Tillbaka

Personuppgifts-
biträdesavtal


Det här avtalet finns för att du som kund ska känna dig trygg med hur Oqto hanterar personuppgifter åt dig. När du använder Oqto lägger du upp användare och deras kontaktuppgifter, och du hanterar fakturor som ibland kan innehålla personuppgifter. Du är ansvarig för dessa uppgifter, och vårt jobb är att behandla dem säkert, omsorgsfullt och i enlighet med GDPR. Avtalet förklarar vilket ansvar vi tar, hur vi skyddar informationen och hur vi samarbetar om något oväntat skulle hända. Kort sagt: det här är våra gemensamma spelregler för att allt ska fungera tryggt och transparent.

Du kan såklart läsa allt det finstilta nedan, men här har vi samlat några delar av avtalet som vi tycker är extra viktiga att ha koll på. Kika gärna på dem först – de ger en snabb och tydlig överblick av vad avtalet innebär.

❓ Varför behöver jag ett personuppgiftsbiträdesavtal med Oqto?
Därför att du, som kund, är ansvarig för de personuppgifter du hanterar i Oqto. Vi hjälper bara till att behandla dem åt dig. GDPR kräver därför att vi har ett avtal som tydligt beskriver våra roller och vårt ansvar.

❓ Vilka personuppgifter hanterar Oqto för vår räkning?
Främst kontaktuppgifter till användare och personer som förekommer i fakturor och betalningsunderlag. Det kan till exempel vara namn, e-post, referenser eller konto- och transaktionsinformation kopplat till en fysisk person.

❓ Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?
Du som kund är personuppgiftsansvarig. Det betyder att du bestämmer syftet med och grunden för behandlingen. Oqto är personuppgiftsbiträde och får bara behandla personuppgifter enligt dina instruktioner.

❓ Hur skyddar Oqto våra personuppgifter?
Vi använder bland annat kryptering, rollbaserad åtkomst, tvåfaktorsinloggning och säker driftmiljö hos AWS inom EU. Vi granskar också våra underbiträden noggrant och kräver att de uppfyller samma skyddsnivåer som vi.

❓ Använder Oqto underleverantörer (underbiträden)?
Ja, men bara sådana som uppfyller GDPR-kraven. Du hittar en aktuell lista i avtalet. Om vi planerar att lägga till eller byta ut ett underbiträde får du veta det minst 30 dagar i förväg.

❓ Vad händer om något går fel, t.ex. en personuppgiftsincident?
Skulle något inträffa som påverkar säkerheten för personuppgifter, meddelar vi dig så snart som möjligt, senast inom 48 timmar. Vi utreder vad som hänt, begränsar skadan och ger dig all information du behöver för att fullgöra dina skyldigheter.

❓ Vad händer med våra uppgifter om vi slutar använda Oqto?
När avtalet upphör raderar eller återlämnar vi alla personuppgifter efter dina instruktioner. Om vi inte får instruktioner inom 30 dagar raderar vi uppgifterna permanent.

Detta personuppgiftsbiträdesavtal (”Avtalet”) utgör en bilaga till Oqtos Allmänna villkor. När du som användare av Oqto accepterar de allmänna villkoren accepterar du även detta avtal. Avtalet reglerar Oqtos behandling av personuppgifter för kundens (den personuppgiftsansvariges) räkning i enlighet med gällande dataskyddslagstiftning.

Oqto behandlar personuppgifter i egenskap av personuppgiftsbiträde. Kunden är personuppgiftsansvarig och ansvarar för att behandlingen har laglig grund. Syftet med detta avtal är att säkerställa att all behandling sker i enlighet med den personuppgiftsansvariges instruktioner och Dataskyddsförordningen (EU) 2016/679 (”GDPR”).

 

1. Definitioner

  • Avtalet: Detta avtalsdokument inklusive bilagor.
  • Behandling: Varje åtgärd eller kombination av åtgärder beträffande personuppgifter, såsom insamling, registrering, organisering, lagring, användning, överföring, radering eller förstöring.
  • Personuppgifter: Uppgifter som avser en identifierad eller identifierbar fysisk person.
  • Personuppgiftsbiträde: Oqto
  • Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.
  • Registrerad: En identifierad eller identifierbar fysisk person vars uppgifter behandlas.
  • Känsliga personuppgifter: Personuppgifter enligt artikel 9 GDPR, t.ex. uppgifter om hälsa, religion eller facklig tillhörighet.
  • Systemadministratör: Den person hos den personuppgiftsansvarige som registrerar organisationen i Oqto och hanterar användarbehörigheter.
  • Underbiträde: Tredje part som anlitas av Oqto för att behandla personuppgifter för den personuppgiftsansvariges räkning.

 

2. Personuppgiftsbiträdets skyldigheter

Oqto får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte behandling krävs enligt lag. Om sådan skyldighet föreligger ska Oqto informera den personuppgiftsansvarige innan behandlingen inleds, om inte informationen är förbjuden enligt lag.

Den personuppgiftsansvariges användning av Oqtos tjänster, inklusive uppladdning, överföring och behandling av fakturor, bilagor eller andra filer, utgör dokumenterade instruktioner enligt detta avtal.

Om Oqto bedömer att en instruktion strider mot Dataskyddsförordningen ska detta omedelbart meddelas den personuppgiftsansvarige. Om instruktioner saknas för nödvändiga moment ska Oqto avvakta och begära komplettering.

 

3. Datasäkerhet och sekretess

Oqto ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en skyddsnivå som motsvarar riskerna enligt artikel 32 i Dataskyddsförordningen. Endast personer med behörighet och tystnadsplikt får behandla personuppgifter.

Oqtos säkerhetsåtgärder inkluderar bland annat:

  • Kryptering av data i vila och under överföring
  • Regelbundna säkerhetskopior
  • Rollbaserad åtkomstkontroll och tvåfaktorsautentisering
  • Att anlitade underbiträden uppvisar tillräckliga garantier för lämpliga tekniska och organisatoriska säkerhetsåtgärder, t.ex. genom certifieringar eller offentligt tillgängliga dataskyddsavtal. 

 

4. Underbiträden

Den personuppgiftsansvarige ger härmed Oqto tillstånd att anlita underbiträden för behandling av personuppgifter. Oqto ska informera om planerade förändringar av underbiträden minst 30 dagar i förväg så att den personuppgiftsansvarige kan invända. Alla underbiträden ska omfattas av avtal som ålägger dem motsvarande skyldigheter som Oqto enligt detta Avtal, alternativt tillhandahålla motsvarande personuppgiftsbiträdesavtal (DPA) eller andra rättsligt bindande åtaganden i enlighet med GDPR.

En aktuell lista över Oqtos underbiträden finns tillgänglig i detta avtal. Oqto säkerställer att eventuella tredjelandsöverföringar sker med tillämpning av EU:s standardavtalsklausuler (SCC).

 

5. Information och samarbete

Oqto ska bistå den personuppgiftsansvarige med nödvändig information för att denne ska kunna uppfylla sina skyldigheter enligt GDPR, inklusive vid konsekvensbedömningar, begäran från registrerade och kontakt med tillsynsmyndighet.

 

6. Personuppgiftsincidenter

Vid en personuppgiftsincident ska Oqto utan onödigt dröjsmål, och senast inom 48 timmar efter kännedom, underrätta den personuppgiftsansvarige. Oqto ska utOqto incidenten, vidta nödvändiga åtgärder och tillhandahålla all relevant information om omfattning, konsekvenser och åtgärder. Parterna ska samverka för att minimera riskerna och uppfylla skyldigheter gentemot registrerade och tillsynsmyndigheter.

 

7. Återlämnande och radering av personuppgifter

Vid Avtalets upphörande ska Oqto, enligt den personuppgiftsansvariges instruktion, radera eller återlämna samtliga personuppgifter. Om instruktion inte ges inom 30 dagar efter avtalets upphörande, raderas uppgifterna permanent, såvida inte lag kräver fortsatt lagring.

 

8. Register över behandlingar

Oqto ska föra register över all behandling som utförs för den personuppgiftsansvariges räkning enligt artikel 30.2 GDPR. Registret ska på begäran tillhandahållas den personuppgiftsansvarige eller tillsynsmyndigheten.

 

9. Granskning och revision

Den personuppgiftsansvarige har rätt att, efter överenskommelse, genomföra revisioner eller inspektioner av Oqtos behandlingar. Oqto ska tillhandahålla nödvändig information och bistå vid granskningen. Revision får ske högst en gång per år och under ordinarie kontorstid, såvida inte särskilda skäl föreligger.

 

10. Behandling i tredje land

Oqto eller dess underbiträden får endast överföra personuppgifter till tredje land om kraven i kapitel V GDPR är uppfyllda, inklusive användning av standardavtalsklausuler (SCC) eller andra godkända skyddsåtgärder.

 

11. Ansvar

Oqto ansvarar endast för skada som orsakats av behandling i strid med detta Avtal eller tillämplig dataskyddslagstiftning. Den personuppgiftsansvarige ansvarar för att den behandling som denne instruerar Oqto att utföra är laglig. Parterna ska hålla varandra skadelösa i den mån skadan orsakats av den andra partens fel eller försummelse.

 

12. Ersättning

Om inte annat avtalats, har Oqto rätt till ersättning för kostnader som uppkommer till följd av särskilda åtgärder enligt detta Avtal, till exempel bistånd vid tillsynsärenden eller omfattande revisioner.

 

13. Avtalstid

Detta Avtal gäller från det att den personuppgiftsansvarige accepterar Oqtos Allmänna villkor och gäller så länge Oqtos tjänster används.

 

14. Tillämplig lag och tvistelösning

Svensk lag ska tillämpas på detta Avtal. Tvister ska avgöras av allmän domstol med Oqtos säte som forum.

15. Kontakt

Vid frågor gällande Oqtos hantering av personuppgifter, kontakta: dpo@oqto.ai