Dataskyddsavtal
I enlighet med artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) i syfte att reglera Personuppgiftsbiträdens behandling av personuppgifter, utgör detta Personuppgiftsbiträdesavtal (DPA) en bilaga till tjänstevillkoren mellan Ageras Platform och Abonnenten.
Personuppgiftsbiträdesavtalet anses vara undertecknat av den Personuppgiftsansvarige när denne undertecknar Tjänstevillkoren.
Personuppgiftsbiträde avser Ageras platform enligt definition i Tjänstevillkoren, dvs. det bolag inom Ageraskoncernen med vilket Kunden har ingått Tjänstevillkoren.
Personuppgiftsansvarig avser Ageras platforms kund. Den aktuella versionen av detta dokument gäller från och med 2024-10-03. Tidigare versioner kan läsas här.
1. Inledning
Genom att använda Tjänsterna och någon av de tillgängliga ytterligare funktionerna eller integrationen i förhållande till plattformen (nedan kallad “Tjänsterna”) kommer Personuppgiftsbiträdet att ansvara för behandlingen av personuppgifter på Plattformen.
Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av och enligt instruktioner från den Personuppgiftsansvarige.
Detta Personuppgiftsbiträdesavtal ingås av parterna för att båda parter ska följa nationell dataskyddslagstiftning, inklusive GDPR, samt skyddet av privatlivet och fysiska personers grundläggande rättigheter. I Personuppgiftsbiträdesavtalet beskrivs de instruktioner enligt vilka Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
Personuppgiftsbiträdet behandlar personuppgifter uteslutande i enlighet med Personuppgiftsbiträdets personuppgiftspolicy.
I Personuppgiftsbiträdesavtalet används de definitioner som anges i den nationella dataskyddslagstiftningen och i dataskyddsförordningen.
2. Den Personuppgiftsansvariges ansvar och skyldigheter
Den Personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter sker i enlighet med GDPR, se artikel 24, och de nationella dataskyddsbestämmelserna.
Den Personuppgiftsansvarige har rätt och skyldighet att fatta beslut om för vilket eller vilka ändamål och med vilka tekniska hjälpmedel personuppgifter ska behandlas. Vidare ansvarar den Personuppgiftsansvarige för att det finns en rättslig grund för den behandling och överföring av personuppgifter som Personuppgiftsbiträdet instrueras att utföra.
I egenskap av Personuppgiftsansvarig måste den Personuppgiftsansvarige uppfylla alla informationsskyldigheter gentemot de registrerade när det gäller behandlingen av deras personuppgifter samt tillhandahålla relevanta garantier avseende alla tekniska åtgärder och säkerhetsåtgärder för att skydda de registrerades personuppgifter.
Genom att använda Plattformen är den Personuppgiftsansvarige ansvarig för att endast tillhandahålla de personuppgifter som anges i Bilaga A, och att begränsa behandlingen av uppgifter utanför specifikationen inom, inklusive särskilda kategorier av personuppgifter som anges i artikel 9 i GDPR.
Den Personuppgiftsansvarige ger sitt uttryckliga samtycke till att Personuppgiftsbiträdet fungerar som leverantör av kontoinformationstjänster och tillhandahåller de tjänster som ingår i denna titel, jfr den danska betalningslagen § 87. Samtycket är nödvändigt för att Personuppgiftsbiträdet ska kunna behandla personuppgifter i samband med den tjänst som erbjuds och väljs av den Personuppgiftsansvarige. Den Personuppgiftsansvarige kan när som helst återkalla samtycket och genom att återkalla detta samtycke avslutas samtidigt serviceavtalet avseende leverantören av kontoinformationstjänster.
3. Personuppgiftsbiträdets ansvar och skyldigheter
Personuppgiftsbiträdet får endast behandla personuppgifter efter dokumenterade instruktioner från den Personuppgiftsansvarige och behandlar dessa för den Personuppgiftsansvariges räkning. Den Personuppgiftsansvarige instruerar Personuppgiftsbiträdet att behandla personuppgifter i) i enlighet med tillämplig lagstiftning, ii) för att fullgöra sina skyldigheter enligt avtalet mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet, och iii) enligt vad som beskrivs i detta Avtal.
Personuppgiftsbiträdet ansvarar för att meddela den Personuppgiftsansvarige ifall en instruktion, enligt Personuppgiftsbiträdets uppfattning, strider mot GDPR eller nationell dataskyddslagstiftning. De beskrivna instruktionerna i detta Avtal ger inte anledning att tro att tillämplig lagstiftning hindrar sådan behandling av personuppgifter.
Om Personuppgiftsbiträdet bedömer att en instruktion från den Personuppgiftsansvarige är olaglig eller strider mot tillämplig lagstiftning, är Personuppgiftsbiträdet skyldigt att informera den Personuppgiftsansvarige som i god tid måste rätta till instruktionen. Om den Personuppgiftsansvarige inte kan korrigera instruktionen har Personuppgiftsbiträdet rätt att säga upp serviceavtalet mellan Parterna.
Personuppgiftsbiträdet bistår den Personuppgiftsansvarige med att vidta de tekniska och säkerhetsmässiga åtgärder som är möjliga med hänsyn till behandlingens art och typen av personuppgifter.
Vidare bistår Personuppgiftsbiträdet den Personuppgiftsansvarige med förfrågningar från registrerade om utövandet av deras rättigheter enligt GDPR. Personuppgiftsbiträdet svarar inte på dessa förfrågningar om inte den Personuppgiftsansvarige har gett sitt tillstånd.
Vid begäran från den Personuppgiftsansvarige om information eller hjälp avseende den Personuppgiftsansvariges säkerhetsåtgärder eller behandling av personuppgifter i allmänhet, och om sådan begäran går utöver vad som är nödvändigt enligt tillämplig dataskyddslagstiftning, har Personuppgiftsbiträdet rätt att kräva betalning för sådana ytterligare tjänster.
Personuppgiftsbiträdet säkerställer sekretess avseende behandlingen av personuppgifter, inklusive den Personuppgiftsansvariges anställda. Detta gäller även efter det att Personuppgiftsbiträdesavtalet har upphört att gälla.
4. Användning av underbiträden
Personuppgiftsbiträdet måste uppfylla de villkor som anges i artikel 28.2 och 28.4 i GDPR för att kunna använda ett annat Personuppgiftsbiträde (underbiträden).
Personuppgiftsbiträdet använder underbiträden för att erbjuda Personuppgiftsbiträdets tjänster. Underbiträden som sådana kan vara bolag inom den koncern som Personuppgiftsbiträdet ingår i, eller tredje part både inom och utanför EU/EES.
Personuppgiftsbiträdet kommer att använda underbiträden inom Ageraskoncernen för att leverera de tjänster som begärs av den Personuppgiftsansvarige. Alla enheter inom Ageraskoncernen omfattas av samma skyddsåtgärder som Ageras Platform och de instruktioner, skyldigheter och garantier som anges i detta Personuppgiftsbiträdesavtal.
Personuppgiftsbiträdet har Personuppgiftsbiträdesavtal med samtliga underbiträden och en uttömmande förteckning över dessa återfinns i Bilaga B. Personuppgiftsbiträdet säkerställer att alla underbiträden uppfyller motsvarande skyldigheter och krav i detta Personuppgiftsbiträdesavtal och i dataskyddslagFdatastiftningen. Vidare omfattas alla underbiträden av Personuppgiftsbiträdets personuppgiftspolicy.
Detta Personuppgiftsbiträdesavtal utgör den Personuppgiftsansvariges förhandsgodkännande av användningen av underbiträden, jfr artikel 28.2.
Personuppgiftsbiträdet överför uppgifter till partners som en del av den tjänst som tillhandahålls den Personuppgiftsansvarige. Genom att godkänna villkoren i serviceavtalet informeras den Personuppgiftsansvarige om att Personuppgiftsbiträdets partners kommer att få personuppgifterna för att kunna tillhandahålla ett erbjudande på begäran om service från den Personuppgiftsansvarige.
Vid överföring av personuppgifter utanför EU/EES säkerställer Personuppgiftsbiträdet en tillräcklig skyddsnivå samt en rättslig grund för överföringen med användning av EU-kommissionens standardavtal.
Om Personuppgiftsbiträdet byter underbiträden kommer Personuppgiftsansvarig att underrättas och har rätt att invända mot ett sådant byte av underbiträden om det nya underbiträdet inte behandlar personuppgifter i enlighet med tillämplig dataskyddslagstiftning. En invändning mot användningen av ett underbiträde ska betraktas som en uppsägning av alla avtal mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet, inklusive serviceavtalet mellan parterna.
Eventuella underbiträden kommer, i separata dataskyddssavtal, att ha samma ansvar och skyldigheter som i detta dataskyddssavtal.
Personuppgiftsbiträdet ansvarar för att kräva att underbiträdena uppfyller Personuppgiftsbiträdets skyldigheter enligt detta Personuppgiftsbiträdesavtal samt GDPR.
På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet tillhandahålla kopior av Personuppgiftsbiträdesavtalen med Personuppgiftsbiträdets underbiträden, inklusive eventuella ändringar av dessa avtal. På så sätt säkerställer den Personuppgiftsansvarige att Personuppgiftsbiträdet följer detta Personuppgiftsbiträdesavtal.
Om något av underbiträdena bryter mot dataskyddsreglerna är Personuppgiftsbiträdet fullt ansvarigt för underbiträdenas skyldigheter gentemot den Personuppgiftsansvarige.
5. Konfidentialitet
Personuppgiftsbiträdet får endast ge tillgång till de personuppgifter som behandlas för den Personuppgiftsansvariges räkning till personer som är underställda Personuppgiftsbiträdet och som har förbundit sig till sekretess.
På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet visa vilka sekretessåtgärder som vidtagits för de berörda personerna.
6. Säkerhet vid behandling
I enlighet med artikel 32 ska den Personuppgiftsansvarige och Personuppgiftsbiträdet genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Vid sådan implementering kan båda parter ta hänsyn till den senaste utvecklingen och arten, omfattningen och ändamålen med behandlingen av personuppgifter.
Båda parter måste utvärdera de risker för fysiska personers rättigheter och friheter som är förenade med behandlingen. Säkerhetsåtgärder som är lämpliga med hänsyn till dessa risker måste genomföras av båda parter i enlighet med deras bedömningar.
Personuppgiftsbiträdet hjälper den Personuppgiftsansvarige att säkerställa efterlevnaden av skyldigheterna i artikel 32 i GDPR.
7. Överföring av personuppgifter till tredje land eller internationella organisationer
Eventuell överföring av personuppgifter till tredje land eller internationella organisationer sker endast av Personuppgiftsbiträdet efter dokumenterade instruktioner från den Personuppgiftsansvarige och alltid i enlighet med kapitel V i dataskyddsförordningen.
Personuppgiftsbiträdet har rätt att göra överföringar av personuppgifter om detta är nödvändigt enligt EU-lagstiftning eller nationell lagstiftning. Den Personuppgiftsansvarige informeras om sådan överföring, såvida inte sådan information är olämplig med hänsyn till viktiga samhällsintressen, inklusive rättsliga förpliktelser som Personuppgiftsbiträdet är eller kommer att bli föremål för.
Personuppgiftsbiträdet måste dokumentera instruktionerna från den Personuppgiftsansvarige för följande behandlingsaktiviteter:
- Överföring av personuppgifter till en Personuppgiftsansvarig eller ett Personuppgiftsbiträde i ett tredje land eller en internationell organisation
- Överlåta behandlingen av personuppgifter till ett underbiträde i ett tredje land
- Behandling av personuppgifter i ett tredje land
Detta Personuppgiftsbiträdesavtal omfattar Personuppgiftsbiträdets användning av underbiträden i ett tredje land, och i och med undertecknandet av Personuppgiftsbiträdesavtalet godkänner den Personuppgiftsansvarige sådan användning av underbiträden. Behandling i ett tredje land innebär att Personuppgiftsbiträdet säkerställer efterlevnaden av detta Personuppgiftsbiträdesavtal och den europeiska dataskyddslagstiftningen samt vidtar säkerhetsåtgärder och riskbedömningar för sådan behandling.
Personuppgiftsbiträdet ansvarar för att säkerställa en rättslig grund för överföringen enligt kapitel V i GDPR och för att säkerställa nödvändiga avtal i enlighet med detta. I den tillämpliga databehandlingsprocessen överför Personuppgiftsbiträdet personuppgifter till tredje land som en del av den tjänst som Personuppgiftsbiträdet erbjuder och tillhandahåller den Personuppgiftsansvarige på begäran av den Personuppgiftsansvarige. I denna tjänst ingår användning av olika programvaror som Personuppgiftsbiträdet har valt att använda.
Personuppgiftsbiträdet har Personuppgiftsbiträdesavtal med samtliga underbiträden och har säkerställt alla relevanta garantier för efterlevnad av dataskyddslagstiftningen när uppgifter behandlas utanför EU/EES.
8. Bistånd till den Personuppgiftsansvarige
Personuppgiftsbiträdet bistår, med vederbörlig hänsyn till behandlingens art, den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter enligt dataskyddslagstiftningen. Detta gäller särskilt i förhållande till förfrågningar om utövandet av de registrerades rättigheter, inklusive informationsplikten gentemot de registrerade, samt rätten till rättelse, radering, begränsning och invändning.
Vidare bistår Personuppgiftsbiträdet den Personuppgiftsansvarige med rapporter om säkerhetsöverträdelser till den danska dataskyddsstyrelsen, inklusive underrättelse till den registrerade i fråga, med att genomföra konsekvensanalyser avseende behandlingsaktiviteterna och dess konsekvenser för skyddet av personuppgifter, samt förfrågningar till den danska dataskyddsstyrelsen om högriskresultat av sådana analyser.
9. Meddelande om överträdelser av dataskyddssäkerheten
Personuppgiftsbiträdet är skyldigt att meddela den Personuppgiftsansvarige om överträdelser av dataskyddssäkerheten utan onödigt dröjsmål efter att Personuppgiftsbiträdet har fått kännedom om överträdelsen.
Personuppgiftsbiträdets anmälan till den Personuppgiftsansvarige måste ske inom 24 timmar efter incidenten, om möjligt, för att den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter gentemot den danska dataskyddsmyndigheten, inklusive rapporteringen till denna. Personuppgiftsbiträdet bistår den Personuppgiftsansvarige i rapporten till myndigheten.
10. Radering och återlämnande av personuppgifter
Vid avslutande av tjänsten som innefattar behandling av Personuppgifter är Personuppgiftsbiträdet skyldigt att radera alla personuppgifter som behandlas för den Personuppgiftsansvariges räkning och att bekräfta till den Personuppgiftsansvarige att personuppgifterna har raderats.
Ovanstående gäller inte om EU-lagstiftning eller nationell lagstiftning kräver lagring av personuppgifter efter tjänstens upphörande. Vidare gäller inte ovanstående för personuppgifter som behandlas av Personuppgiftsbiträdet i egenskap av Personuppgiftsansvarig i kundförhållandet mellan Parterna. Detta inkluderar lagring i enlighet med speciallagstiftning, inklusive den danska bokföringslagstiftningen.
11. Revision och inspektion
Personuppgiftsbiträdet förser den Personuppgiftsansvarige med all information som krävs för att dokumentera efterlevnaden av dataskyddslagstiftningen och bistår vid revisioner och inspektioner som utförs av den Personuppgiftsansvarige eller andra som bemyndigats av den Personuppgiftsansvarige.
Vidare är Personuppgiftsbiträdet skyldigt att ge den danska dataskyddsstyrelsen eller dess representanter tillgång till de fysiska anläggningarna, med förbehåll för vederbörlig legitimering, och där tillämplig lagstiftning föreskriver sådan tillgång.
12. Övriga avtal mellan parterna
Parterna kan komma överens om andra bestämmelser avseende den tjänst som Personuppgiftsbiträdet tillhandahåller den Personuppgiftsansvarige under förutsättning att sådana bestämmelser inte, direkt eller indirekt, strider mot bestämmelserna i detta Personuppgiftsbiträdesavtal avseende behandling av personuppgifter eller på annat sätt försämrar de registrerades grundläggande rättigheter enligt dataskyddslagstiftningen.
13. Ikraftträdande och upphörande
Bestämmelserna i detta Personuppgiftsbiträdesavtal träder i kraft den dag då Tjänstevillkoren undertecknas mellan Parterna.
Dataskyddssavtalet är tillämpligt under tjänsteavtalets giltighetstid. Under denna period kan Avtalet inte sägas upp av någon av Parterna, såvida inte tjänsteavtalet samtidigt sägs upp. Uppsägning av tjänsteavtalet kan ske i enlighet med bestämmelsen om uppsägning i tjänsteavtalet.
Detta avtal styrs av dansk lag och eventuella tvister kommer att bli föremål för dansk åklagarmyndighet.
Bilaga A – Kategorier av personuppgifter och registrerade
A.1. Kategorier av registrerade
a. Den Personuppgiftsansvariges kontaktperson(er)
b. Den Personuppgiftsansvariges anställda
c. Den Personuppgiftsansvariges kunder och leverantörer (vid användning av redovisningsfunktionalitet, om funktionaliteten är tillgänglig i kundens land) och deras kontaktperson(er)
A.2. Kategorier av personuppgifter
a. För- och efternamn
b. Befattning
c. Telefonnummer
d. E-postadress
e. Adress
f. IP-adresser
g. Betalningsuppgifter på fakturan
h. Kontoutdragsinformation (vid användning av bankintegrationsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
i. Uppgifter om yrkesliv
j. Löneuppgifter (vid användning av lönefunktioner, om funktionaliteten är tillgänglig i kundens land)
k. Anställdas personliga ID-nummer (konfidentiella personuppgifter) (vid användning av lönefunktioner eller personliga skatteberäkningar, om funktionaliteten är tillgänglig i kundens land)
Personuppgiftsbiträdet behandlar inte särskilda kategorier av personuppgifter om inte den Personuppgiftsansvarige särskilt instruerar Personuppgiftsbiträdet att göra det.
Om behandling av särskilda kategorier av personuppgifter inte skulle vara en naturlig del av de ovan nämnda kategorierna, uppmanas den Personuppgiftsansvarige att anonymisera uppgifterna innan Personuppgiftsbiträdet ges tillgång till dem enligt vad som anges i detta avtal.
A.3. De ändamål för vilka personuppgifter behandlas
a. Skicka fakturor till den Personuppgiftsansvariges kunder
b. Skicka påminnelser till den Personuppgiftsansvariges kunder
c. Ha en överblick över leverantörer och balansen angående dessa (vid användning av redovisningsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
d. Hålla lager av sålda produkter
e. Hålla lager över inköpta produkter (vid användning av bokföringsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
f. Tillhandahålla en översikt över tidigare fakturor och betalningar för den Personuppgiftsansvariges verksamhet
g. Tillhandahålla automatiska procedurer för påminnelser
h. Erbjuda olika rapporter och insikter i den Personuppgiftsansvariges verksamhet
i. Ta emot betalningar från den Personuppgiftsansvariges kunder
j. Skicka påminnelser till den Personuppgiftsansvariges kunder
k. Påbörja betalningar av den Personuppgiftsansvariges mottagna fakturor (vid användning av bokförings- och bankfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
l. Integrera system från en tredje part
m. Bokföring av utgifter (vid användning av bokföringsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
n. Automatisera upprättandet av årsredovisningen (vid användning av skatteberäkningsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
o. Utarbeta momsrapporter (vid användning av redovisningsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
p. Integrera utgiftskonto för bokföring (vid användning av bokföringsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
q. Lagra bokföringsunderlag (vid användning av bokföringsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
r. Skatteberäkningar (vid användning av skatteberäknings- och redovisningsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
s. Förbereda skatterapporter (vid användning av skatteberäknings- och redovisningsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
t. Allmänna bankfunktioner (vid användning av bankfunktioner, om funktionerna är tillgängliga i kundens land)
u. Administrera månatliga lönebesked och utbetalningar (vid användning av lönefunktionalitet, om funktionaliteten är tillgänglig i kundens land)
v. Månatlig rapportering och betalning av skatter och socialförsäkringsavgifter (vid användning av lönefunktionalitet, om funktionaliteten är tillgänglig i kundens land)
w. Marknadsföring av bokföringstjänster (vid användning av bokföringsfunktionalitet, om funktionaliteten är tillgänglig i kundens land)
Behandlingen omfattar insamling, lagring, strukturering, hämtning, användning, analys, utlämnande genom överföring, radering och förstöring.
Personuppgifterna kommer att behandlas så länge kundförhållandet varar, tills antingen den Personuppgiftsansvarige eller Personuppgiftsbiträdet säger upp Tjänstevillkoren. Efter uppsägning av Tjänstevillkoren kommer personuppgifterna att lagras i enlighet med Personuppgiftsbiträdets Lagringsperiod.
Bilaga B – Personuppgiftsbiträdets underbiträden
| Underbiträden | Adress | Syfte |
| Ageras A/S | Fiolstræde 17B1171 Copenhagen K, Denmark | För att leverera de produkter som begärts av den personuppgiftsansvarige. |
| ActiveCampaign LLC | 1 North Dearborn St., 5th Floor Chicago, IL 60602, USA | Skicka marknadsföringsmeddelanden till kunder. |
| Aiia A/S | Artillerivej 86, 2300 Köpenhamn S, Danmark | Ansluter bankkonton till tjänsterna för automatisk överföring av information. |
| Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy, L-1855 Luxemburg | Den molninfrastruktur som stöder tjänsterna, lagrar kunddata, säkerhetskopierar och tillhandahåller service. |
| Cluvio GmbH | Friedrichstrasse 79 Berlin, 10117, Tyskland | Visualiserar data och används för intern rapportering. |
| Datadog Inc. | 620 8th Avenue, 45th floor New York, NY 10018 | Övervakning av kritiska system och rapportering av systemfel. |
| Google Limited Irland | Gordon House, Barrow Street Dublin 4, Irland | Skapande och synkronisering av dokument, molnlagring, marknadsföringskampanjer och analysfunktioner. |
| Hotjar Ltd. | Dragonara Business Centre, 5th Floor, Dragonara Road, Paceville St Julian’s STJ 3141, Malta | Analys av kundbeteende i plattformen. |
| Intercom Inc. | 55 Second Street, Suite 400 San Francisco, CA 94105, USA | Hanterar förfrågningar angående kundsupport och kommunikation med kunder. |
| Iterable Inc. | 71 Stevenson St., Suite 300 San Francisco, CA 94105, USA | Skickar e-post till kunder, främst marknadskommunikation och uppdateringar av tjänsten. |
| Mixpanel International Inc. | One Front Street, 28th Floor San Francisco CA 94111, USA | Tillhandahåller analyser av händelser i plattformen, t.ex. spårning av antalet användare av specifika funktioner. |
| Postmark by ActiveCampaign, LLC | 1 North Dearborn St, 5th Floor, Chicago, IL 60602, USA | Automatiserade servicemejl till kunder, t.ex. bekräftelse på inskickat material, fakturor etc. |
| ProductBoard, Inc. | 612 Howard Street, 4:e våningen, San Francisco, CA 94105, USA | Insamling av feedback från kunder. |
| Sentry | 45 Fremont Street, 8th Floor San Francisco, CA 94105, USA | Övervakning av plattformen angående fel och säkerhet. |
| Userflow Inc. | 548 Market St PMB 69598, San Francisco, CA 94104-5401, USA | Möjliggör kommunikation med kunder direkt på plattformen. |
| Cookie Information A/S | Købmagergade 191150 Copenhague, Danmark | Hantering av samtycke på webbplatsen. |
| Meta Platforms Ireland Limited | Merrion Road, Dublin 4, D04 X2K5, Irland | Annonsering på Facebook i syfte att bygga målgrupper av användare som kan vara intresserade av de tjänster vi tillhandahåller. |
| Microsoft Ireland Operations Limited | One Microsoft Place South County Business Park Leopardstown, Dublin 18 D18 P521, Irland | Annonsering på Bing & LinkedIn i syfte att bygga målgrupper av användare som kan vara intresserade av de tjänster vi tillhandahåller. |
| UltimateAI by Culinar Oy | Lapinlahdenkatu 16, 00180 Helsingfors, Finland | AI-driven plattform som förbättrar kundsupportverksamheten genom att automatisera svar och effektivisera interaktioner med hjälp av chatbottar och virtuella assistenter. |
| Basware Inc. | Linnoitustie 2, 02600 Espoo, Finland. | Levererar infrastrukturen för att skicka och ta emot elektroniska fakturor. |
| Stripe Inc. | 354 Oyster Point Boulevard, South San Francisco, Kalifornien, 94080, USA | Betalningshantering |
| Aircall.io Inc. | 44 W 28th Street, 14th Floor, New York, NY 10001, USA | Molnbaserat telefonsystem som är utformat för att företag ska kunna hantera sina samtal och förbättra sin kundsupport och försäljning genom integrerade kommunikationsfunktioner. |
| Snowflake Inc. | Suite 3A, 106 East Babcock Street, Bozeman, Montana 59715, USA | Snowflake är en datalagringsteknik som främst används för att generera intern finansiell rapportering. |
| Segment av Twilio Inc. | 101 Spear Street, 5th Floor, San Francisco, Kalifornien, 94105, USA | Segment är ett internt händelsesystem. Vi har definierat en serie användaråtgärder där vi skickar händelser till Segment. Segment ser till att dessa händelser dirigeras till andra delar av vårt system. |
| Zapier Inc. | 548 Market St. #62411, San Francisco, CA 94104, USA | Automationsverktyg som kopplar samman olika webbapplikationer för att automatisera repetitiva uppgifter utan att behöva skriva kod |
| MongoDB Inc. Atlas | 1633 Broadway, 38th Floor New York, NY 10019, USA | NoSQL värdmiljö, dokumentorienterad databas utformad för hög prestanda, hög tillgänglighet och enkel skalbarhet som används för att lagra företagsinställningsdata |
| Mailgun från Sinch Sweden AB | Lindhagensgatan 112, 112 51 Stockholm, Sverige | Automatiserade servicemejl till kunder, t.ex. bekräftelse på inskickat material, fakturor etc. |
| Fivetran Inc. | 1221 Broadway Street, Floor 20, 2400 Oakland, CA 94612, USA | Data Integration Platform för att effektivisera processen för dataintegration, vilket möjliggör effektivare dataanalys och business intelligence-aktiviteter |
Bilaga C – Instruktioner för behandling av personuppgifter
C.1 Instruktion för bearbetningen
Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning sker genom att Personuppgiftsbiträdet utför följande:
Personuppgiftsbiträdet tillhandahåller en tjänst för företag för att administrera de ekonomiska aspekterna av deras verksamhet. Detta omfattar fakturering, bokföring, bankärenden och löneutbetalningar samt aktiviteter relaterade till detta.
Personuppgiftsbiträdet behandlar dessa uppgifter för den Personuppgiftsansvariges räkning och för att uppfylla villkoren för tjänsten mellan parterna, jfr artikel 6.1, punkt b, samt den personuppgiftsansvariges berättigade intresse i enlighet med artikel 6.1, punkt f och deras administration av den Personuppgiftsansvariges verksamhet.
Personuppgiftsbiträdet behandlar uppgifter enligt vad som anges i detta avtal i syfte att tillhandahålla den tjänst som den Personuppgiftsansvarige har köpt av Personuppgiftsbiträdet. Denna behandling inkluderar i syfte att tillhandahålla en plattform för dessa tjänster och fullgöra avtalet och den produkt som köpts från Personuppgiftsbiträdet.
All annan behandling av de personuppgifter som ingår i Tjänsten måste överenskommas skriftligen mellan Parterna och kommer att omfattas av Personuppgiftsbiträdets villkor och integritetspolicy. Den behandling av uppgifter som sker inom ramen för Tjänsten sker dock endast på instruktion från den Personuppgiftsansvarige.
C.2 Säkerhet vid behandling
Säkerhetsnivån beaktar volymen av personuppgifter i förhållande till den tjänst som Personuppgiftsbiträdet tillhandahåller den Personuppgiftsansvarige, med beaktande av att mängden personuppgifter är lägre medan mängden känslig information om företag är högre. Som en allmän regel omfattar behandlingen av personuppgifter inte särskilda kategorier av personuppgifter. Beroende på den Personuppgiftsansvariges roll kan särskilda kategorier behandlas som en del av den tjänst som tillhandahålls av Personuppgiftsbiträdet.
Personuppgiftsbiträdet instrueras dock att vidta säkerhetsåtgärder för att undvika obehörig åtkomst till personuppgifterna. Sådana åtgärder inkluderar kontinuerlig backup i händelse av tekniska incidenter, samt brandväggar och liknande skydd för de plug-ins och kommersiella länkar där uppgifterna behandlas.
Med vederbörlig hänsyn till omfattningen av personuppgifterna kommer Personuppgiftsbiträdet att kryptera uppgifterna när detta är lämpligt, inklusive men inte begränsat till under överföringen.
Den Personuppgiftsansvarige uppmanas vidare att pseudonymisera särskilda kategorier av personuppgifter när behandlingen av sådana uppgifter är nödvändig för att den Personuppgiftsansvarige ska kunna utnyttja Personuppgiftsbiträdets tjänster. Säkerheten i behandlingen återspeglar detta.
C.3. Bistånd till den Personuppgiftsansvarige
Personuppgiftsbiträdet ska, i den mån det är möjligt inom ramen för nedan angivet biträde, biträda den Personuppgiftsansvarige i enlighet med punkt 8. Tekniska och organisatoriska åtgärder som ska genomföras av Personuppgiftsbiträdet omfattar organisatorisk sekretess, kryptering av uppgifter under överföring, säkerhet avseende begränsning av åtkomst till uppgifterna när de lagras och liknande åtgärder där sådana anses lämpliga.
C.4 Lagringsperiod och raderingsrutiner
Personuppgiftsbiträdet raderar de behandlade uppgifterna när de inte längre är nödvändiga för sitt ändamål, inklusive vid tidpunkten för uppsägning av Tjänstevillkoren mellan Parterna. Personuppgiftsbiträdet kan komma att lagra personuppgifterna under längre tid om unionsrätten eller nationell lagstiftning som Personuppgiftsbiträdet omfattas av kräver att Personuppgiftsbiträdet gör det. Eftersom det finns ett kundförhållande mellan Parterna har Personuppgiftsbiträdet rätt att lagra uppgifterna om detta förhållande i 3 år efter att förhållandet har upphört.
C.5. Plats för bearbetning
Behandlingen av personuppgifter enligt detta avtal får inte ske på andra platser än hos Personuppgiftsbiträdet, inklusive Personuppgiftsbiträdets underbiträden. All behandling utanför dessa platser måste godkännas av den Personuppgiftsansvarige innan behandlingen påbörjas.
På grund av användningen av underbiträden kan överföring av uppgifter utanför tredje land förekomma. I sådana fall har Personuppgiftsbiträdet säkerställt efterlevnaden av GDPR genom personuppgiftsbiträdesavtal samt tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen. Personuppgiftsbiträdet har säkerställt en rättslig grund på vilken överföringen sker, samt de kompletterande åtgärder som krävs för att uppfylla garantierna avseende säkerhet.
C.6 Rutiner för den Personuppgiftsansvariges inspektioner och revisioner
På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet erhålla en inspektionsrapport från en oberoende tredje part avseende Personuppgiftsbiträdets efterlevnad av GDPR, unionslagstiftning och nationell lagstiftning samt detta avtal.
Personuppgiftsbiträdet står för sina egna kostnader i samband med detta. Den Personuppgiftsansvarige får dock inte begära sådana rapporter vid tidpunkter och till kostnader som är orimliga för Personuppgiftsbiträdet.