Personuppgiftsbiträdesavtal

Senast uppdaterad: januari 2025

Detta personuppgiftsbiträdesavtal (nedan ”PUB-avtalet”) utgör en integrerad och oupplöslig del av det avtal som ingås mellan Transvect Group AB (org.nr 559525-4144) (nedan ”Biträdet”) och Kunden (nedan ”Ansvarige”) avseende användningen av Tjänsterna;

nedan gemensamt kallade ”Parterna” och var för sig ”Part”;

med beaktande av att:

  • Ansvarige har tillgång till personuppgifter som rör olika fysiska personer (nedan ”Registrerade”);
  • Ansvarige önskar att Biträdet utför viss behandling i enlighet med Avtalet;
  • Parterna i detta PUB-avtal använder definitioner enligt allmän dataskyddsförordningen (nedan ”GDPR”);
  • vid fullgörande av Avtalet kan Biträdet behandla personuppgifter i den mening som avses i artikel 4.1 GDPR på Ansvariges uppdrag;
  • Ansvarige anses vara personuppgiftsansvarig enligt artikel 4.7 GDPR;
  • Biträdet anses vara personuppgiftsbiträde enligt artikel 4.8 GDPR;
  • GDPR ålägger Ansvarige att säkerställa att Biträdet lämnar tillräckliga garantier avseende tekniska och organisatoriska säkerhetsåtgärder för den behandling som ska utföras;
  • GDPR ålägger dessutom Ansvarige att säkerställa efterlevnad av dessa åtgärder;
  • Parterna önskar skriftligen reglera sina rättigheter och skyldigheter i detta PUB-avtal i enlighet med artikel 28.3 GDPR.

1. Behandlingens ändamål

1.1 Biträdet åtar sig, under villkoren i detta personuppgiftsbiträdesavtal, att behandla personuppgifter för Ansvariges räkning. Behandlingen ska endast ske för Avtalets ändamål och därmed förenliga ändamål eller sådana som Parterna gemensamt bestämmer. Behandling kan även ske på grund av rättslig förpliktelse.

1.2 Behandlingen avser de ändamål som Ansvarige bestämt, avseende kategorier av personuppgifter och Registrerade enligt bilaga A till detta PUB-avtal.

2. Biträdets skyldigheter

2.1 Biträdet ska endast behandla personuppgifter för de ändamål som anges i artikel 1 i detta PUB-avtal.

2.2 Beträffande den behandling som avses i artikel 1 ska Biträdet följa GDPR.

2.3 Biträdet ska informera Ansvarige om Biträdet anser att en instruktion från Ansvarige skulle strida mot tillämplig lag om behandling av personuppgifter eller annars är oskälig.

2.4 Biträdet ska, i den mån det står under Biträdets kontroll och i den utsträckning det behövs, bistå Ansvarige med att fullgöra Ansvariges rättsliga skyldigheter enligt GDPR, särskilt bistånd enligt artiklarna 32–36 GDPR.

2.5 Samtliga skyldigheter för Biträdet enligt detta PUB-avtal gäller i samma utsträckning för personer som behandlar personuppgifter under Biträdets tillsyn, inklusive men inte begränsat till anställda.

3. Sekretess

3.1 Biträdet ska iaktta sekretess avseende personuppgifter som Ansvarige tillhandahåller. Biträdet säkerställer att personer som är behöriga att behandla personuppgifter är avtalsmässigt bundna till sekretess.

3.2 Sekretesskravet gäller inte i den utsträckning Ansvarige uttryckligen tillåtit utlämning till tredje part, utlämningen är skäligen nödvändig med hänsyn till uppdragets art eller utlämningen krävs enligt lag.

4. Anmälan och kommunikation

4.1 Ansvarige ansvarar alltid för anmälan av eventuella personuppgiftsincidenter enligt artikel 4.12 GDPR (nedan ”Personuppgiftsincident”) till behörig tillsynsmyndighet och för eventuell information till Registrerade om incidenten.

4.2 För att Ansvarige ska kunna uppfylla detta krav ska Biträdet underrätta Ansvarige utan onödigt dröjsmål och senast inom 48 timmar efter att Biträdet upptäckt en Personuppgiftsincident. Biträdet vidtar skäliga åtgärder för att begränsa konsekvenserna och förhindra fortsatta incidenter.

4.3 Underrättelse enligt föregående stycke ska alltid ske vid faktiska Personuppgiftsincidenter.

4.4 Vid behov och om det är skäligt bistår Biträdet Ansvarige med hänsyn till begäran, behandlingens art och tillgänglig information avseende (ny information om) Personuppgiftsincidenten.

4.5 Underrättelsen till Ansvarige ska, såvitt känt vid tidpunkten, minst innehålla:

a. incidentens art;

b. de (sannolika) konsekvenserna;

c. berörda kategorier av personuppgifter;

d. om och vilka säkerhetsåtgärder som vidtagits för att skydda personuppgifterna;

e. vidtagna eller föreslagna åtgärder för att hantera incidenten och förhindra framtida incidenter;

f. berörda kategorier av Registrerade;

g. ungefärligt antal berörda Registrerade; och

h. vid behov avvikande kontaktuppgifter för anmälan.

5. Registrerades rättigheter

5.1 Om en Registrerad hos Biträdet begär att utöva sina rättigheter enligt GDPR (artiklarna 15–22) ska Biträdet vidarebefordra begäran till Ansvarige inom tre arbetsdagar från mottagandet. Biträdet får informera den Registrerade om att begäran vidarebefordrats. Ansvarige hanterar därefter begäran självständigt.

5.2 Om en Registrerad vänder sig till Ansvarige ska Biträdet, om Ansvarige begär det, samarbeta i den mån det är möjligt och skäligt.

6. Säkerhetsåtgärder

6.1 Biträdet ska vidta skäliga åtgärder för att införa lämpliga tekniska och organisatoriska åtgärder för att säkra behandlingen mot förlust eller otillåten behandling (särskilt mot oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller åtkomst till personuppgifter som överförs, lagras eller på annat sätt behandlas).

6.2 Biträdet ska sträva efter en säkerhetsnivå som är lämplig med hänsyn till risken, teknikens utveckling, genomförandekostnad samt behandlingens art, omfattning, sammanhang och ändamål, samt risken av varierande sannolikhet och allvar för fysiska personers rättigheter och friheter.

6.3 De tekniska och organisatoriska säkerhetsåtgärder som Biträdet tillämpar omfattar bland annat:

a. Kryptering: Data under överföring krypteras med TLS 1.2 eller högre; data i vila krypteras med branschstandard 256-bit AES

b. Åtkomstkontroll på funktionsnivå: Databasåtkomst styrs via auktorisation på funktionsnivå så att användare endast ser behörig data, med isolering per organisation

c. Autentisering och åtkomstkontroll: Säker autentisering via Clerk (EU) med sessionshantering och rollbaserad åtkomst

d. Databasisolering: Varje kunds data isoleras med unika inloggningsuppgifter och åtkomstkontroller

e. Nätverkssäkerhet: DDoS-skydd och åtgärder på nätverksnivå

f. Hastighetsbegränsning: Skydd mot missbruk och brute force-angrepp

g. Regelbundna säkerhetskopior: Krypterade säkerhetskopior utförs regelbundet

6.4 Ansvarige ska endast lämna personuppgifter till Biträdet för behandling när Ansvarige säkerställt att erforderliga säkerhetsåtgärder vidtagits.

7. Revision

7.1 Ansvarige har rätt att genom oberoende tredje part, som omfattas av sekretess, verifiera Biträdets efterlevnad av detta PUB-avtal. Revision får endast ske vid skälig och välgrundad misstanke om avtalsbrott som skriftligen meddelats Biträdet, och högst en gång per år.

7.2 Om en oberoende part redan genomfört revision under året kan Biträdet uppfylla sin skyldighet genom att lämna relevanta delar av det årets revisionsrapport, om verifiering begärts samma år.

7.3 Parterna beslutar gemensamt om datum, tid och revisionsomfattning.

7.4 Biträdet ska fullt ut samarbeta med revisionen och ställa personal och skäligt relevant information till förfogande, inklusive stödjande data såsom systemloggar.

7.5 Revisionsresultat bedöms i gemensam överläggning mellan Parterna och kan genomföras av endera Parten eller gemensamt.

7.6 Revisionskostnader bärs av Biträdet om revisionen visar avvikelser i Biträdets efterlevnad som kan hänföras direkt till Biträdet. I övriga fall bärs kostnaderna av Ansvarige.

7.7 Revision och resultat behandlas konfidentiellt av Ansvarige.

8. Anlitande av underbiträden

8.1 Ansvarige ger Biträdet tillstånd att anlita underbiträden vid leverans av tjänster enligt detta PUB-avtal.

8.2 Förteckning över underbiträden vid avtalets ingående finns i bilaga B.

8.3 Aktuell förteckning finns på https://transvect.se/security eller kan begäras via info@transvect.se. Biträdet underrättar Ansvarige om uppdateringar.

8.4 Ansvarige har rätt att inom två veckor skriftligen invända mot ny eller ändrad underbiträde på skäliga grunder. Vid invändning förhandlar Parterna om lösning.

8.5 Biträdet ålägger underbiträden minst samma skyldigheter som gäller mellan Ansvarige och Biträdet enligt detta PUB-avtal.

8.6 Biträdet ska säkerställa att tredje parter följer detta PUB-avtal och ansvarar för skada som orsakas av tredje parts avvikelse som om Biträdet självt brutit mot avtalet.

9. Överföring av personuppgifter

9.1 Biträdet får behandla personuppgifter i vilket land som helst inom Europeiska ekonomiska samarbetsområdet (EES).

9.2 Biträdet får dessutom överföra personuppgifter till land utanför EES om landet säkerställer adekvat skyddsnivå och övriga krav enligt detta PUB-avtal och GDPR, inklusive lämpliga skyddsåtgärder och verkställbara rättigheter för Registrerade.

9.3 Ansvarige ger härmed Biträdet fullmakt att vid behov ingå standardavtal för överföring av personuppgifter från personuppgiftsansvarig inom EU till biträde i tredjeland, i enlighet med kommissionens beslut av den 5 februari 2010 (2010/87/EU) eller gällande rätt vid var tid.

9.4 Förteckning över behandlingsplatser vid avtalets ingående finns i bilaga B.

9.5 Aktuell förteckning finns på https://transvect.se/security eller kan begäras via info@transvect.se.

10. Ansvar

10.1 Parterna enas uttryckligen om att ansvar regleras enligt villkoren i Allmänna villkor.

11. Löptid och upphörande

11.1 Detta PUB-avtal gäller under den tid som anges i Avtalet.

11.2 Avvikelser från detta PUB-avtal är bindande endast om de uttryckligen avtalats skriftligen mellan Parterna.

11.3 Vid ändringar i lag eller förordningar ska Parterna pröva ändringar i gemensam överläggning.

11.4 Detta PUB-avtal kan ändras på samma sätt som Avtalet.

11.5 Vid upphörande av PUB-avtalet ska Transvect, på Ansvariges begäran och på Ansvariges bekostnad:

a. återlämna alla personuppgifter till Ansvarige i originalformat; eller

b. förstöra alla personuppgifter som finns hos Biträdet.

Följande bilagor ingår i PUB-avtalet:

  • Bilaga A: Specifikation av personuppgifter och Registrerade
  • Bilaga B: Underbiträden

Bilaga A: Specifikation av personuppgifter och Registrerade

Personuppgifter

Biträdet behandlar följande typer av personuppgifter under Ansvariges ansvar för fullgörande av Avtalet:

  • Namn
  • E-post
  • Telefon
  • Adresser
  • Signaturer
  • Uppgifter i anpassade fält
  • Uppgifter i anteckningar
  • Betalningsinformation (via Stripe Connect)

Kategorier av Registrerade

Följande kategorier av Registrerade:

  • Kunder (slutkunder till Ansvarige)
  • Fakturor
  • Avtal
  • Offerter
  • Anställda (hos Ansvarige)

Ansvarige garanterar att beskrivningen i Bilaga A är fullständig och korrekt och ska hålla Biträdet skadeslöst för fel och krav som uppstår vid brott mot denna garanti.

Bilaga B: Underbiträden

Följande underbiträden anlitas av Transvect vid avtalets ingående:

  • Stripe – Irland (EU) – Betalningshantering
  • Clerk – EU – Autentisering och användarhantering
  • Novu – EU – Notistjänster
  • Convex – Egen drift (Stockholm, Sverige) – Databas och backend
  • Fly.io – Stockholm, Sverige – Infrastruktur och underbiträde

Aktuell förteckning finns på https://transvect.se/security eller kan begäras via info@transvect.se.

Behandlingsplatser

All personuppgiftsbehandling sker inom EES:

  • Convex: Egen drift (Stockholm, Sverige)
  • Fly.io: Stockholm, Sverige
  • Stripe: Irland (EU)
  • Clerk: EU
  • Novu: EU

Aktuell förteckning över behandlingsplatser finns på https://transvect.se/security.

Data Processing Agreement | Transvect