Snart är du igång

1.

Inledning

Genom detta personuppgiftsbiträdesavtal (härefter Biträdesavtalet) uppfyller Parterna det krav som uppställs i Gällande dataskyddslagstiftning om att det ska finnas ett dokumenterat avtal när den Personuppgiftsansvarige överlåter till ett Personuppgiftsbiträde att Behandla Personuppgifter för den Personuppgiftsansvariges räkning. Syftet med Biträdesavtalet är att säkerställa en adekvat skyddsnivå för de registrerades Personuppgifter.

Biträdesavtalet utgör en bilaga till Användarvillkoren för Tjänsten Årsredovisning Online. Genom detta Biträdesavtal och Användarvillkoren ger den Personuppgiftsansvarige instruktioner om hur Personuppgiftsbiträdet ska utföra uppdraget. Ytterligare instruktioner om Behandling av Personuppgifter ska följa de formkrav som uppställs i detta Biträdesavtal.

2.

Definitioner

Avtalets begrepp skall utöver 2.2-2.9 tolkas i enlighet med Gällande dataskyddslagstiftning och praxis .

Med Användarvillkor avses vid varje tidpunkt gällande Användarvillkor, tillgängligt här.

Med Biträdesavtal avses detta skriftliga Biträdesavtal mellan Parterna.

Med Gällande dataskyddslagstiftning avses Personuppgiftslagen (1998:204), Personuppgiftsförordningen (1998:1191), EU:s allmänna dataskyddsförordning (EU) 2016/679 (General Data Protection Regulation, ”GDPR”) och annan tillämplig dataskyddslagstiftning.

Med Part/Parter avses Personuppgiftsansvarig eller Personuppgiftsbiträde.

Med den Personuppgiftsansvarige avses användare av Årsredovisning Online.

Med Personuppgiftsbiträde avses Årsredovisning Online Sverige AB, organisationsnummer 556850-2610.

Med Testkonto avses ett konto i Årsredovisning Online, där ingen årsredovisning ännu är betald. En användare har rätt att använda ett testkonto gratis i upp till 24 månader från tidpunkten då kontot skapades.

Med Betalande kund avses ett konto där användaren har betalat för minst en årsredovisning.

3.

Den Personuppgiftsansvariges ansvar

Den Personuppgiftsansvarige ska säkerställa att all Behandling av Personuppgifter är tillåten enligt Gällande dataskyddslagstiftning.

Den Personuppgiftsansvarige ska endast tillhandahålla Personuppgiftsbiträdet med Personuppgifter som är nödvändiga för att uppnå ändamålet för Behandlingen.

4.

Behandling av Personuppgifter av Personuppgiftsbiträdet

Enligt punkt 1.2 ovan, ska den Personuppgiftsansvarige genom detta Biträdesavtal och Användarvillkor ge instruktioner till Personuppgiftsbiträdet om hur Personuppgiftsbiträdet ska behandla Personuppgifter och fullgöra sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddslagstiftning för den Personuppgiftsansvariges räkning.

För vidare Behandling utöver Biträdesavtal och Användarvillkoren, ska den Personuppgiftsansvarige tillhandahålla kompletterande instruktioner till Personuppgiftsbiträdet.

Instruktionerna ska vara skriftliga och den Personuppgiftsansvarige ansvarar för att de kompletterande skriftliga instruktionerna är tillåtna enligt punkt 3.1 och 3.2, ovan. Skulle instruktionerna strida mot 3.1 eller 3.2, ovan, förbehåller sig Personuppgiftsbiträdet att vägra tillmötesgå en sådan kompletterande Behandling.

Personuppgiftsbiträdet får endast behandla Personuppgifter enligt Personuppgiftsansvariges instruktion och enligt Gällande dataskyddslagstiftning.

Uppmärksammar Personuppgiftsbiträdet att den Personuppgiftsansvarige har lämnat felaktiga, ofullständiga eller bristfälliga instruktioner, ska Personuppgiftsbiträdet utan oskäligt dröjsmål skriftligen meddela den Personuppgiftsansvarige om detta.

För att Personuppgiftsbiträdet ska kunna tillhandahålla Tjänsten för att underlätta för bolag som ska upprätta bland annat årsredovisningar och deklarationer, lagrar Personuppgiftsbiträdet de uppgifter som den Personuppgiftsansvarige förser Tjänsten med på servrar samt hanterar driftmiljön av denna.

Den personuppgiftsansvariges instruktioner framgår av Bilaga 1A.

Personuppgiftsbiträdet får inte företräda den Personuppgiftsansvarige inför Behörig tillsynsmyndighet.

Personuppgiftsbiträdet ska skriftligen informera den Personuppgiftsansvarige om kontakter som denna haft med Behörig tillsynsmyndighet avseende Behandling av Personuppgifter.

Förfrågan från en registrerad ställd till Personuppgiftsbiträdet om hur den registrerades egna Personuppgifter behandlas ska utan oskäligt dröjsmål vidarebefordras till den Personuppgiftsansvarige. Personuppgiftsbiträdet får endast efter skriftligt godkännande av den Personuppgiftsansvarige lämna ut information till den registrerade om hur dennes Personuppgifter behandlas, om det inte finns en skyldighet för Personuppgiftsbiträdet enligt Gällande dataskyddslagstiftning att lämna ut informationen.

5.

Personuppgiftsbiträdets organisatoriska och tekniska kapacitet

Personuppgiftsbiträdet intygar genom detta Biträdesavtal att denne besitter tillräcklig och nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder för att fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddslagstiftning.

Personuppgiftsbiträdet ska på Personuppgiftsansvariges skriftliga begäran visa att de skyldigheter som uppställs i detta Biträdesavtal och Gällande dataskyddslagstiftning uppfylls genom:

1. Att tillhandahålla relevant dokumentation och handlingar som är nödvändiga för att den Personuppgiftsansvarige ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets Behandling av Personuppgifter samt andra skyldigheter med anledning av detta Biträdesavtal och Gällande dataskyddslagstiftning.
2. Att möjliggöra och bidra till inspektioner (och tillgång till lokaler och utrustning), genomförda av den Personuppgiftsansvarige eller av denne anlitad oberoende revisor.

Personuppgiftsbiträdet har rätt till ersättning enligt gällande timtaxa för nedlagd arbetstid för att uppfylla förpliktelserna enligt första till tredje stycket, ovan. Personuppgiftsbiträdet ska skriftligen informera den Personuppgiftsansvarige om att det begärda arbetet ska debiteras enligt gällande timtaxa innan sådant arbete påbörjas.

Inom ramen för Personuppgiftsbiträdets rättsliga skyldigheter ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att fullgöra sina skyldigheter enligt Gällande dataskyddslagstiftning.

Avser den Personuppgiftsansvariges begäran, enligt ovan, samverkan avseende konsekvensbedömningar för dataskydd, samverkan avseende förhandssamråd med behörig tillsynsmyndighet eller samverkan avseende utformningen av tekniska och organisatoriska åtgärder för dataskydd hos den Personuppgiftsansvarige, är Personuppgiftsbiträdet berättigat till ersättning enligt vid var tid gällande timtaxa.

Personuppgiftsbiträdet ska skriftligen informera den Personuppgiftsansvarige om att det begärda arbetet ska debiteras i enlighet med vid var tid gällande timtaxa innan ett sådant arbete kan påbörjas.

6.

Säkerhet och sekretess

Samtliga representanter för Personuppgiftsbiträdet har tecknat ett sekretessavtal som omfattar samtlig Behandling av Personuppgifter åt Personuppgiftsansvarigs räkning som utförs inom Tjänsten.

Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till Personuppgifter så att endast personal som behöver uppgifterna för att utföra behandlingen har åtkomst. Detta ska särskilt ske genom att all personal som hanterar Personuppgifter för Personuppgiftsbiträdets räkning har genomgått utbildning inom Gällande Dataskyddslagstiftning.

Personuppgiftsbiträdet får inte lämna ut Personuppgifter utan den Personuppgiftsansvariges skriftliga godkännande, om det inte finns en skyldighet för Personuppgiftsbiträdet enligt Gällande dataskyddslagstiftning eller annan lag att lämna ut uppgifterna.

Personuppgiftsbiträdet garanterar att uppgifterna aldrig kommer att vidareförsäljas, överlåtas, eller på annat sätt användas för något annat än sitt ursprungliga syfte. Personuppgifter behandlas endast i syfte att skapa och lagra årsredovisningar och deklarationer.

Personuppgiftsbiträdet får anlita ett Underbiträde för att utföra Behandlingen. Om Personuppgiftsbiträdet vill byta ut ett befintligt underbiträde ska detta kommuniceras i förväg för att ge möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen och utan oskäligt dröjsmål. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som skäligen kan begäras för att bedöma det föreslagna underbiträdet. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges skäliga invändning vill anlita det föreslagna underbiträdet, har Personuppgiftsansvarige rätt att säga upp Avtalet.

Den Personuppgiftsansvarige har rätt att ta del av en, vid var tid gällande, lista på anlitade Underbiträden samt det Underbiträdesavtal som reglerar den aktuella Behandlingen.

Anlitas ett Underbiträde ska ett skriftligt Underbiträdesavtal tecknas mellan Personuppgiftsbiträdet och Underbiträdet. Genom det Underbiträdesavtalet ska Underbiträdet åläggas samma materiella skyldigheter som Personuppgiftsbiträdet genom detta avtal. Personuppgiftsbiträdet ska genom lämpliga åtgärder säkerställa att Underbiträdet uppfyller samtliga tillämpliga bestämmelser för Personuppgifter samt till väsentliga delar uppfyller övriga skyldigheter enligt detta Biträdesavtal.

Genom att Personuppgiftsbiträdet tecknar ett avtal med ett Underbiträde påverkas inte ansvarsfördelningen mellan Personuppgiftsbiträdet och den Personuppgiftsansvarige enligt detta Biträdesavtal.

Bilaga 1B innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.

För testkonton, d.v.s. där ingen årsredovisning ännu är betald, skall Personuppgiftsbiträdet radera samtliga Personuppgiftsansvariges personuppgifter i Tjänsten tjugofyra (24) månader efter sista aktivitet på kontot, såvida det inte föreligger hinder mot radering enligt Gällande dataskyddslagstiftning eller annan tillämplig lagstiftning. Raderingen gäller samtliga mottagna Personuppgifter, inklusive kopior, i digital såväl som i fysisk form.

För de konton där användaren har betalat för minst en årsredovisning raderas samtliga Personuppgiftsansvariges personuppgifter i Tjänsten endast på Personuppgiftsansvariges skriftliga begäran. Raderingen gäller samtliga mottagna Personuppgifter, inklusive kopior, i digital såväl som i fysisk form, och gäller såvida det inte föreligger hinder mot radering enligt Gällande dataskyddslagstiftning eller annan tillämplig lagstiftning.

7.

Överföring av Personuppgifter till Tredje land

Personuppgiftsbiträdet får överföra Personuppgifter till ett land eller område utanför EU och EES.

Sker en överföring till ett land utanför EU och EES enligt ovan, och som av Europeiska kommissionen inte bedöms uppfylla en tillräcklig skyddsnivå i förhållande till Gällande dataskyddslagstiftning ska Parterna, som en bilaga till detta Biträdesavtal, teckna ett kompletterande tilläggsavtal för denna Behandling. I denna bilaga ska Personuppgiftsbiträdet bifoga dokumentation om lämpliga skyddsåtgärder som vidtagits enligt Gällande dataskyddslagstiftning.

Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, till exempel EU-kommissionens modellklausuler. Personuppgiftsansvarig ger Personuppgiftsbiträdet mandat att för Personuppgiftsansvariges räkning ingå EU-kommissionens modellklausuler med underbiträden.

Om Personuppgiftsbiträdet har anlitat ett Underbiträde och Underbiträdets Personuppgiftsbehandling medför att Personuppgifterna överförs till ett land utanför EES och som av Europeiska kommissionen inte bedöms uppfylla en tillräcklig skyddsnivå i förhållande till Gällande dataskyddslagstiftning, ska Personuppgiftsbiträdet och Underbiträdet teckna ett kompletterande tilläggsavtal för denna Behandling. Den Personuppgiftsansvarige ska på begäran erhålla en skriftlig kopia på det kompletterande tilläggsavtalet mellan Personuppgiftsbiträdet och Underbiträdet.

Ett kompletterande tilläggsavtal enligt punkt 7.1 och 7.2, ovan, ska utformas utifrån 2010/87/EU. Kommissionens beslut av den 5 februari 2010 om standardavtalsklausuler för överföring av Personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG [delgivet med nr K(2010) 593] (härefter ”Kommissionens standardklausuler”) eller beslut och klausuler som ersätter dessa. Vid konflikt mellan det kompletterande tilläggsavtalet och Kommissionens standardklausuler enligt första meningen, ovan, har standardklausulerna företräde.

8.

Kommunikation mellan Parterna

All kommunikation mellan Parterna ska ske skriftligen.

Personuppgiftsbiträdet ska omedelbart, dock inte senare än tjugofyra (24) timmar, från att det kommit till Personuppgiftsbiträdets kännedom, underrätta den Personuppgiftsansvarige om konstaterad eller misstänkt Personuppgiftsincident vid Behandling av Personuppgifter av Personuppgiftsbiträdet för den Personuppgiftsansvariges räkning.

Personuppgiftsbiträdet ska omedelbart när denne får kännedom om konstaterad eller misstänkt Personuppgiftsincident hos ett anlitat Underbiträde underrätta den Personuppgiftsansvarige om detta. Underrättelsen ska vara den Personuppgiftsansvarige tillhanda senast trettiosex (36) timmar efter det att det aktuella Underbiträdet konstaterade eller misstänkte en Personuppgiftsincident.

Underrättelse enligt första stycket, ovan, ska innehålla all nödvändig och tillgänglig information som den Personuppgiftsansvarige behöver för att ha möjligheten att vidta lämpliga åtgärder samt uppfylla sina förpliktelser mot Behörig tillsynsmyndighet avseende anmälan om Personuppgiftsincident.

9.

Tillämplig lag och tvist

Tvist avseende tolkning eller tillämpning av detta Biträdesavtal ska avgöras enligt bestämmelserna om tillämplig lag och tvist i Användarvillkoren.

10.

Ändringar i Biträdesavtalet

Ändringar av detta Biträdesavtal ska göras skriftligen och godkännas av båda Parter.

Ändras Gällande dataskyddslagstiftning under avtalstiden för detta Biträdesavtal, eller om Behörig tillsynsmyndighet ändrar riktlinjer, tar beslut som vunnit laga kraft eller ger föreskrifter avseende tillämpningen av Gällande dataskyddslagstiftning med resultatet att detta Biträdesavtal, delvis eller i sin helhet, inte längre uppfyller de krav som ställs på ett Biträdesavtal ska Parterna gemensamt komplettera detta Biträdesavtal.

Om en eller flera punkter, helt eller delvis, i detta Biträdesavtal förklaras vara otillåten, eller på annat sätt inte verkställbar, av en domstol eller annat behörigt organ, ska övriga delar av punkten och Biträdesavtalet inte påverkas vid tillämpning eller tolkning.