Accountec Byråportal
GDPR villkor gällande behandling av personuppgifter i Accountec Byråportal

1. Definitioner

Tillämplig dataskyddslagstiftning avser personuppgiftslagen (1998:204) eller Europaparlamentets och Rådets Förordning 2016/679 (GDPR), samt kompletterande dataskyddslagstiftning, förordningar eller föreskrifter som är tillämplig på aktuella behandlingar.
Accountec avser Accountec AB.
Kunden avser det företag eller den organisation som träffat ett tjänsteavtal med Accountec AB.
Kundens personuppgifter avser personuppgifter som Kunden ansvarar för, (exempelvis personuppgifter som gäller egna anställda eller kunders anställda), enligt Tillämplig dataskyddslagstiftning och som behandlas i samband med fullgörandet av Tjänsteavtalet.
Tjänsteavtalet avser det avtal som träffats mellan Accountec och Kunden avseende en eller flera tjänster som Accountec tillhandahåller.
Tjänster avser den tjänst eller de tjänster som Accountec tillhandahåller Kunden enligt Tjänsteavtalet.
Bilaga avser denna bilaga rörande behandling av personuppgifter.
De begrepp som används i denna Bilaga ska tolkas i enlighet med Tillämplig dataskyddslagstiftning.

2. Allmänt

Denna Bilaga reglerar Accountecs behandling av Kundens personuppgifter. Syftet med bilagan är att klargöra parternas rättigheter och skyldigheter i förhållande till Tillämplig dataskyddslagstiftning. Kunden är personuppgiftsansvarig för de personuppgifter som behandlas i samband med användandet av de Tjänster som Accountec tillhandahåller. Accountec är personuppgiftsbiträde och ska endast behandla Kundens personuppgifter i syfte att tillhandahålla avtalade Tjänster och endast i enlighet med denna Bilaga. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter, kategorier av registrerade samt säkerhetsåtgärder anges i särskilda tjänstebeskrivningar som uppdateras löpande av Accountec och tillhandahålls Kunden via aktuell serviceportal.

3. Kundens skyldigheter

Kunden ansvarar för att Kundens personuppgifter behandlas enligt Tillämplig dataskyddslagstiftning. Det innebär bland annat att Kunden ansvarar för att personuppgifterna får behandlas, att de inhämtas och lagras på ett tillåtet sätt, samt att de får överföras till Accountec. Kunden ansvarar vidare för att det finns ett godtagbart ändamål och en laglig grund enligt Tillämplig dataskyddslagstiftning för behandlingen av Kundens personuppgifter. Det åligger inte Accountec att övervaka och kontrollera Kundens personuppgifter för att säkerställa att de behandlas enligt Tillämplig dataskyddslagstiftning. När det gäller tjänsten Byråportal är Kunden medveten om att Byråportalen inte är avsett för behandling av särskilt känsliga personuppgifter som exempelvis avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa, uppgifter om sexualliv eller sexuell läggning, betalinformation (t.ex. kreditkortsnummer och bankkontonummer) eller uppgifter om personer under 16 år. Kunden bekräftar att de säkerhetsåtgärder som Accountec redovisat i samband med Tjänsteavtalets ingående är lämpliga i förhållande till de personuppgifter Kunden avser att registrera i systemet.


4. Kontaktpersoner och kommunikation

Parterna ska meddela varandra kontaktuppgifter rörande den person hos respektive part, i förekommande fall personuppgifts- eller dataskyddsombud, som har särskilt ansvarar för partens hantering av personuppgifter. Dataskyddsombud för Accountec nås via mejl på gdpr@accountec.se om inte annat framgår av tjänsteavtalet. Parterna ska omedelbart meddela varandra innan eventuella åtgärder vidtas för det fall: a) Krav från registrerade, tillsynsmyndighet eller tredje part framställs till part och som innebär att åtgärder måste vidtas av den andra parten. b) Om en part anser att en behandling strider mot Tillämplig dataskyddslagstiftning. c) Om Tillämplig dataskyddslagstiftning kräver att part utför en behandling av Kundens personuppgifter utöver vad som följer av denna Bilaga.

5. Accountecs skyldigheter

Accountec ska behandla Kundens personuppgifter i enlighet med Tillämplig dataskyddslagstiftning och denna Bilaga. Det innebär bland annat att Accountec endast ska behandla Kundens personuppgifter i den mån det är nödvändigt för att fullgöra Tjänsteavtalet och aldrig för egna, eller tredje parts, syften. Accountec ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en korrekt säkerhetsnivå i förhållande till den risk som är förknippad med behandling av Kundens personuppgifter. Lämpliga tekniska och organisatoriska åtgärder inbegriper när det är lämpligt: a) Pseudonymisering och kryptering av personuppgifter. b) Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna. c) Förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident. d) Ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Accountec ansvarar för att samtliga anställda, konsulter och övriga som behandlar Kundens personuppgifter är bundna av ett sekretessåtagande och en instruktion i enlighet med denna Bilaga. Accountec ska på begäran så långt möjligt bistå Kunden i fullgörandet av Kundens skyldigheter vad gäller e) rätten att få tillgång till personuppgifter, f) rätten att få personuppgifter rättade eller raderade, g) rätten att få tillgången till personuppgifterna begränsad, h) rätten att få personuppgifterna överförda till annan (dataportabilitet), i) rätten att göra invändning mot en behandling av personuppgifter, j) säkerställande av lämpligatekniska och organisatoriska säkerhetsåtgärder, k) anmälan av personuppgiftsincident till tillsynsmyndigheten, Villkor gällande behandling av personuppgifter 2 l) informera registrerade om personuppgiftsincident, m) medverkan vid konsekvensbedömning eller förhandssamråd. För det fall ersättning för ovanstående åtgärder inte innefattas i ersättningen för Tjänsterna har Accountec rätt att debitera Kunden enligt vid var tid gällande prislista.

6. Geografisk lagringsplats

Kundens personuppgifter lagras vid användning av Tjänsterna på fysiska servrar i Sverige. I syfte att tillhandahålla Tjänsterna har Accountec rätt att vid behov och i enlighet med Tillämplig dataskyddslagstiftning överföra Kundens personuppgifter inom och utom EU/EES.

7. Underleverantörer som behandlar Kundens personuppgifter

Accountec har rätt att anlita underleverantörer för tillhandahållande av Tjänsterna under förutsättning att Accountec och underleverantören träffar ett skriftligt avtal där underleverantören åläggs samma eller striktare skyldigheter som de som följer av denna Bilaga. Accountec ska informera Kunden om eventuella planer på att anlita nya underleverantörer. Kunden har rätt att på skäliga grunder neka till att en ny underleverantör anlitas. Kunden ska meddela Accountec sin inställning till en ny underleverantör inom 30 dagar från det att meddelandet mottogs. Om Kunden inte accepterar en ny underleverantör ska Accountec äga rätt att säga upp Tjänsteavtalet med en uppsägningstid om 45 dagar.

8. Personuppgiftsincidenter

Parterna ska vid kännedom om en personuppgiftsincident utan dröjsmål meddela den andra parten. Accountecs meddelande till Kunden ska innehålla utförlig information som åtminstone innefattar; a) beskrivning av personuppgiftsincidentens art, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av, och det ungefärliga antalet personuppgifter som berörs, b) namnet på en kontaktperson för ytterligare information och vidare hantering av personuppgiftsincidenten, c) beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och, d) beskrivning av de åtgärder som Accountec har vidtagit eller föreslår för att åtgärda personuppgiftsincidenten, innefattande när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får Accpintec tillhandahålla informationen i omgångar utan onödigt ytterligare dröjsmål.

9. Register

Accountec ska föra ett register över alla kategorier av behandlingar som utförts för Kundens räkning. Registret ska omfatta följande: a) Namn, företrädare, kontaktperson och dataskyddsombud avseende Accountec och eventuella underleverantörer (som behandlar Kundens personuppgifter). b) De kategorier av behandlingar som utförs för Kundens räkning. c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, innefattande identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som baseras på undantag i artikel 49.1 andra stycket GDPR, dokumentationen av lämpliga skyddsåtgärder. d) En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1 GDPR.

10. Granskning

Accountec ska på begäran tillhandahålla Kunden information som visar att Accountec uppfyller de förpliktelser som följer av denna Bilaga. Kunden har vidare rätt att, med 30 dagars varsel, en gång per år granska att Accountec uppfyller de förpliktelser som följer av denna Bilaga. Granskningar får utföras av Kunden eller en oberoende tredje part som denne utser. Granskningar ska planeras och genomföras i samråd mellan parterna och med vederbörlig hänsyn till Accountecs dagliga affärsverksamhet. Kunden eller den oberoende tredje part som utför granskningen ska skriftligen förbinda sig att behandla den information som denne erhåller i samband med granskningen konfidentiellt. Kunden ska bära samtliga kostnader hänförliga till granskningar.

11. Upphörande

Vid Tjänsteavtalets upphörande skall Accountec på begäran av Kunden, utlämna Kundens personuppgifter eller om Kunden så begär, förstöra samtliga Kundens personuppgifter som finns lagrade hos Accountec såvida sådant utlämnande eller förstörande inte kan genomföras på grund av bestämmelse i lag. Kunden ska bära samtliga kostnader hänförliga till utlämnande av Kundens personuppgifter.

12. Ansvar

Vardera parten ansvarar för de sanktioner som kan påföras respektive part enligt Tillämplig dataskyddslagstiftning