Svenska

Allmänna villkor. 

Epassi Sweden AB 

Dessa allmänna avtalsvillkor (”Avtalsvillkor”) tillämpas på tjänstens alla delar, inklusive de funktionaliteter som eventuellt läggs till tjänsten (webbtjänst, mobilapp) i efterhand. Avtalsvillkoren gäller för arbetsgivare (”Kunden”) som är ansluten till tjänsten Epassi som levereras av Epassi Sweden Ab org nr 556617-0030 (”Epassi”). 

Efter registrering hos Epassi förbinder sig båda parter att handla i enlighet med dessa Avtalsvillkor. Dessa Avtalsvillkor tillämpas på relationen mellan tjänsteleverantörer och Epassi som en del av avtalshelheten (”Avtalet”). Mer ingående anvisningar om användningen av tjänsten Epassi finns på adressen www.epassi.se. 

 

1. Tjänstens användning 

1.1 Kunden har rätt att använda tjänsten efter att Avtalet trätt i kraft. Tjänsten tillhandahålls som en ”Software as a Service”-tjänst (SaaS). Efter att kunden gjort en beställning beviljas kunden rätt att använda tjänsten i enlighet med Avtalet. Dessa Avtalsvillkor tillämpas på tjänstens alla delar, inklusive de funktionaliteter som eventuellt läggs till tjänsten i efterhand. 

1.2 Kunden godkänner att tjänsten levereras sådan som den är. Tjänsten uppfyller inte andra särskilda krav som kunden ställer än de krav som avtalas i Avtalet och kunden använder tjänsten på eget ansvar. Tjänsten och dess leverans förbättras och uppdateras fortlöpande. 

1.3 Epassis betaltjänster är alltid personliga och kan endast användas för att betala avgifter till tjänsteleverantörer som anslutit sig till Epassis nätverk av tjänsteleverantörer. 

1.4 När Kunden använder tjänsten, förbinder sig Kunden att iaktta Avtalets villkor (även Avtalsvillkoren), den gällande lagstiftningen och andra på dem tillämpliga bestämmelser och föreskrifter samt myndighetsanvisningar och särskilt Skatteverkets gällande personalförmåner (bl.a. förmåner och friskvård). Kunden är medveten om att begränsningar till följd av myndighets- och beslutsanvisningar och ändringar i dem, kan påverka användningen av tjänsten och de skattefria och skattestödda personalförmåner som tillhandahålls anställda. 

1.5 När Kunden tar tjänsten i användning samtycker Kunden samtidigt till att Epassi kan överföra sina fordringar på Kunden till Epassi Clearing Oy (Finskt FO-nummer 2872241-9). Detta är nödvändigt för att möjliggöra tjänstens funktion eftersom Epassi Clearing Oy ansvarar som underleverantör för hanteringen av Epassis betalningstransaktioner och för redovisningen av betalningar som gäller personalförmåner till Epassis tjänsteleverantörer och fungerar därmed även som personuppgiftsansvarig för vissa personuppgifter som tillhandahålls av Kunden. 

1.6 Saldo som laddats på en betaltjänst för personalförmåner och ställts till anställdas förfogande kan inte växlas till pengar. Då en betaltjänst för personalförmåner används kan en tjänsteleverantör inte ge pengar tillbaka, då betalningens värde överskrider den förvärvade tjänstens värde. 

1.7 När Kunden startar upp tjänsten, meddelar Kunden personalförmånens värde som tillämpats under kalenderåret. Om Kunden önskar ändringar i värdet av personalförmåner för nästa kalenderår eller en minskning på antal av personalförmånsberättigade anställda, meddelar Kunden värdena och antalet berättigade anställda på det nästa kalenderårets personalförmåner till Epassi senast den 15 november årligen. 

1.8 De produkter, funktionaliteter och användargränssnitt som Kunden får tillgång till genom tjänsten beskrivs mer i detalj i Epassis tjänstebeskrivning för arbetsgivare (Bilaga 2). 

 

2. Friskvårdstjänsten

2.1 Friskvårdsbidraget som administreras av Epassi får endast användas som betalning för sådana friskvårdstjänster som omfattas av intentionen i inkomstskattelagen (1999:1229), 11:11-12. Detta omfattar friskvårdstjänster som är avdragsgilla för arbetsgivaren och skattefria för arbetstagaren. 

2.2 Tjänster som inte omfattas av definitionen enligt 2.1 kan köpas via Epassi, men betalas i så fall direkt av den anställde genom egen betalning med egna medel utanför friskvårdsbidraget. 

2.3 Epassi och Kunden förbinder sig att verka för att friskvårdsbidraget inte används på ett sätt om strider mot bestämmelserna i Avtalet, myndighetsbeslut eller gällande lag. Epassi åtar sig att informera sinaleverantörer om vilka friskvårdsbidrag endast används i enlighet med intentionen i inkomstskattelagen. För det fall en leverantör trots instruktioner använder friskvårdsbidrag på felaktigt sätt ansvarar inte Epassi för eventuella krav från myndighet, anställd, Kund eller tredje part eller för kostnader som kan uppstå för Kunden eller tredje man.

 

3. Fakturering och betalningsvillkor

3.1 Nyttjandet av förmånen faktureras en gång per månad i efterskott. Faktura kan ställas ut som e-faktura, eller genom pdf-faktura till angiven e-postadress eller som utskriven faktura som postas i kuvert till angiven adress/angivna adresser. Faktura kan ställas som samlingsfaktura eller som separata fakturor per förvaltning eller kostnadsställe eller annan underordnad enhet. Med varje faktura från Epassi följer underlag för momsavdrag. Detta innebär att er nettokostnad för friskvårdsbidraget blir köp exklusive moms. Outnyttjat friskvårdsbidrag debiteras inte Kunden. 

3.2 Priser för administrativa avgifter och övriga tjänster i prislistan är angivna exklusive mervärdesskatt (eller annan tillämplig skatt) där inte annat uttryckligen anges. 

3.3 Alla Kundspecifika uppdrag som ligger utanför standardutförande faktureras extra enligt gällande prislista. 

3.4 Oberoende av vilket faktureringssätt som används, krediteras inte oanvänt Saldo till Kunden när Avtalet upphör. Saldo ska användas på överenskomna tjänster under avtalsperioden. 

3.5 Fakturering sker med 14 dagars betalningsvillkor från fakturans datum, om inte annat anges. Vid betalning efter förfallodagen utgår dröjsmålsränta enligt 6 § räntelag (1975:635) från förfallodagen. 

3.6 Om Kunden har obetalda fakturor som förfallit med mer än 30 dagar har Epassi rätt att avaktivera Kunden i Epassi, och därigenom hindra ytterligare köp genom tjänsten. 

3.8 Serviceavgifter faktureras enligt det antal anställda som Kunden instruerat Epassi om. Avgifterna enligt detta beställda antal kan inte återkallas efter att friskvårdsbidragen tillgängliggjorts för medarbetarna förutom enligt kraven i 1.7. 

 

4. Ansvarsbegränsning 

4.1 Om Part förhindras fullgöra sina åtaganden enligt Avtalet på grund av omständigheter som Part ej kunnat råda över, såsom blixtnedslag, arbetskonflikt, pandemi, epidemi, eldsvåda, ändrad myndighetsbestämmelse ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från vite och annan påföljd. Myndighetsingripande eller fel eller försening i tjänst från underleverantör på grund av omständighet som här angivits, ska även detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från eventuella påföljder. Om Avtalets fullgörande till väsentliga delar förhindras för längre tid än sex (6) månader på grund av någon av ovanstående omständigheter äger part rätt att skriftligen säga upp avtalet. 

4.2 Skada som uppkommit under Avtalet i andra fall än vad som anges i 4.1 skall ersättas av part endast om denne varit grovt oaktsam. Part ansvarar inte i något fall för indirekt skada. 

4.3 Utförandet av tjänster utgör separata avtal mellan arbetstagare och tjänsteleverantör. Epassi är inte part i sådant avtal och tar därmed inte heller ansvar för utförandet eller eventuella konsekvenser av en leverantörs tjänst. 

 

5. Överlåtelse 

5.1 Epassi har rätt att överföra Avtalet till koncernbolag utan Kundens separata samtycke. Epassi har ytterligare rätt att i anslutning till bolagsomstrukturering, försäljning eller köp av affärsrörelse överföra detta avtal till tredje part med alla rättigheter och skyldigheter utan Kundens separata samtycke. 

  

6. Ändring av avtalsvillkor 

6.1 Epassi har rätt att ensidigt ändra dessa Avtalsvillkor och Avtalets villkor. Ändring ska meddelas Kunden senast 60 dagar innan ändringen träder i kraft. Kunden kan säga upp avtalet före ändringarna träder i kraft genom att skicka Epassi skriftlig förvarning inom 30 dagar från att ändringen meddelats. 

6.2 Epassi har rätt att göra ändringar som inte har väsentlig inverkan på tjänstens innehåll samt att uppdatera och publicera tjänstebeskrivningar och anvisningar tjänsten genom att informera om detta i tjänsten. Ändringarna träder i kraft omedelbart. 

 

7. Pris och prisjustering 

7.1 Priser för Epassis tjänst framgår av Bilaga 1. Epassi äger rätt att årligen justera avtalade fasta priser enligt Statistiska Centralbyråns ("SCB") index benämnt konsumentprisindex (totalindex med 1980 som basår). Prisjusteringen skall börja gälla den 1 januari varje år. Referensmånad skall vara augusti månad, innebärande att jämförelse första gången skall ske mellan ovan angivet index för augusti månad året innan avtalets undertecknande och index för augusti månad året för avtalets undertecknande osv. Justering skall ske enligt SCB:s preliminära indexvärden. 

 

7.2 Om Kunden egenmäktigt lägger till information i sitt Epassi-konto som påverkar fakturering och/eller tilldelning av friskvårdsbidrag på ett enligt Kundens instruktioner felaktigt sätt, och åtgärder på grund av detta måste vidtas av Epassi, faktureras Kunden för nedlagd tid i ärendet, enligt pris angivet i Avtalets Bilaga 1, under ”Anpassningar vid implementering av Epassi”. Sådana händelser kan bl.a vara: 

- Personallista har laddats upp med felaktiga avdelningshänvisningar vilket kräver att fakturor måste krediteras eller på annat sätt justeras. 

- Kunden har själv gjort, eller delgivit Epassi felaktiga kontoinställningar, vilket medför ett för Kunden felaktigt utfall samt att Epassi måste genomföra tekniska åtgärder. 

 

8. Sekretess 

8.1 Parterna förbinder sig att hemlighålla all information som anknyter till Avtalet eller som märkts ut som sekretessbelagd eller som Parterna bör förstå är sekretessbelagd, om inte annat föranleds av detta Avtal eller gällande lag. En Part har inte rätt att röja sekretessbelagd information för tredje part eller använda sådan information för andra ändamål än för det ändamål som fastställs i detta Avtal utan den andra Partens skriftliga samtycke. Epassi har dock rätt att röja sekretessbelagda uppgifter för sina koncernbolag, eventuella underleverantörer och myndigheter förutsatt att erforderliga sekretessåtaganden ingåtts med dessa, alternativt lag påbjuder det. 

8.2 Sekretesskyldigheten gäller under giltighetstiden för detta Avtal och två (2) år efter dess utgång, om inte lagen förutsätter en längre sekretesstid. 

 

9. Tvist 

9.1 Tvist med anledning av Avtalet skall slutligt avgöras genom skiljedom enligt reglerna för Stockholms Handelskammares skiljedomsinstitut. Skiljenämnden skall bestå av en skiljeman. Skiljeförfarande skall äga rum i Stockholm. Sekretess gäller under skiljeförfarande, liksom beslut eller skiljedom. 

Oberoende av vad som stadgas ovan får part id allmän domstol med Stockholms tingsrätt som första instans väcka talan som uppenbarligen inte avser högre kapitalbelopp än tjugo (20) prisbasbelopp. Med prisbasbelopp avses prisbasbeloppet enligt Socialförsäkringsbalk (2010:110) 2 kap. 7 § vid tidpunkten för talans väckande. 

Detta Avtal ska vara underkastat svensk lag utan hänsyn tagen till svensk lags lagvalsregler. 

 

10. Immateriella rättigheter

Den information som Kunden registrerat i portaltjänsten tillhör Kunden. Tjänstens immateriella och andra rättigheter tillhör Epassi. Detta innebär således att inga ägarrättigheter överförs mellan Parterna med detta Avtal. 

 

11. Tjänstens tillgänglighet 

11.1 Epassi utvecklar och underhåller tjänsten kontinuerligt och strävar efter att hålla tjänsten fortlöpande tillgänglig. Epassi kan dock inte garantera att tjänsten fungerar utan avbrott eller felfritt. Epassi strävar efter att utföra uppdateringar och underhåll av tjänsten så att det inte uppstår avbrott i användningen av tjänsten. Epassi strävar efter att förlägga uppdateringar och underhållsåtgärder som förutsätter avbrott i driften till tidpunkter, då användandet av tjänsten har så liten inverkan på Kunden och Kundens anställda som möjligt. Epassi utvecklar sina tjänster kontinuerligt för att garantera Kunden bästa möjliga service. 

 

12. Dataskydd 

12.1 Epassi behandlar personuppgifter i enlighet med EU:s dataskyddsförordning och den gällande dataskyddslagstiftningen. Kunden förbinder sig att iaktta den gällande dataskyddslagstiftningen. 

12.2 Kunden är personuppgiftsansvarig i enlighet med dataskyddslagstiftningen för alla sådana personuppgifter som Kunden uppgett i tjänsten, medan Epassi fungerar som personuppgiftsbiträde för uppgifterna i fråga i syfte att producera tjänsten. Epassi behandlar dessa personuppgifter på Kundens vägnar och i Kundens intressen i enlighet med det avtal om behandling av personuppgifter som Parterna ingår (Bilaga 3). Kunden ska i egenskap av personuppgiftsansvarig utforma sina egna dataskyddsbeskrivningar och skaffa de nödvändiga samtyckena till behandlingen av personuppgifter. 

12.3 Epassi samlar också in personuppgifter om Kundens anställda till Tjänsten direkt från användarna (dvs. de anställda) i anslutning till att tjänsten används. Epassi är personuppgiftsansvarig för dessa personuppgifter och behandlar dessa personuppgifter i enlighet med tjänstens integritetspolicy. Anställda kan läsa integritetspolicyn när de registrerar sig i tjänsten i mobilappen samt på Epassis webbtjänst (www.epassi.se). 

12.4 Kunden lämnar uppgifter till Epassi om förmånsberättigade anställda vilket möjliggör användning av personalförmånerna. 

12.5 Epassi ansvarar inte för behandlingen av uppgifterna i en tredje tjänsteleverantörs (till exempel partners) tjänst, utan på dessa tillämpas den aktuella tjänsteleverantörens och/eller partnerns egna villkor. 

 

13. Avtalets giltighetstid och upphörande

13.1 Avtalet är giltigt från och med Kundens undertecknande. Första avtalstiden är till och med slutet av kalenderåret. Om inte avtalet sägs upp senast tre (3) månader före avtalstidens utgång gäller avtalet därefter för ett kalenderår i taget. 

13.2 Om Kunden inte använder Tjänsten under två (2) på varandra följande kalenderår, anses Avtalet ha blivit uppsagt från Kundens sida och att Avtalet upphört. Eventuellt laddat Saldo krediteras inte när Avtalet upphör i enlighet med denna punkt, och det anses ha förfallit samma dag som Avtalet anses ha blivit uppsagt och upphört. 

13.3 Parterna har rätt att avsluta avtalet med omedelbar verkan om den andra Parten handlar väsentligt i strid med Avtalsvillkoren eller förhållningsreglerna och överträdelsen inte åtgärdas inom trettio (30) dagar efter att den överträdande Parten mottagit ett skriftligt meddelande från den andra Parten som anger varför Parten bryter mot Avtalet och begär att Parten åtgärdar överträdelsen.  

13.4 Då Avtalets uppsägningstid gått ut, har Epassi rätt att förhindra Kundens åtkomst till webbtjänsten, radera rapporter och andra uppgifter samt förhindra att Kundens Anställda använder betalningsinstrument för personalförmåner och har åtkomst till Tjänsten med mobilappen. 

13.5 Epassi har rätt att häva Avtalet med omedelbar verkan om det finns anledning att misstänka att Tjänsten används på ett lagstridigt sätt eller på ett sätt som vållar Epassi skada eller om tillämplig lag gällande friskvårdsbidrag väsentligt förändras. 

 

Bilaga 3: Personuppgiftsbiträdeavtal  

PARTER

Epassi Sweden AB (org. nummer 556617-0030) och Epassi Clearing Oy (finskt org. nummer 2872241-9) som gemensamma personuppgiftsansvariga (härefter kallade, beroende på sammanhang, tillsammans eller separat som ”Epassi”), agerar som personuppgiftsbiträden för Kunden som har ingått Tjänsteavtalet med Epassi (antingen ”Kunden” eller ”Personuppgiftsansvarig”) enligt vad som beskrivs i detta avtal.

Epassi och Kunden benämns nedan var för sig som en ”Part” och tillsammans som ”Parterna”.

Med ”Dataskyddslagstiftning” avses nationell och EU-lagstiftning om dataskydd, såsom den allmänna dataskyddsförordningen (”GDPR”, EU 2016/679). Definitioner relaterade till dataskydd används i den betydelse som definieras i GDPR.

1. AVTALETS SYFTE

Detta Personuppgiftsbiträdesavtal (”PUB-avtal”) gäller behandling av personuppgifter som en del av Kundens Epassi-tjänsteavtal (”Tjänsteavtal”), enligt vilket Epassi tillhandahåller tjänster (“Tjänster”) till Kunden.

Detta PUB-avtal reglerar Parternas skyldigheter gällande dataskydd och efterlevnad av Dataskyddslagstiftningen. Parterna (och deras representanter) ska följa PUB-avtalet vid fullgörandet av sina skyldigheter enligt Tjänsteavtalet.

Behandlingens omfattning beskrivs mer detaljerat i Bilaga A (Beskrivning av personuppgiftsbehandling och lista över godkända underbiträden). All annan behandlingsändamål av personuppgifter måste avtalas separat.

Parterna är medvetna om och förstår att Epassi är personuppgiftsansvarig för all personuppgiftsbehandling relaterad till användningen av Tjänsterna av Kundens anställda (dvs. Epassis slutanvändare). Dessutom är Epassi personuppgiftsansvarig för personuppgifter relaterade till bland annat tillhandahållandet av reglerade betaltjänster avsedda för slutanvändare (distribution och användning av personliga betalningsinstrument) samt slutanvändartjänster (såsom Epassi mobilapplikation).

Kunden ansvarar för att, som personuppgiftsansvarig, ha rätt att behandla och överföra personuppgifter till Epassi i enlighet med detta PUB-avtal och Tjänsteavtalet.

2. EFTERLEVNAD OCH KUNDENS INSTRUKTIONER

Epassi ska följa Dataskyddslagstiftningen vid tillhandahållandet av Tjänsterna.

I den mån Epassi behandlar personuppgifter för Kundens räkning, ska Epassi endast behandla personuppgifter i den utsträckning som är nödvändig för att uppfylla sina skyldigheter enligt Tjänsteavtalet och i enlighet med de dokumenterade och lagliga instruktioner som uttryckligen anges i Tjänsteavtalet eller detta PUB-avtal.

Kunden kan ge Epassi instruktioner om behandling av personuppgifter enligt detta PUB-avtal. Om Epassi anser att någon av Kundens instruktioner överstiger vad som avtalats i detta PUB-avtal eller Tjänsteavtalet, ska Epassi diskutera med Kunden om möjligheterna att genomföra Kundens instruktioner. Om Parterna inte når en gemensam förståelse om ändringen i instruktionerna, ska ändringen behandlas som en ny instruktion och hanteras som ett avtalsändringsförslag enligt Tjänsteavtalet. Om Kundens skriftliga instruktion överstiger vad som krävs enligt lag, har Epassi rätt till rimlig ersättning baserat på de kostnader som uppstår för Epassi eller enligt vad som annars avtalats mellan Parterna.

Om Epassi identifierar att det inte kan uppfylla sina skyldigheter enligt detta PUB-avtal eller om Epassi anser att en instruktion om behandling av personuppgifter skulle strida mot tillämplig Dataskyddslagstiftning, ska Epassi informera Kunden om detta, såvida Epassi inte är förbjudet att meddela Kunden enligt tillämplig lag.

3. ANVÄNDING AV TREDJE PART VID BEHANDLING

Epassi får använda underbiträden för behandling av personuppgifter under förutsättning att

  • underbehandlingen har avtalats i ett skriftligt PUB-avtal; och
  • det PUB-avtal som ingås med underbiträdet uppfyller i allt väsentligt samma krav gällande personuppgifter som villkoren i detta PUB-avtal.

Epassi ska utan dröjsmål skriftligen informera Kunden om eventuella ändringar i de använda underbiträdena (såsom användning av ett nytt underbiträde som ersätter en tidigare). Kunden har rätt att invända mot ändringen av Epassis underbiträden inom trettio (30) dagar från Epassis meddelande. Kunden och Epassi ska sträva efter att lösa grundorsakerna till Kundens berättigade invändning så att ändringen av underbiträdet kan genomföras. Om Kunden och Epassi inte når en lösning som möjliggör ändringen enligt Epassis meddelande, har Kunden rätt att säga upp Tjänsteavtalet enligt Tjänsteavtalets villkor gällande uppsägning.

Epassi ansvarar för den behandling av personuppgifter som utförs av dess underbiträden som om den vore Epassis egen. Epassis underbiträden definieras i Bilaga A till detta PUB-avtal (Beskrivning av personuppgiftsbehandling och lista över godkända underbiträden).

4. BEHANDLING AV PERSONUPPGIFTER UTANFÖR EU/EES

För att kunna tillhandahålla Tjänsterna enligt Tjänsteavtalet kan Epassi överföra personuppgifter till tredjeländer utanför EU/EES. De platser dit personuppgifter kan överföras anges i Bilaga A till detta PUB-avtal (Beskrivning av personuppgiftsbehandling och lista över godkända underbiträden).

Om personuppgifter överförs till ett land utanför EU/EES, säkerställer Epassi att alla sådana överföringar av personuppgifter sker i enlighet med tillämplig Dataskyddslagstiftning. Om det land dit uppgifterna överförs inte erbjuder en adekvat skyddsnivå enligt ett beslut om adekvat skydd från Europeiska kommissionen, ansvarar Epassi för att överföringarna uppfyller kraven i tillämplig Dataskyddslagstiftning och att nödvändiga skyddsåtgärder för överföringarna implementeras, såsom lämpliga avtalsarrangemang med användning av Europeiska kommissionens standardavtalsklausuler för internationella överföringar.

5. SEKRETESS

Epassi förbinder sig att hålla personuppgifter konfidentiella. Under giltighetstiden för Tjänsteavtalet får Epassi inte avslöja eller överföra personuppgifter, helt eller delvis, till tredje part om inte annat uttryckligen och skriftligen har avtalats med Kunden, eller om det krävs enligt tillämplig Dataskyddslagstiftning, eller om Kunden har gett skriftligt förhandsgodkännande, eller om det är nödvändigt för att uppfylla detta PUB-avtal och Tjänsteavtalet. Epassi ansvarar för att alla personer som har rätt att behandla personuppgifter är bundna av ett sekretessavtal eller omfattas av lagstadgad tystnadsplikt.

Kunden förbinder sig att hålla all information som rör Epassis säkerhetsåtgärder, arrangemang, IT-system eller tjänsteleverantörer, eller som annars anses vara konfidentiell, strikt konfidentiell och att inte avslöja sådan konfidentiell information till tredje part. Kunden får dock lämna ut sådan information om det krävs enligt tillämplig lagstiftning.

6. DATASÄKERHET

Enligt vad som avtalats i bilagan till detta PUB-avtal upprätthåller Epassi operativa och tekniska åtgärder för att skydda personuppgifter vid alla lämpliga tidpunkter, med rimligt genomförbara och tillgängliga åtgärder för att skydda personuppgifter mot oavsiktlig, obehörig eller olaglig förstörelse, förlust, ändring, avslöjande eller åtkomst. Epassi implementerar åtminstone följande rimligt nödvändiga åtgärder, i tillämpliga fall:

  • Pseudonymisering och kryptering av personuppgifter där det krävs enligt Dataskyddslagstiftningen;
  • Säkerställande av kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft i system och tjänster för behandling av personuppgifter;
  • Förmåga att snabbt återställa tillgången till och åtkomsten till personuppgifter vid en fysisk eller teknisk incident; och
  • Regelbunden testning, bedömning och utvärdering av effektiviteten i tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandling av personuppgifter.

Epassi begränsar åtkomsten till personuppgifter endast till behörig och lämpligt utbildad personal som behöver tillgång till sådana uppgifter och som är bundna av lämpliga sekretessförpliktelser.

7. PERSONUPPGIFTSINCIDENT

Vid en personuppgiftsincident ska Epassi utan onödigt dröjsmål skriftligen informera Kunden när Epassi blivit medveten om incidenten.

Epassis meddelande om personuppgiftsincidenten ska innehålla åtminstone följande information:

  • En beskrivning av incidentens art, inklusive, om möjligt, kategorier och ungefärligt antal berörda registrerade samt kategorier och ungefärligt antal berörda personuppgiftsregister;
  • En beskrivning av de sannolika konsekvenserna av incidenten; och
  • En beskrivning av de åtgärder som Epassi har föreslagit eller genomfört till följd av incidenten, inklusive, i tillämpliga fall, åtgärder för att mildra dess eventuella negativa effekter.

Om Epassi ännu inte har all information relaterad till incidenten, ska Epassi ändå tillhandahålla Kunden en rimligt detaljerad skriftlig rapport om den personuppgiftsincident som kommit till Epassis kännedom. Epassi har rätt att lämna informationen i delar om all information inte är tillgänglig vid tidpunkten för den första rapporten.

8. RÄTT TILL REVISION

Kunden har rätt att genomföra en revision av Epassis behandlingsaktiviteter enligt detta PUB-avtal för att säkerställa den skyddsnivå och datasäkerhet som tillämpas vid behandling av personuppgifter enligt Tjänsteavtalet.

Vid utövandet av revisionsrätten ska Kunden anlita en erkänd, oberoende tredje part med dokumenterad erfarenhet inom området, och med vilken Kunden har ingått ett separat avtal för att skydda sekretessen kring Epassi och personuppgifterna. Den tredje parten får inte vara en direkt konkurrent till Epassi.

Tidpunkt, metod och omfattning av revisionen ska avtalas i förväg mellan Parterna. Revisionen får inte äventyra tillgängligheten, kvaliteten, säkerheten eller sekretessen för Epassis tjänster till andra kunder. Om revisionen inte identifierar några väsentliga brister i Epassis verksamhet, ska Kunden stå för alla kostnader relaterade till revisionen. Revisionen får påbörjas tidigast trettio (30) kalenderdagar efter att Epassi har mottagit meddelande om revisionen.

Om en begäran om revision relaterad till behandling av personuppgifter kommer direkt från en behörig tillsynsmyndighet, ska Epassi samarbeta noggrant med Kunden för att besvara alla sådana förfrågningar.

9. TILLGÅNG TILL PERSONUPPGIFTER OCH REGISTRERADES RÄTTIGHETER

På Kundens skriftliga begäran och i enlighet med Dataskyddslagstiftningen ska Epassi bistå Kunden med att uppfylla begäranden som rör personuppgifter enligt Dataskyddslagstiftningen, inklusive:
(i) att tillhandahålla Kunden en kopia av individers personuppgifter i fysisk form;
(ii) att rätta, blockera eller radera individers personuppgifter;
(iii) att tillhandahålla Kunden begärd information och, vid rimlig begäran, samarbeta i frågor som rör behandling av personuppgifter enligt Tjänsteavtalet, till exempel genom att bistå med att möjliggöra utövandet av registrerades rättigheter; och
(iv) att bistå Kunden, vid rimlig begäran, med att tillhandahålla de individer vars personuppgifter behandlas den information de har begärt om behandlingen.

Om Kunden så begär, ska Epassi bistå Kunden med att uppfylla andra skyldigheter som följer av Dataskyddslagstiftningen, såsom skyldigheter relaterade till konsekvensbedömningar avseende dataskydd och eventuella förhandskonsultationer, med hänsyn till behandlingens art och den information som finns tillgänglig för Epassi. Parterna ska separat komma överens om behovet och omfattningen av sådan assistans, och Epassi har rätt att ta ut ersättning från Kunden för de rimliga kostnader som uppstår.

10. ANSVAR

Ansvarsbestämmelserna i Tjänsteavtalet gäller även för detta PUB-avtal.

Parterna är överens om att ansvar för administrativa sanktionsavgifter som påförs av en tillsynsmyndighet eller krav från registrerade ska fördelas mellan Parterna enligt deras respektive ansvar. Den Part som, enligt ett slutgiltigt beslut från tillsynsmyndigheten eller behörig domstol med rätt att påföra sådana avgifter eller skadestånd, har brutit mot sina lagstadgade skyldigheter enligt Dataskyddslagstiftningen, ska vara ansvarig för att betala avgiften eller ersätta den aktuella skadan. Om båda Parter anses ha brustit i att uppfylla sina skyldigheter, ska avgiften eller skadeståndet fördelas mellan Parterna i enlighet med deras respektive grad av skuld.

11. TILLÄMPLIG LAG OCH TVISTLÖSNING

Bestämmelserna om tillämplig lag och tvistlösning i Tjänsteavtalet gäller även för detta PUB-avtal.

12. ÖVRIGA VILLKOR

Kunden är i allmänhet tillgänglig för Epassi att använda som referenskund. Epassi beviljas en icke-exklusiv rätt, tidsbegränsad till avtalets löptid, att använda kundens företagslogotyp och namn som referenskund på Epassis webbplats, i presentationer och i annat marknadsföringsmaterial. Kunden är därutöver tillgänglig för så kallade testimonials, vars närmare detaljer avtalas mellan parterna innan publicering. 

Detta PUB-avtal ska förbli i kraft under hela giltighetstiden för Tjänsteavtalet och även efter att Tjänsteavtalet har upphört, så länge Epassi behandlar personuppgifter för Kundens räkning.

Vid avtalets upphörande ska Epassi antingen radera eller, på Kundens skriftliga begäran, överföra de personuppgifter som har behandlats enligt detta PUB-avtal till Kunden.

Om inte annat uttryckligen avtalats ovan, ska ändringar av detta PUB-avtal göras skriftligen och godkännas av båda Parter.

Ingen Part får överlåta sina rättigheter eller skyldigheter enligt detta PUB-avtal, helt eller delvis, utan föregående skriftligt medgivande från den andra Parten, om inte annat anges i detta PUB-avtal eller om överlåtelsen sker i samband med överföring av hela verksamheten från den överlåtande Parten.

De bilagor som anges nedan utgör en integrerad del av detta PUB-avtal.

13. BILAGOR

Detta PUB-avtal inkluderar följande bilagor:

Bilaga A: Beskrivning av behandlingen av personuppgifter och en lista över underbiträden.

 

 

Bilaga A

Beskrivning av behandlingen av personuppgifter och en lista över underbiträden

Epassi tillhandahåller tjänster till Personuppgiftsansvarig som innefattar behandling av personuppgifter av Personuppgiftsbiträdet enligt följande specifikationer av: (a) behandlingens art och syfte; (b) typen av personuppgifter och kategorier av registrerade; (c) tillämpliga informationssäkerhetsåtgärder; samt (d) behandlingens varaktighet enligt Tjänsteavtalet:

(a)  Behandlingens art och syfte

Epassi behandlar personuppgifter relaterade till anställning för att tillhandahålla de tjänster som avtalats i Tjänsteavtalet, inklusive erbjudande, tilldelning, hantering och rapportering av användning av skattefria eller skattesubventionerade personalförmåner och/eller betaltjänster, inom den omfattning som avtalats mellan Personuppgiftsansvarig och Epassi.

(b)  Typen av personuppgifter och kategorier av registrerade

Personuppgifter avseende Personuppgiftsansvarigs anställda, som är mottagare och förmånstagare av personalförmåner via Epassis tjänst, inkluderar: Namn, Telefonnummer, E-postadress, Anställnings-ID, Belopp och typ av tilldelade personalförmåner.

(c) Beskrivning av tillämpliga säkerhetsåtgärder

Personuppgifter överförs till Epassi via en säker kanal genom ett synkroniseringsgränssnitt kopplat till onlinetjänsten, eller enligt annan överenskommelse med Personuppgiftsansvarig (t.ex. via säker e-post från Personuppgiftsansvarig, på dennes risk), för initial uppsättning av tjänsten för de anställda.

Epassi tillhandahåller löpande behandling och återföring av data till Personuppgiftsansvarig via sin onlinetjänst till behöriga representanter. Åtkomst till onlinetjänsten på Personuppgiftsansvarigs sida skyddas med behörighetsstyrda användarinloggningar och lösenord. Ytterligare information om säkerhetsåtgärder i Epassis system tillhandahålls på begäran.


(d) Behandlingens varaktighet

Personuppgifterna behandlas under hela giltighetstiden för Tjänsteavtalet och därefter under den tid som krävs för att slutföra Personuppgiftsbiträdets skyldigheter enligt Tjänsteavtalet och tillämplig dataskyddslagstiftning och/eller krav från behöriga myndigheter.

 

Lista över godkända underbiträden - klicka här >