Behandling av personuppgifter i samarbetsavtal
Dataskyddslagstiftningen definierar rollerna av parterna som deltar i behandlingen av personuppgifter. Med personuppgiftsansvarig avses den part som bestämmer ändamålen och medlen för behandlingen av personuppgifterna. Ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvariges räkning. I fråga om de tjänster som tillhandahålls och köps på basis av detta samarbetsavtal fördelas parternas ovan nämnda roller enligt följande. De ifrågavarande rollerna fastställer parternas ställning och skyldigheter i de nedan beskrivna villkoren för behandling av personuppgifter.
I fråga om följande tjänster som Intrum tillhandahåller agerar både Intrum och Kunden i rollen av en självständig personuppgiftsansvarig. På dessa tjänster tillämpas de villkor som beskrivs i punkt A) nedan.
Inkassoservice
Kreditupplysningstjänster i fråga om produkter som gäller företag
Internationellt inkasso
Juridiska ärenden
Momstjänster i fråga om konsulttjänster
Faktura- och reskontratjänst i fråga om påminnelsetjänst
Följande tjänster som Intrum tillhandahåller omfattar behandling av personuppgifter som utförs av Intrum på Kundens vägnar och för Kundens räkning i rollen av personuppgiftsbiträde. På dessa tjänster tillämpas villkoren för behandling av personuppgifter som beskrivs i punkt B) nedan.
Kreditupplysningstjänster i fråga om produkter som gäller privatpersoner
Momstjänster i fråga om återbäring av moms
Faktura- och reskontratjänst oavsett påminnelsetjänst
A) Villkor för behandling av personuppgifter mellan personuppgiftsansvarig och personuppgiftsansvarig
1 Allmänt
Båda parterna agerar som självständiga personuppgiftsansvariga. Parterna åtar sig att behandla personuppgifter som omfattas av registerföringen och som hänför sig till detta samarbetsavtal i enlighet med tillämplig lagstiftning.
Parterna genomför lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa att personuppgifter behandlas säkert.
2 Sekretess
Vardera parten åtar sig att hålla personuppgifter som erhållits av den andra parten konfidentiella och hemliga samt att informera alla parter som deltar i behandlingen om nämnda personuppgifters konfidentiella art. Parterna ska säkerställa att alla personer som deltar i behandlingen av personuppgifterna i fråga har undertecknat ett lämpligt sekretessavtal och/eller har i övrigt åtagit sig att iaktta konfidentialitet. Det ovan nämnda sekretessåtagandet tillämpas dock inte vid situationer där en part har en lagstadgad plikt eller rättighet att utlämna uppgifter.
B) Villkor för behandling av personuppgifter när Intrum agerar som personuppgiftsbiträde
1 Allmänt
1.1 Följande villkor för behandling av personuppgifter tillämpas när Intrum behandlar personuppgifter som personuppgiftsbiträde. Dessa villkor för behandling av personuppgifter är en oskiljaktig del av samarbetsavtalet. Vid motstridigheter ska dessa villkor för behandling av personuppgifter dock ha företräde.
1.2 De personuppgifter som Intrum behandlar, behandlingens art och ändamål, typen av personuppgifter och kategorier av registrerade har beskrivits i tjänstebeskrivningen för Intrums varje tjänst och/eller i tillämplig registerbeskrivning. Intrum behandlar personuppgifter tills de åtgärder som har avtalats/som behövs för den tjänst som tillhandahålls har utförts samt lagringstiden enligt tillämplig lagstiftning har upphört.
2 Allmänna skyldigheter
2.1 Kunden åtar sig att tillse att det finns en giltig rättslig grund för behandling av personuppgifter, att de personuppgifter som överförs till Intrum är felfria, samt att slutkunden har fått tillräcklig information om behandlingen av personuppgifterna. Kunden åtar sig vidare att lämna Intrum genomgripande, skriftliga och lagenliga instruktioner för behandlingen av personuppgifter, då utförandet av Tjänsterna i enlighet med samarbetsavtalet och tillämpliga servicebeskrivningar ska i instruktionerna betraktas som förenligt med instruktionerna).
2.2 Intrum behandlar personuppgifter endast i enlighet med Kundens instruktioner, vilket också gäller överföringar av personuppgifter till ett tredjeland, utom i det fall att Intrums lagstadgade skyldigheter förutsätter annat. Intrum informerar Kunden om sådan skyldighet innan behandlingen av uppgifterna, utom i det fall att sådan informering är förbjuden i den aktuella lagen med hänvisning till ett viktigt allmänintresse.
3 Konfidentialitet
Intrum garanterar att det alltid behandlar personuppgifter som absolut konfidentiella, och tillser att dess anställda, agenter och/eller bemyndigade underleverantörer, som deltar i behandlingen av personuppgifter, har undertecknat ett tillräckligt sekretessavtal och/eller att de är bundna av någon annan bindande tystnadsplikt.
4 Informationssäkerhet
Intrum vidtar tekniska och organisatoriska åtgärder som är lämpliga i förhållande till risken med behandlingen av personuppgifterna, inbegripet, när det är lämpligt (i) pseudonymisering och kryptering av personuppgifter, (ii) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, (iii) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident och (iv) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
5 Granskning
Intrum ger Kunden en gång per kalenderår, på Kundens bekostnad och enligt ömsesidig överenskommelse tillgång till all information som krävs för att visa att de skyldigheter som hör till Intrum som personuppgiftsbiträde har fullgjorts samt möjliggör och bidrar till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en extern revisor som bemyndigats av Kunden och godkänts av Intrum. Kunden ska underrätta Intrum om sin avsikt att utföra granskningen åtminstone två (2) veckor i förhand. Granskningen utförs under normal arbetstid och på ett sätt som inte stör Intrums affärsverksamhet.
6 Bistånd, informationsskyldighet och behandling av fel
Med beaktande av behandlingens art samt tillgänglig information och tekniska medel, bistår Intrum Kunden med (i) att se till att Kunden fullgör sina lagstadgade skyldigheter som gäller till exempel informationssäkerhet, anmälan av säkerhetsincidenter, konsekvensbedömning avseende dataskydd samt föregående samråd, samt (ii) att svara på begäran om utövande av de registrerades rättigheter. På Kundens skriftliga begäran ger Intrum Kunden tillgång till all information i dess besittning som krävs för att visa att de skyldigheter som fastställs i artikel 28 i Europeiska unionens allmänna dataskyddsförordning ((EU) 2016/679) har fullgjorts. Om inte annat har avtalats, har Intrum rätt att fakturera skäliga kostnader för det ovan nämnda biståndet och utlämnandet av uppgifter enligt vid var tid gällande prislista.
6.2 Intrum underrättar Kunden om alla begäran från de registrerade och/eller tillsynsmyndigheter.
7 Användning av underleverantörer
7.1 Dessa villkor för behandling av personuppgifter utgör ett allmänt skriftligt bemyndigande från Kunden, som ger Intrum rätt att låta en extern underleverantör utföra helt eller delvis Tjänsten eller Tjänsterna som omfattas av samarbetsavtalet. Om Intrum låter en ny underleverantör utföra behandling av uppgifter, ska Intrum underrätta Kunden om detta. Om Kunden inte skriftligen invänder mot användningen av underleverantören inom en (1) vecka från mottagandet av meddelandet, ska Kunden anses ha godkänt användningen av underleverantören. Om Kunden invänder mot användning av en ny underleverantör för behandling av uppgifter, har Intrum i fråga om varje tjänst rätt att vägra utföra uppdrag, inte vidta åtgärder och/eller avsluta ett uppdrag utan konsekvenser för Intrum. För klarhetens skull konstateras att Kunden har godkänt alla de underleverantörer som Intrum använder för behandling av uppgifter när samarbetsavtalet trätt i kraft.
7.2 Intrum tillser att de underleverantörer som deltar i behandlingen av uppgifter åtar sig (skriftligen) att följa samma eller motsvarande skyldigheter som Intrum har enligt dessa villkor för behandling av personuppgifter. Intrum övervakar att underleverantörerna följer sina skyldigheter.
8 Förstöring av uppgifter
Vid upphörandet av samarbetsavtalet och tillhandahållandet av tjänsterna förstör och/eller anonymiserar Intrum de personuppgifter som det har behandlat på Kundens vägnar, inbegripet eventuella kopior, om tillämplig lagstiftning inte förutsätter eller tillåter lagringen av personuppgifterna.
9 Övriga villkor
Om Kunden ger ytterligare instruktioner som går utöver samarbetsavtalets omfattning, ansvarar Kunden för kostnaderna för efterlevnaden av instruktionerna.
10 Ansvarsbegränsning
Parterna konstaterar att fördelningen av parternas ansvar under dessa villkor för behandling av personuppgifter avseende administrativa sanktionsavgifter och/eller skadestånd som utdömts av en tillsynsmyndighet eller en domstol baserar sig på vardera partens skyldighet att uppfylla sina egna skyldigheter i enlighet med dataskyddslagstiftningen. Således är vardera parten ansvarig för de administrativa sanktionsavgifter och/eller skadestånd som utdömts av en tillsynsmyndighet eller en domstol mot parten för brott mot dataskyddslagstiftningen som orsakats av den ifrågavarande parten. Vardera partens skadeståndsansvar gentemot den andra parten i samarbetsavtalet för alla direkta skador som drabbat den andra parten och som beror på att den skadeståndsansvariga parten bryter mot dessa villkor för behandling av personuppgifter är begränsat till summan som motsvarar de avgifter som Kunden betalat till Intrum under detta samarbetsavtal under det år som föregår den ansvarsgrundande händelsen. Parterna ansvarar inte för indirekta eller medelbara skador. Ansvarsbegränsningarna tillämpas inte vid skada som orsakats genom uppsåt, grov vårdslöshet eller brott mot tystnadsplikten.