Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) reglerar hur Vemesto Företagsservice behandlar personuppgifter för sina kunder (“Kunden”) i samband med levererade tjänster.

Biträdesavtalet är juridiskt bindande för alla kunder genom hänvisning i Uppdragsavtalet och uppdateras vid behov för att säkerställa efterlevnad av Dataskyddsförordningen (GDPR, 2016/679). Den version som finns publicerad här är alltid den aktuella och gällande versionen av avtalet.

Vemesto Företagsservice behandlar personuppgifter uteslutande för att kunna leverera tjänster till Kunden.

Exempel på behandlingar:

• Redovisningstjänster (bokföring, bokslut, deklarationer).
• Lönetjänster (löneadministration, rapportering till myndigheter).
• Rådgivning (ekonomisk och skattemässig rådgivning).

För att skydda personuppgifter vidtar Vemesto Företagsservice följande åtgärder:

• Åtkomstkontroller och behörighetsstyrning.
• Kryptering och säkerhetskopiering.
• Loggning av behandlingar.
• Pseudonymisering av känsliga uppgifter.
• Regelbunden säkerhetsgranskning och penetrationstester.
• Löpande uppdatering av säkerhetsåtgärder för att anpassa skyddsnivån till teknikutvecklingen och nya risker.

Vemesto Företagsservice använder följande underbiträden för behandling av personuppgifter:

• Kunden har rätt att invända skriftligen mot ett nytt underbiträde inom 14 dagar från att informationen lämnats.
• Om Kunden invänder, ska Vemesto Företagsservice antingen:
  1. Föreslå ett alternativt underbiträde, eller
  2. 2. Säkerställa att det aktuella underbiträdet inte används för Kundens data.

Om inget av dessa alternativ är möjligt, har Kunden rätt att säga upp den del av avtalet som berör behandlingen via det aktuella underbiträdet.

Vemesto Företagsservice är ansvarigt för att alla underbiträden följer detta avtal och GDPR. Om ett underbiträde bryter mot GDPR, är Vemesto Företagsservice ansvarigt gentemot Kunden, såvida Vemesto Företagsservice inte kan visa att det inte var ansvarigt för händelsen.

Fortnox

• Typ av behandling: Bokföring, Fakturering, Lönehantering
• Geografisk plats: Sverige (EU/ESS)
• Gallringskrav:
  • Lagring sker i 18 månader efter avtalets slut.
  • Därefter raderas data, om inte lagkrav (exempelvis bokföringslagen, 7 år) kräver fortsatt lagring.

Accountec

• Typ av behandling: Ej specificerad
• Geografisk plats: Ej angiven
• Gallringskrav: Ej angiven

Timeplan

• Typ av behandling: Lönehantering
• Geografisk plats: Sverige
• Gallringskrav:
  • Automatisk rensning sker i fyra steg upp till 60 månader.
  • Kunden kan begära kortare gallringsintervall.

Microsoft 365

• Typ av behandling: Lagring av dokument och e-post
• Geografisk plats: EU/ESS
• Gallringskrav:
  • Radering sker enligt Vemesto Företagsservice interna policy.
  • Microsoft raderar data vid avtalets slut enligt företagets inställningar.

• Kunden har rätt att invända skriftligen mot ett nytt underbiträde inom 14 dagar från att informationen lämnats.
• Om Kunden invänder, ska Vemesto Företagsservice antingen:
  1. Föreslå ett alternativt underbiträde, eller
  2. Säkerställa att det aktuella underbiträdet inte används för Kundens data.

Om inget av dessa alternativ är möjligt, har Kunden rätt att säga upp den del av avtalet som berör behandlingen via det aktuella underbiträdet.

Vemesto Företagsservice är ansvarigt för att alla underbiträden följer detta avtal och GDPR. Om ett underbiträde bryter mot GDPR, är Vemesto Företagsservice ansvarigt gentemot Kunden, såvida Vemesto Företagsservice inte kan visa att det inte var ansvarigt för händelsen.

Vemesto Företagsservice och dess underbiträden ska säkerställa att anställda som behandlar personuppgifter omfattas av tystnadsplikt.

Personuppgifter får endast överföras utanför EU/EES om:

• Europeiska kommissionen har godkänt skyddsnivån i mottagarlandet, eller
• Lämpliga skyddsåtgärder (ex. SCC, kryptering) har implementerats enligt GDPR och Schrems II.

Vid en personuppgiftsincident ska Vemesto Företagsservice meddela Kunden utan onödigt dröjsmål och tillhandahålla:

• En beskrivning av incidenten.
• Åtgärder som vidtagits för att begränsa skadan.

• Biträdesavtalet gäller så länge Vemesto Företagsservice behandlar personuppgifter för Kunden.
• Vid avtalets upphörande ska Vemesto Företagsservice, efter Kundens val:
  1. Radera samtliga personuppgifter, eller
  2. Återlämna personuppgifterna till Kunden, såvida lagkrav inte kräver fortsatt lagring.

Radering eller återlämning ska ske inom 30 dagar.

• Kunden har rätt att, efter skriftlig begäran och med minst 30 dagars varsel, begära en rapport om Vemesto Företagsservice dataskyddsåtgärder eller genomföra en granskning som inte får störa verksamheten.

Denna instruktion gäller för alla underbiträden som Vemesto Företagsservice anlitar.

• Typer av personuppgifter: Namn, e-post, löneuppgifter, fakturering etc.
• Ändamål med behandlingen: Lagring, bokföring, lönehantering, IT-support.
• Behandlingsaktiviteter: Lagring, backup, rapportering, systemunderhåll.
• Kategorier av registrerade: Kunder, anställda, leverantörer.
• Länder där behandling sker: Sverige och EU/EES (undantag kräver extra skyddsåtgärder).
• Speciella säkerhetsåtgärder: Kryptering, säkerhetskopiering, rollbaserad åtkomstkontroll.

• Om Vemesto Företagsservice behandlar personuppgifter i strid med detta avtal eller gällande lagstiftning, ska Vemesto Företagsservice ersätta Kunden för direkta skador som uppstår till följd av denna behandling.
• Vemesto Företagsservice ansvarar dock inte för skador som uppstår om behandlingen skett enligt Kundens instruktioner.

• Svensk lag gäller.
• Tvister ska i första hand lösas genom förhandling.
• Om tvisten inte kan lösas, avgörs den av Norrköpings tingsrätt.