Last updated: 04.08.2023
This Data Processing Agreement ("Agreement") is entered between customers and partners ("Controller") and Kravia ("Kravia") (collectively referred to as the "Parties"). Kravia serves as the local entity specific to the country of your operations.
WHEREAS, Controller and Kravia have entered into a separate agreement or contract (the "Main Agreement") that requires the processing of personal data by Kravia on behalf of Controller; and
WHEREAS, the Parties wish to set out the terms and conditions governing the processing of personal data by Kravia on behalf of Controller, as required by applicable data protection laws and regulations.
1.1 "Personal Data" means any information relating to an identified or identifiable natural person, as defined by applicable data protection laws and regulations.
1.2 "Data Subject" means the individual to whom Personal Data relates.
1.3 "Processing" means any operation or set of operations performed on Personal Data, such as collection, recording, organization, structuring, storage, adaptation, alteration, retrieval, consultation, use, disclosure, dissemination, erasure, or destruction.
1.4 "Subprocessor" means any third party engaged by Kravia to process Personal Data on behalf of the Controller.
2.1 This Agreement applies to the processing of Personal Data by Processor on behalf of Controller, in connection with the performance of the obligations under the Main Agreement.
2.2 Kravia shall process personal data in connection with the provision of invoicing and debt collection services on behalf of the Data Controller. The processing shall include, but is not limited to, collection, storage, organization, adaptation, and use of personal data to execute debt collection orders, plan debt collection actions, conduct credit checks, and implement legal measures to protect rights and claims related to debt collection services.
2.3 The processing of personal data shall continue for as long as necessary to fulfill the purposes described above or as required by applicable legal requirements. Once the processing is no longer necessary or legal obligations cease, the personal data shall be deleted in accordance with relevant laws and data protection regulations.
2.4 For debt collection orders, personal data such as name, address, telephone number, and email address will be processed. In exceptional cases, personal identification numbers and relevant details related to the basis of the debt collection order may also be included. This information ensures contractual compliance, enables actions under debt collection laws to recover overdue debts, aids debt collection planning, credit checks, and legal measures to protect rights and claims.
2.5 The scope and duration of the processing agreed upon by the Parties are related to the validity of the service agreement for debt collection, considering legal requirements and potential storage obligations. Kravia's debt collection system processes the following personal data in accordance with the service agreement:
A. Personal data related to the identification and usernames of the Data Controller's owners/employees/representatives (e.g., name, nationality, date of birth). Additional details such as phone number, email address, address, personal identification numbers, and bank account information may be collected from individuals acting on their own behalf. This data is used with user consent for identification, tracking user activities, and accounting purposes.
Both Parties commit to providing Kravia with necessary and up-to-date information essential for the execution of the agreement or legally justified purposes.
3.1 The parties acknowledge their familiarity with the data protection regulation and its concepts, such as "data registry controller," "processor," and "personal data." They jointly commit to fulfilling the obligations associated with these concepts and rights. Kravia and the client both operate as data registry controllers under the regulation, independently responsible for meeting its requirements.
3.2 When implementing measures based on the service agreement, the parties ensure that personal data processing is legally justified. The client only provides necessary information to Kravia's service system and deletes any data without a valid basis for processing.
3.3 Kravia acts as the data registry controller for debt collection orders, ensuring compliance with relevant data protection legislation.
3.4 Regarding debt collection services, the client assumes responsibility for processing personal data and sharing it with Kravia in compliance with data protection laws. Kravia has the right to refuse processing or take necessary measures if data protection violations are detected, promptly notifying the client for joint resolution in a legal and appropriate manner.
3.5 Kravia maintains a description of the service and processing operations, including register contents, personal data types, storage periods, and other relevant details, as required by data security regulations. The parties mutually provide necessary information to demonstrate compliance with data protection obligations.
4. The personal data processed to implement the debt collection service must be treated as confidential, and the parties ensure that the persons entitled to process the personal data are committed to confidentiality and the statutory duty of confidentiality. The parties will ensure that appropriate technical and organizational measures and practices have been implemented to protect the confidentiality of confidential personal data.
5.1 Under the General Data Protection Regulation (GDPR), data subjects have the right to access, correct, delete incorrect information, and restrict processing.
5.2 The parties commit to cooperate effectively in implementing data subject rights. The client, as the invoicing registry controller, and Kravia, as the registrar and/or processor , are responsible for fulfilling their respective obligations under data security regulations. They also agree to provide reasonable technical or organizational assistance to each other in situations involving data stored in the debt collection system and the exercise of data subject rights. Prompt notification of data subject requests is required between the parties.
However, one party cannot act as a representative or in any legally relevant capacity for the other party when dealing with data protection authorities.
6.1 Kravia may engage Subprocessors to carry out specific processing activities on behalf of Controller. Kravia shall ensure that any Subprocessor engaged provides sufficient guarantees to implement appropriate technical and organizational measures in such a manner that the processing will meet the requirements of applicable data protection laws and regulations.
6.2 Kravia shall maintain an updated list of Subprocessors for data processing. If Controller has concerns about a Subprocessor, both Parties will collaborate in good faith to address them promptly.
7.1 Kravia shall implement and maintain appropriate technical and organizational measures to protect Personal Data against accidental or unlawful destruction, loss, alteration, unauthorized disclosure or access, as required by applicable data protection laws and regulations.
7.2 Kravia shall promptly notify Controller in the event of any unauthorized access, disclosure, or loss of Personal Data processed under this Agreement. Kravia shall also cooperate with Controller and take all necessary actions to mitigate the effects and minimize any damage resulting from such incident.
8. Kravia shall promptly notify Controller if it receives a request from a Data Subject regarding the exercise of their rights under applicable data protection laws. Kravia shall cooperate with Controller in responding to such requests and providing necessary information or assistance.
9. Kravia shall provide reasonable assistance to Controller, as necessary, in conducting data protection impact assessments or prior consultations with data protection authorities, where applicable.
10.1 This Agreement shall remain in effect as long as Kravia processes Personal Data on behalf of Controller under the Main Agreement.
10.2 Either Party may terminate this Agreement immediately in the event of a material breach by the other Party. Termination shall not affect any rights or obligations accrued prior to the termination.
11. This Agreement shall be governed by and construed in accordance with the laws of the relevant jurisdiction. Any disputes arising out of or in connection with this Agreement shall be resolved through amicable negotiations between the Parties.
12.1 Any modifications or amendments to this Agreement shall be in writing and signed by both Parties.
12.2 This Agreement constitutes the entire agreement between the Parties with respect to the subject matter hereof and supersedes all prior oral or written agreements, understandings, or representations.
Senast uppdaterad: 04.08.2023
Detta Dataavtal ("Avtalet") ingås mellan kunder och partners ("personuppgiftsansvarig") och Kravia ("Kravia") (gemensamt benämnda "Parterna"). Kravia agerar som den lokala enheten som är specifik för det land där dina verksamheter bedrivs.
MED BEAKTANDE, att personuppgiftsansvarig och Kravia har ingått ett separat avtal eller kontrakt (det "Huvudavtal") som kräver att Kravia behandlar personuppgifter på uppdrag av personuppgiftsansvarig; och
MED BEAKTANDE, att Parterna önskar fastställa villkoren och förutsättningarna för behandlingen av personuppgifter av Kravia på uppdrag av personuppgiftsansvarig, som krävs enligt tillämpliga dataskyddslagen och föreskrifter.
1.1 "Personuppgifter" avser all information som rör en fysisk person, i enlighet med gällande lagar och dataskyddsbestämmelser.
1.2 "Registrerad" avser den enskilda person som personuppgifterna avser.
1.3 "Behandling" avser alla åtgärder eller uppsättning av åtgärder som utförs på personuppgifter, såsom insamling, inspelning, organisering, strukturering, lagring, anpassning, ändring, hämtning, konsultation, användning, offentliggörande, spridning, radering eller förstöring.
1.4 "Underleverantör" avser någon tredje part som Kravia anlitar för att behandla personuppgifter på uppdrag av personuppgiftsansvarig.
2.1 Detta avtal gäller behandlingen av personuppgifter av underleverantören på uppdrag av personuppgiftsansvarig, i samband med utförandet av skyldigheterna enligt Huvudavtalet.
2.2 Kravia ska behandla personuppgifter i samband med tillhandahållandet av fakturerings- och indrivningstjänster på uppdrag av dataskyddsansvarig. Behandlingen ska inkludera, men är inte begränsad till, insamling, lagring, organisering, anpassning och användning av personuppgifter för att genomföra indrivningsorder, planera indrivningsåtgärder, genomföra kreditkontroller och vidta rättsliga åtgärder för att skydda rättigheter och krav relaterade till indrivningstjänster.
2.3 Behandlingen av personuppgifter kommer att fortsätta så länge det är nödvändigt för att uppfylla de ovan beskrivna syftena eller enligt tillämpade lagkrav. När behandlingen inte längre är nödvändig eller lagliga skyldigheter upphör, kommer personuppgifterna att raderas i enlighet med relevanta lagar och dataskyddsbestämmelser.
2.4 Vid indrivning kommer personuppgifter som namn, adress, telefonnummer och e-postadress att behandlas. I undantagsfall kan personnummer och relevanta uppgifter relaterade till grundvalen för indrivning också inkluderas. Denna information säkerställer avtalsmässig överensstämmelse, möjliggör åtgärder enligt skuldindrivningslagar för att återhämta förfallna skulder, underlättar planering av skuldindrivning, kreditkontroller och rättsliga åtgärder för att skydda rättigheter och fordringar.
2.5 Omfattningen och varaktigheten för behandlingen som Parterna har kommit överens om är kopplad till giltigheten av tjänsteavtalet för skuldindrivning, med beaktande av lagliga krav och eventuella lagringsåtaganden. Kravias system för skuldindrivning behandlar följande personuppgifter i enlighet med tjänsteavtalet:
A. Personuppgifter relaterade till identifiering och användarnamn för uppdragsgivarens ägare/anställda/representanter (t.ex. namn, nationalitet, födelsedatum). Ytterligare detaljer såsom telefonnummer, e-postadress, adress, personnummer och bankkontoinformation kan samlas in från personer som agerar på eget bevåg. Denna data används med användarens samtycke för identifiering, spårning av användaraktiviteter och i redovisningssyften.
Båda Parter åtar sig att tillhandahålla Kravia nödvändig och aktuell information som är väsentlig för genomförandet av avtalet eller lagligt motiverade ändamål.
3.1 Parterna erkänner sin bekantskap med dataskyddsförordningen och dess begrepp, såsom "personuppgiftsansvarig", "personuppgiftsbiträde" och "personuppgifter." De förbinder sig gemensamt att uppfylla de skyldigheter som är förknippade med dessa begrepp och rättigheter. Kravia och klienten fungerar båda som personuppgiftsansvariga under förordningen och är oberoende ansvariga för att uppfylla dess krav.
3.2 När åtgärder genomförs baserat på tjänsteavtalet ser Parterna till att behandlingen av personuppgifter är lagligt motiverad. Klienten tillhandahåller endast nödvändig information till Kravias tjänstesystem och raderar all data utan en giltig grund för behandling.
3.3 Kravia agerar som personuppgiftsansvarig för indrivning och säkerställer överensstämmelse med dataskyddslagen.
3.4 Avseende indrivningstjänster har klienten ansvaret för att behandla personuppgifter och dela dessa med Kravia i enlighet med dataskyddslagen. Kravia har rätt att vägra behandling eller vidta nödvändiga åtgärder om dataskyddsöverträdelser upptäcks och snabbt meddelar klienten för gemensam lösning på ett lagligt och lämpligt sätt.
3.5 Kravia upprätthåller en beskrivning av tjänsten och behandlingsåtgärder, inklusive registerinnehåll, personuppgiftstyper, lagringsperioder och andra relevanta detaljer, enligt krav från dataskyddslagen. Parterna tillhandahåller ömsesidigt nödvändig information för att kunna påvisa överensstämmelse med dataskyddsåtaganden.
4. Personuppgifterna som behandlas för att genomföra indrivning(en) måste behandlas som konfidentiella, och parterna ser till att de personer som har rätt att behandla personuppgifterna åtar sig sekretess och den lagstadgade tystnadsplikten. Parterna kommer att säkerställa att lämpliga tekniska och organisatoriska åtgärder och metoder har genomförts för att skydda konfidentiella personuppgifter.
5.1 Enligt den allmänna dataskyddsförordningen (GDPR) har registrerade rätt att få tillgång till, rätta och radera felaktig information samt begränsa behandlingen.
5.2 Parterna åtar sig att samarbeta effektivt för att genomföra de rättigheter som registrerade har. Klienten, som faktureringsansvarig, och Kravia, som personuppgiftsansvarig och/eller personuppgiftsbiträde för fakturering, är ansvariga för att uppfylla sina respektive skyldigheter enligt dataskyddslagen. De går också med på att ge varandra teknisk eller organisatoriskt stöd i situationer som rör data som lagras i indrivningstjänstens system och vid utövande av registrerades rättigheter. Parterna är skyldiga att omedelbart meddela varandra om förfrågningar från registrerade personer.
En part kan inte agera som representant eller i någon annan form för den andra parten när det gäller att hantera personuppgifter.
6.1 Kravia kan anlita personuppgiftsbiträden för att utföra specifika behandlingsåtgärder på uppdrag av personuppgiftsansvarig. Kravia ska säkerställa att varje personuppgiftsbiträde som anlitas tillhandahåller tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sätt som uppfyller kraven enligt dataskyddslagen.
6.2 Kravia ska upprätthålla en uppdaterad lista över personuppgiftsbiträden för dataskydd. Om dataskyddsansvarig har bekymmer angående ett personuppgiftsbiträde, kommer båda parter att samarbeta i god tro för att snabbt hantera dem.
7.1 Kravia ska genomföra och upprätthålla lämplig teknisk och organisatoriska åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig avslöjande eller åtkomst, i enlighet med gällande lagar och dataskyddsbestämmelser.
7. 2 Kravia ska omedelbart meddela personuppgiftsansvarig om obehörig åtkomst, avslöjande eller förlust av personuppgifter som behandlas enligt detta avtal. Kravia ska också samarbeta med personuppgiftsansvarig och vidta alla nödvändiga åtgärder för att mildra effekterna och minimera skador som uppstår till följd av en sådan händelse.
8. Kravia ska omedelbart meddela personuppgiftsansvarig om det erhåller en förfrågan från en Registrerad rörande utövande av deras rättigheter enligt tillämpliga dataskyddslagen. Kravia ska samarbeta med personuppgiftsansvarig för att besvara sådana förfrågningar och tillhandahålla nödvändig information eller hjälp.
9. Kravia ska bistå personuppgiftsansvarig med rimlig hjälp vid genomförande av bedömningar av dataskyddspåverkan eller förhandskonsultation med dataskyddsmyndigheter, när det är tillämpligt.
10.1 Detta avtal gäller så länge Kravia behandlar personuppgifter på uppdrag av personuppgiftsansvarig enligt Huvudavtalet.
10.2 Vardera part kan omedelbart säga upp detta avtal vid ett väsentligt avtalsbrott från den andra parten. Uppsägningen påverkar inte rättigheter eller skyldigheter som uppstått före uppsägningen.
11. Detta avtal ska följas och tolkas i enlighet med lagarna i den relevanta jurisdiktionen. Eventuella tvister som uppstår i samband med detta avtal ska lösas genom samarbetsförhandlingar mellan parterna.
12.1 Alla ändringar eller tillägg till detta Avtal ska vara skriftliga och undertecknas av båda Parter.
12.2 Detta avtal utgör hela avtalet mellan parterna avseende ämnet här och ersätter alla tidigare muntliga eller skriftliga avtal, förståelser eller framställningar.
Viimeisin päivitys: 04.08.2023
Tämä Tietojen käsittelysopimus ("Sopimus") tehdään asiakkaiden ja kumppaneiden ("Rekisterinpitäjä") sekä Kravian ("Kravia") välillä (yhteisesti "Osapuolet"). Kravia toimii paikallisena yksikkönä maassa, jossa liiketoimintanne tapahtuu.
KOSKA Rekisterinpitäjä ja Kravia ovat tehneet erillisen sopimuksen tai sopimuksen (pääsopimuksen), joka edellyttää Kravian suorittavan henkilötietojen käsittelyä Rekisterinpitäjän puolesta; ja
KOSKA Osapuolet haluavat määrittää ehdot ja rajoitukset, jotka koskevat Kravian suorittamaa henkilötietojen käsittelyä Rekisterinpitäjän puolesta, sovellettavien tietosuojalakien ja -säädösten edellyttämällä tavalla.
1.1 "Henkilötiedot" tarkoittavat kaikkia tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, kuten määritetty sovellettavissa olevissa tietosuojalaeissa ja -säädöksissä.
1.2 "Rekisteröity" tarkoittaa henkilöä, johon Henkilötiedot liittyvät.
1.3 "Käsittely" tarkoittaa mitä tahansa henkilötietoihin suoritettavaa toimenpidettä tai toimenpideryhmää, kuten tietojen keruuta, tallentamista, järjestämistä, rakenteistamista, säilyttämistä, sopeuttamista, muuttamista, hakemista, konsultointia, käyttämistä, luovuttamista, levittämistä, poistamista tai tuhoamista.
1.4 "Alakäsittelijä" tarkoittaa ketä tahansa kolmatta osapuolta, jota Kravia käyttää henkilötietojen käsittelyssä Rekisterinpitäjän puolesta.
2.1 Tämä Sopimus koskee Henkilötietojen käsittelyä Käsittelijän toimesta Rekisterinpitäjän puolesta, liittyen Pääsopimuksen mukaisiin velvollisuuksiin.
2.2 Kravia käsittelee henkilötietoja liittyen laskutus- ja perintäpalvelujen tarjoamiseen Tietojen käsittelijän puolesta. Käsittelyyn kuuluu, mutta ei rajoitu, henkilötietojen kerääminen, säilyttäminen, järjestäminen, sovittaminen ja käyttäminen perintämääräysten toteuttamiseksi, perintätoimien suunnittelemiseksi, luottotarkistusten tekemiseksi ja oikeustoimien toteuttamiseksi oikeuksien ja saatavien suojaamiseksi perintäpalveluihin liittyen.
2.3 Henkilötietojen käsittely jatkuu niin kauan kuin se on tarpeen edellä kuvattujen tarkoitusten täyttämiseksi tai sovellettavien laillisten vaatimusten mukaisesti. Kun käsittely ei ole enää tarpeellista tai lailliset velvoitteet päättyvät, henkilötiedot poistetaan soveltuvien lakien ja tietosuojasäännösten mukaisesti.
2.4 Velkareskontran määräyksiin liittyen käsitellään henkilötietoja, kuten nimi, osoite, puhelinnumero ja sähköpostiosoite. Poikkeustapauksissa voidaan käsitellä myös henkilötunnusta ja olennaisia tietoja, jotka liittyvät velkareskontran määräyksen perustaan. Tämä tieto varmistaa sopimustenmukaisuuden, mahdollistaa toimenpiteet velkareskontran lakeihin perustuvien saatavien perinnässä, auttaa velkareskontran suunnittelussa, luottotarkastuksissa sekä oikeudellisten toimenpiteiden toteuttamisessa oikeuksien ja vaatimusten suojelemiseksi.
2.5 Osapuolten sopimat käsittelyn laajuus ja kesto liittyvät velkareskontran palvelusopimuksen voimassaoloaikaan ottaen huomioon lailliset vaatimukset ja mahdolliset säilytysvelvoitteet. Kravian velkareskontran järjestelmä käsittelee seuraavia henkilötietoja palvelusopimuksen mukaisesti:
A. Rekisterinpitäjän omistajien/työntekijöiden/edustajien henkilötietoja ja käyttäjänimiä (esim. nimi, kansalaisuus, syntymäaika). Lisätietoja, kuten puhelinnumero, sähköpostiosoite, osoite, henkilötunnus ja pankkitilin tiedot, voidaan kerätä henkilöiltä, jotka toimivat omasta puolestaan. Tätä tietoa käytetään käyttäjän suostumuksella tunnistamiseen, käyttäjätoimintojen seurantaan ja kirjanpitotarkoituksiin.
Molemmat Osapuolet sitoutuvat toimittamaan Kravialle tarvittavat ja ajantasaiset tiedot, jotka ovat olennaisia sopimuksen toteuttamiseksi tai laillisesti perustelluissa tarkoituksissa.
3.1 Osapuolet tunnustavat olevansa perillä tietosuojasääntelystä ja sen käsitteistä, kuten "rekisterinpitäjä," "käsittelijä" ja "henkilötiedot." He sitoutuvat yhteisesti täyttämään näihin käsitteisiin ja oikeuksiin liittyvät velvoitteet. Kravia ja asiakas toimivat molemmat rekisterinpitäjinä sääntelyn mukaisesti, vastuussa itsenäisesti sen vaatimusten noudattamisesta.
3.2 Käyttöön otettavia toimenpiteitä toteutettaessa Osapuolet varmistavat, että henkilötietojen käsittely on laillisesti perusteltua. Asiakas toimittaa ainoastaan tarpeelliset tiedot Kravian palvelujärjestelmään ja poistaa kaikki tiedot, joille ei ole laillista käsittelyperustetta.
3.3 Kravia toimii rekisterinpitäjänä velkareskontran määräyksiin liittyvissä asioissa, varmistaen noudattavansa soveltuvia tietosuojalakeja.
3.4 Velkareskontran palvelujen osalta asiakas vastaa henkilötietojen käsittelystä ja jakaa ne Kravian kanssa tietosuojalainsäädännön mukaisesti. Kravialla on oikeus kieltäytyä käsittelystä tai toteuttaa tarvittavat toimenpiteet, jos tietosuojaloukkauksia havaitaan, ja ilmoittaa asiakkaalle välittömästi yhteisestä ratkaisusta laillisella ja asianmukaisella tavalla.
3.5 Kravia ylläpitää palvelun ja käsittelytoimenpiteiden kuvausta, sisältäen rekisterin sisällön, henkilötietotyypit, säilytysajat ja muut asiaankuuluvat tiedot, kuten vaatimukset tietoturvamääräyksissä. Osapuolet toimittavat tarvittavat tiedot toisilleen tietosuojavelvoitteiden noudattamisen osoittamiseksi.
4. Velkareskontran palvelun toteuttamiseksi käsiteltävät henkilötiedot on käsiteltävä luottamuksellisina, ja Osapuolet varmistavat, että henkilötiedot käsittäviä henkilöitä sitoo vaitiolovelvollisuus ja lakisääteinen salassapitovelvollisuus. Osapuolet takaavat, että asianmukaiset tekniset ja organisatoriset toimenpiteet ja käytännöt on otettu käyttöön luottamuksellisten henkilötietojen suojelemiseksi.
5.1 Yleisen tietosuoja-asetuksen (GDPR) mukaisesti rekisteröidyillä on oikeus saada pääsy, oikaista ja poistaa virheelliset tiedot sekä rajoittaa käsittelyä.
5.2 Osapuolet sitoutuvat tehokkaaseen yhteistyöhön rekisteröityjen oikeuksien toteuttamisessa. Asiakas, joka toimii laskutuksen rekisterinpitäjänä, ja Kravia, joka toimii laskun lähettäjänä ja/tai prosessoijana, ovat vastuussa omista velvollisuuksistaan tietoturvamääräyksissä. He sopivat myös tarjoavansa toisilleen kohtuullista teknistä tai organisatorista tukea tilanteissa, jotka liittyvät tietojen tallentamiseen velkareskontran palvelujärjestelmään ja rekisteröityjen oikeuksien käyttämiseen. Rekisteröityjen pyyntöjen välitön ilmoittaminen Osapuolten välillä on tarpeen.
Kuitenkin, yksi Osapuoli ei voi toimia toisen Osapuolen edustajana tai millään tavalla laillisesti merkityksellisenä asemana käsitellessään tietosuojaviranomaisia.
6.1 Kravia voi käyttää Alakäsittelijöitä suorittamaan tietyt käsittelytoimenpiteet Rekisterinpitäjän puolesta. Kravia varmistaa, että jokainen käytetty Alakäsittelijä antaa riittävät takuut asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamiseksi siten, että käsittely täyttää sovellettavien tietosuojalakien ja -säädösten vaatimukset.
6.2 Kravia ylläpitää päivitettyä luetteloa alihankkijoista tietojen käsittelyä varten. Jos Tietojen käsittelijällä on huolenaiheita alihankkijasta, molemmat osapuolet tekevät yhteistyötä hyvässä uskossa käsitelläkseen ne nopeasti.
7.1 Kravia toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi sattumalta tai laittomasti tapahtuvalta tuhoutumiselta, menetykseltä, muuttumiselta, luvattomalta luovuttamiselta tai pääsyltä, kuten vaaditaan sovellettavissa olevissa tietosuojalaeissa ja -säädöksissä.
7.2 Kravia ilmoittaa välittömästi Rekisterinpitäjälle, mikäli henkilötietoja käsiteltäessä ilmenee luvaton pääsy, luovutus tai tietojen menetys. Kravia yhteistyössä Rekisterinpitäjän kanssa toteuttaa kaikki tarvittavat toimenpiteet lieventääkseen tapahtuman vaikutuksia ja minimoimaan mahdolliset vahingot.
8. Kravia ilmoittaa välittömästi Rekisterinpitäjälle, jos se saa pyynnön Rekisteröidyltä, joka koskee tämän oikeuksien käyttämistä sovellettavien tietosuojalakien mukaisesti. Kravia tekee yhteistyötä Rekisterinpitäjän kanssa vastatakseen tällaisiin pyyntöihin ja antaakseen tarvittavat tiedot tai avun.
9. Kravia antaa tarvittavaa apua Rekisterinpitäjälle tietosuojavaikutustenarviointien tai ennakkokonsultaatioiden suorittamisessa tietosuojaviranomaisten kanssa, jos se on sovellettavissa.
10.1 Tämä Sopimus pysyy voimassa niin kauan kuin Kravia käsittelee Henkilötietoja Rekisterinpitäjän puolesta Pääsopimuksen mukaisesti.
10.2 Kumpikin Osapuoli voi irtisanoa tämän Sopimuksen välittömästi toisen Osapuolen olennaisen rikkomuksen tapauksessa. Päättäminen ei vaikuta ennen päättymistä kertyneisiin oikeuksiin tai velvoitteisiin.
11. Tämä Sopimus on säädetty ja tulkittu soveltuvan lain mukaisesti. Tämän Sopimuksen aiheuttamiin riitoihin sovelletaan sovittelevia neuvotteluja Osapuolten välillä.
12.1 Kaikki muutokset tai lisäykset tähän Sopimukseen on tehtävä kirjallisesti ja allekirjoitettava molempien Osapuolten toimesta.
12.2 Tämä Sopimus muodostaa kokonaisuudessaan Osapuolten välisen sopimuksen tässä tarkoitetusta aiheesta ja korvaa kaikki aiemmat suulliset tai kirjalliset sopimukset, ymmärrykset tai esitykset.
Sist oppdatert: 04.08.2023
Denne databehandlingsavtalen ("Avtale") er inngått mellom kunder og partnere ("Behandlingsansvarlig") og Kravia ("Kravia") (samlet omtalt som "Partene"). Kravia fungerer som den lokale enheten spesifikk for landet der virksomheten deres opererer.
ETTERSOM Behandlingsansvarlig og Kravia har inngått en egen avtale eller kontrakt (hovedavtalen) som krever at Kravia behandler personopplysninger på vegne av Behandlingsansvarlig; OG
ETTERSOM Partene ønsker å fastsette vilkårene som styrer behandlingen av personopplysninger av Kravia på vegne av Behandlingsansvarlig, som kreves av gjeldende lover og regler om databeskyttelse.
1.1 "Personopplysninger" betyr all informasjon som gjelder en identifisert eller identifiserbar fysisk person, som definert av gjeldende lover og regler om databeskyttelse.
1.2 "Registrert" betyr den enkeltpersonen som personopplysningene gjelder.
1.3 "Behandling" betyr enhver operasjon eller gruppe av operasjoner som utføres på personopplysninger, som for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning, endring, gjenfinning, konsultasjon, bruk, utlevering, spredning, sletting eller ødeleggelse.
1.4 "Databehandler" betyr enhver tredjepart som Kravia engasjerer til å behandle personopplysninger på vegne av Behandlingsansvarlig.
2.1 Denne avtalen gjelder for behandlingen av personopplysninger av Databehandler på vegne av Behandlingsansvarlig, i forbindelse med utførelsen av forpliktelsene i Hovedavtalen.
2.2 Kravia skal behandle personopplysninger i forbindelse med utførelsen av fakturerings- og inkassotjenester på vegne av Behandlingsansvarlig. Behandlingen vil omfatte, men begrenser seg ikke til, innsamling, lagring, organisering, tilpasning, og bruk av personopplysninger for å gjennomføre inkassobestillinger, planlegge inkassotiltak, gjennomføre kredittsjekker, og iverksette juridiske tiltak for å beskytte rettigheter og krav knyttet til inkassotjenesten.
2.3 Behandlingen av personopplysninger vil fortsette så lenge som nødvendig for å oppfylle formålet som er beskrevet ovenfor eller i henhold til gjeldende lovkrav. Når behandlingen ikke lenger er nødvendig, eller dersom lovmessige forpliktelser opphører, skal personopplysningene bli slettet i tråd med gjeldende lover og regler om databeskyttelse.
2.4 For inkassobestillinger vil personopplysninger som navn, adresse, telefonnummer og e-postadresse bli behandlet. I eksepsjonelle tilfeller kan personnummer og relevante detaljer knyttet til grunnlaget for inkassobestillingen også bli inkludert. Denne informasjonen sikrer kontraktsmessig oppfyllelse, muliggjør tiltak basert på inkassoloven for å kreve inn forfalte gjeld, bistår i inkassoplanlegging, kredittsjekker og juridiske tiltak for å beskytte rettigheter og krav.
2.5 Behandlingens omfang og varighet som er avtalt av Partene, er knyttet til gyldigheten av tjenesteavtalen for inkasso, med tanke på lovkrav og potensielle lagringsforpliktelser. Kravias inkassosystem behandler følgende personopplysninger i henhold til tjenesteavtalen:
A. Personopplysninger knyttet til identifikasjon og brukernavn til eiere/ansatte/representanter av oppdragsgiveren (for eksempel navn, nasjonalitet, fødselsdato). Ytterligere detaljer som telefonnummer, e-postadresse, adresse, personnummer og bankkontoinformasjon kan bli samlet inn fra enkeltpersoner som handler på egne vegne. Disse opplysningene brukes med brukernes samtykke for identifikasjon, sporing av brukeraktiviteter og regnskapsformål.
Begge parter forplikter seg til å gi Kravia nødvendig og oppdatert informasjon som er nødvendig for utførelsen av avtalen eller lovmessig begrunnede formål.
3.1 Partene erkjenner at de er kjent med databeskyttelsesregler og dets begreper, som "databehandlingsansvarlig," "databehandler" og "personopplysninger." De forplikter seg felles til å oppfylle forpliktelsene knyttet til disse begrepene og rettighetene. Kravia og klienten opererer begge som databehandlingsansvarlige i henhold til reglene, uavhengig ansvarlige for å oppfylle kravene.
3.2 Når tiltak basert på tjenesteavtalen blir implementert, sørger Partene for at behandlingen av personopplysninger er lovlig begrunnet. Klienten gir kun nødvendig informasjon til Kravias tjenestesystem og sletter alle data uten gyldig grunnlag for behandling.
3.3 Kravia fungerer som databehandlingsansvarlig for inkassobestillinger og sikrer overholdelse av relevante lover om databeskyttelse.
3.4 Når det gjelder inkassotjenester, påtar klienten seg ansvaret for behandling av personopplysninger og deling av dette med Kravia i samsvar med lover om databeskyttelse. Kravia har rett til å nekte behandling eller iverksette nødvendige tiltak hvis brudd på databeskyttelse blir oppdaget, og raskt informere klienten for felles løsning på en lovlig og passende måte.
3.5 Kravia opprettholder en beskrivelse av tjenesten og behandlingsprosesser, inkludert registerinnhold, typer personopplysninger, lagringsperioder og andre relevante detaljer, som kreves av lover om datasikkerhet. Partene gir gjensidig nødvendig informasjon for å demonstrere overholdelse av forpliktelser om databeskyttelse.
4. Personopplysningene som behandles for å gjennomføre inkassotjenesten, må behandles som konfidensielle, og Partene sikrer at personer som er autorisert til å behandle personopplysningene, forplikter seg til taushetsplikt og lovfestet taushetsplikt. Partene sørger for at passende tekniske og organisatoriske tiltak og praksis er implementert for å beskytte konfidensialiteten av konfidensielle personopplysninger.
5.1 I henhold til den generelle personvernforordningen (GDPR) har registrerte rett til å få tilgang til, korrigere og slette uriktige opplysninger og begrense behandlingen.
5.2 Partene forplikter seg til å samarbeide effektivt for å oppfylle rettighetene til registrerte. Klienten, som ansvarlig for faktureringen, og Kravia, som registerfører og/eller databehandler for faktura til betaling, er ansvarlige for å oppfylle sine respektive forpliktelser i henhold til regler om datasikkerhet. De enes også om å gi rimelig teknisk eller organisatorisk hjelp til hverandre i situasjoner som involverer data lagret i inkassotjenestesystemet og utøvelsen av registrertes rettigheter. Partene må gi hverandre rask melding om henvendelser fra registrerte.
Imidlertid kan ikke én part handle som representant eller i noen juridisk relevant kapasitet for den andre parten i forhold til datatilsynsmyndighetene.
6.1 Kravia kan engasjere Databehandlere for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig. Kravia skal sørge for at enhver Databehandler som engasjeres, gir tilstrekkelige garantier for å implementere passende tekniske og organisatoriske tiltak på en måte som oppfyller kravene i gjeldende lover og regler om databeskyttelse.
6.2 Kravia skal opprettholde en oppdatert liste over databehandlere for datahåndtering. Hvis Datavernansvarlig har bekymringer knyttet til en databehandler, vil begge parter samarbeide i god tro for å håndtere dem raskt.
7.1 Kravia skal implementere og opprettholde passende tekniske og organisatoriske tiltak for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering eller tilgang, som kreves av gjeldende lover og regler om databeskyttelse.
7.2 Kravia skal umiddelbart varsle Behandlingsansvarlig i tilfelle uautorisert tilgang, utlevering eller tap av personopplysninger som behandles i henhold til denne Avtalen. Kravia skal også samarbeide med Behandlingsansvarlig og iverksette alle nødvendige tiltak for å begrense konsekvensene og minimere eventuelle skader som følge av en slik hendelse.
8. Kravia skal umiddelbart varsle Behandlingsansvarlig dersom det mottar en henvendelse fra en Registrert angående utøvelse av deres rettigheter i henhold til gjeldende lover om databeskyttelse. Kravia skal samarbeide med Behandlingsansvarlig for å svare på slike henvendelser og gi nødvendig informasjon eller hjelp.
9. Kravia skal gi rimelig assistanse til Behandlingsansvarlig, når det er nødvendig, for å gjennomføre databeskyttelseskonsekvensvurderinger eller konsultasjoner med databeskyttelsesmyndigheter, når det er aktuelt.
10.1 Denne Avtalen skal være gjeldende så lenge Kravia behandler personopplysninger på vegne av Behandlingsansvarlig i henhold til Hovedavtalen.
10.2 Enhver Part kan si opp denne Avtalen umiddelbart i tilfelle en vesentlig mislighold fra den andre Parten. Oppsigelse skal ikke påvirke noen rettigheter eller forpliktelser som er opparbeidet før oppsigelsen.
11. Denne Avtalen skal være underlagt og tolkes i samsvar med lovene i den aktuelle jurisdiksjon. Enhver tvist som oppstår i forbindelse med denne Avtalen, skal løses gjennom vennlige forhandlinger mellom Partene.
12.1 Enhver endring eller tillegg til denne Avtalen skal være skriftlig og undertegnet av begge Partene.
12. 2 Denne Avtalen utgjør hele avtalen mellom Partene med hensyn til emnet herav og erstatter alle tidligere muntlige eller skriftlige avtaler, forståelser eller representasjoner.