TAXBACK INTERNATIONAL villkor

Ingress

Detta databehandlingsavtals viktigaste funktion är att utnämna T.B.I. Refunds of IDA BUSINESS & TECHNOLOGY PARK, RING ROAD, KILKENNY, IRLAND som Personuppgiftsbiträden (“Personuppgiftsbiträde”) för den begärande organisationen (“Personuppgiftsansvarig”).

VARIGENOM:

Parterna vill avtala om vissa bestämmelser för skydd och säkerhet av data som överförs från den Personuppgiftsansvarige till Personuppgiftsbiträdet, i syfte att återspegla kraven i tillämpliga lagar och förordningar, inkluderat lagar och förordningar som reglerar skydd av Personuppgifter, såsom Dataskyddslagen i den jurisdiktion där den Personuppgiftsansvarige bedriver sin verksamhet.

A. HÄRMED AVTALAS, med beaktande av villkoren som anges häri, att parterna har kommit överens enligt följande:

1. DEFINITIONER

1.1 Begrepp med stor begynnelsebokstav ska tolkas i enlighet med definitionerna i Avtalet. Med “Skador” avses allt ansvar, kostnader, utgifter, skador och förluster (inkluderat men inte begränsat till direkt eller indirekt skada eller följdskada, utebliven vinst, skador på anseende och alla former av räntekostnader, böter, sanktioner och rättegångskostnader (beräknat som full ersättning), och alla andra skäliga kostnader och utgifter för yrkesmässiga tjänster) som kunden har åsamkats eller ådragit sig, som härrör från detta Avtal eller sak i samband med genomförandet av detta Avtal, inkluderat avtalsbrott, skadestånd utanför avtalsförhållande (inkluderat oaktsamhet) och andra grunder som bygger på common law, rättvis eller lagstadgad grund.

“Personuppgiftsansvarig” har den mening som anges i Dataskyddslag.

“Personuppgiftsbiträde” har den mening som anges i Dataskyddslag.

“Konsekvensbedömning av uppgiftsskydd” har den mening som anges i Dataskyddslag.

“Dataskyddslag” avser lagar om dataskydd och sekretess som gäller i den Personuppgiftsansvariges jurisdiktion.

“Brott mot uppgiftsskydd” har den mening som anges i Dataskyddslag.

“Den registrerade” har den mening som anges i Dataskyddslag.

“Personuppgift” har den mening som anges i Dataskyddslag.

“Privacy Shield” avser system och principer som har framtagits av USA:s handelsdepartement och godkänts av Europeiska kommissionen, eller eventuellt ersättningssystem och principer som kan komma att godkännas av Europeiska kommissionen i det syftet från tid till annan.

“Behandling” har den mening som anges i Dataskyddslag, och “Behandling” ska tolkas i enlighet därmed.

“Tillsynsmyndighet” avser ett regeringsdepartement eller annan enhet, eller ett utskott eller organ som, oavsett det sker enligt lag, bestämmelser, förordningar, uppförandekod eller på annat sätt, är

berättigad enligt någon tillämplig lag att övervaka, reglera, undersöka eller påverka de områden som regleras i detta Avtal eller några andra affärer mellan parterna.

“Underentreprenör” har den mening som anges i Dataskyddslag.

2. DATASKYDD

2.1 Personuppgiftsansvarig: Kunden är Personuppgiftsansvarig beträffande Behandlingen av Personuppgifterna som anges i bilaga 1.

2.2 Personuppgiftsbiträde: Leverantören är Personuppgiftsbiträde vid behandling av Personuppgifter som den behandlar på vägnar av kunden.

2.3 Leverantören ska uppfylla sina skyldigheter i egenskap av Personuppgiftsbiträde enligt Dataskyddslag. Om leverantören är eller blir medveten om något skäl som skulle hindra dess efterlevnad av Dataskyddslag eller någon händelse som innebär bristande efterlevnad av Dataskyddslag i samband med Behandling av Personuppgifter enligt detta Avtal, ska leverantören meddela kunden så snart som möjligt.

2.4 Instruktioner: Leverantören ska endast, samt främja att dess personal endast, Behandlar Personuppgifterna i enlighet med detta Avtal och eventuella andra skriftliga instruktioner från kunden, förutom om det krävs något annat av unionsrätten eller någon medlemsstats lag som är tillämplig på leverantören. I så fall ska leverantören informera kunden om det rättsliga kravet innan behandling sker, förutom om lagen förbjuder sådan information på goda grunder av allmänt intresse. Leverantören samtycker till att den inte förvärvar några rättigheter eller intressen i Personuppgifterna.

2.5 De Registrerades rättigheter: Leverantören samtycker till att hjälpa kunden att svara på förfrågningar från De registrerade, i samband med att de utövar sina rättigheter enligt Dataskyddslag, inom skälig tid som kan anges av kunden.

2.6 Om leverantören mottar några sådana förfrågningar direkt från De registrerade, ska leverantören omedelbart informera kunden om förfrågningen och genast vidarebefordra förfrågningen till kunden. Leverantören ska inte besvara förfrågningen på något sätt, förutom om kunden ger instruktioner om detta.

2.7 Stöd: Leverantören ska ge kunden stöd inom skälig tid som kunden kan specificera, vad gäller efterlevnad av kundens skyldigheter beträffande:

2.7.1 Behandlingens säkerhet

2.7.2 Meddelande om personuppgiftsbrott

2.7.3 Konsekvensbedömning av uppgiftsskydd

2.8 Dataöverföringar: Leverantören ska överföra Personuppgifter eller annan information beträffande kundens kunder, i enlighet med uppfyllandet av dess avtalsenliga skyldigheter. Kunden kan, bland annat, kräva att leverantören ska:

2.8.1 ingå eller främja att vederbörande underleverantörer ska ingå ett lämpligt dataöverföringsavtal, eller

2.8.2 beträffande överföringar till USA, säkerställa att mottagaren har och fortsätter att upprätthålla en aktuell, giltig certifiering enligt Privacy Shield och uppfyller principerna i Privacy Shield.

Ovanstående bestämmelser i denna klausul 2.8 ska även tillämpas på vidareöverföring av Personuppgifter eller annan information som hänför sig till kundens kunder.

2.9 Om överföringsmekanismen som har inrättats enligt klausul 8 upphör att gälla, ska leverantören, enligt kundens godtyckliga bedömning:

2.9.1 inrätta och/eller främja att vederbörande underleverantörer ska inrätta en lämplig alternativ dataöverföringsmekanism,

2.9.2 förstöra alla Personuppgifter som finns i leverantörens och/eller dess underleverantörers besittning, eller

2.9.3 återlämna alla Personuppgifter som finns i leverantörens och/eller dess underleverantörers besittning till kunden.

2.10 Personuppgifter från kundens koncernföretag: Om mer än ett företag i kundens koncern överför Personuppgifter till leverantören, eller på annat sätt ger leverantören åtkomst till Personuppgifter eller annan information beträffande dess kunder enligt detta Avtal ska leverantören:

2.10.1 förvara Personuppgifterna och annan information beträffande kunderna hos varje koncernföretag separat identifierade, genom hänvisning till vederbörande koncernföretag, och

2.10.2 inte avslöja några Personuppgifter eller annan information beträffande kunder till ett av kundens koncernföretag, till något annat företag i kundens koncern, utan samtycke från koncernföretaget som äger Personuppgifterna eller annan information beträffande dess kunder.

2.11 Underentreprenadavtal: Leverantören samtycker till att den inte ska anlita någon tredje part för att Behandla kundens Personuppgifter utan föregående skriftligt samtycke från Kunden.

2.12 Om Kunden anlitar någon tredje part för att Behandla kundens Personuppgifter, ska leverantören genom ett skriftligt avtal ålägga den tredje parten samma skyldigheter vad gäller dataskydd som anges i detta Avtal, samt säkerställa att om någon tredje part som anlitas av leverantören i sin tur anlitar en annan person för Behandling av Personuppgifter, ska den tredje parten vara ålagd att uppfylla alla sina skyldigheter beträffande Behandling av Personuppgifter som åläggs enligt detta Avtal.

2.13 Leverantören ska informera kunden om planerade förändringar beträffande tillägg eller ersättning av de andra behandlarna och inte genomföra några sådana förändringar utan föregående skriftligt samtycke från kunden.

2.14 Leverantören ska förbli helt ansvarig för Behandling som genomförs av tredje part, som om Behandlingen har genomförts av leverantören.

2.15 Säkerhet: Leverantören ska implementera lämpliga tekniska och organisationsmässiga åtgärder för att säkerställa lämplig säkerhetsnivå i förhållande till risken för Personuppgifternas säkerhet, särskilt från oavsiktlig eller olaglig förstörelse, förlust, förändring, obehörigt avslöjande av eller åtkomst till Personuppgifter, i förekommande fall, som meddelas i förväg till kunden:

2.15.1 anonymiseringen och krypteringen av Personuppgifter,

2.15.2 förmågan att säkerställa den pågående sekretessen, integriteten och tillgängligheten för Personuppgifter och förmågan i Leverantörens system som används för sådan Behandling,

2.15.3 förmågan att återskapa tillgängligheten och tillgången till Personuppgifterna, i händelse av en fysisk eller teknisk incident, och

2.15.4 en process för regelbunden provning, kontroll och utvärdering av effektiviteten av tekniska och organisationsmässiga åtgärder för att garantera säkerheten i behandlingen.

2.16 Sekretess: Leverantören ska säkerställa att dess personal som behandlar personuppgifter enligt detta avtal är föremål för sekretesskyldighet beträffande sådana personuppgifter.

2.17 Bevisa efterlevnad: Leverantören ska göra all nödvändig information tillgänglig för kunden, för att möjliggöra och bidra till kontroller, inkluderat inspektioner som genomförs av kunden eller av en revisor för kundens räkning.

2.18 Överträdelse: Leverantören ska omedelbart informera kunden om den anser att en instruktion som har lämnats eller en begäran som har gjorts enligt detta Avtal strider mot Dataskyddslagen.

2.19 Meddelande om brott: Leverantören ska meddela kunden inom tjugofyra (24) timmar, från det att leverantören blir medveten om Brott mot uppgiftsskydd. Leverantören ska inte kommunicera med någon Registrerad beträffande Brott mot uppgiftsskydd utan föregående samtycke från kunden.

2.20 Skador Leverantören ska ersätta kunden för skador som åsamkas av kunden, som härrör från eller uppstår i samband med att:

2.20.1 leverantören agerar utanför eller i strid mot lagenliga instruktioner från kunden,

2.20.2 något annat brott mot leverantörens skyldigheter enligt detta Avtal eller Dataskyddslag, och/eller

2.20.3 någon handling eller underlåtelse från leverantörens sida som ger upphov till att kunden på något sätt bryter mot Dataskyddslagar.

2.21 Uppsägning/utgång: Vid uppsägning eller utgång av detta Avtal (eller när som helst på kundens begäran), ska leverantören lämna tillbaka, förstöra eller permanent radera, enligt kundens val, alla kopior av Personuppgifter som har mottagits och/eller behandlats av leverantören enligt detta Avtal, förutom om tillämplig lag kräver att Personuppgifterna ska bevaras.

2.22 Klausuls giltighet efter Avtalets upphörande: Bestämmelserna i denna Klausul 2.22 ska fortsätta att gälla även efter detta Avtals löptid, till dess Leverantören har lämnat tillbaka eller förstört alla Personuppgifter i enlighet med Klausul 2.21.

3. UPPSÄGNING

3.1 Detta Avtal ska upphöra att gälla automatiskt vid uppsägning eller utgång av Personuppgiftsbiträdets skyldigheter beträffande Tjänsterna, och vid uppsägning av detta Avtal ska Personuppgiftsbiträdet uppfylla sina skyldigheter enligt Klausul 2.21 i detta Avtal.

3.2 Endera parten kan säga upp detta Avtal med omedelbar verkan genom skriftligt meddelande till den andra:

(a) om den andra parten begår ett väsentligt Avtalsbrott, eller

(b) om den andra parten blir eller förklaras insolvent eller vidtar formella åtgärder för att inleda konkursförfarande eller genomför eller föreslår ackordsuppgörelse med dess borgenärer eller en

konkursförvaltare eller liknande utnämns för eller beträffande eller alla dess tillgångar, eller vidtar åtgärder för upplösning eller avregistrering.

4. ÖVRIGT

4.1 Motparter: detta Avtal kan upprättas med hur många motparter som helst och av Parterna till detsamma med separata motparter, varav varje avtal utgör ett original, men varav alla tillsammans utgör ett och samma avtal.

4.2 Gällande lag och jurisdiktion: detta Avtal och alla eventuella tvister eller anspråk som härrör från eller uppstår i samband med dess föremål ska regleras av och lösas i enlighet med lagarna i Republiken Irland. Parterna underkastar sig de irländska domstolarnas exklusiva jurisdiktion för att lösa eventuella tvister eller anspråk som härrör från eller uppstår i samband med detta Avtal.

BILAGA 1

Beskrivning av Behandling av Personuppgifter

1. Föremål

Återbetalning av moms under avtalets löptid.

2. Affärsavtal

Personuppgiftsbiträdet är ansvarigt för behandling av uppgifter och information på vägnar av den Personuppgiftsansvarige, under förutsättning att Personuppgiftsbiträdet har erhållit nödvändigt samtycke eller har ett legitimt syfte för behandling av uppgifterna.

3. Syfte

Personuppgifterna behandlas för att validera moms när köp har gjorts i direkt anslutning till affärsresa och tillhörande kostnader.

4. Kategorier av personuppgifter

Kontaktuppgifter (namn, adress, e-postadress, telefonnummer), transaktionsuppgifter.

5. Känsliga personuppgifter

Inga känsliga personuppgifter fångas upp.

6. Kategorier av registrerade

Kundens anställda

7. Säkerhets- och organisationsmässiga åtgärder

Tekniska och organisationsmässiga säkerhetskontroller implementeras i enlighet med ISO27001 informationssäkerhetsstandard, enligt vilken Taxback International är certifierat av vårt externa ackrediteringsorgan.

8. Mottagare av Personuppgifter

Taxback International mottar uppgifter från diverse källor i syfte att säkerställa att moms återbetalas för (kundens namn) i enlighet med avtalet.

Uppgifter delas med våra tjänsteleverantörer inkluderat (utan begränsning) de som är anlitade av oss för att genomföra funktioner för behandlingen av globala momstjänster, vilket inkluderar lagring

av dina uppgifter i EES och USA. Alla personer som är nödvändiga för att säkerställa Taxback Internationals efterlevnad av tillämpliga lagar, förordningar och rättsliga krav.

9. Dataöverföringar

Dataöverföringar sker i enlighet med den Personuppgiftsansvariges instruktioner, inkluderat lokala skattemyndigheter, i enlighet med tillämpliga bestämmelser för återbetalning av moms i varje land.

10. Kvarhållande

Kvarhållande sker i enlighet med den Personuppgiftsansvariges instruktioner.

11. Uppgiftsskyddsombud hos Taxback

Margaret Corrigan, The Taxback Group, IDA Business & Technology Park, Ring Road, Kilkenny, Irland