagsanvändaren.

14.2 Parts rätt till ersättning enligt punkt 14.1 ska vara begränsad till direkta skador till ett totalt belopp motsvarande fem (5) prisbasbelopp enligt Socialförsäkringsbalken (2010:110) per kalenderår. Under inga omständigheter ska Part vara ansvarig för indirekta skador, såsom utebliven vinst, inkomstförlust, hinder att uppfylla förpliktelse mot tredje man, ersättningsskyldighet mot tredje man eller andra följdskador. Denna ansvarsbegränsning ska dock inte gälla vid grov vårdslöshet eller uppsåt.

14.3 Parternas rätt till ersättning vad gäller krav från tredje man regleras i sin helhet i enlighet med artikel 82 i Dataskyddsförordningen. Detta inkluderar rätten för den Part som betalat full ersättning för den skada som orsakats tredje man att från den andra Parten, om denne medverkat vid samma behandling, återkräva den del av ersättningen som motsvarar den Partens del av ansvaret för skadan.

15 SEKRETESS

15.1 Kivra åtar sig att inte lämna ut Uppgifterna eller annan information om behandlingen av Uppgifterna till tredje man utan uttrycklig instruktion eller förhandsgodkännande från Företagsanvändaren.

15.2 Part åtar sig att inte avslöja någon som helst information av konfidentiell art, som Part direkt eller indirekt fått del av under samarbetet med den andre Parten, beträffande den andre Partens verksamheter till tredje man.

15.3 Parterna åtar sig att efterleva vid var tid gällande regler om företagshemligheter.

15.4 Part ska se till att de personer som har åtkomst till Uppgifterna eller konfidentiell information har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt i enlighet med kraven i Tillämplig Dataskyddslagstiftning samt är informerade om hur de får behandla Uppgifterna. Detta sekretessåtagandet är inte tillämpligt i förhållande till underbiträden med vilka det finns underbiträdesavtal i enlighet med avsnitt 12 ovan. Sådant underbiträdesavtal ska dock innehålla motsvarande sekretessåtagande för underbiträdet.

16 ÄNDRINGAR

16.1 Företagsanvändaren får ändra innehållet i detta Personuppgiftsbiträdesavtal endast i den mån så erfordras för att tillgodose krav som följer av Tillämplig Dataskyddslagstiftning. Sådan ändring träder i kraft 30 dagar efter att meddelandet om ändring kommit Kivra tillhanda. För det fall Kivra inte accepterar sådan ändring har Företagsanvändaren rätt att säga upp detta Personuppgiftsbiträdesavtal helt eller delvis i enlighet med de Allmänna villkoren samt de särskilda villkoren för de eventuella Tilläggstjänster som Företagsanvändaren använder.

16.2 Kivra får ändra innehållet i detta Personuppgiftsbiträdesavtal i enlighet med bestämmelserna i de Allmänna Villkoren. För det fall Företagsanvändaren inte accepterar sådan ändring har Företagsanvändaren rätt att säga upp detta Personuppgiftsbiträdesavtal helt eller delvis i enlighet med de Allmänna villkoren samt de särskilda villkoren för de eventuella Tilläggstjänster som Företagsanvändaren använder.

17 AVTALSTID OCH ÅTGÄRDER VID UPPHÖRANDE

17.1 Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Kivra behandlar Uppgifter för Företagsanvändarens räkning.

17.2 Parterna är överens om att Kivra och eventuella underbiträden efter behandlingens upphörande ska radera alla Uppgifter inom de tidsfrister som framgår av Specifikationen. Om detta inte är tekniskt möjligt, ska Kivra garantera att Kivra kommer att anonymisera Uppgifterna på sätt som gör dem omöjliga att återskapa.

18 MEDDELANDEN

18.1 Alla meddelanden och annan kommunikation enligt detta Personuppgiftsbiträdesavtal från en Företagsanvändare till Kivra ska ske skriftligen genom e-post till dataskydd@kivra.se. Alla meddelanden och annan kommunikation enligt detta Personuppgiftsbiträdesavtal från Kivra till Företagsanvändaren ska ske skriftligen genom e-post till den e-postadress som Företagsanvändaren registrerat i Tjänsten. Ansvaret för att hålla sina kontaktuppgifter uppdaterade vilar på respektive Part.

18.2 Meddelande med e-post ska anses ha kommit mottagaren tillhanda vid tidpunkten för avsändande förutsatt att negativ kvittens ej erhålles.

19 TILLÄMPLIG LAG OCH TVISTLÖSNING

19.1 Svensk lag ska tillämpas på detta Personuppgiftsbiträdesavtal inklusive all behandling av Uppgifter under Personuppgiftsbiträdesavtalet.

19.2 Tvister som uppstår i anledning av Personuppgiftsbiträdesavtalet ska slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (”SCC”). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Skiljeförfarandets säte ska vara Stockholm.