Person­uppgifts­biträdesavtal

Kivra personuppgiftsbiträde till Företagsanvändaren

1. Bakgrund

1.1 Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) gäller när Kivra Sverige AB, org. nr 556917-3544, eller annat bolag inom samma koncern som Kivra Sverige AB (”Kivra”) tillhandahåller en Tjänst som beskrivs i Kivras Allmänna Villkor för Företagsanvändare (“Allmänna villkor”).

1.2 Eftersom Kivra kommer att utföra behandling av personuppgifter för Företagsanvändarens räkning som Företagsanvändaren är personuppgiftsansvarig för och därmed vara Företagsanvändarens personuppgiftsbiträde behövs detta Personuppgiftsbiträdesavtal.

1.3 Personuppgiftsbiträdesavtalet gäller från och med den tidpunkt när Företagsanvändaren registrerar sig för Tjänsten hos Kivra. Personuppgiftsbiträdesavtalet gäller i tillägg till de Allmänna villkoren.

1.4 Personuppgiftsbiträdesavtalet är anpassat för att uppfylla de krav som följer av Tillämplig Dataskyddslagstiftning (enligt definition nedan) i förhållande till den behandling som Kivra utför för Företagsanvändarens räkning.

1.5 Om och i den mån annat bolag i samma koncern som Företagsanvändaren är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med Företagsanvändaren) för behandling som omfattas av detta Personuppgiftsbiträdesavtal, bekräftar Företagsanvändaren härmed att man inhämtat nödvändiga tillstånd för att ingå Personuppgiftsbiträdesavtalet även för sådant bolags räkning.

2. Definitioner

2.1 Begrepp som definieras i de Allmänna villkoren ska ha samma betydelse i detta Personuppgiftsbiträdesavtal. Vidare ska följande begrepp ha nedan angiven betydelse om inte omständigheterna tydligt föranleder något annat (och termer som inte är definierade i Personuppgiftsbiträdesavtalet såsom t.ex. ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”, ”behandling”, ”personuppgiftsincident” ska ha den betydelse som framgår av Tillämplig Dataskyddslagstiftning):

"Dataskyddsförordningen" Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Uppgifterna” Personuppgifter som överförs till, lagras eller på annat sätt behandlas av Kivra på uppdrag av Företagsanvändaren enligt detta Personuppgiftsbiträdesavtal. Vilka typer av personuppgifter som kan omfattas anges i specifikationen nedan.

Tillämplig Dataskyddslagstiftning” avser: (i) Dataskyddsförordningen och ersättande rättsakter; (ii) tillämplig svensk lag avseende dataskydd; och (iii) till i) och ii) ovan hörande förordningar och föreskrifter samt riktlinjer som utfärdats av Tillsynsmyndighet och som är tillämpliga på Parts verksamhet.

Tillsynsmyndighet” Integritetsskyddsmyndigheten och i förekommande fall annan behörig tillsynsmyndighet som med stöd av lag utövar tillsyn över Parts verksamhet.

3. Allmänt om behandlingen av personuppgifter under detta personuppgiftsbiträdeavtal

3.1 Ändamålen med behandlingen av Uppgifterna enligt detta Personuppgiftsbiträdesavtal anges i specifikationen nedan (”Ändamålen”).

3.2 Kivra åtar sig såsom personuppgiftsbiträde till Företagsanvändaren att enbart behandla Uppgifterna för att fullgöra Ändamålen enligt detta Personuppgiftsbiträdesavtal och i enlighet med Företagsanvändarens instruktioner, se specifikationen nedan.

4. Avtalsdokument, tillämpning och instruktioner

4.1 Personuppgiftsbiträdesavtalet består av detta dokument med tillhörande specifikation.

4.2 Kivra ska behandla Uppgifterna i enlighet med detta Personuppgiftsbiträdesavtal, Företagsanvändarens instruktioner och Tillämplig Dataskyddslagstiftning. Företagsanvändarens närmare instruktioner framgår av specifikationen nedan.

4.3 Kivra får inte behandla Uppgifterna på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i detta Personuppgiftsbiträdesavtal, Företagsanvändarens instruktioner och Tillämplig Dataskyddslagstiftning. För det fall att Kivra bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta Personuppgiftsbiträdesavtal, eller om Kivra uppmärksammar att instruktionerna strider mot Tillämplig Dataskyddslagstiftning, ska Kivra omedelbart informera Företagsanvändaren om sin inställning samt invänta vidare instruktioner från Företagsanvändaren. Kivra är således inte skyldig att följa en instruktion från Företagsanvändaren för det fall Kivra anser att instruktionen strider mot Tillämplig Dataskyddslagstiftning.

4.4 Företagsanvändaren äger rätt att löpande instruera Kivra skriftligen gällande Kivras behandling av Uppgifter, varvid Kivra har motsvarande skyldighet att följa sådana dokumenterade instruktioner (för detta Personuppgiftsbiträdesavtals vid var tid gällande instruktioner framgår av specifikationen).

4.5 Eventuella justeringar av Företagsanvändarens instruktioner angående säkerhet och behandling av Uppgifter ska meddelas Kivra i rimlig tid så att nödvändiga ändringar i rutiner kan genomföras. Kivra har rätt att avsäga sig uppdraget för det fall att Företagsanvändarens instruktioner inte rimligen kan uppfyllas.

4.6 Kivra åtar sig att bistå Företagsanvändaren med att se till att skyldigheterna enligt artiklarna 35-36 i Dataskyddsförordningen (t.ex. bistånd vid risk- och sårbarhetsanalyser och förhandssamråd) fullgörs, med beaktande av typen av behandling och den information som Kivra har att tillgå.

5. Säkerhet - Tekniska och organisatoriska åtgärder

5.1 Kivra är skyldigt att vidta sådana lämpliga tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, och därigenom säkerställer att de Registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Kivra skyddar Uppgifterna mot obehörig åtkomst, förstörelse eller ändring. Företagsanvändaren har rätt att på begäran informeras om vilka åtgärder som vidtas.

5.2 ska beaktas säkerheten vid överföringar av personuppgifter som kan innebära större säkerhetsrisker. Kivra ska under alla omständigheter se till att:
Uppgifterna skyddas från obehörig åtkomst av tredje man via Internet eller annat lättillgängligt medium; IT-utrustning som används för behandling av Uppgifterna har ett tillfredsställande skydd mot stöld och händelser som kan förstöra utrustningen; lämpligt system för behörighetskontroll upprätthålls; tillfredsställande rutiner för säkerhetskopiering finns; och en säkerhetsnivå beträffande Uppgifterna som motsvarar minst den säkerhetsnivå som Kivra tillämpar för behandling av sin egen data upprätthålls.

5.3 Kivra ska vidare särskilt iaktta följande:

a. Åtkomstskydd - När datorutrustning och löstagbara datamedier hos Kivra inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Uppgifterna krypteras. För det fall eventuella bärbara datorer används vid Behandlingar ska Uppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

b. Säkerhetskopia - Uppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att Uppgifterna kan återskapas efter en störning. Kivra ska ha en rutin för test av återläsning.

c. Behörighetskontroll - Ett tekniskt system för behörighetskontroll ska styra åtkomsten till Uppgifterna för Kivra. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

d. Loggning - Åtkomst till Uppgifterna ska kunna följas upp i efterhand genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Kivra och återrapporteras till Företagsanvändaren.

e. Datakommunikation - Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Uppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Kivra ska skyddas med innehållskryptering.

f. Utplåning - När fasta eller löstagbara lagringsmedier som innehåller Uppgifter inte längre ska användas för sitt ändamål ska Uppgifterna raderas på sådant sätt att de inte kan återskapas.

g. Reparation och service - När reparation och service av datorutrustning, vilken används för att lagra Företagsanvändarens Uppgifter, utförs av annan än Kivra, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under Kivras överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Uppgifter avlägsnas. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

5.4 Kivra åtar sig att säkerställa att Kivra har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt vad gäller kraven på säkerhet enligt ovan, samt att de åtgärder som vidtas kommer att ses över och uppdateras vid behov.

5.5 Kivra ska tillåta de inspektioner som Tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Uppgifterna.

6. Gallring och radering

6.1 Kivra får inte lagra Uppgifterna för längre tid än vad som är nödvändigt för fullgörande av Ändamålen eller vad som annars följer av Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtal eller Företagsanvändarens instruktioner. Uppgifterna ska därefter, så länge inte något annat överenskommits med Företagsanvändaren, raderas

6.2 Kivra ska tillse att det finns tekniska lösningar som innebär att en automatisk gallring och radering genomförs på Uppgifterna. För det fall detta saknas ska rutiner för manuell gallring och radering delges Företagsanvändaren.

7. Kivras personal

7.1 Kivra ska säkerställa att de personer som Kivra ger behörighet att behandla Uppgifterna har åtagit sig att iaktta konfidentialitet avseende behandlingen.

8. Kivras informationsplikt

8.1 Kivra ska utan onödigt dröjsmål efter det att Kivra upptäckt fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av Uppgifterna och andra personuppgiftsincidenter, informera Företagsanvändaren om detta.

8.2 När Kivra underrättar Företagsanvändaren enligt avsnitt 8.1 ovan ska underrättelsen innefatta information om (i) incidentens art, kategorier av registrerade, kategorier av Uppgifter och det ungefärliga antalet registrerade som berörs, (ii) kontaktuppgifterna till Kivras dataskyddsombud alternativt andra funktioner där Företagsanvändaren kan erhålla information, (iii) sannolika konsekvenser av incidenten; (iv) de åtgärder som redan vidtagits av Kivra alternativt de åtgärder som planeras och eller föreslås att vidtas; och (v) all sådan eventuell ytterligare nödvändig information som krävs för att Företagsanvändaren i förekommande fall ska kunna fullgöra sin rapporterings- /informationsskyldighet gentemot Tillsynsmyndighet och/eller Registrerade.

8.3 För det fall den Registrerade, Tillsynsmyndigheten eller tredje man begär information från Kivra som rör behandling av Uppgifter, ska Kivra hänvisa till Företagsanvändaren. Kivra får inte lämna ut Uppgifter eller annan information om behandlingen av Uppgifter utan uttrycklig instruktion från Företagsanvändaren, eller om utlämnandet är en följd av en skyldighet enligt lag.

8.4 Kivra ska utan dröjsmål informera Företagsanvändaren om eventuella kontakter med Tillsynsmyndigheten som rör Kivras behandling av Uppgifter åt Företagsanvändaren. Kivra har inte rätt att företräda Företagsanvändaren eller agera för dennes räkning gentemot Tillsynsmyndigheten.

9. Förfrågningar från registrerade

9.1 Registrerade har laglig rätt att från Företagsanvändaren begära registerutdrag och annan information om den personuppgiftsbehandling som Företagsanvändaren utför avseende den Registrerades personuppgifter. Vidare ska personuppgifter om en registrerad på dennes begäran kunna rättas, blockeras eller raderas. Kivra är skyldigt att bistå Företagsanvändaren i sådan omfattning att de Registrerades rättigheter enligt Tillämplig Dataskyddslagstiftning kan säkerställas.

9.2 Både Företagsanvändaren och Kivra garanterar att de har rutiner och strukturer på plats som möjliggör för ett utlämnande av information till en Registrerad, med hänsyn tagen till den begränsning som gäller för Kivra enligt avsnitt 8.3 ovan.

10. Kontroll av Kivras behandling

10.1 Företagsanvändaren har rätt att själv eller genom en oberoende tredje man genomföra kontroller av Kivras behandling av Uppgifterna för att försäkra sig om att vad som anges i Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtalet och av de instruktioner som utfärdats av Företagsanvändaren efterlevs. Företagsanvändaren ska stå för kostnaderna vid granskning och för tillhandahållandet av information enligt detta avsnitt 10.

10.2 Kivra ska i skälig utsträckning bidra till sådana kontroller och granskningar, inbegripet inspektioner och tillgång till Kivras lokaler, datorutrustning m.m., och på begäran tillhandahålla Företagsanvändaren den assistans och den dokumentation som rimligen erfordras för detta.

10.3 Om Företagsanvändaren anlitar tredje part att utföra inspektion av Kivras behandling av Uppgifter för Företagsanvändarens räkning ska Företagsanvändaren tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.

10.4 Insyn för granskning, informationslämning och dylikt ska äga rum vid det tillfälle som Företagsanvändaren eller Tillsynsmyndigheten begär vilket i möjligaste mån ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Parternas respektive ordinarie verksamheter. Granskning av Kivra ska ske med iakttagande av de säkerhetsåtgärder som Kivra uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen.

10.5 Om Företagsanvändaren vid kontroll enligt ovan eller på annat sätt finner att Kivra inte uppfyller kraven på lämplig säkerhetsnivå eller på annat sätt behandlar Uppgifterna i strid med Personuppgiftsbiträdesavtalet eller Tillämplig Dataskyddslagstiftning är Kivra skyldig att omgående rätta sig efter Företagsanvändarens påpekande. Om så inte sker och detta kan medföra olägenhet för Företagsanvändaren har Företagsanvändaren rätt att säga upp Personuppgiftsbiträdesavtalet med omedelbar verkan.

11. Överföring till tredje land

11.1 Kivra får endast överföra Uppgifterna utanför EU/EES-området om Företagsanvändaren har lämnat sitt godkännande. Detta innebär bl.a. att Kivra inte utan Företagsanvändarens medgivande får utföra behandlingen av Uppgifterna på utrustning eller med användning av resurser lokaliserade utanför EU/EES-området.

11.2 För det fall Parterna med beaktande av ovan överenskommer att Uppgifterna ska överföras till plats utanför EU/EES-området ska Parterna säkerställa att överföringen är tillåten enligt Tillämplig Dataskyddsslagstiftning och efter behov underteckna erforderliga separata personuppgiftsbiträdesavtal i enlighet med t.ex. Kommissionens beslut (2021/914/EU) om standardavtalsklausuler för överföring av Uppgifter till tredje land och vidta andra nödvändiga åtgärder.

12. Anlitande av underbiträden

12.1 Företagsanvändaren godkänner härmed användandet av de av Kivra redan anlitade underbiträden (”Godkända underbiträden”) som framgår av specifikationen nedan.

12.2 För nya underbiträden åtar sig Kivra att informera Företagsanvändaren om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst en månad innan sådana planer genomförs med en rätt för Företagsanvändaren att avsluta detta Personuppgiftsbiträdesavtal om Företagsanvändaren inte godkänner förslaget på nytt underbiträde. Om Företagsanvändaren inte återkommer till Kivra inom en månad anses Företagsanvändaren ha accepterat Kivras plan på att anlita/ersätta det/de underbiträde(n) som Kivra informerat Företagsanvändaren om.

12.3 Företagsanvändarens godkännande enligt avsnitt 12.1 samt 12.2 ska betraktas som ett särskilt tillstånd för Kivra att i det enskilda fallet, för Företagsanvändarens räkning, ingå personuppgiftsbiträdesavtal med underbiträden som ska behandla Uppgifter. Sådant personuppgiftsbiträdesavtal mellan Kivra och ett underbiträde måste vara ett skriftligt avtal varigenom underbiträdet åläggs motsvarande åtaganden och skyldigheter som detta Personuppgiftsbiträdesavtal ålägger Kivra.

12.4 Kivra är ansvarig för att tillse att relevanta regler i Tillämplig Dataskyddslagstiftning beaktas vid anlitande av underbiträden. Kivra ska vidta alla nödvändiga åtgärder för att säkerställa att anlitade underbiträden inte behandlar Uppgifterna i strid med Personuppgiftsbiträdesavtalet och tillse att dessa ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder.

12.5 Om underbiträdet inte uppfyller sina skyldigheter i fråga om behandling ska Kivra förbli fullt ansvarig gentemot Företagsanvändaren för underbiträdets uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.

13. Ansvar

13.1 Om Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta Personuppgiftsbiträdesavtal eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant otillåtet agerande orsakat. Detta ska dock inte gälla om den skadevållande Parten kan visa att denne eller av denne anlitat underbiträde inte på något sätt är ansvarig(a) för den händelse, det agerande eller den underlåtenhet som orsakade den andre Parten skadan, såsom att anspråket inte hade kunnat undvikas genom skadevållande Parts uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning eller av skriftliga instruktioner som utfärdats av Företagsanvändaren.

13.2 Parts rätt till ersättning enligt punkt 13.1 ska vara begränsad till direkta skador till ett totalt belopp motsvarande fem (5) prisbasbelopp enligt Socialförsäkringsbalken (2010:110) per kalenderår. Under inga omständigheter ska Part vara ansvarig för indirekta skador, såsom utebliven vinst, inkomstförlust, hinder att uppfylla förpliktelse mot tredje man, ersättningsskyldighet mot tredje man eller andra följdskador. Denna ansvarsbegränsning ska dock inte gälla vid grov vårdslöshet eller uppsåt.

13.3 Parternas rätt till ersättning vad gäller krav från tredje man regleras i sin helhet i enlighet med artikel 82 i Dataskyddsförordningen. Detta inkluderar rätten för den Part som betalat full ersättning för den skada som orsakats tredje man att från den andra Parten, om denne medverkat vid samma behandling, återkräva den del av ersättningen som motsvarar den Partens del av ansvaret för skadan.

14. Ändringar

14.1 Företagsanvändaren får ändra innehållet i detta Personuppgiftsbiträdesavtal endast i den mån så erfordras för att tillgodose krav som följer av Tillämplig Dataskyddslagstiftning. Sådan ändring träder i kraft 30 dagar efter att meddelandet om ändring kommit Kivra tillhanda. För det fall Kivra inte accepterar sådan ändring har Företagsanvändaren rätt att säga upp detta Personuppgiftsbiträdesavtal helt eller delvis i enlighet med de Allmänna villkoren samt de särskilda villkoren för de eventuella Tilläggstjänster som Företagsanvändaren använder.

14.2 Kivra får ändra innehållet i detta Personuppgiftsbiträdesavtal i enlighet med bestämmelserna i de Allmänna Villkoren. För det fall Företagsanvändaren inte accepterar sådan ändring har Företagsanvändaren rätt att säga upp detta Personuppgiftsbiträdesavtal helt eller delvis i enlighet med de Allmänna villkoren.

15. Avtalstid och åtgärder vid upphörande

15.1 Personuppgiftsbiträdesavtalet gäller från den tidpunkt när Företagsanvändaren registrerar sig för Tjänsten hos Kivra och så länge som Kivra behandlar Uppgifter för Företagsanvändarens räkning.

15.2 Parterna är överens om att Kivra och eventuella underbiträden efter behandlingens upphörande ska radera alla Uppgifter inom de tidsfrister som framgår av specifikationen nedan. Om detta inte är tekniskt möjligt, ska Kivra garantera att Kivra kommer att anonymisera Uppgifterna på sätt som gör dem omöjliga att återskapa.

16. Meddelanden

16.1 Alla meddelanden och annan kommunikation enligt detta Personuppgiftsbiträdesavtal från en Företagsanvändare till Kivra ska ske skriftligen genom e-post till dataskydd@kivra.se. Alla meddelanden och annan kommunikation enligt detta Personuppgiftsbiträdesavtal från Kivra till Företagsanvändaren ska ske skriftligen genom e-post till den e-postadress som Företagsanvändaren registrerat i Tjänsten. Ansvaret för att hålla sina kontaktuppgifter uppdaterade vilar på respektive Part.

16.2 Meddelande med e-post ska anses ha kommit mottagaren tillhanda vid tidpunkten för avsändande förutsatt att negativ kvittens ej erhålles.

17. Tillämplig lag och tvistlösning

17.1 Tvister som uppstår i anledning av Personuppgiftsbiträdesavtalet ska slutligt avgöras i enlighet med vad som framgår i punkt 17 i de Allmänna villkoren.

Specifikation

Ändamålen med behandlingen
Ändamålen med behandlingen är att Kivra ska ta emot, förmedla, lagra, radera och hantera E-försändelser på uppdrag av Företagsanvändaren.

Om Företagsanvändaren nyttjar Kivra-adressen är Ändamålen med behandlingen även att Kivra ska ta emot, öppna, skanna in och lagra fysisk post samt förmedla denna digitalt som E-försändelser till Företagsanvändarens digitala brevlåda.

Om Företagsanvändaren nyttjar Kivra e-postadressen är Ändamålen med behandlingen även att Kivra ska ta emot e-post samt förmedla denna digitalt som E-försändelser till Företagsanvändarens digitala brevlåda.

Om Företagsanvändaren nyttjar Kivras tolk är Ändamålet med behandlingen även att Kivra ska identifiera uppgifter i E-försändelser i Företagsanvändarens digitala brevlåda.

Kategorier av personuppgifter
Personuppgifter som förekommer i E-försändelser.

Om Företagsanvändaren nyttjar Kivra-adressen behandlas personuppgifter som förekommer i fysisk post och E-försändelser.

Om Företagsanvändaren nyttjar Kivra e-postadressen behandlas personuppgifter som förekommer i e-post och E-försändelser.

Kategorier av registrerade
Personer som förekommer i E-försändelser.

Om Företagsanvändaren nyttjar Kivra-adressen omfattas personer som förekommer i fysisk post och E-försändelser.

Om Företagsanvändaren nyttjar Kivra e-postadressen omfattas personer som förekommer i e-post och E-försändelser.

Lokalisering av behandling

Sverige
Om Företagsanvändaren nyttjar Kivra e-postadressen behandlas Uppgifterna inom EU/EES. I undantagsfall kan uppgifter i e-post komma att behandlas i USA genom underbiträdet Amazon Web Services EMEA SARL.

Om Företagsanvändaren nyttjar Kivras tolk behandlas Uppgifterna inom EU/EES genom underbiträdet SoftRobot Sweden AB.

Tid för sparande av personuppgifter
Uppgifter i E-försändelser sparas i upp till 52 dagar efter att Företagsanvändaren har avslutat sin digitala brevlåda. Om Företagsanvändaren nyttjar Kivra-adressen sparas Uppgifter i fysisk post i 7 år från det att posten levererats till Kivra-adressen.

Underbiträden
GleSYS AB (org. nr 556647-9241) som tillhandahåller serverutrymme i Sverige.

Om Företagsanvändaren nyttjar Kivra-adressen anlitas även PostNord Strålfors AB (org. nr 556102-9843) som tillhandahåller en tjänst för mottagande, skanning och lagring av fysisk post i Sverige.

Om Företagsanvändaren nyttjar Kivra e-postadressen anlitas även Amazon Web Services EMEA SARL som tillhandahåller en tjänst för mottagande och vidareförmedling av e-post inom EU/EES. I undantagsfall kan uppgifter i e-post komma att behandlas i USA.

Om Företagsanvändaren nyttjar Kivras tolk anlitas även SoftRobot Sweden AB (org. nr 559290-5961) som tillhandahåller en tjänst för tolkning inom EU/EES.