Svenska

Allmänna villkor. 

Epassi Sweden AB 

Dessa allmänna avtalsvillkor (”Avtalsvillkor”) tillämpas på tjänstens alla delar, inklusive de funktionaliteter som eventuellt läggs till tjänsten (webbtjänst, mobilapp) i efterhand. Avtalsvillkoren gäller för arbetsgivare (”Kunden”) som är ansluten till tjänsten Epassi som levereras av Epassi Sweden Ab org nr 556617-0030 (”Epassi”). 

Efter registrering hos Epassi förbinder sig båda parter att handla i enlighet med dessa Avtalsvillkor. Dessa Avtalsvillkor tillämpas på relationen mellan tjänsteleverantörer och Epassi som en del av avtalshelheten (”Avtalet”). Mer ingående anvisningar om användningen av tjänsten Epassi finns på adressen www.epassi.se. 

 

1 Tjänstens användning 

1.1 Kunden har rätt att använda tjänsten efter att Avtalet trätt i kraft. Tjänsten tillhandahålls som en ”Software as a Service”-tjänst (SaaS). Efter att kunden gjort en beställning beviljas kunden rätt att använda tjänsten i enlighet med Avtalet. Dessa Avtalsvillkor tillämpas på tjänstens alla delar, inklusive de funktionaliteter som eventuellt läggs till tjänsten i efterhand. 

1.2 Kunden godkänner att tjänsten levereras sådan som den är. Tjänsten uppfyller inte andra särskilda krav som kunden ställer än de krav som avtalas i Avtalet och kunden använder tjänsten på eget ansvar. Tjänsten och dess leverans förbättras och uppdateras fortlöpande. 

1.3 Epassis betaltjänster är alltid personliga och kan endast användas för att betala avgifter till tjänsteleverantörer som anslutit sig till Epassis nätverk av tjänsteleverantörer. 

1.4 När Kunden använder tjänsten, förbinder sig Kunden att iaktta Avtalets villkor (även Avtalsvillkoren), den gällande lagstiftningen och andra på dem tillämpliga bestämmelser och föreskrifter samt myndighetsanvisningar och särskilt Skatteverkets gällande personalförmåner (bl.a. förmåner och friskvård). Kunden är medveten om att begränsningar till följd av myndighets- och beslutsanvisningar och ändringar i dem, kan påverka användningen av tjänsten och de skattefria och skattestödda personalförmåner som tillhandahålls anställda. 

1.5 När Kunden tar tjänsten i användning samtycker Kunden samtidigt till att Epassi kan överföra sina fordringar på Kunden till Epassi Clearing Oy (Finskt FO-nummer 2872241-9). Detta är nödvändigt för att möjliggöra tjänstens funktion eftersom Epassi Clearing Oy ansvarar som underleverantör för hanteringen av Epassis betalningstransaktioner och för redovisningen av betalningar som gäller personalförmåner till Epassis tjänsteleverantörer och fungerar därmed även som personuppgiftsansvarig för vissa personuppgifter som tillhandahålls av Kunden. 

1.6 Saldo som laddats på en betaltjänst för personalförmåner och ställts till anställdas förfogande kan inte växlas till pengar. Då en betaltjänst för personalförmåner används kan en tjänsteleverantör inte ge pengar tillbaka, då betalningens värde överskrider den förvärvade tjänstens värde. 

1.7 När Kunden startar upp tjänsten, meddelar Kunden personalförmånens värde som tillämpats under kalenderåret. Om Kunden önskar ändringar i värdet av personalförmåner för nästa kalenderår eller en minskning på antal av personalförmånsberättigade anställda, meddelar Kunden värdena och antalet berättigade anställda på det nästa kalenderårets personalförmåner till Epassi senast den 15 november årligen. 

1.8 De produkter, funktionaliteter och användargränssnitt som Kunden får tillgång till genom tjänsten beskrivs mer i detalj i Epassis tjänstebeskrivning för arbetsgivare (Bilaga 2). 

 

2 Friskvårdstjänsten

2.1 Friskvårdsbidraget som administreras av Epassi får endast användas som betalning för sådana friskvårdstjänster som omfattas av intentionen i inkomstskattelagen (1999:1229), 11:11-12. Detta omfattar friskvårdstjänster som är avdragsgilla för arbetsgivaren och skattefria för arbetstagaren. 

2.2 Tjänster som inte omfattas av definitionen enligt 2.1 kan köpas via Epassi, men betalas i så fall direkt av den anställde genom egen betalning med egna medel utanför friskvårdsbidraget. 

2.3 Epassi och Kunden förbinder sig att verka för att friskvårdsbidraget inte används på ett sätt om strider mot bestämmelserna i Avtalet, myndighetsbeslut eller gällande lag. Epassi åtar sig att informera sinaleverantörer om vilka friskvårdsbidrag endast används i enlighet med intentionen i inkomstskattelagen. För det fall en leverantör trots instruktioner använder friskvårdsbidrag på felaktigt sätt ansvarar inte Epassi för eventuella krav från myndighet, anställd, Kund eller tredje part eller för kostnader som kan uppstå för Kunden eller tredje man.

 

3 Fakturering och betalningsvillkor

3.1 Nyttjandet av förmånen faktureras en gång per månad i efterskott. Faktura kan ställas ut som e-faktura, eller genom pdf-faktura till angiven e-postadress eller som utskriven faktura som postas i kuvert till angiven adress/angivna adresser. Faktura kan ställas som samlingsfaktura eller som separata fakturor per förvaltning eller kostnadsställe eller annan underordnad enhet. Med varje faktura från Epassi följer underlag för momsavdrag. Detta innebär att er nettokostnad för friskvårdsbidraget blir köp exklusive moms. Outnyttjat friskvårdsbidrag debiteras inte Kunden. 

3.2 Priser för administrativa avgifter och övriga tjänster i prislistan är angivna exklusive mervärdesskatt (eller annan tillämplig skatt) där inte annat uttryckligen anges. 

3.3 Alla Kundspecifika uppdrag som ligger utanför standardutförande faktureras extra enligt gällande prislista. 

3.4 Oberoende av vilket faktureringssätt som används, krediteras inte oanvänt Saldo till Kunden när Avtalet upphör. Saldo ska användas på överenskomna tjänster under avtalsperioden. 

3.5 Fakturering sker med 14 dagars betalningsvillkor från fakturans datum, om inte annat anges. Vid betalning efter förfallodagen utgår dröjsmålsränta enligt 6 § räntelag (1975:635) från förfallodagen. 

3.6 Om Kunden har obetalda fakturor som förfallit med mer än 30 dagar har Epassi rätt att avaktivera Kunden i Epassi, och därigenom hindra ytterligare köp genom tjänsten. 

3.8 Serviceavgifter faktureras enligt det antal anställda som Kunden instruerat Epassi om. Avgifterna enligt detta beställda antal kan inte återkallas efter att friskvårdsbidragen tillgängliggjorts för medarbetarna förutom enligt kraven i 1.7. 

 

4 Ansvarsbegränsning 

4.1 Om Part förhindras fullgöra sina åtaganden enligt Avtalet på grund av omständigheter som Part ej kunnat råda över, såsom blixtnedslag, arbetskonflikt, pandemi, epidemi, eldsvåda, ändrad myndighetsbestämmelse ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från vite och annan påföljd. Myndighetsingripande eller fel eller försening i tjänst från underleverantör på grund av omständighet som här angivits, ska även detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från eventuella påföljder. Om Avtalets fullgörande till väsentliga delar förhindras för längre tid än sex (6) månader på grund av någon av ovanstående omständigheter äger part rätt att skriftligen säga upp avtalet. 

4.2 Skada som uppkommit under Avtalet i andra fall än vad som anges i 4.1 skall ersättas av part endast om denne varit grovt oaktsam. Part ansvarar inte i något fall för indirekt skada. 

4.3 Utförandet av tjänster utgör separata avtal mellan arbetstagare och tjänsteleverantör. Epassi är inte part i sådant avtal och tar därmed inte heller ansvar för utförandet eller eventuella konsekvenser av en leverantörs tjänst. 

 

5 Överlåtelse 

5.1 Epassi har rätt att överföra Avtalet till koncernbolag utan Kundens separata samtycke. Epassi har ytterligare rätt att i anslutning till bolagsomstrukturering, försäljning eller köp av affärsrörelse överföra detta avtal till tredje part med alla rättigheter och skyldigheter utan Kundens separata samtycke. 

  

6 Ändring av avtalsvillkor 

6.1 Epassi har rätt att ensidigt ändra dessa Avtalsvillkor och Avtalets villkor. Ändring ska meddelas Kunden senast 60 dagar innan ändringen träder i kraft. Kunden kan säga upp avtalet före ändringarna träder i kraft genom att skicka Epassi skriftlig förvarning inom 30 dagar från att ändringen meddelats. 

6.2 Epassi har rätt att göra ändringar som inte har väsentlig inverkan på tjänstens innehåll samt att uppdatera och publicera tjänstebeskrivningar och anvisningar tjänsten genom att informera om detta i tjänsten. Ändringarna träder i kraft omedelbart. 

 

7 Pris och prisjustering 

7.1 Priser för Epassis tjänst framgår av Bilaga 1. Epassi äger rätt att årligen justera avtalade fasta priser enligt Statistiska Centralbyråns ("SCB") index benämnt konsumentprisindex (totalindex med 1980 som basår). Prisjusteringen skall börja gälla den 1 januari varje år. Referensmånad skall vara augusti månad, innebärande att jämförelse första gången skall ske mellan ovan angivet index för augusti månad året innan avtalets undertecknande och index för augusti månad året för avtalets undertecknande osv. Justering skall ske enligt SCB:s preliminära indexvärden. 

 

7.2 Om Kunden egenmäktigt lägger till information i sitt Epassi-konto som påverkar fakturering och/eller tilldelning av friskvårdsbidrag på ett enligt Kundens instruktioner felaktigt sätt, och åtgärder på grund av detta måste vidtas av Epassi, faktureras Kunden för nedlagd tid i ärendet, enligt pris angivet i Avtalets Bilaga 1, under ”Anpassningar vid implementering av Epassi”. Sådana händelser kan bl.a vara: 

- Personallista har laddats upp med felaktiga avdelningshänvisningar vilket kräver att fakturor måste krediteras eller på annat sätt justeras. 

- Kunden har själv gjort, eller delgivit Epassi felaktiga kontoinställningar, vilket medför ett för Kunden felaktigt utfall samt att Epassi måste genomföra tekniska åtgärder. 

 

8 Sekretess 

8.1 Parterna förbinder sig att hemlighålla all information som anknyter till Avtalet eller som märkts ut som sekretessbelagd eller som Parterna bör förstå är sekretessbelagd, om inte annat föranleds av detta Avtal eller gällande lag. En Part har inte rätt att röja sekretessbelagd information för tredje part eller använda sådan information för andra ändamål än för det ändamål som fastställs i detta Avtal utan den andra Partens skriftliga samtycke. Epassi har dock rätt att röja sekretessbelagda uppgifter för sina koncernbolag, eventuella underleverantörer och myndigheter förutsatt att erforderliga sekretessåtaganden ingåtts med dessa, alternativt lag påbjuder det. 

8.2 Sekretesskyldigheten gäller under giltighetstiden för detta Avtal och två (2) år efter dess utgång, om inte lagen förutsätter en längre sekretesstid. 

 

9 Tvist 

9.1 Tvist med anledning av Avtalet skall slutligt avgöras genom skiljedom enligt reglerna för Stockholms Handelskammares skiljedomsinstitut. Skiljenämnden skall bestå av en skiljeman. Skiljeförfarande skall äga rum i Stockholm. Sekretess gäller under skiljeförfarande, liksom beslut eller skiljedom. 

Oberoende av vad som stadgas ovan får part id allmän domstol med Stockholms tingsrätt som första instans väcka talan som uppenbarligen inte avser högre kapitalbelopp än tjugo (20) prisbasbelopp. Med prisbasbelopp avses prisbasbeloppet enligt Socialförsäkringsbalk (2010:110) 2 kap. 7 § vid tidpunkten för talans väckande. 

Detta Avtal ska vara underkastat svensk lag utan hänsyn tagen till svensk lags lagvalsregler. 

 

10 Immateriella rättigheter

Den information som Kunden registrerat i portaltjänsten tillhör Kunden. Tjänstens immateriella och andra rättigheter tillhör Epassi. Detta innebär således att inga ägarrättigheter överförs mellan Parterna med detta Avtal. 

 

11 Tjänstens tillgänglighet 

11.1 Epassi utvecklar och underhåller tjänsten kontinuerligt och strävar efter att hålla tjänsten fortlöpande tillgänglig. Epassi kan dock inte garantera att tjänsten fungerar utan avbrott eller felfritt. Epassi strävar efter att utföra uppdateringar och underhåll av tjänsten så att det inte uppstår avbrott i användningen av tjänsten. Epassi strävar efter att förlägga uppdateringar och underhållsåtgärder som förutsätter avbrott i driften till tidpunkter, då användandet av tjänsten har så liten inverkan på Kunden och Kundens anställda som möjligt. Epassi utvecklar sina tjänster kontinuerligt för att garantera Kunden bästa möjliga service. 

 

12 Dataskydd 

12.1 Epassi behandlar personuppgifter i enlighet med EU:s dataskyddsförordning och den gällande dataskyddslagstiftningen. Kunden förbinder sig att iaktta den gällande dataskyddslagstiftningen. 

12.2 Kunden är personuppgiftsansvarig i enlighet med dataskyddslagstiftningen för alla sådana personuppgifter som Kunden uppgett i tjänsten, medan Epassi fungerar som personuppgiftsbiträde för uppgifterna i fråga i syfte att producera tjänsten. Epassi behandlar dessa personuppgifter på Kundens vägnar och i Kundens intressen i enlighet med det avtal om behandling av personuppgifter som Parterna ingår (Bilaga 3). Kunden ska i egenskap av personuppgiftsansvarig utforma sina egna dataskyddsbeskrivningar och skaffa de nödvändiga samtyckena till behandlingen av personuppgifter. 

12.3 Epassi samlar också in personuppgifter om Kundens anställda till Tjänsten direkt från användarna (dvs. de anställda) i anslutning till att tjänsten används. Epassi är personuppgiftsansvarig för dessa personuppgifter och behandlar dessa personuppgifter i enlighet med tjänstens integritetspolicy. Anställda kan läsa integritetspolicyn när de registrerar sig i tjänsten i mobilappen samt på Epassis webbtjänst (www.epassi.se). 

12.4 Kunden lämnar uppgifter till Epassi om förmånsberättigade anställda vilket möjliggör användning av personalförmånerna. 

12.5 Epassi ansvarar inte för behandlingen av uppgifterna i en tredje tjänsteleverantörs (till exempel partners) tjänst, utan på dessa tillämpas den aktuella tjänsteleverantörens och/eller partnerns egna villkor. 

 

13 Avtalets giltighetstid och upphörande

13.1 Avtalet är giltigt från och med Kundens undertecknande. Första avtalstiden är till och med slutet av kalenderåret. Om inte avtalet sägs upp senast tre (3) månader före avtalstidens utgång gäller avtalet därefter för ett kalenderår i taget. 

13.2 Om Kunden inte använder Tjänsten under två (2) på varandra följande kalenderår, anses Avtalet ha blivit uppsagt från Kundens sida och att Avtalet upphört. Eventuellt laddat Saldo krediteras inte när Avtalet upphör i enlighet med denna punkt, och det anses ha förfallit samma dag som Avtalet anses ha blivit uppsagt och upphört. 

13.3 Parterna har rätt att avsluta avtalet med omedelbar verkan om den andra Parten handlar väsentligt i strid med Avtalsvillkoren eller förhållningsreglerna och överträdelsen inte åtgärdas inom trettio (30) dagar efter att den överträdande Parten mottagit ett skriftligt meddelande från den andra Parten som anger varför Parten bryter mot Avtalet och begär att Parten åtgärdar överträdelsen.  

13.4 Då Avtalets uppsägningstid gått ut, har Epassi rätt att förhindra Kundens åtkomst till webbtjänsten, radera rapporter och andra uppgifter samt förhindra att Kundens Anställda använder betalningsinstrument för personalförmåner och har åtkomst till Tjänsten med mobilappen. 

13.5 Epassi har rätt att häva Avtalet med omedelbar verkan om det finns anledning att misstänka att Tjänsten används på ett lagstridigt sätt eller på ett sätt som vållar Epassi skada eller om tillämplig lag gällande friskvårdsbidrag väsentligt förändras. 

 

Bilaga 3: Personuppgiftsbiträdeavtal  

PARTER  

Epassi Sweden AB (organisationsnummer: 556617–0030), Epassi Payments Oy (organisationsnummer: 2090737-1) och Epassi Clearing Oy (organisationsnummer: 2872241-9) (i förekommande fall gemensamt benämnda ”Epassi”) som personuppgiftsbiträde på uppdrag av den personuppgiftsansvarige Kunden.  

Epassi och Kunden benämns individuellt ”Part” och gemensamt ”Parter”.  

1. ÄMNE OCH SYFTE

Detta Personuppgiftsbiträdeavtal (nedan kallat ”Personuppgiftsbiträdeavtalet”) tillämpas vid behandling av personuppgifter som en del av Epassi-Kundavtalet för Arbetsgivaren (”Kundavtalet”) under vilket Epassi ska tillhandahålla vissa tjänster som beskrivs i Kundavtalet (”Tjänsterna”) till Kunden.  

I detta Personuppgiftsbiträdeavtal fastställs Parternas skyldigheter beträffande dataskydd och efterlevnad av dataskyddslagar, och Parterna (inklusive deras representanter) måste följa detta Personuppgiftsbiträdeavtal i samband med fullgörandet av deras skyldigheter under Kundavtalet.  

Behandlingens omfång beskrivs vidare i Bilaga A (Beskrivning av omfattningen och behandlingen av personuppgifter och lista över godkända underbiträden). Eventuell ytterligare behandling av personuppgifter måste avtalas separat. Vid behov ska parterna komplettera Kundavtalet genom att fylla i ett separat dokument som ytterligare beskriver behandlingen av personuppgifter under Kundavtalet.  

Parterna samtycker till att iaktta relevanta dataskyddslagar under tillhandahållandet av tjänsterna. Vidare är Parterna införstådda med att Epassi kommer att fungera som personuppgiftsansvarig för all behandling av personuppgifter som rör kundernas anställda (det vill säga Epassis ”slutanvändares”) användning av tjänsterna som inte uttryckligen beskrivs i Kundavtalet eller i detta Personuppgiftsbiträdeavtal, bland annat avseende tillhandahållandet av reglerade betalningstjänster för slutanvändaren (distribution och användning av en personlig betalningstjänst) och kommunikation relaterad till användningen av tjänsterna till slutanvändaren (till exempel Epassi-mobilapplikationen). Kunden ska säkerställa att den har rätt att överföra personuppgifter till Epassi i enlighet med Kundavtalet för de ändamål som beskrivs i Epassis integritetspolicy https://www.epassi.se/integritetspolicy 

 

2. DEFINITIONER

Personuppgifter” avser personuppgifter såsom de definieras i dataskyddslagarna.  

Personuppgiftsincident” avser en personuppgiftsincident såsom den definieras i dataskyddslagarna.  

Registrerad person” avser en fysisk person, i enlighet med definitionen i dataskyddslagarna, vars personuppgifter Epassi behandlar under detta Kundavtal.  

Dataskyddslagar” avser nationell och EU-lagstiftning gällande dataskydd, som till exempel Allmänna dataskyddsförordningen (”GDPR”, EU 2016/679).  

Villkoren för dataskydd som inte definieras i detta Personuppgiftsbiträdeavtal används i enlighet med GDPR.  

 

3. EFTERLEVNAD OCH KUNDANVISNINGAR

Epassi ska följa dataskyddslagarna när Tjänsterna tillhandahålls.   

I den mån Epassi behandlar Personuppgifter för Kundens räkning ska Epassi behandla Personuppgifter endast i den utsträckning som är nödvändig för att fullgöra skyldigheterna under Kundavtalet och i enlighet med de dokumenterade och lagliga instruktionerna som uttryckligen tillhandahålls i Kundavtalet eller detta Personuppgiftsbiträdeavtal.   

Om eventuella framtida skriftliga anvisningar från Kunden går bortom det juridiskt nödvändiga, eller om kunden lämnar nya anvisningar utöver anvisningarna under detta Personuppgiftsbiträdeavtal och Kundavtalet har Epassi rätt till en rimlig ersättning i enlighet med Epassis för tillfället tillämpliga prislista/uppkomna kostnader, eller enligt separat överenskommelse mellan Parterna.  

Epassi ska säkerställa att dess underbiträden efterlever samma krav gällande eventuella Personuppgifter.   

Epassi ska informera Kunden om Epassi inte kan fullgöra sina skyldigheter under detta Personuppgiftsbiträdeavtal eller om Epassi anser att en anvisning om behandling av personuppgifter strider mot tillämplig dataskyddslagstiftning, såvida Epassi inte är förbjudet att meddela Kunden under tillämplig lagstiftning.  

 

4. ANVÄNDNING AV TREDJE PART I BEHANDLINGEN

Epassi får anlita underbiträden i behandlingen av personuppgifter, under förutsättning att:   

(i) ett sådant engagemang sker i enlighet med ett skriftligt avtal om databehandling, och 

(ii) ett sådant Personuppgiftsbiträdeavtal med underbiträdet innehåller skyldigheter som motsvarar och inte är mindre restriktiva än de som fastställs i detta Personuppgiftsbiträdeavtal  

Epassi ska efter att ha anlitat ett nytt underbiträde informera Kunden skriftligen och utan onödig fördröjning. Epassi ansvarar för underbiträdets behandling av personuppgifter som för den egna behandlingen under detta dataskyddsavtal. De underbiträden som används definieras i Personuppgiftsbiträdeavtalets Bilaga A (Beskrivning av behandlingen av personuppgifter och lista över godkända underbiträden). Kunden har rätt att invända mot ett underbiträde som Epassi har anlitat för att behandla personuppgifter. Ifall Kunden på skäliga grunder invänder mot det anlitade underbiträdet skall Parterna förhandla i god tro för att finna en ömsesidigt acceptabel lösning. Ifall en lösning inte hittas och Tjänsten inte skäligen enligt Epassi kan erbjudas till Kunden utan anlitade underbiträdet har båda Parterna rätt att säga upp Kundavtalet.   

 

5 BEHANDLA PERSONUPPGIFTER UTANFÖR EU/EES

Epassi ska inte överföra eller göra tillgängligt kunddata, inklusive data som berör Kundens anställda, till någon jurisdiktion utanför EU/EES området och Storbritannien, såvida inte: i) Epassi erhåller Kundens skriftliga godkännande i förväg, och ii) åtgärderna är tillåtna enligt relevant dataskyddsbestämmelser. Om kunden godkänner överföringen av kund- eller personuppgifter till ett land utanför EU/EES, måste tillämpliga dataskyddsbestämmelser följas. Genom detta Personuppgiftsbiträdeavtal godkänner Kunden alla aktuella överföringar som är nödvändiga för tillhandahållandet av Tjänsterna. De platser där Personuppgifter kan behandlas listas i detta Personuppgiftsbiträdeavtals bilaga A (Beskrivning av behandlingen av personuppgifter och lista över godkända underbiträden).  

Om tillhandahållandet av Tjänster sker i ett land utanför EU/EES ska Epassi säkerställa att Dataskyddslagarna efterlevs i samband med alla sådana överföringar av personuppgifter. Om ett sådant tredje land utanför EU/EES inte erbjuder en tillräcklig dataskyddsnivå ska Epassi ingå lämpliga avtalsarrangemang för överföring av personuppgifter till tredje land, till exempel EU-kommissionens standardavtalsklausuler för internationella överföringar (SCC), inklusive eventuella kompletterande åtgärder, där sådana bedöms vara nödvändiga.   

6. KONFIDENTIALITET

Epassi ska hålla och bevara personuppgifter konfidentiella och ska, såvida inte något annat specifikt avtalats med Kunden skriftligen, får inte avslöja eller överföra Personuppgifter, helt eller delvis, till någon tredje part under eller efter Kundavtalets giltighetstid om inte så krävs i enlighet med tillämplig lagstiftning eller har godkänts på förhand skriftligen av Kunden eller krävs för utförandet av detta Personuppgiftsbiträdeavtal och Kundavtalet.   

Kunden förbinder sig att bevara all information som Kunden kan få om Epassis säkerhetsåtgärder, rutiner, IT-system, tjänsteleverantörer eller som på annat vis är av konfidentiell natur, strikt konfidentiell och inte göra konfidentiell information tillgänglig för tredje part. Kunden får göra sådan information tillgänglig om Kunden är skyldig att tillgängliggöra sådan information i enlighet med gällande lagstiftning. 

 

7. SÄKERHETSÅTGÄRDER 

Epassi ska implementera och använda rimliga ansträngningar för att vid alla tidpunkter upprätthålla operativa och tekniska åtgärder för att skydda personuppgifterna mot oavsiktlig, obehörig eller olaglig förstörelse, förlust, ändring, tillgängliggörande eller åtkomst. Epassi ska i enlighet med rimliga krav och efter tillämplighet implementera åtminstone följande åtgärder:  

(i) att pseudonymisera och kryptera personuppgifter där så krävs av Dataskyddslagarna, 

(ii) att alltid säkerställa fortlöpande sekretess, integritet, tillgänglighet och motståndskraft hos system och tjänster som behandlar Personuppgifter, 

(iii) att snabbt återställa tillgängligheten och åtkomsten till Personuppgifter i händelse av en fysisk eller teknisk incident, och 

(iv) att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandling av Personuppgifter.  

Epassi ska föra noggranna register över all behandling av Personuppgifter under Kundavtalet och begränsa tillgången till Personuppgifter till behörig och rätt utbildad personal på en väldefinierad behovsbasis, och som är bundna av lämpliga sekretessförpliktelser.   

8. PERSONUPPGIFTSINCIDENT

Vid en personuppgiftsincident ska Epassi skriftligen meddela Kunden utan onödigt dröjsmål och, ifall möjligt, inom 48 timmar från det att Epassi fått kännedom om incidenten.  

På Kundens begäran ska Epassi tillhandahålla till Kunden rimligt detaljerad skriftlig information om upptäckten av Personuppgiftsincidenten. Meddelandet om Personuppgiftsincidenten ska innehålla:  

1. en beskrivning av incidentens art inklusive, om så är möjligt, kategorier och ungefärligt antal berörda registrerade personer, samt kategorier och ungefärlig mängd berörda personuppgifter

2. en beskrivning av Personuppgiftsincidentens sannolika konsekvenser,

3. en beskrivning av de åtgärder som Epassi vidtagit eller föreslår att vidta för att hantera incidenten, inklusive, vid behov, åtgärder för att mildra dess eventuella negativa effekter.  

 

9. RÄTT TILL GRANSKNING/REVISION 

Kunden ska ha rätt att granska Epassis behandlingsaktiviteter under detta Personuppgiftsbiträdeavtal för att undersöka graden av skydd och säkerhet för Personuppgifter som behandlas under Kundavtalet.    

Parterna är överens om att denna rätt ska utövas genom utnämning av en erkänd, oberoende tredjepartsgranskare med beprövad erfarenhet inom området. En sådan tredje part får inte vara en Epassi-konkurrent och innan någon granskning påbörjas måste den som granskar underteckna Epassis standard sekretessavtal.   

Granskarens tidsplan, metod och omfattning ska avtalas i förväg mellan parterna och granskningen får inte belasta Epassi eller äventyra Epassi eller Epassis andra kunders leverans, kvalitet, säkerhet eller sekretess. Kunden ska betala alla kostnader relaterade till granskningen. Granskarens start får planeras till tidigast 30 kalenderdagar efter att Epassi mottagit meddelande om att en sådan granskning ska utföras och ingen granskning ska utföras under de första 12 månaderna av Kundavtalet. Kunden skall stå för alla kostnader relaterade till granskningen. Granskningsrapporten och resultaten av granskningen ska delas med Epassi utan kostnad utan onödigt dröjsmål. Granskningsresultaten, inklusive eventuella skriftliga rapporter eller sammanfattningar, ska vara konfidentiella bland relevanta parter.  

I händelse av en granskningsförfrågan direkt från en behörig tillsynsmyndighet gällande behandlingen av personuppgifter kommer Epassi att samarbeta aktivt med Kunden för att besvara alla eventuella förfrågningar.  

 

10. ÅTKOMST TILL PERSONUPPGIFTER OCH REGISTRERADE PERSONERS RÄTTIGHETER

På begäran av Kunden, för att Kunden ska kunna följa dataskyddslagarna, ska Epassi, med sina standardpriser för tilläggstjänster, (i) förse Kunden med en kopia av enskilda personers personuppgifter i konkret form, (ii) korrigera, blockera eller radera enskilda personers personuppgifter, (iii) förse Kunden med sådan information och sådant samarbete gällande behandlingen av Personuppgifter under Kundavtalet som Kunden rimligen kan begära, inklusive att hjälpa till att möjliggöra utövandet av rättigheter för registrerade personer, (iv) hjälpa Kunden att förse personer vars Personuppgifter behandlas med sådan information om behandlingen som Kunden rimligen kan begära.   

Epassi kan assistera Kunden med att säkerställa efterlevnad av skyldigheterna i enlighet med konsekvensanalyser för dataskydd och eventuella tidigare konsultationer, med beaktande av behandlingens art och den information som finns tillgänglig för Epassi.  Epassi har rätt att debitera Kunden för kostnaderna för assistansen i dessa åtgärder i enlighet med standardpriser för tilläggstjänster.  

 

11. ANSVAR

Bestämmelserna om ansvar som fastställs i Kundavtalet gäller för detta Personuppgiftsbiträdeavtal.  

Parterna är överens om att ansvaret för administrativa böter som åläggs av en tillsynsmyndighet eller skadeståndskrav från registrerade personer delas upp mellan Parterna i fråga om Parternas ansvar, och följaktligen är den Part som har underlåtit att fullgöra sina rättsliga skyldigheter enligt dataskyddslagar som slutligen åläggs av den berörda tillsynsmyndigheten eller den behöriga domstolen som är bemyndigad att ålägga sådana böter eller skadestånd, skyldig att betala sådana böter eller skadestånd. Om båda Parter är skyldiga ska böterna eller skadeståndet fördelas mellan parterna i förhållande till Parternas fel.

 

12. GÄLLANDE LAG OCH TVISTLÖSNING

Bestämmelserna om gällande lag och tvistlösning som fastställs i Kundavtalet gäller för detta Personuppgiftsbiträdeavtal.

 

13. ANDRA VILLKOR

Detta Personuppgiftsbiträdeavtal gäller så länge som Kundavtalet är i kraft och så länge, efter att Kundavtalet har slutat gälla, som krävs för att slutföra uppgifterna i samband med behandlingen av personuppgifter.  

Ändringar av detta Personuppgiftsbiträdeavtal ska endast göras skriftligen och vederbörligen godkännas av båda Parter för att vara giltiga.  

Varken av rättigheterna eller skyldigheterna hos någon Part under detta Personuppgiftsbiträdeavtal får helt eller delvis överlåtas utan föregående skriftligt medgivande från den andra Parten, om inte annat fastställs i detta Personuppgiftsbiträdeavtal eller om sådan tilldelning görs i samband med överföring av endera Parts hela relevanta verksamhet.  

Bilagor som listas här ska utgöra en integrerad del av Personuppgiftsbiträdeavtalet.  

 

14. BILAGOR

Detta Personuppgiftsbiträdeavtal har följande bilagor:  

Bilaga A: Beskrivning av behandlingen av personuppgifter och lista över godkända underbiträden.  

Bilaga A  

Beskrivning av behandlingen av personuppgifter  

Epassi utför tjänster åt den Personuppgiftsansvarige som kommer att innefatta behandling av personuppgifter av personuppgiftsbiträdet i enlighet med vad som närmare specificeras nedan med avseende på: (a) arten och syftet med behandlingen av personuppgifter, (b) typen av personuppgifter och kategorier av registrerade personer, (c) tillämpliga informationssäkerhetsåtgärder, och (d) personuppgiftbehandlingens varaktighet under avtalet, i enlighet med följande:    

(a) arten och syftet med behandlingen av personuppgifter   

Epassi behandlar den personuppgiftsansvariges anställningsrelaterade personuppgifter i syfte att tillhandahålla den tjänst till den personuppgiftsansvarige som avtalats i Kundavtalet, dvs. erbjudandet, tilldelningen, hanteringen och rapporteringen av användning av skattesubventionerade eller ej skattepliktiga personalförmåner och/eller betaltjänster, inom den omfattning som avtalats mellan den personuppgiftsansvarige och Epassi i Kundavtalet.  

(b) typen av personuppgifter och kategorier av registrerade personer 

Personuppgifter för den personuppgiftsansvariges anställda, som är mottagare och förmånstagare av de anställningsförmåner som erbjuds via Epassis tjänst, i enlighet med följande:  

Namn, personnummer, telefonnummer, e-postadress, anställningsnummer och mängden och arten av de anställningsförmåner som tilldelas en sådan slutanvändare.  

 

(c) beskrivning av tillämpliga informationssäkerhetsåtgärder  

Personuppgifter förs över till Epassi i en säker kanal via ett synkroniserat gränssnitt som är anslutet till onlinetjänsten, eller på ett annat sätt som avtalats med den personuppgiftsansvarige (till exempel via den personuppgiftsansvariges säkra e-posttjänst, på den personuppgiftsansvariges egen risk), för den inledande konfigurationen av tjänsten för den personuppgiftsansvariges anställda.  

Epassi levererar kontinuerlig behandling och leverans av returdata till den personuppgiftsansvarige via sin onlinetjänst till den personuppgiftsansvariges behöriga representanter. Åtkomst till onlinetjänsten hos den personuppgiftsansvarige skyddas med auktoriserade användarinloggningar och lösenord. Ytterligare information om systemsäkerhetsåtgärderna för Epassis onlinetjänst kommer att levereras till den personuppgiftsansvarige på begäran av den personuppgiftsansvarige. 

 

(d) personuppgiftbehandlingens varaktighet   

Personuppgifterna behandlas under hela Kundavtalets giltighetstid och under ytterligare tid därefter efter behov för att fullgöra personuppgiftsbiträdets uppgifter i enlighet med Kundavtalet och tillämpliga dataskyddslagar och/eller i enlighet med begäran från behöriga myndigheter. 

 

Lista över godkända underbiträden 

 

Tjänstens namn 

Användning 

Företagets namn Plats/adress 

”Hetzner” 

Värd för onlinetjänstplattformen 

Hetzner Online GmbH 
Industriestr. 25 
91710 Gunzenhausen 
Tyskland 

”Apsis” 

Marknadsföringsverktyg 

APSIS International AB 
Kungsgatan 6  

211 49 Malmö 

Sverige 

 

”Epassi Finland” 

Ansvarar för drift av Epassi-systemet 

Epassi Finland Oy 

Befästningsvägen 11 
02600 Esbo 

Finland 

“Inexchange” 

Elektronisk fakturering 

InExchange Factorum AB 

Kaplansgatan 16E 

541 34 Skövde 

Sverige 

“Mainloop” 

IT-utveckling 

Mainloop Solutions AB 

Stora Nygatan 5 

111 27 Stockholm 

Sverige 

”Microsoft Corporation” 

Lagring av filer 

South County Business Park, One Microsoft Place, Carmanhall and Leopardstown, Dublin, D18 P521, Ireland