Mash – Allmänna Avtalsvillkor


1. DEFINITIONER

1.1. Med ”Avtal” avses dessa allmänna villkor, inklusive dess bilagor, som är gällande mellan Mash och Partnern.
1.2. Med ”Handelsplatser” avses Partnerns fysiska affärslokal och/eller nätbutik.
1.3. Med “Konfidentiell Information” avses all material och information som Parten har mottagit av annan Part i samband med detta Avtal, eller som den andra parten har beviljats tillgång till, och som markerats som konfidentiellt eller som av sin natur borde förstås vara konfidentiellt.
1.4. Med “Kund” avses en konsumentkund till en Avtalspart som vid köp av Tjänst som betalningsmedel använder av Mash erbjuden Mash-service och som en följd av en godkänd kreditansökan blir kund hos Mash.
1.5. Med ”Mash” avses Mash Sweden AB, org.nr 556866-8387.
1.6. Med ”Mash Business” avses det elektroniska uppföljningssystem för betalningstransaktioner som Mash tillhandahåller Partnern.
1.7. Med ”Mash-service” avses de finansiella tjänster som tillhandahålls av Mash med vars hjälp Kunden på Handelsplatserna kan välja att betala antingen via faktura och/eller delbetalning.
1.8. Mash och Partnern benämns gemensamt ”Avtalsparter” eller ”Parter” och var och en enskilt ”Avtalspart” eller ”Part”.
1.9. Med ”Partnern” avses försäljare som säljer produkter eller tjänster och tillämpar de betalningsmetoder Mash erbjuder.
1.10. Med ”Servicevillkor” avses Mash gällande Servicevillkor (se Mash – Servicevillkor).
1.11. Med “Tjänster” avses produkter och tjänster som Partnern säljer till Kunden.


2. BAKGRUND OCH PARTERNAS ALLMÄNNA FÖRPLIKTELSER


2.1. Mash är ett konsumentkreditinstitut som står under tillsyn av Finansinspektionen. Mash erbjuder bl.a. konsumenter finansiering via faktura och/eller delbetalning. Partnern är ett företag som säljer varor och/eller tjänster. Kunderna till en sådan finansiering utgörs av konsumenter, som i samband med köp av olika varor och tjänster från Partnern, önskar finansiering av dessa köp. Partnern har behov av att erbjuda potentiella Kunder ovan nämnda finansieringslösningar. Parterna har därför ingått detta avtal varigenom Mash tillhandahåller finansieringsmöjligheter som kan erbjudas potentiella Kunder till Partnern.


2.2. Parterna ska alltid agera i god tro och lojalt mot varandra för att uppnå de i Avtalet uppsatta målen. Om en Part får kännedom om faktorer som kan förhindra eller försvåra användningen av Mash-servicen, eller om denne har anledning att misstänka att genomförandet av Mash-servicen eller dess slutresultat skulle försvåras, ska Parten informera den andra Parten om saken.


2.3. Parterna ska utföra åtagandena under Avtalet med erforderlig omsorg, sakkunnigt och inom den överenskomna tidsplanen eller, i det fall ingen tidsplan har avtalats, inom skälig tid.


2.4. Om Kunden bestrider betalningsskyldigheten ska Parterna omedelbart underrätta varandra om det inträffade. Partnern ska informera Mash om eventuella återbetalningar eller andra former av kompensation relaterade till Tjänsten i enlighet med punkt 3.14 nedan.


2.5. Samarbetet under Avtalet är inte exklusivt. Mash har rätt att erbjuda tjänsten till andra aktörer och Partnern har rätt att erbjuda andra finansieringsalternativ. Partnern får dock inte framhäva andra finanseringstjänster på ett mer framträdande sätt än Mash-servicen vad gäller marknadsföring och liknande.


3. PARTNERNS UPPGIFTER OCH FÖRPLIKTELSER


3.1. Partnern ansvarar för integreringen av Mash-servicen på Handelsplatsen genom att ansluta de till Mash-servicen valda gränssnitten för kreditansökan, kreditprövning och betalning på Partnerns Handelsplats. Partnern ansvarar för att uppdateringar sker och säkerställer att integreringen kontinuerligt uppfyller de tekniska krav som ställts.


3.2. Partnern ska erbjuda Kunden Mash-servicen som betalningsalternativ på alla sina Handelsplatser. Information om Mash-servicen som betalningsalternativ ska tillhandahållas på ett för Kunden lättillgängligt sätt innan Kunden genomför köpet. Mash har möjlighet att tillhandahålla Partnern specifikt marknadsföringsmaterial. Om Handelsplatsen är en nätbutik ska Partnern marknadsföra Mash-servicen genom att visa Mash logotypen på sin hemsida för nätbutiken tillsammans med information om Mash-servicen.


3.3. Partnern ska efter överenskommelse erbjuda Mash annonseringsutrymme (banner) på sin webbplats. De kommersiella villkoren för denna ska överenskommas separat mellan Parterna.


3.4. Mash utför en kreditprövning av Kunden med beaktande av den information Partnern och Kunden tillhandahåller. Mash äger efter enligt gottfinnande bevilja eller avslå en kreditansökan. Partnern får under inga omständigheter tillhandahålla Mash-servicen till en Kund som har fått avslag på kreditprövningen.


3.5. Vid kreditprövningen enligt punkt 3.3 ovan används automatiskt beslutsfattande. Det åligger Partnern att tillhandahålla Kunden information om att automatiserat beslutsfattande används samt i övrigt upplysa Kunden om den personuppgiftshantering som sker. Detta ska ske genom att Partnern tillhandahåller Kunden Mash:s vid var tid gällande personuppgiftspolicy. Mash ansvar i denna del i förhållande till Partnern framgår av punkt 4.2 nedan.


3.6. Partnern ansvarar för att Kunden samtycker till de allmänna kundvillkoren som ska gälla mellan Mash och Kunden (”Allmänna Kundvillkoren”), som Mash och Partnern genom Avtalet kommit överens om, samt i förekommande fall godkänner äganderätts- och återtaganderättsförbehåll. Allmänna Kundvillkoren ska finnas åtkomliga för Kunden i direkt samband med köp och Kunden ska ta del av dessa innan Mash-servicen tillhandahålls.


3.7. Partnern ansvarar för att Kunden tillhandahålls information enligt konsumentkreditlagen (2010:1846). Informationen ska tillhandahållas Kunden enligt formuläret ”Standardiserad Europeisk Konsumentkreditinformation”. Mash ansvar i denna del i förhållande till Partnern framgår av punkt 4.2 nedan. Partnern förbinder sig att i enlighet med Mash instruktioner informera Kunderna om till exempel faktureringstillägg och övriga faktorer gällande Mash-servicen.


3.8. Partnern ska även iaktta följande:
a) Partnern ska marknadsföra sina produkter och Mash finansieringstjänster enligt gällande lagar, förordningar och föreskrifter samt i enlighet med god bransch- och affärssed,
b) Partnern ska tillse att information som överförs till Mash inte utgör intrång i tredje mans rätt eller på annat sätt strider mot gällande lagstiftning.


3.9. Partnern ansvarar fullt ut för iakttagande av de lagar och regler som gäller för köpet mellan Kunden och Parten och för att Kunden har tillgång till information om konsumenters rättigheter, bl.a. enligt konsumentköplagen (1990:932), konsumenttjänstlagen (1985:716) samt i förekommande fall enligt lagen om distansavtal och avtal utanför affärslokaler (2005:59).


3.10. Partnern ska vid användningen av Mash-servicen följa Mash:s servicevillkor (”Servicevillkor”). Mash har rätt att ändra sina Servicevillkor om det är nödvändigt på grund av ändrad lagstiftning eller av kommersiella skäl. Om Mash anser att ändringarna av Servicevillkoren har väsentlig negativ inverkan på Avtalsparts ställning ska dock Mash informera Partnern om dessa trettio (30) dagar innan ändringarna träder i kraft. Om ändringarna har en väsentligt negativ inverkan på Avtalsparts ställning, har Partnern rätt att inom sju (7) dagar efter meddelande om ändring skriftligen säga upp Avtalet från och med det att ändringen träder i kraft.


3.11. Partnern ansvarar även för tillhandahållande och genomförande av övriga uppgifter som anges i Servicevillkoren.


3.12. Partnern ska utse de personer inom Partnern som har rätt och behörighet att använda Mash Business och är skyldig att informera Mash om samtliga ändringar avseende sådan användarbehörighet. Partnern ansvarar för att de användarnamn och de lösenord som Parten tillhandahållits inte kommer obehöriga tillhanda samt för att de används korrekt och förvaras säkert.


3.13. Partnern har inte rätt att överlåta användarnamn och lösenord till andra än angivna användarbehöriga utan Mash skriftliga samtycke. Mash har rätt att blockera användarnamn och lösenord med omedelbar verkan efter uppsägningen av Avtalet eller om det upptäcks att användarnamn och lösenord kommit till utomståendes kännedom eller annars vid användning som strider mot Avtalet eller Servicevillkoren. Partnern förbinder sig att omedelbart informera Mash om förlust eller missbruk av användarnamn eller lösenord.


3.14. För det fall Kunden returnerar Tjänsten i enlighet med konsumentköplagen, (1990:932) eller annan tvingande lagstiftning eller om köpet hävts av annan orsak, till exempel på grund av fel i Tjänsten, ansvarar Partnern för att det krediterade priset för Tjänsten och andra identifieringsuppgifter för köpet, utan ogrundat dröjsmål även registreras i Mash Business. Mash kommer att notera den krediterade eller uppsagda Tjänstens andel i beloppet som Mash i enlighet med punkt 4.6 nedan betalar till Partnern och dra av det mot kommande betalningar. Om nya betalningar till Partnern inte genererats inom 14 kalenderdagar efter återlämnandet eller uppsägningen av Tjänsten som orsakat ett negativt saldo, debiterar Mash summan för det negativa saldot och Partnern ska utan dröjsmål betala den angivna summan till det på fakturan angivna kontonumret.


3.15. Partnern har inte rätt att använda Mash-servicen för icke lagliga eller oetiska ändamål. Partnern förbinder sig också att i övrigt följa de lagar, förordningar och föreskrifter som rör affärsverksamheten, och då särskilt tillämplig konsument- och dataskyddslagstiftning och lagstiftning om åtgärder mot penningtvätt. Partnern ansvarar för tillhandahållandet av Tjänster och andra åtaganden till Kunden i enlighet med för affärsverksamheten gällande lagar och allmän marknadspraxis.


4. MASH UPPGIFTER OCH FÖRPLIKTELSER


4.1. Efter att Avtalet har undertecknats ansluter Mash Partnern till Mash Business och överlämnar vid behov användarnamn och lösenord.


4.2. Mash ansvarar för att Partnern tillhandahålls formuläret ”Standardiserad Europeisk Konsumentkreditinformation” och vid var tid gällande personuppgiftspolicy.  


4.3. Mash ansvarar för det med Kunden avtalade kreditavtalet, utförande av kreditkontrollen och indrivning av fordran och andra avgifter från Kund som använt Mash-servicen för betalning av Tjänster och därmed ingått ett kreditförhållande med Mash.


4.4. Mash debiterar inte Partnern någon kostnad för tillhandahållandet av Mash-servicen.


4.5. Förutsatt att Partnern har uppfyllt åtagandena i detta Avtal samt Mash:s Servicevillkor, särskilt vad gäller identitetskontroll och information från Kunden, bär Mash den finansiella risken för Mash-servicen.


4.6. Mash krediterar köpesumman för Kundens köp hos Partnern via Mash-servicen till Partnern inom två (2) bankdagar efter att Partnern har informerat Mash om leveransen av överenskomna produkter eller tjänster. Fordringarna betalas till det bankkonto Partnern har angivit. Betalningarna görs i svenska kronor. Om Partnern i ett senare skede önskar byta bankkonto, ska Partnerns kontaktperson kontakta Mash kundtjänst.


4.7. Om köpet annulleras eller upphävs ska Partnern kreditera Mash i enlighet med punkt 3.14 ovan.


4.8. Om Kunden bestrider sin betalningsskyldighet för Tjänsterna ska Partnern och Kunden hantera ärendet eller konflikten i enlighet med Partnerns försäljningsvillkor och tvingande lagstiftning. Om ärendet görs upp till förmån för Kunden, tillämpas mellan Mash och Partnern vad som avtalats i punkt 4.10 och 4.14 nedan i dessa Allmänna Villkor.


4.9. Mash lämnar inga garantier eller försäkringar avseende tillgängligheten eller funktionaliteten hos Mash-servicen. Mash strävar efter att korrigera fel som upptäcks i Mash-servicen inom skälig tid. Mash har dock inget ansvar för integreringen av Mash-servicen på Handelsplatsen eller Mash-servicens kompatibilitet med tredjepartstjänster.


4.10. Utöver det som angivits i punkt 4.7 ovan har Mash rätt till ersättning av Partnern om Mash redan har betalt fordringen till Partnern i enlighet med punkt 4.6 ovan eller på grund av tvingande lagstiftning varit tvungen att på Partnerns vägnar kreditera Kunden och:
4.11. (i) Kunden har rätt att kvitta motkrav gällande fordringar som är relaterad till Tjänsterna mot Partnern,
4.12. (ii) Partnern inte har uppfyllt Mash Servicevillkor vid leverans av Tjänsten och Kunden hävdar att denne inte har erhållit Tjänsten, eller
4.13. (iii) Kunden bestrider den till Tjänsten kopplade fordringen och ärendet görs upp till förmån för Kunden.
4.14. Partnern förbinder sig att ersätta Mash för de skäliga kostnader som Mash har förorsakats under punkterna 4.10 (i)-(iii) ovan enligt krona mot krona-principen som annars inte skulle ha ålagts Mash.


5. PERSONUPPGIFTER OCH DATASKYDD


5.1. Parterna är införstådda med att Avtalets samarbete förutsätter överföring av personuppgifter mellan Parterna. Parterna är införstådda med att både Partnern och Mash upprättar en självständig kundrelation med Kunden och båda Parter agerar således som personuppgiftsansvariga för sin egen behandling och registerföring (enligt definitionen i EUs Dataskyddsförordning 2016/679).


5.2. Utöver det ovan angivna agerar dock Partnern som biträde vid behandlingen av Kundens personuppgifter (enligt definitionen i EUs Dataskyddsförordning 2016/679) då de samlar in personuppgifter från Kunden för Mash:s räkning. Parterna har därför ingått ett personuppgiftsbiträdesavtal för Partnerns behandling av dessa personuppgifter (se Mash – Dataskyddsbilaga)


5.3. Utöver detta ansvarar Parten för åtagandena i 3.5 ovan kring att tillhandahålla Kunden information kring automatiserat beslutsfattande vid kreditprövning och information om personuppgiftsbehandlingen i form av Mash personuppgiftspolicy.


6. SEKRETESS M.M.


6.1. Parterna förbinder sig att under avtalstiden och under två år därefter inte utan den andra Partens föregående skriftliga medgivande avslöja Konfidentiell Information för tredje part eller på annat sätt använda sådan information för något annat ändamål än för detta Avtals ändamål. För internt bruk åtar sig Part att tillgängliggöra Konfidentiell Information endast för de personer som behöver denna i sitt arbete (”need to know-basis”)


6.2. Ingenting i detta sekretessåtagande ska förhindra Part från att avslöja information: a) i den utsträckning mottagande Part behöver använda eller avslöja sådan information i syfte att tillvarata sina intressen gentemot den andra Parten i anledning av en tvist härrörande ur detta Avtal eller för att annars tillvarata eller verkställa rättighet enligt detta Avtal;
b) som var känd för eller redan fanns tillgänglig för Part vid mottagande från den andra Parten;
c) som vid tidpunkten för mottagande från den andra Parten är, eller därefter blir, allmänt känd eller tillgänglig för allmänheten på annat sätt än genom brott mot detta Avtal;
d) som Part självständigt och i god tro mottar från tredje man utan restriktioner vad avser dess avslöjande;
e) som självständigt utvecklas av en anställd som inte tagit del av Konfidentiell Information; eller
f)  som Part är skyldig att avslöja enligt lag, författning, börsreglering eller myndighets beslut, under förutsättning att den Part som således är förpliktad omgående ska meddela den andra Parten därom och göra sitt bästa för att begränsa omfattningen av avslöjandet.


Part som gör gällande att någon av ovanstående undantagsbestämmelser är tillämplig har bevisbördan för att så är fallet.


6.3. Part förbinder sig att tillse att Parts anställda inte till utomstående vidarebefordrar Konfidentiell Information. Det åligger därvid Part att tillse att anställda och andra som kan antas komma i kontakt med Konfidentiell Information är bundna att hemlighålla denna i samma utsträckning som Part enligt detta Avtal. Om Partnerns anställda, skulle bryta mot villkoren i detta Avtal, ska Partnern ansvara för sådant avtalsbrott.


6.4. Part ska med omedelbar verkan upphöra med användningen av den andra Partens Konfidentiella Information om Avtalet upphör eller, om Parten inte längre behöver tillgång till Konfidentiell Information för Avtalets syfte. Parten ska också returnera och/eller förstöra, på den andra Partens skriftliga begäran, material som den andra Part har delgett och som är att anse som Konfidentiell Information. Båda Parter ar dock rätt att behålla en kopia av sådant material i den mån tvingande lagstiftning kräver det.


6.5. Information angående Parternas samarbete får uttryckas i allmänna ordalag på Partens webbplats eller i annan av Parten använd marknadsföringskanal, enligt närmare överenskommelse mellan Parterna. Partnern ger i och med detta Avtal Mash rätt att till dess att Avtalet upphör använda Avtalspartens namn och logo i Mash digitala samt övriga marknadsföringskanaler i ovan angivna syfte. Mash ger i och med detta Avtal Partnern rätt att till dess att Avtalet upphör använda Mash:s namn och varumärke för att marknadsföra tjänsten till Kunder. Denna punkt 6 (med undantag för punkt 6.5 ovan) ska fortsätta äga giltighet även efter Avtalets upphörande.


7. AVTALSTID OCH UPPSÄGNING


7.1. Detta Avtal träder i kraft i och med undertecknandet. Avtalet gäller tillsvidare.


7.2. Detta Avtal kan skriftligen sägas upp av båda Parter med iakttagande av tre (3) månaders uppsägningstid. För det fall Mash har skälig anledning att anta att Partnern bryter mot Avtalet ska Partnern på begäran av Mash omedelbart tillhandahålla den information som krävs för att avgöra om ett avtalsbrott har begåtts.


7.3. Vardera Part har rätt att skriftligen säga upp Avtalet med omedelbar verkan om:
a) den andra Parten blir insolvent eller föremål för ansökan om eller försätts i konkurs eller likvidation eller ställer in eller upphör med sina betalningar eller påbörjar åtgärder för företagsrekonstruktion eller om Partens ekonomiska situation avsevärt försämras,
b) den andra Parten gör sig skyldig till väsentligt avtalsbrott eller upprepade gånger försummar sina avtalsförpliktelser och inte korrigerar sitt avtalsbrott inom trettio (30) dagar från det att ett skriftligt meddelande om brottet har skickats till den Part som begått avtalsbrottet.
c) Avtalets genomförande försenas i mer än nittio (90) dagar i enlighet med i punkt 9.2 nedan beskriven force majeure,


7.4. Om Samarbetsparten använder Mash-servicen via tredje parts betalterminal eller nätbetalning, har Mash rätt att säga upp Avtalet med omedelbar verkan, om Avtalsavtalet mellan Mash och tredje part upphör.


8. ANSVARSBEGRÄNSNING


8.1. Fordringar och krav enligt detta Avtal ska framställas inom skälig tid efter det att felet har eller borde ha upptäckts. Rätten att göra gällande fordringar och krav upphör helt om Part inte framställt fordringen eller kravet senast inom ett (1) år efter att felet eller överträdelsen upptäckts eller borde ha upptäckts.


8.2. Ingen Part ansvarar för indirekta skador.


8.3. Mash sammanlagda ansvar för direkta skador under detta Avtal är begränsat till femtio tusen (50 000) kronor eller till det lägre belopp Mash har utbetalat till Partnern under föregående kalendermånad.


8.4. Ansvarsbegränsningen i denna punkt 8 äger dock inte tillämplighet om skadan har orsakats av grov oaktsamhet, uppsåt eller på grund av överträdelse av sekretessåtagandena i punkt 6.


9. ALLMÄNNA BESTÄMMELSER


9.1. Överlåtelse av avtal
Part får inte överlåta detta Avtal eller dess rättigheter eller förpliktelser utan föregående skriftliga samtycke av den andra Parten. Mash har dock rätt att fritt överlåta detta Avtal samt dess rättigheter och förpliktelser till bolag inom samma koncern.


9.2. Force majeure
Part är befriad från ansvar för underlåtenhet att fullgöra förpliktelse enligt detta Avtal om underlåtenheten beror på omständighet utom Parts kontroll såsom krig eller krigsliknande handling, myndighetsrestriktioner, brand, strejk, förbud, brister eller annan liknande händelse, under förutsättning att den drabbade Parten omedelbart skriftligen meddelar den andra Parten om händelsen. Arbetsmarknadskonflikter som är direkt hänförliga till en Part ska dock inte anses utgöra Force Majeure-händelse för den Parten.


9.3. Meddelanden
Meddelanden inom ramen för detta Avtal ska anses ha gjorts i enlighet med Avtalet, om de har gjorts skriftligen och skickats som rekommenderat brev eller på annat bevisligt sätt eller via e-post till mottagande Parts skriftligen meddelade adress.


9.4. Tolkning av avtalet och ogiltighet
Om någon del av Avtalet av domstol eller behörig myndighet anses vara ogiltigt eller overkställbart, påverkar detta inte giltigheten av Avtalets andra delar. Parterna ska vidta alla skäliga åtgärder, genom att förhandla i god anda och lojalt, för att ändra Avtalet på sådant sätt att dess mål är så nära målsättningen som möjligt som om de ogiltiga eller overkställbara villkoren varit i kraft.


10. LAGVAL OCH TVISTELÖSNING


10.1. Svensk rätt ska gälla för detta Avtal.


10.2. Tvist i anledning av detta Avtals tillkomst, tillämpning eller tolkning och rättsförhållanden ska slutligen avgöras av svensk domstol med Stockholms tingsrätt som första instans.


Dessa Servicevillkor för Partners rör leverans av Tjänster (produkter och tjänster) inom Sverige.
Mash förbehåller sig rätten att ändra servicevillkoren.

 

MASH - SERVICEVILKOR


1. ALLMÄNT


Partnern ska, på Mash begäran, tillhandahålla nödvändig information rörande en viss leverans eller ett köptillfälle, så snart som möjligt inom ramen för tvingande lagstiftning.


Om Mash misstänker bedrägeri i samband med leverans av Tjänst, ska Partnern försöka stoppa leveransen.


Partnern ska lagra eventuell information om leverans eller överlåtelse av Tjänst (till exempel försändelsekod, upphämtarens identifikation eller eventuell fullmakt) i minst 6 månader från tidpunkten för överlåtelsen.


2. KÖP I FYSISK LOKAL


Följande Servicevillkor ska följas, då köpet av en Tjänst sker i en fysisk lokal:


1. Kunden kan köpa Tjänsten och den kan överlåtas till denne endast om Partnern har kontrollerat Kundens personuppgifter med hjälp av en officiell identitetshandling (till exempel svenskt körkort) och personuppgifterna överensstämmer med uppgifterna i den av Mash godkända beställningen.


2. Partnern lagrar ett verifikat av överlåtelsen i 6 månader av vilken framgår Kundens namn, köpinformation, personbeteckningens slutdel samt Kundens underskrift.


3. Partnern förbinder sig att informera och utbilda sin personal om innehållet i och uppfyllandet av dessa Servicevillkor.


3. KÖP FRÅN NÄTBUTIK


Följande Servicevillkor ska följas, då köp av Tjänsten görs i en nätbutik:


1. Partnern kan inte ändra leveransadressen som godkänts av Mash vid beställningstillfället.


2. Varorna ska levereras i ett leveransformat som kan spåras (till exempel rekommenderat brev eller leverans försedd med försändelsekod).


3. Om Tjänsten tillhandahålls av annat logistikföretag än Posten ska Partnern försäkra sig om att företaget i fråga kontrollerar Kundens identitet innan överlämnande av Tjänsten. För överlämnandet av Tjänsten ska ett intyg nedtecknas, med information om försändelsens uppgifter, tidpunkten för produkternas överlämning, Kundens identifiering och Kundens (eller den befullmäktigades) underskrift. Partnern ska som logistikföretag välja en pålitlig logistikleverantör.


4. Om upphämtandet sker i Partnerns fysiska lokal, agerar Partnern såsom beskrivs i ”Köp i fysisk lokal”. Produkten kan dessutom upphämtas med fullmakt.  I detta fall ska den av Kunden befullmäktigade personen ha en fullmakt och den befullmäktigade ska kunna styrka sin identitet. Partnern ska lagra alla verifikat som rör ärendet (inkl. fullmakter) i 6 månader.

 

MASH - DATASKYDDBILAGA


1. DEFINITIONER


Med ”Behandling” avses vilken som helst åtgärd av Partnern, en part till denne, eller av underleverantörer som används för att behandla personuppgifter, såsom insamlande av information, lagring, sammanföring, ordnande, ändring, beräkning, analys, användning, som genomförs genom överlåtelse, distribution, tömning och radering.  Vid behov kan instruktioner och praxis för behandling överenskommas i en separat bilaga.


Med ”Personuppgiftsansvarig” avses den fysiska eller juridiska person som definierar ändamålet och medlen för behandlingen av personuppgifter.


Med ”Personuppgiftsbiträde” avses den enhet som hanterar personuppgifter på uppdrag av den personuppgiftsansvarige.


Med ”Personuppgiftslagstiftning” avses EUs Dataskyddsförordning 2016/679, annan unionsrätt avseende behandling av personuppgifter, kompletterande svensk dataskyddslagstiftning samt Tillsynsmyndighetens vid var tid gällande beslut, råd och rekommendationer.


Med ”Personuppgifter” avses sådana personuppgifter som Biträdet behandlar för Personuppgiftsansvarigs räkning i enlighet med denna bilaga. Personuppgifter är sådana uppgifter som utgör personuppgifter enligt vid var tid gällande personuppgiftslagstiftning.


Med ”Personuppgiftsincident” avses en säkerhetsöverträdelse som leder till ofrivillig eller olaglig förstörelse, förlust, förändring, otillåtet avslöjande eller användning av överlåtna, lagrade eller på annat sätt behandlade personuppgifter.


Med ”Registrerad” avses den fysiska person som en Personuppgift avser.


Med ”Standardklausuler” avses Europeiska kommissionens beslut 2010/87/EU av den 5 februari 2010 gällande standardklausuler som utarbetats i enlighet med EU-direktiv och de ändringar och tillägg som gjorts av Europeiska kommissionen om överlåtelse av ikraftvarande personuppgifter till personuppgiftsansvariga etablerade i tredjeländer.


Med ”Tjänster” avses de tjänster som Partnern i enlighet med Avtalet tillhandahåller Mash.


Med ”Tekniska och organisatoriska skyddsåtgärder” avses de åtgärder, vars uppgift är att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, otillåtet avslöjande eller användning, i synnerhet då processen innebär överföring av information via nätet, och samtliga andra otillåtna former av behandling.


Med ”Tillsynsmyndigheten” betyder den eller de myndigheter som utövar tillsyn avseende behandling av personuppgifter under Personuppgiftslagstiftningen. Vid tidpunkten för ingående av denna bilaga är Datainspektionen den myndighet som utövar sådan tillsyn i Sverige.


Med ”Tredje part” avses en annan fysisk eller juridisk person, inklusive den registrerade, officiell myndighet, institution eller annat organ som inte är den personuppgiftsansvarige eller personuppgiftsbiträde.


2. BEHANDLING AV PERSONUPPGIFTER


1.1. Parternas roller
Parterna förstår och accepterar att Mash är Personuppgiftsansvarig och Partnern Personuppgiftsbiträde i samband med Behandling av Personuppgifter i enlighet med denna Dataskyddsbilaga och i enlighet med den uppdelningen som framgår av punkten 5 i Avtalet.


1.2. Behandling av personuppgifter
Partnern förbinder sig att följa föreskrifterna i all Personuppgiftslagstiftning. Partnern måste också följa (och försäkra sig om att dess eventuella underleverantör följer) av Mash eller Tillsynsmyndigheten tillhandahållna skriftliga instruktioner gällande till exempel Behandlingen och skyddet och integriteten kring Personuppgifter. Partnern har inte rätt att kräva tilläggsavgifter för efterlevandet av dessa instruktioner i den mån instruktionerna är nödvändiga för att Mash eller Partnern ska uppfylla sina lagstadgade skyldigheter. Om Mash så önskar ska Partnern bistå Mash med konsekvensanalyser samt att konsultera Tillsynsmyndigheten innan någon Behandlingen av Personuppgifter sker om konsekvensanalysen visar på en hög risknivå.


Om annat inte följer av tvingande lagstiftning har Partnern inte rätt att använda eller Behandla Personuppgifter i något som helst annat syfte än det som bestämts eller instruerats av Mash. Partnern ska se till att Personuppgifterna hålls konfidentiella och erhåller inga rättigheter till Personuppgifterna. Partnern får inte under Avtalets giltighetstid eller därefter avslöja eller överlåta Personuppgifter eller möjliggöra åtkomst till dem eller dess användning till tredje part utan Mash skriftliga samtycke. För undvikande av missförstånd får dock Partnern överlåta Personuppgifter till av Mash på förhand skriftligt godkända underleverantörer i enlighet med Dataskyddsbilagans förpliktelser. Partnern får inte avslöja information som härrör från Personuppgifter eller använda sig av dem för egna ändamål.


1.3. Användning av underleverantörer
Partnern har inte rätt att använda sig av underleverantörer utan Mash föregående skriftliga samtycke. Om Mash har godkänt Partnerns användning av underleverantör eller underleverantörer för Behandling av Personuppgifter ska a) uppdraget i fråga överenskommas skriftligen mellan Partnern och underleverantören och b) underleverantören i underleverantörsavtalet följa minst samma nivå av förpliktelser som Partnern i enlighet med denna Dataskyddsbilaga och Avtal och gällande Personuppgiftslagstiftning. Partnern är fullt ut ansvarig gentemot Mash för underleverantörer.


1.4. Radering av uppgifter då Avtalet upphävs
Då Avtalet upphävs eller leveransen av Tjänsterna avslutas ska Partnern omedelbart återlämna alla Personuppgifter till Mash, och därefter radera Personuppgifterna från Partnerns datorutrustning använd för Behandling av Personuppgifter (inklusive lagringsmedia), programvara och databaser samt förse Mash med en skriftlig bekräftelse på att dessa åtgärder har genomförts. Partnern ska därtill försäkra sig om att dess underleverantörer utför motsvarande åtgärder.


1.5. Avslöjande av uppgifter
Partnern ska omgående informera Mash om eventuell myndighetsbegäran gällande Personuppgifter som den behandlar på uppdrag av Mash, förutsatt att inte tvingande lagstiftning förhindrar sådan anmälan. Partnern ska inte svara på sådana förfrågningar utan Mash föregående skriftliga samtycke.


3. ÖVERLÅTELSE AV PERSONUPPGIFTER


Partnern får inte  överlåta eller Behandla (och ska se till att inte heller dess underleverantörer överlåter eller Behandlar) Personuppgifter utanför EES utan Mash föregående skriftliga samtycke. Om Mash ger sitt samtycke till överlåtelse av Personuppgifter utanför EES-länderna ska Partnern försäkra sig om att de förpliktelser som gällande Personuppgiftslagstiftning föreskriver för Behandling av Personuppgifter utanför EES-länderna respekteras.


Då lagarna så kräver ska Partnern använda sig av korrekta Standardklausuler och säkerställa att dess underleverantörer gör detsamma. Standardklausulernas oförändrade versioner ska anses ingå i denna Dataskyddsbilaga, och kommer att tillämpas, om Partnern eller dess underleverantör antingen a) inom det Europeiska ekonomiska Avtalsområdet använder sig av Personuppgifter på distans från ett land som inte tillhör EES eller b) överlåter Personuppgifter eller använder Personuppgifter från andra än EES-länder.


4. DATASÄKERHET OCH SKYDDSÅTGÄRDER


Partnern ska upprätta och kontinuerligt upprätthålla tillräckliga, lämpliga organisatoriska, operativa, administrativa, fysiska och tekniska åtgärder för att skydda Personuppgifter och Mash eventuella andra uppgifter från oavsiktlig, otillåten eller olaglig förstörelse, förlust, ändring, publicering, distribution eller användning på ett sådant sätt att all Behandling sker i enlighet med Lagarna och Mash skriftliga instruktioner, speciellt vad gäller överföring av Personuppgifter via nätet. Partnern ska garantera en säkerhetsnivå som är i enlighet med riskerna förknippade med Behandlingen av uppgifterna och deras karaktär, med hänsyn till aktualiteten hos åtgärderna och dess kostnader.


De tekniska skyddsåtgärderna ska inkludera alla de tekniska skyddsmetoder som Partnern har definierat och som baseras på ISO/IEC 27000-seriens rekommendationer eller motsvarande, såsom SSAE-16(2). Partnern ska begränsa åtkomsten till Personuppgifter till auktoriserade och sakenligt utbildade personer, med ett klart definierat behov av användningen av Personuppgifter och som är bundna av lämplig sekretess. Partnern ska också tekniskt och organisatoriskt säkerställa, att Personuppgifter inte Behandlas för andra syften (till exempel till förmån för Partnerns andra kunder) och att Personuppgifterna Behandlas separat från Partnerns andra kunders och egna kunders uppgifter.


Partnern försäkrar att den vid tillhandahållandet av Tjänster i enlighet med Avtalet följer alla säkerhetsföreskrifter för att förhindra förlust och ändring av Personuppgifter, obehörig användning av Mash IT-system, åtkomst för virus till Mash-system och IT-system samt olovligt utlämnande och felaktig användning av Mash konfidentiella information.


5. REVISION OCH KONTROLLER


Under avtalstiden har Mash rätt att begära eller utföra halvårskontroller från Partnern i form av säkerhetsdokumentation och/eller en egen skriftlig utvärdering av Partnerns efterlevnad av denna Dataskyddsbilaga, Avtalet samt Personuppgiftslagstiftning.


Dessutom har Mash (eller oberoende tredje part på dess uppdrag) rätt att kontrollera Partnerns och dess underleverantörers behandlingsförfarande i enlighet med en godkänd kontrollplan genom att skriftligen meddela om detta tolv (12) dagar i förväg. Om kontrollen vid någon tidpunkt visar att Tjänsterna inte utförs i enlighet med denna Dataskyddsbilaga, Avtalet eller Personuppgiftslagstiftningen, ska Partnern på egen bekostnad utföra alla nödvändiga åtgärder för att säkerställa att Tjänsterna överensstämmer med förpliktelserna i gällande regler, Personuppgiftslagstiftning och instruktioner. Mash har rätt att efter korrigerande åtgärder vidtagits kontrollera överensstämmelsen genom ett utföra en andra kontroll vid självvald tidpunkt.


Mash ska stå för kostnaderna för kontrollen. Om kontrollen från Partnerns sida visar en brist eller överträdelse av denna Dataskyddsbilaga eller Avtalet, ska Partnern dock omgående ersätta kostnaderna för kontrollen samt åtgärda kränkningen eller försummelsen.


6. HANTERING AV PERSONUPPGIFTSINCIDENTER


Om det i samband med hanteringen av Personuppgifter inträffar en Personuppgiftsincident, ska Partnern efter mottagandet av denna information omgående skriftligen informera Mash, dock senast inom tjugofyra (24) timmar. Partnern ska sedan utföra de överenskomna åtgärderna för att lösa situationen så snabbt som möjligt och för att förhindra ytterligare skada. Partnern ska även informera de Registrerade och myndigheterna när så krävs enligt tillämplig Personuppgiftslagstiftning.


Partnern ska också om Mash så önskar utföra lämpliga korrigerande åtgärder.


7. DE REGISTRERADES RÄTTIGHETER


För att tillgodose de enligt Personuppgiftslagstiftningen föreskrivna förpliktelserna ska Partnern, om Mash så önskar, i rimlig mån, och enligt de faktiska antalet arbetstimmar: a) omgående förse Mash med en kopia av den registrerades Personuppgifter i fysisk och/eller elektronisk form, b) utan dröjsmål korrigera, förhindra eller radera den Registrerades Personuppgifter, c) utan dröjsmål förse Mash med information och ingå ett rimligt samarbete för avtalsenlig Behandling av Personuppgifterna och d) inom rimlig begäran av Mash tillhandahålla de Registrerade, vars Personuppgifter Behandlas, information angående Behandlingen.


8. SKADEERSÄTTNING


Partnern ska hålla Mash skadelös från krav från tredje part till Mash eller dess parter som har orsakats av försummelse av Partnern att följa denna Dataskyddsbilagas förpliktelser. En eventuell i Avtalet överenskommen begränsning av ansvar tillämpas inte vid skada eller förlust som uppstår till följd av brott mot denna Dataskyddsbilaga.


9. GILTIGHET


Denna Dataskyddsbilaga gäller under hela Avtalets giltighetstid och därefter så länge det är nödvändigt för att genomföra åtgärder efter att Avtalet upphör gälla. Om Partnern Behandlar eller av någon anledning på Personuppgiftsansvariges vägnar Behandlar Personuppgifter efter upphävt eller avslutat Avtal, hålls denna Dataskyddsbilaga i kraft för sådan Behandling så länge Behandlingen pågår.


Partnerns (eller dennes eventuella underleverantörers) brott mot förpliktelserna i denna Dataskyddsbilaga ses som ett väsentligt avtalsbrott.


Förpliktelser, som på grund av sin natur förblir i kraft även efter att Avtalets och denna Dataskyddsbilagas giltighet upphör, fortsätter således gälla. I händelse av konflikt mellan denna Dataskyddsbilaga och Avtalets villkor tillämpas Dataskyddsbilagans villkor.  Eventuella ändringar av Dataskyddsbilagan ska skriftligen godkännas av båda Parter för att vara giltiga.