Personuppgiftsbiträdesavtal (DPA)

1. Bakgrund

Detta personuppgiftsbiträdesavtal ("DPA") ingår mellan Kunden ("Personuppgiftsansvarig") och Inkassera AB, org.nr 559XXX-XXXX ("Personuppgiftsbiträde") och reglerar Biträdets behandling av personuppgifter å den Personuppgiftsansvariges vägnar i samband med tillhandahållandet av Inkasseras tjänst.

DPA:t kompletterar och är en del av Inkasseras allmänna villkor och tillämpas i enlighet med EU:s allmänna dataskyddsförordning (GDPR, förordning 2016/679).

2. Definitioner

Termer som inte definieras i detta DPA har samma betydelse som i GDPR. "Behandling", "Personuppgifter", "Registrerad", "Personuppgiftsansvarig" och "Personuppgiftsbiträde" ska tolkas i enlighet med artiklarna 4.1-4.8 i GDPR.

3. Behandlingens ändamål och omfattning

Biträdet behandlar personuppgifter enbart för att:

• Lagra och bearbeta uppgifter om Kundens gäldenärer i inkassoärenden
• Generera och leverera inkassodokument (påminnelser, krav) via e-post och SMS
• Beräkna räntor och avgifter enligt svensk lag
• Tillhandahålla rapporter, exporter och statistik till den Personuppgiftsansvarige

3.1 Kategorier av registrerade

• Gäldenärer (fysiska och juridiska personer)
• Kontaktpersoner hos gäldenärer

3.2 Kategorier av personuppgifter

• Namn, adress, kontaktuppgifter
• Personnummer/organisationsnummer
• Faktura- och betalningsinformation
• Ärendehistorik och kommunikation

4. Biträdets skyldigheter

Biträdet förbinder sig att:

• Enbart behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige
• Säkerställa att personer med behörighet att behandla uppgifterna omfattas av tystnadsplikt
• Vidta tekniska och organisatoriska säkerhetsåtgärder enligt art. 32 GDPR
• Anlita underbiträden enbart med den Personuppgiftsansvariges förhandsgodkännande (se avsnitt 6)
• Bistå den Personuppgiftsansvarige vid utövande av registrerades rättigheter
• Radera eller återlämna personuppgifter vid avtalets upphörande
• Tillhandahålla nödvändig information för att den Personuppgiftsansvarige ska kunna verifiera efterlevnad

5. Säkerhetsåtgärder

Biträdet tillämpar följande åtgärder (icke uttömmande):

• Kryptering vid överföring (TLS 1.2+) och lagring (AES-256)
• Isolerad datalagring per organisation (multi-tenant med row-level security)
• Rollbaserad åtkomstkontroll (RBAC)
• Automatisk audit-loggning
• Regelbunden säkerhetsövervakning
• Backup med kryptering

6. Underbiträden

Den Personuppgiftsansvarige godkänner att Biträdet anlitar de underbiträden som förtecknas på underbiträdessidan.

Biträdet ska meddela den Personuppgiftsansvarige minst 30 dagar i förväg vid avsedd ändring av underbiträden. Den Personuppgiftsansvarige har rätt att invända inom 14 dagar. Om invändningen inte kan lösas har den Personuppgiftsansvarige rätt att säga upp avtalet.

7. Överföring till tredjeland

All primär datalagring sker inom EU/EES. Överföringar till tredjeland sker enbart med stöd av EU-kommissionens standardavtalsklausuler (SCC) eller likvärdigt skydd.

8. Personuppgiftsincidenter

Biträdet ska utan onödigt dröjsmål, och senast inom 48 timmar, meddela den Personuppgiftsansvarige om en personuppgiftsincident. Meddelandet ska innehålla:

• Beskrivning av incidenten
• Kategorier och ungefärligt antal registrerade som berörs
• Sannolika konsekvenser
• Åtgärder som vidtagits eller planeras

9. Avtalstid och upphörande

DPA:t gäller under hela avtalstiden för Tjänsten. Vid upphörande ska Biträdet radera alla personuppgifter inom 90 dagar, om inte lagring krävs enligt lag. På begäran ska Biträdet tillhandahålla exportpaket innan radering.

10. Kontakt

Frågor om detta DPA besvaras av:
Inkassera AB — Dataskyddsansvarig
E-post: dataskydd@inkassera.se