Personuppgiftsbiträdesavtal

1.1 Detta personuppgiftsbiträdesavtal (Biträdesavtalet) reglerar Vendions behandling av personuppgifter för Kundens räkning och har ingåtts mellan Kunden (personuppgiftsansvarig) och Vendion (personuppgiftsbiträde):

2.1 Vendion tillhandahåller Tjänsten till Kunden. Inom ramen för Tjänsten behandlar Vendion personuppgifter för Kundens räkning, t.ex. uppgifter om Kundens gäster och anställda. Kunden är personuppgiftsansvarig för denna behandling och Vendion är personuppgiftsbiträde. 2.2 Syftet med Biträdesavtalet är att uppfylla kraven i artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 (Dataskyddsförordningen eller GDPR) och att reglera Vendions behandling av personuppgifter för Kundens räkning. 2.3 Biträdesavtalet omfattar inte behandling där Vendion är självständigt personuppgiftsansvarig, t.ex. behandling av uppgifter om Kundens kontaktpersoner och användare för Vendions egna ändamål. Sådan behandling regleras i Vendions integritetspolicy. 2.4 Behandling av kort- och betaluppgifter i samband med kortbetalning utförs av Kundens betal- och inlösenleverantör enligt dennes egna villkor och tillämpliga regler, t.ex. PCI DSS, och omfattas inte av Biträdesavtalet annat än i den utsträckning sådana uppgifter faktiskt behandlas i Tjänsten.

Läs integritetspolicyn →

3.1 Begreppen personuppgift, behandling, personuppgiftsansvarig, personuppgiftsbiträde, registrerad, personuppgiftsincident och tredjeland har samma innebörd som i GDPR. 3.2 Med Underbiträde avses ett personuppgiftsbiträde som Vendion anlitar för att utföra viss behandling för Kundens räkning. 3.3 Med Instruktion avses Kundens dokumenterade instruktioner till Vendion enligt avsnitt 4.

4.1 Föremålet för, varaktigheten av, arten och ändamålet med behandlingen, de kategorier av registrerade som berörs samt typerna av personuppgifter framgår av Bilaga A. 4.2 Vendion ska endast behandla personuppgifter enligt Kundens dokumenterade Instruktioner, inbegripet i fråga om överföring till tredjeland, om inte annat krävs enligt unionsrätt eller svensk rätt. Krävs sådan behandling enligt lag ska Vendion informera Kunden om det rättsliga kravet före behandlingen, såvida inte sådan information är förbjuden enligt lag. 4.3 Kundens Instruktioner utgörs vid Biträdesavtalets ingående av Huvudavtalet, detta Biträdesavtal, Bilaga A samt Kundens användning och konfiguration av Tjänsten. Kunden kan därutöver lämna ytterligare skriftliga Instruktioner inom ramen för vad Tjänsten medger. 4.4 Vendion ska utan dröjsmål informera Kunden om Vendion anser att en Instruktion strider mot GDPR eller andra tillämpliga dataskyddsbestämmelser. 4.5 Kunden ansvarar för att Kundens Instruktioner och behandlingen av personuppgifter i Tjänsten har rättslig grund och i övrigt sker i enlighet med tillämplig dataskyddslagstiftning.

5.1 Vendion ska behandla personuppgifter på ett sätt som uppfyller kraven i GDPR och som skyddar de registrerades rättigheter. 5.2 Vendion ska säkerställa att de personer som har behörighet att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. 5.3 Vendion ska begränsa åtkomsten till personuppgifterna till sådan personal som behöver tillgången för att fullgöra Vendions skyldigheter enligt Biträdesavtalet.

6.1 Vendion ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 i GDPR. Åtgärderna framgår av Bilaga C. 6.2 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet risken för oavsiktlig eller olaglig förstöring, förlust eller ändring av eller obehörigt röjande av eller obehörig åtkomst till personuppgifterna. 6.3 Vendion får uppdatera säkerhetsåtgärderna, under förutsättning att säkerhetsnivån inte försämras.

7.1 Kunden lämnar härmed ett allmänt skriftligt förhandstillstånd till att Vendion anlitar Underbiträden. De Underbiträden som anlitas vid Biträdesavtalets ingående framgår av Bilaga B. 7.2 Vendion ska genom skriftligt avtal ålägga varje Underbiträde i allt väsentligt samma skyldigheter avseende dataskydd som åligger Vendion enligt Biträdesavtalet, i den utsträckning de är tillämpliga på Underbiträdets behandling. 7.3 Vendion ansvarar gentemot Kunden för Underbiträdets behandling på samma sätt som för sin egen. 7.4 Vendion ska underrätta Kunden om planerade förändringar avseende tillägg eller byte av Underbiträden i skälig tid innan förändringen genomförs, så att Kunden ges möjlighet att invända. Underrättelse kan ske via e-post eller genom publicering av en uppdaterad underbiträdeslista som Kunden anvisas till. 7.5 Invänder Kunden på sakliga, dataskyddsrelaterade grunder mot ett nytt Underbiträde inom trettio (30) dagar från underrättelsen, ska Parterna i god tro söka en lösning. Kan en lösning inte uppnås har Kunden rätt att säga upp den del av Tjänsten som förutsätter det aktuella Underbiträdet.

8.1 Personuppgifter ska behandlas inom EU/EES, om inte annat framgår av Bilaga B eller Kunden lämnat Instruktion om annat. 8.2 Sker överföring till eller behandling i tredjeland ska Vendion säkerställa att överföringen omfattas av en giltig överföringsmekanism enligt kapitel V i GDPR, t.ex. Europeiska kommissionens standardavtalsklausuler eller ett beslut om adekvat skyddsnivå, samt vid behov kompletterande skyddsåtgärder.

9.1 Vendion ska, med beaktande av behandlingens art och genom lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt bistå Kunden med att fullgöra Kundens skyldighet att svara på begäranden om utövande av registrerades rättigheter enligt kapitel III i GDPR. 9.2 Vänder sig en registrerad direkt till Vendion med en sådan begäran ska Vendion utan onödigt dröjsmål vidarebefordra begäran till Kunden och inte själv besvara den, om inte Kunden instruerat annat. 9.3 Vendion ska bistå Kunden med att säkerställa att skyldigheterna enligt artiklarna 32–36 i GDPR fullgörs, med beaktande av behandlingens art och den information som Vendion har tillgång till. Detta omfattar bistånd vid konsekvensbedömning avseende dataskydd och vid förhandssamråd med tillsynsmyndighet. 9.4 Vendion har rätt till skälig ersättning för bistånd enligt detta avsnitt i den utsträckning biståndet går utöver vad som ingår i Tjänsten och föranleds av Kundens särskilda begäran, enligt vid var tid gällande taxa.

10.1 Vendion ska utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som rör behandlingen underrätta Kunden. 10.2 Underrättelsen ska, i den mån informationen är tillgänglig, innehålla en beskrivning av incidentens art, de sannolika konsekvenserna av incidenten samt de åtgärder som vidtagits eller föreslås för att hantera incidenten och begränsa dess eventuella skadeverkningar. 10.3 Det åligger Kunden, i egenskap av personuppgiftsansvarig, att i förekommande fall anmäla incidenten till tillsynsmyndighet och att informera berörda registrerade.

11.1 Kunden ansvarar för att det finns rättslig grund för behandlingen, att de registrerade fått föreskriven information och att behandlingen i övrigt sker i enlighet med tillämplig dataskyddslagstiftning. 11.2 Kunden ansvarar för riktigheten i de personuppgifter som Kunden och dess användare registrerar i Tjänsten samt för att Kundens Instruktioner är lagenliga.

12.1 Vendion ska ge Kunden tillgång till den information som krävs för att visa att skyldigheterna enligt artikel 28 i GDPR och detta Biträdesavtal fullgörs. 12.2 Vendion ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en revisor som Kunden bemyndigat. Sådan granskning ska aviseras skriftligen i skälig tid, normalt minst trettio (30) dagar i förväg, genomföras under ordinarie arbetstid, inte oskäligt störa Vendions verksamhet och ske med iakttagande av sekretess. 12.3 Vendion får uppfylla sin skyldighet enligt detta avsnitt genom att tillhandahålla aktuell dokumentation, t.ex. relevanta intyg, revisionsrapporter eller utlåtanden från oberoende tredje part, i den mån sådan dokumentation rimligen tillgodoser granskningsbehovet. 12.4 Vardera Part bär sina egna kostnader för granskning. Vendion har dock rätt till skälig ersättning för nedlagd tid vid granskning som går utöver vad som rimligen krävs eller som genomförs oftare än en gång per år, utom när granskningen föranleds av en konstaterad personuppgiftsincident.

13.1 När behandlingen enligt Biträdesavtalet upphör ska Vendion, enligt Kundens val, radera eller återlämna samtliga personuppgifter som behandlats för Kundens räkning och radera befintliga kopior, om inte lagring krävs enligt unionsrätt eller svensk rätt. 13.2 Vendion gör Kundens data tillgänglig för export under skälig tid efter Huvudavtalets upphörande i enlighet med Huvudavtalet, normalt trettio (30) dagar, varefter uppgifterna kan komma att raderas. 13.3 Vendion får behålla personuppgifter i den utsträckning och under den tid som krävs enligt lag, varvid Vendion endast ska behandla uppgifterna i den utsträckning och för det ändamål som lagringen kräver.

14.1 Parternas ansvar enligt Biträdesavtalet omfattas av de ansvarsbegränsningar som följer av Huvudavtalet, om inte annat följer av tvingande lag. 14.2 Fördelningen av skadeståndsansvar mellan Parterna gentemot registrerade regleras av artikel 82 i GDPR. En Part som har utgett full ersättning för en skada har rätt att av den andra Parten återkräva den del av ersättningen som motsvarar den andra Partens del i ansvaret för skadan.

15.1 Biträdesavtalet gäller från det att det blir bindande mellan Parterna och så länge Vendion behandlar personuppgifter för Kundens räkning enligt Huvudavtalet. 15.2 Bestämmelser som till sin natur ska fortsätta att gälla efter Biträdesavtalets upphörande, t.ex. avseende sekretess, ansvar samt radering och återlämnande, fortsätter att gälla därefter.

16.1 Vendion får ändra Biträdesavtalet med skäligt varsel i den utsträckning ändringen krävs för att följa lag, myndighetsbeslut eller etablerad praxis avseende dataskydd, eller för att återspegla ändringar i Tjänsten, under förutsättning att skyddsnivån för de registrerade inte försämras. Övriga ändringar ska ske skriftligen och godkännas av Parterna.

17.1 På Biträdesavtalet tillämpas svensk rätt. 17.2 Tvist med anledning av Biträdesavtalet ska avgöras i enlighet med vad som anges om tvistlösning i Huvudavtalet.

18.1 För standardflödet accepteras Biträdesavtalet som en integrerad del av Huvudavtalet när Kunden ingår Huvudavtalet, och kräver ingen separat underskrift. 18.2 Önskar Parterna underteckna Biträdesavtalet separat sker det i en signerad version där parternas uppgifter och underskrifter kompletteras. Digital signatur äger samma rättsverkan som signatur på originaldokument.

Föremål och art

Föremålet för behandlingen är behandling av personuppgifter inom ramen för tillhandahållandet av Tjänsten, ett molnbaserat kassasystem med tillhörande moduler. Behandlingens art omfattar insamling, registrering, organisering, strukturering, lagring, bearbetning, användning, utlämnande genom överföring inom Tjänsten samt radering.

Vendion anlitar nedanstående underbiträden för behandling av personuppgifter inom ramen för Tjänsten. Listan hålls aktuell och utgör grunden för underrättelse enligt avsnitt 7. Vid behandling utanför EU/EES sker överföring med stöd av en giltig överföringsmekanism enligt kapitel V i GDPR.

Vendion vidtar bl.a. följande tekniska och organisatoriska åtgärder enligt artikel 32 i GDPR:

• Kryptering av personuppgifter under överföring, t.ex. med TLS, och där det är lämpligt även i vila.
• Behörighetsstyrning och åtkomstkontroll enligt principen om lägsta behörighet samt stark autentisering, t.ex. flerfaktorsautentisering, för administrativ åtkomst.
• Loggning och uppföljning av åtkomst och säkerhetsrelevanta händelser.
• Åtgärder för att fortlöpande säkerställa konfidentialitet, riktighet, tillgänglighet och motståndskraft hos behandlingssystemen.
• Regelbunden säkerhetskopiering samt rutiner för att återställa tillgängligheten och åtkomsten till personuppgifter vid en incident.
• Rutiner för att upptäcka, rapportera och hantera personuppgiftsincidenter.
• Nätverkssäkerhet, brandväggar och skydd mot skadlig kod.
• Pseudonymisering eller minimering av personuppgifter där det är lämpligt.
• Sekretessåtaganden och återkommande utbildning för personal med åtkomst till personuppgifter.
• Rutiner för regelbunden testning och utvärdering av åtgärdernas effektivitet.
• Krav på och uppföljning av underbiträdens säkerhet.
• Fysisk säkerhet i datacenter som tillhandahålls av Vendions infrastrukturleverantörer.