Juridisk information
Välkommen till den juridiska snårskogen! Här finns information för dig som har funderingar kring våra villkor och avtal eller vår hantering av integritets- och säkerhetsfrågor.
Användarvillkor
och kundavtal
Kundavtal Bolagskonto Bas
1. BAKGRUND OCH AVTALSBUNDENHET
1.1. Invono AB, org. nr 556987-2535 (”Invono”)tillhandhåller en digital plattform (”Portalen”) med tjänster och funktioner såsom t.ex. en elektronisk infrastruktur för ägandeöversikt, dokumenthantering samt styrelse- och ledningsarbete. Invono tillhandahåller Portalen och tjänsterna online som Software as a Service-tjänster (SaaS) via Invonos webbplats, app.invono.se.
1.2. Tjänsterna tillgängliggörs genom olika konton som kan skapas i Portalen. Olika konton ger tillgång till olika tjänster och funktioner och kontona är prissatta därefter. För närvarande finns tre olika konton i Portalen: Personkonto Bas, Bolagskonto Bas och Bolagskonto Premium.
1.3. Personkonto Bas och Bolagskonto Bas tillhandahållsgratismedan Bolagskonto Premium – som ger tillgång till samtliga tjänster och funktioner i Portalen – kräver betalning (efter viss kostnadsfri prövotid). När begreppet ”Bolagskonto Bas” används i detta avtal avses detta användarkonto som sådant samt alla tjänster och funktioner som från tid till annan tillgängliggörs inom ramen för Bolagskonto Bas.
1.4. Detta av Invono framtagna avtal inklusive bilaga (”Kundavtalet”) konstituerar ett avtal mellan Invono och det bolag, förening eller annan organisation som skapar ett Bolagskonto Bas i Portalen (”Kunden”). Kundavtalet reglerar villkoren för Invonos tillhandahållande av Bolagskonto Bas och Kundens användande av Bolagskonto Bas.Kundavtaletanses godkänt och accepterat av Kunden i och med att Kunden fyller i en ruta för ändamålet på app.invono.se i samband med att Kunden skapar ett Bolagskonto Bas på app.invono.se. Kunden åtar sig således därigenom, i förhållande till Invono, att följa villkoren i Kundavtalet. Under förutsättning att Kunden fyller i nämnda ruta åtar sig även Invono, i förhållande till Kunden, att följa villkoren i Kundavtalet. I och med Kundens ifyllande av för ändamålet avsedd ruta är parterna alltså ömsesidigt bundna av sina respektive förpliktelser i Kundavtalet.
1.5. För användandet av Bolagskonto Bas gäller förutom detta Kundavtal även Invonos allmänna användarvillkor för Portalen (”Användarvillkoren”)[Länk till dessa], som anses godkända och accepterade av Kunden i och med ingåendet av Kundavtalet enligt punkt 1.4 ovan. I Användarvillkoren avses Kunden med ”Användaren”. Vid motstridigheter mellan detta Kundavtal och Användarvillkoren gäller detta Kundavtal med högre prioritet.
2. GILTIGHET OCH UPPSÄGNING
2.1. Detta Kundavtal gäller för all användning av Bolagskonto Bas. Kunden kan när som helst säga upp detta Kundavtal genom skriftligt meddelande till Invono.
2.2. Invono har rätt att med omedelbar verkan skriftligen säga upp Kundavtalet om Kunden begått avtalsbrott och underlåter att vidta rättelse inom tjugo (20) dagar från mottagande av Invonos skriftliga erinran om avtalsbrottet.
2.3. Från och med dagen för Kundavtalets upphörande har Kunden inte längre någon rätt att använda Bolagskonto Bas och Invono har, med iakttagande av punkt 4.2 nedan, rätt att radera all Kunddata (se definition i punkt 3.2 nedan).
3. NÄRMARE OM BOLAGSKONTO BAS OCH ANVÄNDNINGEN AV DETTA
3.1. Invono åtar sig att under avtalstiden, och på de villkor som anges i Kundavtalet, tillhandahålla Bolagskonto Bas genom att hålla detta tillgängligt för Kunden på app.invono.se, dvs. den punkt där Invono överlämnar Bolagskonto Bas till ett allmänt tillgängligt kommunikationsnät.
3.2. Med ”Kunddata” avses sådan information, data och/eller dokumentation hänförlig till Kund som (i) Kund laddar upp eller på annat sätt tillför i eller till Bolagskonto Bas, (ii) uppkommer som resultat av användningen av Bolagskonto Bas, eller (iii) är resultatet av Invonos behandling av sådan information/data/dokumentation.
3.3. Bolagskonto Bas kan endast skapas av en registrerad befattningshavare i Kunden. Den fysiska person som skapar Bolagskonto Bas (”Kontoägaren”) får automatiskt full tillgång till alla tjänster och funktioner samt all Kunddata i Bolagskonto Bas. Kunden bekräftar att Kontoägaren har behörighet att å Kundens vägnar skapa Bolagskonto Bas och ingå detta Kundavtal.
3.4. Kunden får endast tillgång till Bolagskonto Bas för det syfte som Bolagskonto Bas är framtaget för och får endast använda Bolagskonto Bas för lagliga ändamål och för egen räkning.
3.5. Invono utför fortlöpande utvecklingsarbete avseende tjänsterna och funktionerna i Bolagskonto Bas och Kunden erhåller under Kundavtalets giltighet löpande uppgraderingar utan kostnad. Invono bestämmer självt vilka förbättringar och tekniska anpassningar som ska göras och har rätt att under avtalstiden förändra tjänsterna och funktionerna i Bolagskonto Bas inklusive att helt ta bort tjänster och funktioner. Invono kommer att informera Kunden när mer väsentliga uppgraderingar genomförs.
3.6. Invono lämnar support om programspecifika frågor rörande funktionaliteten i Bolagskonto Bas. Kunden kan komma i kontakt med Inovno via Invonos användarstöd som finns tillgängligt i Bolagskonto Bas eller genom de kontaktuppgifter som finns på Invonos webbplats invono.se.
3.7. I Invonos support ingår intenågon rådgivning i frågor avseende tillämpningen av de bakomliggande lagar och regler som gäller för sådan administration m.m. som kan hanteras genom Bolagskonto Bas, såsom aktiebolagsrättsliga frågor etc. Supporten omfattar inte heller frågor av teknisk karaktär eller rättningar på grund av felaktigt användande av Bolagskonto Bas.
4. KUNDDATA
4.1. Kundenäger och ansvarar för all Kunddata som Kunden lagrar, laddar upp, gör tillgänglig och hanterar i Bolagskonto Bas. Kunden ansvarar för att Kunddata – samt Kundens användning av Bolagskonto Bas – inte orsakar skada eller gör intrång i annans rättigheter eller strider mot gällande lagstiftning, t.ex. avseende immaterialrätt eller personuppgiftslagstiftning. För det fall Kunden brister i detta ansvar ska Kunden hålla Invono skadeslöst avseende samtliga krav från tredje man som riktas mot Invono med anledning av sådan brist, även avseende indirekt skada och förlust. Invono ska även ha rätt att till tredje man överlåta rätten att framställa sådana anspråk mot Kunden.
4.2. När Bolagskonto Bas har avslutats och detta Kundavtal har upphört att gälla ska Invono – efter skriftlig begäran från Kunden och på dennes bekostnad – tillhandahålla Kunden dennes Kunddata i det format som är möjligt och lämpligt enligt Invono. Invono åtar sig att lagra Kunddatan i fyra (4) månader efter Kundavtalets upphörande, eller till dess en begärd överföring av Kunddatan har utförts enligt ovan. När denna tid har gått ut kommer all Kunddata att raderas om inte parterna dessförinnan har träffat en annan överenskommelse i samband med ingåendet av ett nytt kundavtal. Om Kunden skriftligen begär att radering av Kunddata ska ske tidigare än enligt ovan ska Invono, utan hinder av sitt lagringsåtagande ovan, efterkomma sådan begäran.
5. PERSONUPPGIFTER
5.1. Alla begrepp i detta avsnitt 5 som rör behandling av personuppgifter ska ha den betydelse som från tid till annan framgår av EU-förordningen 2016/679 (Dataskyddsförordningen GDPR) inklusive förändringar och/eller kompletteringar av densamma.
5.2. Invono är personuppgiftsansvarigt för de personuppgifter (uppgifter om kontaktperson) som lämnas vid registrering av Bolagskonto Bas eller vid redigering av företagsprofilen i Bolagskonto Bas. Invono är också ansvarigt för de personuppgifter som lämnas vid användande av supportfunktionen. Avseende Invonos behandling av personuppgifter i egenskap av personuppgiftsansvarig gäller vad som anges i Invonos integritetspolicy. [Länk]
5.3. All annan behandling av personuppgifter i Bolagskonto Bas är Kunden personuppgiftsansvarig för. Vid utförandet av sina skyldigheter enligt detta Kundavtal kan Invono dock komma att behandla personuppgifter för Kundens räkning. Exempel på sådan behandling är att Invono lagraruppgifter om t.ex. aktieägare som Kunden lägger in i Portalen eller att Invono – efter avtalstidens slut – raderarmotsvarande uppgifter. I den utsträckning Invono behandlar personuppgifter för Kundens räkning, är Invono att betrakta som personuppgiftsbiträde. Avseende Invonos behandling av personuppgifter i egenskap av personuppgiftsbiträde gäller vad som anges i detta avsnitt 5 samt i personuppgiftsbiträdesavtalet (bilaga) och dess underbilagor. I personuppgiftsbiträdesavtalet avses Kunden med ”Personuppgiftsansvarig” och Invono med ”Personuppgiftsbiträde”.
6. SEKRETESS
6.1. Parterna förbinder sig utan begränsning i tiden att inte, utan motpartens skriftliga medgivande, för tredje man tillhandahålla eller avslöja Konfidentiell information, och att inte utnyttja Konfidentiell information, i annan utsträckning än vad som är nödvändigt för att fullgöra sina förpliktelser enligt detta Kundavtal.
Med “Konfidentiell information” avses i detta Kundavtal varje upplysning – teknisk, finansiell, praktisk, kommersiell, personlig eller av annan art, oavsett om upplysningen har dokumenterats eller inte – som part erhållit från motparten eller som framkommer eller genereras vid fullgörandet av detta Kundavtal. Som icke uttömmande exempel på Konfidentiell information kan nämnas finansiella rapporter, tekniska produktbeskrivningar, olika typer av avtal, personuppgifter m.m. Som Konfidentiell information ska dock inte betraktas information som part kan visa;
(i) är allmänt känd eller kommer till allmän kännedom på annat sätt än genom brott mot innehållet i detta Kundavtal;
(ii) att part hade tillgång till innan detta Kundavtal ingicks;
(iii) kommit till parts kännedom från tredje man förutsatt att tredje man inte varit förhindrad av motparten att röja sådan information (dock att part i sådant fall inte har rätt att avslöja för utomstående att part mottagit samma upplysning även från motparten); eller
(iv) att part är skyldig att röja enlig lag, domstols eller annan myndighets beslut eller börsregler, förutsatt att motpart underrättas härom i förväg och att offentliggörandet begränsas i möjligaste mån.
6.2. Oaktat vad som anges i punkt 6.1ovan har Invono dock rätt att lämna ut sådan Konfidentiell information till Invonos koncernbolag, samarbetspartners och/eller underleverantörersom behöver lämnas ut för att Invono, underleverantör eller samarbetspartner ska kunna leverera och/eller utveckla Portalen.
6.3. Part ska genom sekretessförbindelse eller andra lämpliga åtgärder tillse att anställda, konsulter och annan personal som anlitas iakttar sekretess enligt ovan. Invono ansvarar för att även eventuell underleverantör eller samarbetspartner samt dennes berörda anställda undertecknar en sekretessförbindelse av motsvarande innehåll.
6.4. Invono får, efter särskild överenskommelse med Kunden, i marknadsföringssyfte, ange att Kunden är användare av Bolagskonto Bas.
7. ANSVAR OCH ANSVARSBEGRÄNSNING
7.1. Invono gör inga åtaganden avseende att Bolagskonto Bas kommer att vara fritt från fel,brister, störningar, buggar, avbrott eller intrång etc. Bolagskonto Bas tillhandahålls i befintligt skick utan garantier av något slag och används av Kunden på egen risk. Invono tar inget som helst ansvar för Kunddata eller för förlust av Kunddata. Invono ansvarar inte heller för råd eller information som Kunden har beretts möjlighet att erhålla från Invono eller tredje part i anslutning till Bolagskonto Bas.
7.2. Kunden bekräftar således att Kunden avstår från alla anspråk mot Invono, dess anställda eller andra representanter avseende direkt eller indirekt skada eller förlust till följd av eller relaterat till användandet av Bolagskonto Bas. Detta gäller oavsett orsak till sådan skada eller förlust, dvs. oavsett om det beror på avbrott i funktion eller användning, upphörande av funktion eller tjänst, fel, bugg, försummelse, virus, förlust av data, information eller dokumentation, otillåten åtkomst, drifts- eller uppkopplingsproblem eller någon annan orsak.
7.3. Invonos ansvarsbegränsningar enligt vad som anges ovan i denna punkt 7 gäller dock inte om Invono orsakar Kund skada eller förlust uppsåtligen eller genom grov oaktsamhet.
8. ÄNDRINGAR AV KUNDAVTALET
8.1. Invono har rätt att med omedelbar verkan ändra detta Kundavtal från tid till annan. Nytt eller förändrat Kundavtal som är till väsentlig nackdel för Kunden ska meddelas Kunden skriftligen och blir giltigt trettio (30) dagar från sådant meddelande.
9. SKRIFTLIGA MEDDELANDEN
9.1. Invono har rätt att lämna skriftliga meddelanden enligt detta Kundavtal till Kunden via Bolagskonto Bas och/eller via brev eller e-post till den respektive adress som Kunden senast har meddelat i Bolagskonto Bas. Kunden ansvarar självt för att uppdatera sina kontaktuppgifter i Bolagskonto Bas.
9.2. Meddelande till Kund ska anses ha kommit Kunden tillhanda senast tre (3) dagar efter det att meddelandet skickades i det fall meddelande sänds via brev, och omedelbart i det fall meddelandet sänds via e-post eller meddelas via Bolagskonto Bas.
9.3. Kund har rätt att lämna skriftliga meddelanden enligt detta Kundavtal till Inovno via e-post till support@invono.se varvid meddelandet ska anses ha kommit Inovno tillhanda omedelbart om mottagandet bekräftas.
10. ÖVERLÅTELSE AV AVTALET
10.1. Kunden får inte helt eller delvis överlåta eller pantsätta sina rättigheter och/eller skyldigheter enligt detta Kundavtal, utan Invonos skriftliga godkännande.
11. TILLÄMPLIG LAG OCH TVISTELÖSNING
11.1. Svensk lag tillämpas på detta Kundavtal.
11.2. Tvister som uppstår i anledning av detta Kundavtal ska slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Skiljeförfarandets säte ska vara Helsingborg.
11.3. Oavsett det ovanstående har part alltid rätt att vända sig till svensk allmän domstol eller annan behörig myndighet om tvistigt kapitalbelopp inte överstiger etthundratusen (100 000) kronor.
Rev. 180401
Bilaga Personuppgiftsbiträdesavtal
1. DEFINITIONER
1.1. Begrepp i detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) ska ha den betydelse som från tid till annan framgår av EU-förordningen 2016/679 (Dataskyddsförordningen GDPR) inklusive förändringar och/eller kompletteringar av densamma.
1.2. Definitioner som används i Biträdesavtalet och Underbilagorna men som inte är definierade häri ska definieras i enlighet med Kundavtalet till vilket detta Biträdesavtal är bifogat.
1.3. Vid motstridigheter mellan detta Biträdesavtal och Kundavtalet gäller detta Biträdesavtal med högre prioritet.
2. BILAGOR TILL PERSONUPPGIFTSBITRÄDESAVTALET
2.1. Specifikation över behandlingen av personuppgifter, Underbilaga 1
2.2. På förhand godkända underbiträden, Underbilaga 2
3. BEHANDLING AV PERSONUPPGIFTER
3.1. Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter i enlighet med (i) Kundavtalet, och (ii) skriftliga, rimliga och lagliga instruktioner från Personuppgiftsansvarig, såvida inte sådana instruktioner hindrar Personuppgiftsbiträdet från att utföra sina skyldigheter enligt Kundavtalet eller annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i Kundavtalet, detta Biträdesavtal och i Underbilaga 1.
3.2. Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt Kundavtalet och detta Biträdesavtal, inklusive Underbilaga 1 utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska, med undantag från vad som anges i punkt 6.1 nedan, förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och undertecknas av båda parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra typer av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Underbilaga 1.
3.3. Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.
3.4. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning.
4. UTLÄMNANDE OCH MOTTAGANDE AV PERSONUPPGIFTER
4.1. Personuppgiftsbiträdet tillhandahåller genom Portalen tjänst(er) där personuppgifter kan komma att behandlas. Den Personuppgiftsansvarige bestämmer självt i vilken omfattning Kunddata laddas upp eller på annat sätt tillförs i eller till Portalen samt vem (inklusive tredje man) som ska ha tillgång till – och i vilken omfattning – personuppgifter som den Personuppgiftsansvarige är ansvarigt för.
4.2. Med undantag för sådan(a) tredje part(er) som den Personuppgiftsansvarige självt tilldelat behörighet i Portalen som kan ge tillgång till personuppgifter, förbinder sig Personuppgiftsbiträdet att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta Biträdesavtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.
4.3. Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av dennes personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.
4.4. Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut.
4.5. Om det enligt tillämplig svensk eller europeisk lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
5. UNDERBITRÄDEN OCH TREDJELANDSÖVERFÖRINGAR
5.1. Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter i fråga om dataskydd som gäller enligt detta Biträdesavtal. Om underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ansvarar Personuppgiftsbiträdet för underbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning såsom för egen sådan behandling. Underbilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.
5.2. Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, till exempel genom US Privacy Shield eller EU-kommissionens modellklausuler. Personuppgiftsansvarig ger härmed Personuppgiftsbiträdet mandat att för Personuppgiftsansvariges räkning ingå EU-kommissionens modellklausuler med underbiträden.
5.3. Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen inom tio (10) arbetsdagar från det att den Personuppgiftsansvarige fått informationen. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvariges skyldigheter enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgiftsansvarige rätt att skriftligen säga upp Kundavtalet och få tillbaka eventuella förbetalda avgifter för resterande del av avtalsperioden. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Kundavtalet.
6. DATASÄKERHET OCH SEKRETESS
6.1. Personuppgiftsbiträdet bekräftar att Personuppgiftsbiträdet har vidtagit lämpliga tekniska och organisatoriska åtgärder i enlighet med tillämplig dataskyddslagstiftning för att säkerställa att de personuppgifter som behandlas skyddas. Personuppgiftsbiträdet ska följa de säkerhetsåtgärder som framgår av Underbilaga 1 och i Personuppgiftsbiträdets egen Datasäkerhetsbeskrivning. Personuppgiftsbiträdet får ändra sin egen Datasäkerhetsbeskrivning utan föregående skriftligt medgivande från den Personuppgiftsansvarige förutsatt att ändringen inte står i strid med tillämplig dataskyddslagstiftning.
6.2. Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse som utformas i enlighet med sekretessbestämmelserna i Kundavtalet.
6.3. Den Personuppgiftsansvarige intygar att alla personuppgifter som den Personuppgiftsansvarige behandlar inom ramen för Kundavtalet har samlats in och behandlas i enlighet med tillämplig dataskyddslagstiftning. Den Personuppgiftsansvarige får inte låta Personuppgiftsbiträdet behandla känsliga personuppgifter (t.ex. uppgifter om enskilds hälsa) utan att först ha (i) vidtagit de säkerhetsåtgärder som krävs enligt tillämplig dataskyddslagstiftning, samt (ii) inhämtat Personuppgiftsbiträdets skriftliga godkännande av dessa åtgärder och behandlingen.
7. PERSONUPPGIFTSINCIDENTER
7.1. Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.
7.2. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.
8. RÄTT TILL GRANSKNING
8.1. Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.
8.2. Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.
8.3. Den Personuppgiftsansvarige ska stå för sina egna kostnader för sådan granskning.
9. AVTALSTID
9.1. Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.
10. ÅTERLÄMNANDE OCH RADERING AV PERSONUPPGIFTER
10.1. När Kundavtalet har upphört att gälla ska Personuppgiftsbiträdet – såvida inte lagring av personuppgifterna krävs enligt tillämplig lag – återlämna och/eller radera personuppgifterna i enlighet med vad som framgår i Kundavtalet.
10.2. På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 10.1 ovan.
11. ERSÄTTNING
11.1. Personuppgiftsbiträdet har – i den mån sådan ersättning är tillåten – rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 3.3, 3.4, 4.3, 4.4, 4.5, 7.2, 8.2 och 10 i detta Biträdesavtal.
12. ANSVARSBEGRÄNSNING
12.1. De ansvarsbegränsningar som gäller enligt Kundavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal.
Underbilaga 1
Instruktioner för databehandlingen
| Ändamål Ändamål för vilka personuppgifter kan komma att behandlas av Personuppgiftsbiträdet | Personuppgiftsbiträdet Personuppgiftsbiträdet behandlar personuppgifter för att kunna tillhandahålla den Personuppgiftsansvarige INVONO One med dess tjänster och funktioner. För vilka mer specifika ändamål personuppgifter behandlas beror på vilka av tjänsterna och funktionerna i INVONO One som används av den Personuppgiftsansvarige. Exempel på ändamål är: • Förande av aktiebok för bolag • Administration av ägarfrågor i bolag • Administration av medlemsfrågor i föreningar • Administration av styrelse- och/eller ledningsarbete i bolag/föreningar/organisationer • Dokument- och avtalshantering • Elektronisk signering av dokument och skapande av bevisning avseende sådana underskrifter |
| Kategorier av personuppgifter Personuppgifter som kan komma att behandlas av Personuppgiftsbiträdet | Personuppgifter behandlas för att kunna tillhandahålla den Personuppgiftsansvarige INVONO One med dess tjänster och funktioner. Vilka kategorier av personuppgifter som behandlas varierar beroende på dels vilka av tjänsterna och funktionerna i INVONO One som används av den Personuppgiftsansvarige, dels vilka personuppgifter denne väljer att behandla i INVONO One. Vissa tjänster i INVONO One möjliggör för den Personuppgiftsansvarige att skriva in fritext och/eller lägga in dokument av olika format i INVONO One. Följande kategorier av personuppgifter är relevanta: • namn • e-postadress • personnummer • adress • telefonnummer • vilken bank som utfärdat den registrerades BankID • att den registrerade har legitimerat sig eller skrivit under dokument hos Personuppgiftsbiträdet med hjälp av BankID • att den registrerade har skrivit under dokument hos Personuppgiftsbiträdet med hjälp av verifieringskod via e-post • teknisk information vid kommunikation med den registrerade via e-post (under e-signeringsprocess), såsom tidpunkt för avsändande och öppnande av e-post • teknisk information vid den registrerades användning av BankID för att legitimera sig eller skriva under dokument hos Personuppgiftsbiträdet, såsom tidpunkt, IP-adress, typ av BankID samt typ och version av mobiltelefon eller dator • information om IP-adress vid den registrerades användning av verifieringskod via e-post för att skriva under dokument hos Personuppgiftsbiträdet • geografisk platsinformation vid tillfälle den registrerade använder BankID för att legitimera sig eller skriva under dokument hos Personuppgiftsbiträdet, • personaluppgifter, såsom personnummer, titel/befattning, bankkontonummer, lön och andra villkor, frånvaro, löneunderlag, pension • personlig referens i fakturor, avtal etc. • aktieinnehav och pris för/värde på aktier • styrelse-/ledningsengagemang • yrkes- /befattnings- /rollbeskrivning • annan information om personer i dokument och/eller fritext |
| Kategorier av registrerade Kategorier av registrerade som Personuppgifts-biträdet kan komma att behandla person-uppgifter om | • Den Personuppgiftsansvariges styrelse- och ledningsmedlemmar • Den Personuppgiftsansvariges anställda • Andra personer som har fått möjlighet att på något sätt interagera med den Personuppgiftsansvarige i INVONO One • Personer som har bjudits in av den Personuppgiftsansvarige eller Kundmedlem för elektronisk signering av dokument • Den Personuppgiftsansvariges kunder, leverantörer, samarbetspartners samt andra kategorier av registrerade vars personuppgifter den Personuppgiftsansvarige väljer att behandla i INVONO One (t.ex. som en del av innehållet i avtal, kundlistor eller annan dokumentation) • Beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsterna inom kan Personuppgiftsbiträdet komma att behandla personuppgifter om minderåriga. |
| Behandlingsaktiviteter Behandlingsaktiviteter avseende personuppgifter som kan komma att utföras av Personuppgifts-biträdet | Personuppgiftsbiträdet kommer att lagra och behandla personuppgifter i samband med tillhandahållandet av INVONO One och tjänsterna däri till den Personuppgiftsansvarige. Personuppgiftsbiträdet behandlar inte medvetet känsliga data i samband med de behandlingsaktiviteter som beskrivs i denna Underbilaga. Följande behandlingsaktiviteter är relevanta: • Upprättande eller införande av personuppgifter i INVONO One genom att den Personuppgifts-ansvarige lägger in text eller dokument i INVONO One. • Organisering, strukturering och lagring av personuppgifter. • Användande av personuppgifter för notifieringar via e-post. • Användande av personuppgifter – inklusive överföring till tillhandahållare av e-legitimation – för att möjliggöra e-signering av dokument. • Användande av personuppgifter för skapande av bevispaket i samband med e-signering. • Tillhandahållande av personuppgifter som ingår i bevispaket avseende e-signering till personer/organisationer som varit delaktiga i signeringsprocessen. • Överföring av personuppgifter för att fullgöra Personuppgiftsbiträdets skyldigheter i enlighet med punkt 4 i Biträdesavtalet. • Överföring/överlämning av personuppgifter till koncernbolag, samarbetspartners och/eller underleverantör i enlighet med Kundavtalet (för att kunna leverera och/eller utveckla innehållet i INVONO One). • Matchning av personuppgifter med data i INVONO One och/eller externa register t.ex. för att hämta aktieägares adressuppgifter i samband med upprättande av aktiebok. • Användande av personuppgifter för styrning av behörigheten till tjänster, funktioner och Kunddata i INVONO One. • Återlämnande och radering av personuppgifter i enlighet med Kundavtalet. • Duplicering av personuppgifter i samband med backuphantering. |
| Plats(er) för behandling av personuppgifterna Platser där personuppgifter kan komma att behandlas av Personuppgiftsbiträdet | Plats för behandlingen varierar beroende på vilka av tjänsterna och Plats för behandlingen varierar beroende på vilka av tjänsterna och funktionerna i INVONO One som används av den Personuppgiftsansvarige. Med utgångspunkt i behandlingsaktiviteterna enligt ovan kan behandling av personuppgifter komma att ske på följande platser: • Upprättande eller införande av personuppgifter i INVONO One – inom EU • Organisering, strukturering och lagring av personuppgifter – inom EU • Användande av personuppgifter för notifieringar via e-post – om den som tar emot e-postnotifiering har sin e-postserver utanför EU/EES kan namnet på den person som utfört en notifierande åtgärd i INVONO One komma att överföras till sådant tredje land i samband med notifieringen. I övrigt möjliggörs bara åtkomst uppgifter inom EU. • Användande av personuppgifter – inklusive överföring till tillhandahållare av e-legitimation – för att möjliggöra e-signering av dokument – inom EU • Användande av personuppgifter för skapande av bevispaket i samband med e-signering – inom EU • Tillhandahållande av personuppgifter som ingår i bevispaket avseende e-signering för personer/organisationer som varit delaktiga i signeringsprocessen – åtkomst möjliggörs inom EU • Överföring av personuppgifter för att fullgöra Personuppgiftsbiträdets skyldigheter enligt punkt 4 i Biträdesavtalet – inom EU |
| Datasäkerhet | Personuppgiftsbiträdet säkerställer att INVONO One är säker att använda genom exempelvis krypterad lagring, säker inloggning med BankID eller tvåstegsverifiering, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner i INVONO One för att hantera personuppgiftsrelaterade frågor har Personuppgiftsbiträdet implementerat tillräckliga interna processer och rutiner för behandlingen av personuppgifter. Ytterligare information om implementerade organisatoriska och tekniska säkerhetsåtgärder finns i Personuppgiftsbiträdets Datasäkerhetsbeskrivning. |
Underbilaga 2
På förhand godkända underbiträden
| Företag | Plats för behandling av personuppgifter (land) | Uppgift | Mekanism för tredjelandsöverföring |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | USA | Betalningstjänster | EU-kommissionens standardavtalsklausuler |
| Google LLC | Nederländerna | Lagring och behandling av kunddata | N/A (inom EU) |
| Enskilda Banken AB (publ) | Sverige | Tillhandahållande av e-legitimation för elektronisk identifiering och elektroniska underskrifter | N/A (inom EU) |