Personuppgifts­biträdesavtal för avsändare

1. Bakgrund

1.1 Avsändaren (”Avsändaren”) har godkänt Kivras Allmänna Villkor (”Allmänna Villkor”) avseende en tjänst som möjliggör för Avsändaren att kunna förmedla elektroniska meddelanden och andra digitala försändelser (“E-försändelser”) till privatpersoner (“Privatanvändare”) och/eller företag (“Företagsanvändare”) som har ingått avtal med Kivra Sverige AB org. nr 556917–3544 (”Kivra”) om användning av Kivras digitala brevlåda (samlat ”Användare”).

1.2 Eftersom Kivra, som ett led i Kivras fullgörande av de Allmänna Villkoren, kommer att utföra behandling av personuppgifter för Avsändarens räkning som Avsändaren är personuppgiftsansvarig för och därmed vara Avsändarens personuppgiftsbiträde ingås detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”).

1.3 I anledning av att Dataskyddsförordningen (enligt definition nedan) började tillämpas i maj 2018 är detta Personuppgiftsbiträdesavtal anpassat för att uppfylla de krav som följer av Tillämplig Dataskyddslagstiftning (enligt definition nedan) i förhållande till den behandling som Kivra utför för Avsändarens räkning inom ramen för Parternas samarbete enligt de Allmänna Villkoren.

1.4 Om och i den mån annat bolag i samma koncern som Avsändaren är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med Avsändaren) för behandling som omfattas av detta Personuppgiftsbiträdesavtal, bekräftar Avsändaren härmed att man inhämtat nödvändiga tillstånd för att ingå Personuppgiftsbiträdesavtalet även för sådant bolags räkning.

2. Definitioner

2.1 I detta Personuppgiftsbiträdesavtal ska följande begrepp ha nedan angiven betydelse om inte omständigheterna tydligt föranleder något annat (och termer som inte är definierade i Personuppgiftsbiträdesavtalet såsom t.ex. ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”, ”behandling”, ”personuppgiftsincident” ska ha den betydelse som framgår av Tillämplig Dataskyddslagstiftning eller Allmänna Villkor):

”Dataskyddsförordningen”

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”Uppgifterna”

Personuppgifter i de E-försändelser som överförs till, lagras eller på annat sätt behandlas av Kivra på uppdrag av Avsändaren enligt detta Personuppgiftsbiträdesavtal. Vilka typer av personuppgifter som kan omfattas anges i Bilaga A (Specifikation) till detta Personuppgiftsbiträdesavtal.

”Registrerad”

Fysisk person vars personuppgifter ingår i Uppgifterna.

”Tillämplig Dataskyddslagstiftning”

avser: (i) Dataskyddsförordningen och ersättande rättsakter; (ii) tillämplig svensk lag avseende dataskydd; och (iii) till i) och ii) ovan hörande förordningar och föreskrifter samt riktlinjer som utfärdats av Tillsynsmyndighet och som är tillämpliga på Parts verksamhet.

”Tillsynsmyndighet”

Integritetsskyddsmyndigheten och i förekommande fall annan behörig tillsynsmyndighet som med stöd av lag utövar tillsyn över Parts verksamhet.

3. Allmänt om behandlingen av personuppgifter under detta personuppgiftsbiträdesavtal

3.1 Avsändaren är personuppgiftsansvarig för Uppgifterna när de skickas till Kivra intill dess att Kivra har bekräftat att E-försändelserna tillgängliggjorts i den mottagande Användarens brevlåda (”Förmedlingsbekräftelsen”). Vid tidpunkten för Förmedlingsbekräftelsen upphör Avsändarens personuppgiftsansvar och Kivras roll som Avsändarens personuppgiftsbiträde för Uppgifterna enligt detta Personuppgiftsbiträdesavtal upphör likaså. Om Avsändaren även skickar lönebesked (en sorts E-försändelse) har Kivra även uppdraget att lagra de E-försändelser som inte mottas av en Användare till dess att så sker alternativt till dess att 390 dagar har förflutit. Avsändarens personuppgiftsansvar liksom Kivras ansvar som personuppgiftsbiträde upphör då vid tidpunkten för leverans alternativt efter 390 dagar.

3.2 Ändamålen med behandlingen av Uppgifterna enligt detta Personuppgiftsbiträdesavtal framgår av specifikationen i Bilaga A. Gemensamt (”Ändamålet”).

3.3 Kivra åtar sig såsom personuppgiftsbiträde till Avsändaren enligt ovan att enbart behandla Uppgifterna för att fullgöra Ändamålet enligt detta Personuppgiftsbiträdesavtal och i enlighet med de instruktioner som Avsändaren från tid till annan skriftligen meddelar. För förmedlingen (samt, om Avsändaren skickar lönebesked, även lagringen) av E-försändelserna behöver Kivra behandla Användarens personnummer samt i förekommande fall Användarens betalinformation, se Specifikationen (Bilaga A). Kivra bereder sig aldrig tillgång till innehållet i E-försändelserna och behöver inte informationen i dessa för förmedlingen (eller, om Avsändaren skickar lönebesked, för lagringen) av E-försändelserna.

4. Avtalsdokument, tillämpning och instruktioner

4.1 Personuppgiftsbiträdesavtalet består av detta dokument och Specifikationen (Bilaga A) i vilken anges bl.a. vilka typer av personuppgifter som Uppgifterna omfattar, kategorier av Registrerade och underbiträden.

4.2 Kivra ska behandla Uppgifterna i enlighet med detta Personuppgiftsbiträdesavtal, Avsändarens instruktioner och Tillämplig Dataskyddslagstiftning. Avsändarens närmare instruktioner framgår av Specifikationen i Bilaga A till detta Personuppgiftsbiträdesavtal.

4.3 Detta Personuppgiftsbiträdesavtal är en del av och lyder under de Allmänna Villkoren. Personuppgiftsbiträdesavtal äger företräde framför eventuella övriga bilagor till de Allmänna Villkoren.

4.4 Kivra får inte behandla Uppgifterna på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i detta Personuppgiftsbiträdesavtal, Avsändarens instruktioner och Tillämplig Dataskyddslagstiftning. För det fall att Kivra bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta Personuppgiftsbiträdesavtal, eller om Kivra uppmärksammar att instruktionerna strider mot Tillämplig Dataskyddslagstiftning, ska Kivra omedelbart informera Avsändaren om sin inställning, ange om fullgörandet av de Allmänna Villkoren kan påverkas av behovet av instruktioner samt invänta vidare instruktioner från Avsändaren. Kivra är således inte skyldig att följa en instruktion från Avsändaren för det fall Kivra anser att instruktionen strider mot Tillämplig Dataskyddslagstiftning.

4.5 Avsändaren äger rätt att löpande instruera Kivra skriftligen gällande Kivras behandling av Uppgifter, varvid Kivra har motsvarande skyldighet att följa sådana dokumenterade instruktioner (för detta Personuppgiftsbiträdesavtals vid var tid gällande instruktioner framgår av Specifikationen i Bilaga A).

4.6 Eventuella justeringar av Avsändarens instruktioner angående säkerhet och behandling av Uppgifter ska meddelas Kivra i rimlig tid så att nödvändiga ändringar i rutiner kan genomföras. Kivra har rätt att avsäga sig uppdraget för det fall att Avsändarens instruktioner inte rimligen kan uppfyllas.

4.7 Ändringar respektive nya instruktioner enligt avsnitt 4.6 ovan träder i kraft senast trettio (30) dagar efter meddelande från Avsändaren om Avsändaren inte skäligen begär att sådan ändring eller instruktion ska gälla inom kortare tid med anledning av krav som framgår i Tillämplig Dataskyddslagstiftning.

5. Säkerhet - tekniska och organisatoriska åtgärder

5.1 Kivra är skyldigt att vidta sådana lämpliga tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, och därigenom säkerställer att de Registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Kivra skyddar Uppgifterna mot obehörig åtkomst, förstörelse eller ändring. Avsändaren har rätt att på begäran informeras om vilka åtgärder som vidtas.

5.2 Kivra ska åstadkomma en säkerhetsnivå som Avsändaren efter samråd med Kivra bedömer vara lämplig med beaktande av:

  • de tekniska möjligheter som finns,
  • kostnaderna för att genomföra åtgärderna,
  • de särskilda risker som finns med den aktuella behandlingen av personuppgifter och
  • hur känsliga de personuppgifter som behandlas är.

5.3 Särskilt ska beaktas säkerheten vid överföringar av personuppgifter som kan innebära större säkerhetsrisker. Kivra ska under alla omständigheter se till att:

  • Uppgifterna skyddas från obehörig åtkomst av tredje man via Internet eller annat lättillgängligt medium;
  • IT-utrustning som används för behandling av Uppgifterna har ett tillfredsställande skydd mot stöld och händelser som kan förstöra utrustningen;
  • lämpligt system för behörighetskontroll upprätthålls;
  • tillfredsställande rutiner för säkerhetskopiering finns; och
  • en säkerhetsnivå beträffande Uppgifterna som motsvarar minst den säkerhetsnivå som Kivra tillämpar för behandling av sin egen data upprätthålls.

5.4 Kivra ska vidare särskilt iaktta följande:

  • a. Åtkomstskydd - När datorutrustning och löstagbara datamedier hos Kivra inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Uppgifterna krypteras. För det fall eventuella bärbara datorer används vid Behandlingar ska Uppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

  • b. Säkerhetskopia - Uppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att Uppgifterna kan återskapas efter en störning. Kivra ska ha en rutin för test av återläsning.

  • c. Behörighetskontroll - Ett tekniskt system för behörighetskontroll ska styra åtkomsten till Uppgifterna för Kivra. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

  • d. Loggning - Åtkomst till Uppgifterna ska kunna följas upp i efterhand genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Kivra och återrapporteras till Avsändaren.

  • e. Datakommunikation - Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Uppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Kivra ska skyddas med innehållskryptering.

  • f. Utplåning - När fasta eller löstagbara lagringsmedier som innehåller Uppgifter inte längre ska användas för sitt ändamål ska Uppgifterna raderas på sådant sätt att de inte kan återskapas.

  • g. Reparation och service - När reparation och service av datorutrustning, vilken används för att lagra Avsändarens Uppgifter, utförs av annan än Kivra, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under Kivras överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Uppgifter avlägsnas. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

5.5 Kivra åtar sig att säkerställa att Kivra har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt vad gäller kraven på säkerhet enligt ovan, samt att de åtgärder som vidtas kommer att ses över och uppdateras vid behov.

5.6 Kivra ska tillåta de inspektioner som Tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Uppgifterna. Kivra ska följa av Tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt Tillämplig Dataskyddslagstiftning.

6. Gallring och radering

6.1 Kivra får inte lagra Uppgifterna för längre tid än vad som är nödvändigt för fullgörande av Ändamålet eller vad som annars följer av Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtal eller Avsändarens instruktioner. Uppgifterna ska därefter, så länge inte något annat överenskommits med Avsändaren, raderas.

6.2 Kivra ska tillse att det finns tekniska lösningar som innebär att en automatisk gallring och radering genomförs på Uppgifterna. För det fall detta saknas ska rutiner för manuell gallring och radering delges Avsändaren.

7. Kivras personal

7.1 Kivra åtar sig att i sin verksamhet vid var tid se till att berörd personal följer detta Personuppgiftsbiträdesavtal och de instruktioner som ges av Avsändaren samt att de hålls informerade om bestämmelserna i Tillämplig Dataskyddslagstiftning.

7.2 Åtkomst till Uppgifterna ska inom Kivras organisation begränsas till sådana personer som behöver dem för att kunna utföra sina mellan Kivra och Avsändaren avtalade arbetsuppgifter enligt detta Personuppgiftsbiträdesavtal.

8. Kivras informationsplikt

8.1 Kivra ska, senast inom 24 timmar efter det att Kivra upptäckt fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av Uppgifterna och andra personuppgiftsincidenter, informera Avsändaren om detta.

8.2 När Kivra underrättar Avsändaren enligt avsnitt 8.1 ovan ska underrättelsen innefatta information om (i) incidentens art, kategorier av registrerade, kategorier av Uppgifter och det ungefärliga antalet registrerade som berörs, (ii) kontaktuppgifterna till Kivras dataskyddsombud alternativt andra funktioner där Avsändaren kan erhålla information, (iii) sannolika konsekvenser av incidenten; (iv) de åtgärder som redan vidtagits av Kivra alternativt de åtgärder som planeras och eller föreslås att vidtas; och (v) all sådan eventuell ytterligare nödvändig information som krävs för att Avsändaren i förekommande fall ska kunna fullgöra sin rapporterings- /informationsskyldighet gentemot Tillsynsmyndighet och/eller Registrerade.

8.3 För det fall den Registrerade, Tillsynsmyndigheten eller tredje man begär information från Kivra som rör behandling av Uppgifter, ska Kivra hänvisa till Avsändaren. Kivra får inte lämna ut Uppgifter eller annan information om behandlingen av Uppgifter utan uttrycklig instruktion från Avsändaren, eller om utlämnandet är en följd av en skyldighet enligt lag.

8.4 Kivra ska utan dröjsmål informera Avsändaren om eventuella kontakter med Tillsynsmyndigheten som rör, eller kan vara av betydelse för, Kivras behandling av Uppgifter. Åtagandet är dock begränsat till sådan behandling av Uppgifter som berör eller kan komma att beröra Avsändaren. Kivra har inte rätt att företräda Avsändaren eller agera för dennes räkning gentemot Tillsynsmyndigheten.

9. Förfrågningar från registrerade

9.1 Registrerade har laglig rätt att begära registerutdrag och annan information om den personuppgiftsbehandling som utförs avseende den Registrerades personuppgifter. Vidare ska personuppgifter om en registrerad på dennes begäran kunna rättas, blockeras eller raderas. Kivra är skyldigt att bistå Avsändaren i sådan omfattning att denna rätt liksom övriga av de Registrerades rättigheter enligt Tillämplig Dataskyddslagstiftning kan säkerställas.

9.2 Kivra ska utan dröjsmål informera Avsändaren om all kontakt med Registrerade, Tillsynsmyndigheter eller annan tredje man, som avser Kivras behandling av Uppgifterna. Kivra har inte rätt att företräda Avsändaren eller på annat sätt agera för Avsändarens räkning gentemot Registrerade, Tillsynsmyndighet eller annan tredje man.

9.3 Både Avsändaren och Kivra garanterar att de har rutiner och strukturer på plats som möjliggör för ett utlämnande av information till en Registrerad, med hänsyn tagen till den begränsning som gäller för Kivra enligt avsnitt 8.3 ovan.

10. Kontroll av Kivras behandling

10.1 Avsändaren har rätt att själv eller genom en oberoende tredje man genomföra kontroller av Kivras behandling av Uppgifterna för att försäkra sig om att vad som anges i Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtalet och av de instruktioner som utfärdats av Avsändaren efterlevs. Om annat inte följer av särskild separat skriftlig överenskommelse står respektive Part sina egna kostnader vid granskning och för tillhandahållandet av information enligt detta avsnitt 10.1.

10.2 Kivra ska i skälig utsträckning bidra till sådana kontroller och granskningar, inbegripet inspektioner och tillgång till Kivras lokaler, datorutrustning m.m., och på begäran tillhandahålla Avsändaren den assistans och den dokumentation som rimligen erfordras för detta.

10.3 Om Avsändaren anlitar tredje part att utföra inspektion av Kivras behandling av Uppgifter för Avsändarens räkning ska Avsändaren tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.

10.4 Insyn för granskning, informationslämning och dylikt ska äga rum vid det tillfälle som Avsändaren eller Tillsynsmyndigheten begär vilket i möjligaste mån ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Parternas respektive ordinarie verksamheter. Granskning av Kivra ska ske med iakttagande av de säkerhetsåtgärder som Kivra uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen.

10.5 Om Avsändaren vid kontroll enligt ovan eller på annat sätt finner att Kivra inte uppfyller kraven på lämplig säkerhetsnivå eller på annat sätt behandlar Uppgifterna i strid med Personuppgiftsbiträdesavtalet eller Tillämplig Dataskyddslagstiftning är Kivra skyldig att omgående rätta sig efter Avsändarens påpekande. Om så inte sker och detta kan medföra olägenhet för Avsändaren har Avsändaren rätt att säga upp Personuppgiftsbiträdesavtal och de Allmänna Villkoren med omedelbar verkan.

11. Överföring till tredje land

11.1 Kivra får under inga omständigheter överföra Uppgifterna utanför EU/EES-området utan Avsändarens i förväg lämnade skriftliga godkännande. Detta innebär bl.a. att Kivra inte utan Avsändarens medgivande får utföra behandlingen av Uppgifterna på utrustning eller med användning av resurser lokaliserade utanför EU/EES-området.

11.2 För det fall Parterna med beaktande av ovan överenskommer att Uppgifterna ska överföras till plats utanför EU/EES-området ska Parterna säkerställa att överföringen är tillåten enligt Tillämplig Dataskyddsslagstiftning och efter behov underteckna erforderliga separata personuppgiftsbiträdesavtal i enlighet med t.ex. Kommissionens beslut (2021/914/EU) om standardavtalsklausuler för överföring av Uppgifter till tredje land och vidta andra nödvändiga åtgärder.

12. Anlitande av underbiträden

12.1 Avsändaren godkänner härmed användandet av de av Kivra redan anlitade underbiträden (”Godkända underbiträden”) som framgår av Specifikationen i Bilaga A till detta Personuppgiftsbiträdesavtal.

12.2 För nya underbiträden åtar sig Kivra att informera Avsändaren om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst 45 dagar innan sådana planer genomförs med en rätt för Avsändaren att avsluta de Allmänna Villkoren inklusive detta Personuppgiftsbiträdesavtal om Avsändaren inte godkänner förslaget på nytt underbiträde. Om Avsändaren inte återkommer till Kivra inom de 45 dagarna anses Avsändaren ha accepterat Kivras plan på att anlita/ersätta det/de underbiträde(n) som Kivra informerat Avsändaren om.

12.3 Avsändarens godkännande enligt avsnitt 12.1 samt 12.2 ska betraktas som ett särskilt tillstånd för Kivra att i det enskilda fallet, för Avsändarens räkning, ingå personuppgiftsbiträdesavtal med underbiträden som ska behandla Uppgifter. Sådant personuppgiftsbiträdesavtal mellan Kivra och ett underbiträde måste vara ett skriftligt avtal varigenom underbiträdet åläggs motsvarande åtaganden och skyldigheter som detta Personuppgiftsbiträdesavtal ålägger Kivra.

12.4 Kivra är ansvarig för att tillse att relevanta regler i Tillämplig Dataskyddslagstiftning beaktas vid anlitande av underbiträden. Kivra ska vidta alla nödvändiga åtgärder för att säkerställa att anlitade underbiträden inte behandlar Uppgifterna i strid med Personuppgiftsbiträdesavtalet och tillse att dessa ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder.

12.5 För det fall behandling av Uppgifter planeras att utföras av underbiträde i tredje land gäller vad som anges i avsnitt 11 ovan.

12.6 Om underbiträdet inte uppfyller sina skyldigheter i fråga om behandling ska Kivra förbli fullt ansvarig gentemot Avsändaren för underbiträdets uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.

13. Ersättning

13.1 Kivra är inte berättigat till någon ersättning för de åtaganden och skyldigheter som följer av detta avtal om sådan ersättning inte uttryckligen skriftligen avtalats mellan Avsändaren och Kivra i förväg. Detsamma gäller även om Avsändaren meddelar ändrade eller nya instruktioner enligt avsnitt 4.6 ovan.

14. Ansvar

14.1 Om Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta Personuppgiftsbiträdesavtal eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant otillåtet agerande orsakat. Detta ska dock inte gälla om den skadevållande Parten kan visa att denne eller av denne anlitat underbiträde inte på något sätt är ansvarig(a) för den händelse, det agerande eller den underlåtenhet som orsakade den andre Parten skadan, såsom att anspråket inte hade kunnat undvikas genom skadevållande Parts uppfyllande av sina skyldigheter enligt de Allmänna Villkoren, detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning eller av skriftliga instruktioner som utfärdats av Avsändaren.

14.2 Under inga omständigheter ska Part enligt avsnitt 14.1 vara ansvarig för indirekta skador, såsom utebliven vinst, inkomstförlust, förlust av data, hinder att uppfylla förpliktelse mot tredje man, ersättningsskyldighet mot tredje man eller andra följdskador. Denna ansvarsbegränsning ska dock inte gälla vid grov vårdslöshet eller uppsåt.

14.3 Parternas rätt till ersättning vad gäller krav från tredje man regleras i sin helhet i enlighet med artikel 82 i Dataskyddsförordningen. Detta inkluderar rätten för den Part som betalat full ersättning för den skada som orsakats tredje man att från den andra Parten, om denne medverkat vid samma behandling, återkräva den del av ersättningen som motsvarar den Partens del av ansvaret för skadan.

15. Sekretess

15.1 Kivra åtar sig att inte lämna ut Uppgifterna eller annan information om behandlingen av Uppgifterna till tredje man utan uttrycklig instruktion eller förhandsgodkännande från Avsändaren.

15.2 Part åtar sig att inte avslöja någon som helst information av konfidentiell art, som Part direkt eller indirekt fått del av under samarbetet med den andre Parten, beträffande den andre Partens verksamheter till tredje man.

15.3 Parterna åtar sig att efterleva vid var tid gällande regler om företagshemligheter.

15.4 Part ska se till att de personer som har åtkomst till Uppgifterna eller konfidentiell information har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt i enlighet med kraven i Tillämplig Dataskyddslagstiftning samt är informerade om hur de får behandla Uppgifterna. Detta sekretessåtagandet är inte tillämpligt i förhållande till underbiträden med vilka det finns underbiträdesavtal i enlighet med avsnitt 12 ovan. Sådant underbiträdesavtal ska dock innehålla motsvarande sekretessåtagande för underbiträdet.

16. Ändringar

16.1 Avsändaren får ändra innehållet i detta Personuppgiftsbiträdesavtal endast i den mån så erfordras för att tillgodose krav som följer av Tillämplig Dataskyddslagstiftning. Sådan ändring träder i kraft 30 dagar efter att meddelandet om ändring kommit Kivra tillhanda. För det fall Kivra inte accepterar sådan ändring har Avsändaren rätt att med omedelbar verkan säga upp de Allmänna Villkoren inklusive detta Personuppgiftsbiträdesavtal helt eller delvis. Avsändaren ska i sådan uppsägning ange från och med vilket datum uppsägningen ska gälla.

16.2 Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas i enlighet med de Allmänna Villkoren.

17. Avtalstid och åtgärder vid upphörande

17.1 Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Kivra behandlar Uppgifter för Avsändarens räkning.

17.2 Parterna är överens om att Kivra och eventuella underbiträden efter behandlingens upphörande och beroende på vad Avsändaren instruerar Kivra ska återlämna överförda Uppgifter och kopior av dessa till Avsändaren, eller radera alla Uppgifter och intyga för Avsändaren att så skett. Om detta inte är tekniskt möjligt, ska Kivra garantera att Kivra kommer att anonymisera Uppgifterna på sätt som gör dem omöjliga att återskapa.

17.3 Kivra ska genomföra åtgärderna i avsnitt 17.2 inom 30 dagar från det att Personuppgiftsbiträdesavtalet upphörde att gälla mellan Parterna.

17.4 Kivra garanterar att, efter Personuppgiftsbiträdesavtalets upphörande, på Avsändarens eller Tillsynsmyndighets begäran kommer att redovisa samtliga behandlingar av Uppgifterna som sker eller har skett (inklusive omfattande eventuell behandling utförd av underbiträden).

18. Överlåtelse

18.1 Part får inte överlåta detta Personuppgiftsbiträdesavtal och inte heller helt eller delvis överlåta skyldigheter eller rättigheter enligt detta Personuppgiftsbiträdesavta utan den andre Partens godkännande.

19. Meddelanden

19.1 Alla meddelanden och annan kommunikation enligt detta Personuppgiftsbiträdesavtal från en Part till den andra ska upprättas skriftligen och avlämnas genom e-post, bud eller rekommenderat brev till Parternas angivna adresser alternativt kommuniceras via anvisad webbplats. För kontaktkanaler hänvisas till uppgifter lämnade vid de Allmänna Villkorens ingående. Ansvaret för att hålla sina kontaktuppgifter uppdaterade vilar på respektive Part.

19.2 Meddelande ska anses ha kommit mottagaren tillhanda:

  • a. vid avsändande med e-post; vid tidpunkten för avsändande förutsatt att negativ kvittens ej erhålles.
  • b. vid avlämnande med bud; vid tidpunkten för avlämnandet.
  • c. vid avsändande med rekommenderat brev; den tredje (3:e) vardagen efter avlämnandet för postbefordran under parts i inledningen angivna eller senare ändrad postadress.
  • d. vid kommunikation via anvisad webbplats: vid inloggning av hos Part behörig person.

20. Tillämplig lag och tvistlösning

20.1 Svensk lag ska tillämpas på detta Personuppgiftsbiträdesavtal inklusive all behandling av Uppgifter under Personuppgiftsbiträdesavtalet.

20.2 Bestämmelser om tvistlösning återfinns i Allmänna Villkor avsnitt 14.

Bilaga A - Specifikation

Ändamålet med behandlingen

  • Ändamålet med behandlingen är att Kivra säkert och effektivt ska mottaga och förmedla E-försändelser till Användare på uppdrag av Avsändaren.

  • Om Avsändaren skickar lönebesked är Ändamålet även att lagra de E-försändelser som inte mottas av en Användare till dess att mottagande sker alternativt till lagringstidens utgång.

  • Om Avsändaren skickar fakturor är Ändamålet även att kunna identifiera betalning.

  • Om Avsändaren skickar E-försändelser för digital signering är Ändamålet även att Kivra säkert och effektivt ska mottaga och förmedla E- försändelser för digital signering till Användare och andra mottagare på uppdrag av Avsändaren, liksom lagra dessa E-försändelser till lagringstidens utgång, samt notifiera mottagarna i enlighet med Avsändarens instruktioner. För mottagare som är Användare, eller blir Användare innan lagringstidens utgång, är ändamålet även att förmedla den signerade E- försändelsen till Användarens digitala brevlåda.

Kategorier av personuppgifter

  • Personuppgifter i E-försändelser.

  • För förmedlingen (samt om Avsändaren skickar lönebesked även lagringen) behandlas personnummer.

  • Om Avsändaren skickar fakturor behandlas betalinformation (OCR, Pg/Bg-nummer, betalsumma, förfallodag).

  • Om Avsändaren skickar E-försändelser för digital signering behandlas personnummer,

namn och e-postadress.

  • Om Avsändaren är en enskild firma behandlas firma och organisationsnummer.

Kategorier av registrerade

  • Användare samt privatpersoner som är mottagare av de E-försändelser som skickas från Avsändaren, för leverans i digital brevlåda och/eller digital signering.

  • Avsändare (om Avsändaren är en enskild firma).

Lokalisering av behandling

  • Sverige.

  • Om Avsändaren skickar E-försändelser för digital signering kan namn och e-postadress komma att behandlas i USA av underbiträdet Mailgun Technologies, Inc.

Tid för sparande av personuppgifter

  • 45 dagar för errorhantering.

  • Om Avsändaren skickar lönebesked gäller, i tillägg till ovan, även upp till 390 dagar för lagring.

  • Om Avsändaren skickar E-försändelser för digital signering gäller, i tillägg till ovan, även 60 dagar för lagring.

Underbiträden

  • GleSYS AB (556647–9241) som tillhandahåller serverutrymme i Sverige.

  • Om Avsändaren skickar E-försändelser för digital signering: Mailgun Technologies, Inc., som tillhandahåller en tjänst för e-postnotifiering i EU. Support kan komma att tillhandahållas från USA. Underbiträdet behandlar enbart namn och e-postadress.