Kundavtal UC KYC

1. Definitioner

I detta Avtal ska nedanstående begrepp ha följande betydelse:

Avtalet avser detta avtal inklusive därtill hörande bilagor 

Kunden avser den juridiska person som ingått detta avtal med UC för att tillhandahållas tjänsten av UC AB

Kundens Information avser den information (inklusive Personuppgifter) som Verksamhetsutövaren efterfrågar av Kunden och som Kunden väljer att registrera i Tjänsten.

Konfidentiell Information avser Avtalets innehåll och sådana uppgifter om den andra Partens verksamhet som kan vara att betrakta som affärs- eller yrkeshemlighet eller uppgift som enligt lag omfattas av sekretesskyldighet. Som affärs- eller yrkeshemlighet ska alltid betraktas sådan information som Part angivit vara konfidentiell, såvida inte annat följer av lag.

Kundkännedomskontroll avser de vid var tid gällande skyldigheter Verksamhetsutövaren har att uppfylla för att motverka att dess verksamhet utsätts för penningtvätt eller finansiering av terrorism. Sådana skyldigheter framgår exempelvis men inte uteslutande av lag 2017:630 om åtgärder mot penningtvätt och finansiering av terrorism.

Parter avser UC och Kunden gemensamt

Personuppgifter avser personuppgifter såsom definieras i Tillämplig Dataskyddslagstiftning.

Tillämplig Dataskyddslagstiftning avser Dataskyddsförordningen (förordning (EU) 2016/679), om inte annat följer av EU-lagstiftning eller svensk lag, samt tillhörande lagar, förordningar och författningar och riktlinjer från behörig tillsynsmyndighet.

Tjänsten avser den tjänst UC tillhandahåller Kunden under detta Avtal som möjliggör för Kunden, att via UC, lagra och tillhandahålla Kundens Information till Verksamhetsutövare. För ytterligare information om Tjänsten, se punkt 4 nedan.

UC avser UC AB (556137-5113) som tillhandahåller Tjänsten till Kunden enligt detta Avtal.

UC KYC avser den vid var tid aktuella tjänsten som UC tillhandahåller till Verksamhetsutövare i syfte att underlätta de krav vad gäller Kundkännedomskontroll som åvilar Verksamhetsutövaren.

Verksamhetsutövare avser den juridiska person som Kunden avser att inleda en kund- eller affärsrelation med och som har skyldighet att utföra Kundkännedomskontroll avseende Kunden.

Överföring avser den begäran Kunden riktar till UC via Tjänsten att föra över Kundens Information, inklusive Personuppgifter, till en av Kunden utsedd Verksamhetsutövare.

2. Bakgrund

2.1   I samråd med ett antal verksamhetsutövare som lyder under lag 2017:630 om åtgärder mot penningtvätt och finansiering av terrorism och som därav behöver uppnå kundkännedom avseende sina kunder, har UC utvecklat och tillhandahåller tjänsten ”UC KYC”. UC KYC är en tjänst som underlättar delar av verksamhetsutövares förpliktelser enligt ovan.

2.2   För att Verksamhetsutövaren skall kunna utföra dess Kundkännedomskontroll behöver Kunden tillhandahålla viss Information om Kunden till Verksamhetsutövaren. Genom Tjänsten kan Kunden tillhandahålla Verksamhetsutövaren den av Verksamhetsutövaren identifierade och nödvändiga informationen.

3. Bilagor

3.1   Avtalet omfattar följande bilagor:

       Bilaga 1 - Personuppgiftsbiträdesavtal 

3.2   I händelse av motstridiga bestämmelser i detta huvuddokument och dess bilaga äger, om inget annat uttryckligen följer av Avtalet, bestämmelserna i huvuddokumentet företräde.

4. Tjänstebeskrivning

4.1 Tjänsten är ett elektroniskt formulär som tillhandahålls av UC via Verksamhetsutövaren och syftar till att underlätta för Kunden att tillhandahålla information om Kunden till en Verksamhetsutövare, som Kunden önskar inleda en kund- eller affärsrelation med. Detta med anledning av Verksamhetsutövarens lagstadgade skyldighet att utföra en kundkännedomskontroll avseende dess kunder. Genom Tjänsten kan Kunden tillföra, lagra och uppdatera Kundens Information samt tillhandahålla desamma till av Kunden utsedd(a) Verksamhetsutövare. Då Kunden accepterat Avtalet får Kunden åtkomst till Tjänsten via av UC anvisad inloggningsmetod. Kunden kan därefter vid var tid föra in och uppdatera Kundens Information så att den vid varje tidpunkt är att betrakta som aktuell och korrekt.

4.2   Genom att registrera Kundens Information i Tjänsten upplåter Kunden en oåterkallelig rätt för Verksamhetsutövaren att nyttja Kundens Information via UC KYC.

5. Avgifter

5.1 Tjänsten tillhandahålls Kunden kostnadsfritt.

6. Parternas åtaganden

6.1  UC åtar sig att lagra Kundens Information under den tidsperiod som Kunden begär och i enlighet med punkt 9 nedan samt Bilaga 1 (Personuppgiftsbiträdesavtal).

6.2   Kunden åtar sig att endast använda Tjänsten för eget bruk. Rätten att använda Tjänsten får ej överlåtas eller upplåtas till tredje man. Kunden får inte sälja, vidareupplåta, tillgängliggöra, överföra, hyra ut, distribuera, eller på annat sätt kommersiellt exploatera Tjänsten eller del därav.

6.3 Kunden ansvarar för att dess användare har erforderlig kunskap om tillämpliga lagar och föreskrifter för att på ett korrekt sätt och i enlighet med lag och god sed använda Tjänsten. Kunden förbinder sig att inte använda Tjänsten på sådant sätt att UC eller annan drabbas av olägenhet eller skada. Kunden får således t.ex. inte hantera eller tillföra uppgifter eller annan information i Tjänsten som gör intrång i UC:s eller tredje mans rättigheter, eller som på annat sätt strider mot lag. Kunden ska ersätta UC för skada som orsakats UC och hålla UC skadeslös för anspråk som riktas mot UC från tredje man som en följd av att Kunden använt Tjänsten eller i strid med Avtalet eller lagstiftning. Kunden ska även hålla UC skadeslös för anspråk som riktas mot UC från tredje man som en följd av att Kundens Information är att anse som felaktig eller bristfällig. 

6.4 Kunden åtar sig att löpande uppdatera Kundens Information på så sätt att den vid var tid är att anse som tillförlitlig, komplett och korrekt. Kunden kommer också erhålla påminnelser om att Kundens Information behöver uppdateras och/eller bekräftas, vilket Kunden åtar sig att göra skyndsamt efter sådan påminnelse. 

6.5 UC förbehåller sig rätten att stänga av Kunden utan föregående meddelande om Kunden använder Tjänsten i strid med Avtalet eller på annat sätt enligt UC:s bedömning missbrukar Tjänsten.

7. Tillgänglighet och ansvarsfrihet

7.1 UC:s målsättning är att tillhandahålla Tjänsten med minimala störningar. UC och UC:s licensgivare påtar sig inte något ansvar för störningar, fördröjningar eller andra tekniska dröjsmål i Tjänsten.

7.2  UC och UC:s licensgivare är inte i något fall ersättningsskyldigt för direkta skador, såvida inte UC och/eller UC:s licensgivare gjort sig skyldigt till uppsåt eller oaktsamhet. För indirekta skador ansvarar UC endast om uppsåt eller grov oaktsamhet föreligger.

8. Support

8.1  UC tillhandahåller ej någon teknisk, eller annan, support i förhållande till Tjänsten.

9. Behandling av kundens information och personuppgifter

9.1 Avseende Personuppgifter som behandlas inom ramen för Tjänsten är Kunden personuppgiftsansvarig och UC personuppgiftsbiträde i enlighet med vad som anges i Tillämplig Dataskyddlagslagstiftning.

9.2 UC förbinder sig att bara behandla Personuppgifter för vilka Kunden är personuppgiftsansvarig i enlighet med Personuppgiftsbiträdesavtalet (Bilaga 1) samt Tillämplig Dataskyddslagstiftning.

9.3 Kunden är medveten om att genom en Överföring blir den av Kunden utsedda Verksamhetsutövaren Personuppgiftsansvarig för de Personuppgifter som har förts över från Kunden.

9.4 Kunden ansvarar för att Kundens behandling av Personuppgifter i Tjänsten sker i enlighet med Tillämplig Dataskyddslagstiftning.

10. Sekretess

10.1  Parterna förbinder sig att under avtalstiden och därefter behandla all Konfidentiell Information strikt konfidentiellt och inte för utomstående yppa sådan Konfidentiell Information som Parterna fått ta del av med anledning av detta Avtal. UC får dock avslöja och lämna Konfidentiell Information till sina koncernbolag och förbinder sig därvid att tillse att dessa iakttar sekretess i enlighet med detta Avtal.

10.2 Sekretesskyldigheten gäller inte för sådan information som

a) vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom brott mot detta Avtal,

b)  Part kan visa att Parten redan kände till innan han mottog den från den andra Parten,

c) Part på rättmätigt sätt utan begränsningar i rätten att vidarebefordra erhåller från tredje man utanför detta avtalsförhållande, eller

d) Part är skyldig att avslöja på grund av tvingande lag, domstols dom eller annan behörig myndighets beslut eller enligt tillämpliga marknadsplatsregler.

10.3   Regleringen i denna punkt ska äga fortsatt giltighet efter Avtalets upphörande.

11. Rätt att anlita underleverantörer

11.1  UC har rätt att anlita underleverantör för fullgörande av sina åtaganden enligt Avtalet. UC ansvarar för underleverantörs arbete som om arbetet utförts av UC.

11.2  Angående Kundens godkännande av underbiträden för behandling av Personuppgifter för vilka Kunden är Personuppgiftsansvarig, gäller vad som anges i Bilaga 1 punkt 6.

12. Avtalstid och förtida upphörande

12.1 Detta Avtal gäller från och med Kundens godkännande och tillsvidare med en ömsesidig uppsägningstid om en (1) månad.

12.2 UC har rätt att med omedelbar verkan säga upp Avtalet om Kunden använder Tjänsten i strid med villkoren i Avtalet.

12.3 Utöver vad som i övrigt anges i Avtalet har part rätt att med omedelbar verkan säga upp Avtalet om motparten begått avtalsbrott och underlåter att vidta rättelse inom 30 (trettio) dagar från andra partens skriftliga erinran om avtalsbrottet.

12.4 UC äger rätt att utan ersättningsskyldighet omedelbart upphöra att tillhandahålla Tjänsten samt rätt att säga upp Avtalet till omedelbart förtida upphörande till följd av förändrad lagstiftning, myndighets beslut eller åtgärd samt vid förändrade förutsättningar för tillhandahållandet av Tjänsten.

12.5 Uppsägning av Avtalet ska ske skriftligen (inklusive e-mail). Från och med dagen för Avtalets upphörande har Kunden inte rätt att använda Tjänsten.

12.6 Vid Avtalets upphörande ska Kundens Information, inklusive dess Personuppgifter (om inte Kunden skriftligen meddelar annat) raderas.

13. Tillämplig lag och tvister

13.1  Svensk lag ska tillämpas på detta Avtal.

13.2  Tvist i anledning av detta Avtal ska prövas av allmän domstol med Stockholms tingsrätt som första instans.


__________________________________________________________

 

Bilaga 1

PERSONUPPGIFTSBITRÄDESAVTAL

1.  Bakgrund

1.1 Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) ska anses utgöra en del av ”Avtal och användarvillkor avseende tillhandahållande av information relaterat till ”UC KYC” (”Huvudavtalet”).

1.2 Avseende Personuppgifter som behandlas inom ramen för Tjänsten är Kunden personuppgiftsansvarig (”Personuppgiftsansvarig”) och UC personuppgiftsbiträde (”Personuppgiftsbiträde”) i enlighet med vad som anges i Tillämplig Dataskyddlagslagstiftning.

1.3 Detta Biträdesavtal reglerar den Personuppgiftsansvariges rättigheter och skyldigheter i egenskap av personuppgiftsansvarig och Personuppgiftsbiträdets rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. 

2. Definitioner

2.1 Begrepp i detta Biträdesavtal ska tolkas i enlighet med Tillämplig Dataskyddslagstiftning.

2.2 Med Tillämplig Dataskyddslagstiftning menas Dataskyddsförordningen (förordning (EU) 2016/679), om inte annat följer av EU-lagstiftning eller svensk lag, samt tillhörande lagar, förordningar och författningar och riktlinjer från behörig tillsynsmyndighet.

3. Underbilagor till biträdesavtalet

Instruktioner för behandlingen av personuppgifter Underbilaga 1

På förhand godkända underbiträden  Underbilaga 2

Prislista Underbilaga 3

4. Behandling av personuppgifter

4.1  Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig, såvida inte annat följer av Tillämplig Dataskyddslagstiftning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta Biträdesavtal och i Bilaga 1.

4.2  Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och godkännas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Bilaga 1.

4.3 Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige avseende behandlingen av personuppgifter strider mot Tillämplig Dataskyddslagstiftning.

4.4 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt Tillämplig Dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt Tillämplig Dataskyddslagstiftning.

5. Utlämnande av personuppgifter

5.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlas enligt detta Biträdesavtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.

5.2 Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av dennes personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.

5.3 Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.

5.4 Om det enligt tillämpliga svenska eller europeiska lagar och regelverk begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.

6. Underbiträden och tredjelandsöverföringar

6.1 Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Bilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.

6.2 Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt Tillämplig Dataskyddslagstiftning, till exempel EU‑kommissionens modellklausuler. Personuppgiftsansvarig ger Personuppgiftsbiträdet mandat att för Personuppgiftsansvariges räkning ingå EU-kommissionens modellklausuler med underbiträden.

6.3 Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan oskäligt dröjsmål från det att den Personuppgiftsansvarige fått informationen, dock senast inom trettio (30) dagar från mottagande. Om efterlevnaden av Tillämplig Dataskyddslagstiftning, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgiftsansvarige rätt att säga upp Huvudavtalet utan extra kostnad.

7. Datasäkerhet och sekretess

7.1 Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under Tillämplig Dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

7.2 Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en lämplig sekretessförbindelse.

8. Notifieringar vid dataintrång

8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.

8.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.

9. Rätt till granskning

9.1 Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.

9.2 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.

10. Avtalstid

Oavsett vad som anges om avtalstid i Huvudavtalet, ska bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.

11. Åtgärder när behandlingen av personuppgifter avslutats

11.1 När detta Biträdesavtal upphör ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige väljer, radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning.

11.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 11.1 ovan.

12. Ersättning

12.1 Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 4.4, 5, 8.2, 9 och 11 i detta Biträdesavtal. Den vid detta Avtals ingående gällande prislistan framgår av underbilaga 3 till detta biträdesavtal.

12.2  Därutöver har Personuppgiftsbiträdet även rätt till ersättning enligt gällande prislista för övriga arbeten som Personuppgiftsansvarig kan komma att beställa.

13. Ansvar och ansvarsbegränsningar

13.1 Oaktat vad som i övrigt anges i Huvudavtalet ska, om Part har blivit skyldig att erlägga skadestånd eller motsvarande till registrerade med anledning av den behandling av personuppgifter som omfattas av Biträdesavtalet, den Part som blivit skadeståndsskyldig ha rätt att utan begränsningar regressivt återkräva den del av skadeståndet som enligt Tillämplig Dataskyddslagstiftning är att hänföra till den andra Partens medverkan vid behandlingen. Skadeståndsskyldigheten innefattar även skälig andel av rättegångskostnaderna i eventuell rättegång med de registrerade.

13.2 Rätten till skadestånd enligt punkt 13.1 förutsätter att den Part som blivit föremål för krav från de registrerade vidtar åtgärder för att begränsa skadan samt skriftligen underrättar den andra Parten om framförda krav från de registrerade, när det är sannolikt att krav mot andra Parten enligt punkt 13.1 kan komma att framställas och att den andra Parten vid förhandlingar, förlikningar eller andra uppgörelser låter den andra Parten få insyn i och att den andra Partens synpunkter beaktas avseende de registrerades och den första Partens inlagor och annan skriftväxling.

13.3 Oaktat vad som i övrigt anges i Huvudavtalet, ska ingen Part vara skyldig att ersätta den andra Parten för eventuella administrativa sanktionsavgifter som den andra Parten har fått erlägga.

13.4 Parts ansvar för andra typer av skador med anledning av överträdelse av Biträdesavtalet än de som uttryckligen regleras av detta Biträdesavtal ska, oaktat vad som i övrigt anges i Huvudavtalet, vara begränsat till direkta skador och ett maximalt belopp om etthundratusen (100 000) kronor under en tolvmånadersperiod.

13.5 Parts rätt till skadestånd enligt denna punkt 13 förutsätter att krav på skadestånd till den andra Parten har framställts senast inom 6 månader från,

a) såvitt avser skador enligt punkten 13.1 lagakraftvunnet beslut eller dom eller från ingången förlikning med registrerade, eller

b) såvitt avser skada som omfattas av punkt 13.4, den senare tidpunkten av i) från skadans uppkomst eller ii) då den rimligen borde ha upptäckts av den skadelidande parten.

14. Bestämmelses ogiltighet

14.1 Om någon bestämmelse i Biträdesavtalet eller del därav är ogiltig, ska detta inte innebära att Biträdesavtalet i dess helhet är ogiltigt utan i stället ska Biträdesavtalet eller aktuell bestämmelse skäligen jämkas.

 

15. Lagval och tvistlösning

15.1 Såvida inte annat anges i Huvudavtalet ska följande gälla avseende lagval och tvistlösning enligt Biträdesavtalet:

15.2 Biträdesavtalet regleras av svensk rätt.

15.3 Tvist i anledning av Biträdesavtalet ska avgöras genom skiljedom vid Stockholms Handelskammares Skiljedomsinstitut (”Institutet”). Institutets Regler för Förenklat Skiljeförfarande ska gälla om inte Institutet med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler för Stockholms Handelskammares Skiljedomsinstitut ska tillämpas på förfarandet. I sistnämnda fall ska Institutet också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Skiljeförfarandets säte ska vara Stockholm och språket för förfarandet ska vara svenska.

16. Övrigt

16.1.1 Vid Kundens godkännande av detta Biträdesavtal upphör tidigare, mellan Parterna, ingångna personuppgiftsbiträdesavtal och andra överenskommelser avseende personuppgiftsbehandling.

 

Underbilaga 1

 

 

Instruktioner för behandlingen av personuppgifter

                                          

 

Tjänster

UC KYC

Avser den vid var tid aktuella tjänsten som UC tillhandahåller till Verksamhetsutövare i syfte att underlätta de krav vad gäller Kundkännedomskontroll som åvilar Verksamhetsutövaren.

Ändamål

 

 

Tjänsten är ett elektroniskt formulär som tillhandahålls av UC via Verksamhetsutövaren och syftar till att underlätta för Kunden att tillhandahålla information om Kunden till en Verksamhetsutövare, som Kunden önskar inleda en kund- eller affärsrelation med. Detta med anledning av Verksamhetsutövarens lagstadgade skyldighet att utföra en kundkännedomskontroll avseende dess kunder.

Kategorier av uppgifter

 

 

Namn, personnummer, telefon, e-post, lagring av ID-handling, funktion i företaget, skatterättslig hemvist samt övriga personuppgifter som parterna vid var tid överenskommer om.

 

Kategorier av registrerade

 

 

Personer som är föremål för kundkännedomskontroll hos en Verksamhetsutövare. Detta gäller även fysiska personer kopplade till juridiska personer som är föremål för kundkännedomskontroll.

Behandlingsaktiviteter

 

Personuppgiftsbiträdet kommer ta emot och lagra data från personuppgiftsansvarig. Utöver dessa behandlingar kan personuppgiftsbiträdet även utföra andra behandlingar för att uppfylla detta Biträdesavtal samt Huvudavtal.

 

Plats för behandling av personuppgifterna

 

Inom EU/EES

 

 

 

 

Informationssäkerhet

Tekniska och organisatoriska säkerhetsåtgärder

Denna information beskriver de generella principer som tillämpas inom UC-koncernen (”UC”) för att möta kraven i Tillämplig Dataskyddslagstiftning.

1)     Riskbedömning avseende dataskydd

UC genomför regelbundna riskanalyser. De produkter och tjänster som behandlar personuppgifter har genomgått erforderliga konsekvensbedömningar.

Genom att utveckla olika tjänster baserade på ändamål, kontrollerar UC att personuppgifter behandlas i enlighet med det ändamål de samlats in för.

UC samråder löpande med tillämplig myndighet rörande hanteringen och behandlingen av personuppgifter.

2)     Säkerhetsåtgärder

UC:s säkerhetsarbete bedrivs utifrån ett anpassat ramverk baserat på säkerhetsstandarderna ISO/IEC 27000 och CIS Critical Security Controls för Internet Security (http://www.cisecurity.org/critical-controls.cfm).

De lokaler som används för behandling av personuppgifter av UC eller UC:s samarbetspartners skyddas av passersystem och larm. Kameraövervakning tillämpas där det anses lämpligt. Detta gäller såväl kontorslokaler som datahallar. UC har lagt ut IT-driften hos strategiska samarbetspartners som är certifierade enligt ISO 27001 och vars kontorslokaler och datahallar uppfyller omfattande säkerhetskrav.

Logisk åtkomst till personuppgifter är individuellt spårbar och begränsas med hjälp av behörighetssystem. UC loggar på individnivå behandlingar av personuppgifter för att möjliggöra utredning vid misstanke om otillåten behandling.

Formella rutiner tillämpas för tillägg, ändring och borttag av behörigheter för såväl fysisk som logisk åtkomst.

Nätverkstrafik och användarbeteende analyseras i syfte att identifiera och möjliggöra snabb åtgärd vid indikationer på riskbeteende och/eller dataintrång.

Överföringar av personuppgifter mellan UC:s externa parter omfattas av avtalade skyddsåtgärder.

När användning av personuppgifter inte längre är nödvändig för det ursprungliga ändamålet gallras de. Såväl automatiserade som manuella gallringsrutiner tillämpas.

 

Personuppgifternas säkerhet

UC implementerar följande säkerhetsåtgärder som baseras sig på kraven som ställs i Tillämplig Dataskyddslagstiftning.

a) pseudonymisering samt kryptering av personuppgifter

UC nyttjar pseudonymisering och/eller kryptering av personuppgifter där det är lämpligt utifrån en samlad bedömning av risk, krav om funktionalitet, övriga vidtagna säkerhetsåtgärder och kostnad.

b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna

UC:s produkter och tjänster utvecklas, förvaltas och driftas i enlighet med processer och rutiner som syftar till att effektivt hantera risker relaterade konfidentialitet, integritet och tillgänglighet.

UC har en säkerhetspolicy med tillhörande riktlinjer som tydligt definiera roller och ansvar. Varje produkt/tjänst som behandlas personuppgifter är klassad och kartlagd utifrån standardkontroller rörande konfidentialitet, integritet och tillgänglighet.

c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident

För att hantera risken att personuppgifter eller de eller de produkter/tjänster som hanterar personuppgifter blir otillgängliga tillämpar UC ett ramverk för hantering av incidenter och kontinuitet. Såväl data som systemkonfigurationer kan vid behov återskapas från säkerhetskopior enligt fastslagna rutiner.

d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet

UC genomför regelbundna kontroller av åtkomst till personuppgifter i syfte att följa upp rutinerna för säkerhetsadministration.

Återställningstester genomförs regelbundet för att kontrollera att säkerhetskopior och återställningsplaner fungerar.

Vidare tillämpar UC, i samarbete med specialiserade säkerhetspartners, ett program för identifiering av tekniska sårbarheter. Detta program innefattar olika typer av säkerhetstester och monitorering som kan variera över tid beroende på bedömd riskbild.

 

Underbilaga 2

På förhand godkända underbiträden

Namn

Plats för behandling (land)

  • CGI Sverige AB, 556337-2191
  • Softronic AB, 556249-0192
  • RedBridge AB, 556645-8617
  • (EU/EES)
  • (EU/EES)
  • (EU/EES)

 

Underbilaga 3 

Prislista 

Åtgärder för att bistå den personuppgiftsansvarige i den löpande dialogen, exempelvis

- fullständig radering av lagrade uppgifter
- ändring av lagringsperiod/gallringsinstruktion
- bistå personuppgiftsansvarig med information som krävs för att anmäla personuppgiftsincidenter

ingår utan extra kostnad i leveransen enligt huvudavtalet.
 

Åtgärder utöver den löpande leveransen debiteras separat; timpris 1 250 kronor (exklusive moms).

Exempel på åtgärder som debiteras utöver löpande leverans:

Krav på revision för efterlevnad av avtal - 40 timmar

Krav på genomförd självskattning (Supplier Self Assesment) - 40 timmar

Deltagande i riskanalys genomförd av kund - Löpande räkning

Krav om att UC genomför, dokumenterar och rapporterar riskanalys - 20 timmar

Krav om att UC tar fram och underhåller kundspecifik kontinuitetsplan - 40 timmar/år

Krav om kundunikt samverkansforum för uppföljning av leverans - Ersättning baserad på mötesfrekvens och representation från UC

 

Priserna gäller fr.om 2018-05-25

 

 

 

Kunskap & inspiration

Under våra 40 år i informationsbranschen har vi samlat på oss mycket kunskap och hjälpt många nöjda kunder att ta säkrare affärsbeslut. Här delar vi med oss av vad vi lärt oss och hoppas kunna inspirera dig!

Bli inspirerad!

Säkrare affärsbeslut

Större drömmar

Vi är UC. Sveriges ledande affärs- och kreditinformationsföretag. Vi samlar in och förädlar information så att den kan användas för att du ska kunna ta säkrare affärsbeslut. Säkrare affärsbeslut leder till att du eller ditt företag kan växa. Och ju mer du växer, desto större kan du drömma.