Personuppgiftsbiträdesavtal
Avtalet som reglerar hur Controllen behandlar personuppgifter på ditt uppdrag (GDPR Art. 28).
[PLACEHOLDER — lägg till datum]
Detta Personuppgiftsbiträdesavtal ("DPA") ingår mellan [PLACEHOLDER — Företagsnamn] AB, org.nr [PLACEHOLDER — ORG NR] ("Biträdet", "Controllen") och den kund som använder tjänsten ("den Personuppgiftsansvarige", "Kunden").
Detta DPA utgör en del av Användarvillkoren och uppfyller kraven i GDPR artikel 28.
1. Definitioner
- Personuppgifter: uppgifter som avses i GDPR artikel 4(1).
- Behandling: åtgärder som avses i GDPR artikel 4(2).
- Registrerade: Kundens anställda och kunder vars uppgifter behandlas.
- Underbiträde: tredje part som Biträdet anlitar för behandling.
2. Behandlingens syfte och karaktär
Biträdet behandlar personuppgifter för att tillhandahålla Controllen, vilket inkluderar:
- Lagring och hantering av data om anställda, kunder och jobb
- Tidrapportering och löneunderlag
- Offerter och fakturering
- Kommunikation och notifikationer
- Uppladdning och lagring av dokument, inklusive ID-kopior, certifikat, avtal och HR-dokument
- Analys och förbättring av tjänsten
3. Kategorier av personuppgifter och registrerade
| Kategori av registrerade | Kategorier av personuppgifter |
|---|---|
| Kundens anställda | Namn, e-post, telefon, roll, arbetstider, löneunderlag, ID-dokument, certifikat |
| Kundens kunder (privatpersoner) | Namn, e-post, telefon, adress, jobbhistorik |
| Kundens kunder (företagsrepresentanter) | Namn, e-post, telefon, företagsuppgifter |
4. Biträdets skyldigheter
Biträdet ska:
- behandla personuppgifter endast på dokumenterade instruktioner från Kunden,
- säkerställa att personal med åtkomst är bundna av sekretessåtaganden,
- vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (GDPR artikel 32),
- biträda Kunden i att svara på begäran från registrerade,
- radera eller återlämna personuppgifter vid avtalets upphörande,
- tillhandahålla information som visar att skyldigheterna i detta DPA fullgörs.
5. Säkerhetsåtgärder
- Kryptering vid överföring (TLS 1.2+) och i vila (AES-256 via Supabase)
- Radnivåsäkerhet (Row-Level Security) — data isoleras per kund
- Rollbaserad åtkomstkontroll med fem behörighetsnivåer
- Multifaktorautentisering tillgänglig för kontoägare
- Löpande säkerhetsuppdateringar och beroendeövervakning
- Dagliga säkerhetskopior (30 dagars retention)
- Incidentresponsplan med GDPR-kompatibel anmälningsprocedur
6. Underbiträden
Kunden ger ett generellt förhandsgodkännande till att Controllen anlitar underbiträden. Aktuell lista finns på controllen.se/underbitraden.
Vid tillägg av nya underbiträden meddelas Kunden minst 14 dagar i förväg. Kunden har rätt att invända mot sådana förändringar.
7. Internationella överföringar
Personuppgifter behandlas i första hand inom EU/EES. Vid behandling utanför EU/EES tillämpas EU:s standardavtalsklausuler (SCC) eller annat godkänt överföringsverktyg.
8. Personuppgiftsincidenter
Biträdet ska utan onödigt dröjsmål — och senast inom 24 timmar — underrätta Kunden om en personuppgiftsincident. Kunden ska kunna uppfylla sin anmälningsskyldighet till tillsynsmyndigheten inom 72 timmar (GDPR artikel 33).
9. Avtalets löptid och upphörande
Detta DPA gäller så länge Biträdet behandlar personuppgifter på Kundens uppdrag. Vid avtalets upphörande raderas eller återlämnas samtliga personuppgifter inom 30 dagar.
10. Tillämplig lag
Detta DPA regleras av svensk rätt och GDPR. Tillsynsmyndighet är Integritetsskyddsmyndigheten (IMY).
11. Kontakt
Frågor om detta DPA: [PLACEHOLDER — support@controllen.se]