Hoppa till innehåll

Personuppgiftsbiträdesavtal (DPA)

Mellan personuppgiftsansvarig och BuddyPro AB (personuppgiftsbiträde) Version 1.0. Regleras av förordning (EU) 2016/679 (GDPR) artikel 28.

1. Parter

Detta personuppgiftsbiträdesavtal (DPA) ingås mellan:

Personuppgiftsansvarig: Det företag som har accepterat BuddyPros användarvillkor (den Personuppgiftsansvariga).

Personuppgiftsbiträde: BuddyPro AB, org-nummer 559516-1844, Karlavägen 41, 114 31 Stockholm, Sverige (BuddyPro eller Personuppgiftsbiträdet).

Gemensamt benämnda Parterna.

2. Bakgrund och syfte

Den Personuppgiftsansvariga har anlitat BuddyPro för att tillhandahålla mjukvarutjänster, inklusive BuddyPro Admin, Workforce och Customer Portal (gemensamt Tjänsterna), enligt vad som beskrivs i användarvillkoren.

I samband med tillhandahållandet av Tjänsterna behandlar BuddyPro personuppgifter för den Personuppgiftsansvarigas räkning. Detta DPA reglerar parternas rättigheter och skyldigheter i fråga om sådan behandling, enligt vad som krävs av artikel 28 GDPR.

Detta DPA utgör en del av och kompletterar användarvillkoren mellan Parterna. Vid konflikt har detta DPA företräde med avseende på behandling av personuppgifter.

3. Definitioner

Begrepp som används i detta DPA har de betydelser som anges i GDPR (förordning (EU) 2016/679), om inget annat anges här.

Personuppgifter betyder all information som rör en identifierad eller identifierbar fysisk person som behandlas av BuddyPro för den Personuppgiftsansvarigas räkning enligt detta DPA.

Underbiträde betyder en tredje part som BuddyPro anlitar för att behandla Personuppgifter i samband med Tjänsterna.

Tjänsterna betyder produkterna BuddyPro Admin, Workforce och Customer Portal som tillhandahålls enligt användarvillkoren.

4. Föremål, art och syfte med behandlingen

BuddyPro behandlar Personuppgifter endast för att tillhandahålla, underhålla och förbättra Tjänsterna enligt vad som beskrivs i användarvillkoren, och enligt vad den Personuppgiftsansvariga vidare instruerar.

Behandlingens art omfattar: lagring, hämtning, visning, överföring och radering av personuppgifter som en del av plattformsdrift, schemaläggning, tidsrapportering, fakturering, kundkommunikation och hantering av fältpersonal.

5. Kategorier av personuppgifter och registrerade

5.1 Registrerade

  • Anställda och fältpersonal (Buddies) hos den Personuppgiftsansvariga
  • Slutkunder hos den Personuppgiftsansvariga
  • Administratörer och användare av den Personuppgiftsansvarigas BuddyPro-konto

5.2 Kategorier av personuppgifter

  • Identitetsuppgifter: för- och efternamn, personnummer när det lämnats för skatte- eller faktureringsändamål
  • Kontaktuppgifter: e-postadress, telefonnummer, hem- och arbetsadress
  • Autentiseringsuppgifter: e-post och telefon som lagras i autentiseringslagret (Keycloak)
  • Anställningsdata: arbetsschema, tidsregistreringar, tilldelade uppdrag, prestandadata, löneberäkningar, bankuppgifter
  • Platsdata: GPS-koordinater vid uppdragsstart och uppdragsavslut, geofencing-data, restid
  • Kunddata: bokade uppdrag, tjänstehistorik, preferenser, anteckningar
  • Kommunikation: meddelanden mellan medarbetare, administratörer och slutkunder inom plattformen
  • Enhets- och användningsdata: sessionsdata, felloggar, användningsmönster (via analysunderbiträden)

6. Den Personuppgiftsansvarigas instruktioner

BuddyPro ska behandla Personuppgifter endast på dokumenterade instruktioner från den Personuppgiftsansvariga, inklusive vad gäller överföringar av Personuppgifter till tredje land, om inte unionsrätt eller medlemsstats rätt kräver annat.

Den Personuppgiftsansvarigas huvudsakliga instruktioner framgår av användarvillkoren och konfigurationen av Tjänsterna. Den Personuppgiftsansvariga kan utfärda ytterligare skriftliga instruktioner under detta DPA:s löptid. BuddyPro ska informera den Personuppgiftsansvariga om BuddyPro anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslag.

BuddyPro ska utan dröjsmål meddela den Personuppgiftsansvariga om BuddyPro enligt lag är skyldigt att behandla Personuppgifter på annat sätt än instruerat, om inte den lagen förbjuder sådant meddelande.

7. BuddyPros skyldigheter

7.1 Konfidentialitet

BuddyPro ska säkerställa att personer med behörighet att behandla Personuppgifter för BuddyPros räkning omfattas av en lämplig konfidentialitetsförpliktelse, antingen avtalsenlig eller lagstadgad.

7.2 Säkerhet

BuddyPro ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, enligt artikel 32 GDPR. Åtgärderna omfattar minst:

  • Kryptering av Personuppgifter under överföring (TLS) och i vila
  • Tenant isolation. Varje Personuppgiftsansvarigs operativa data lagras i ett separat schema, isolerat från andra personuppgiftsansvariga
  • Säker autentisering och rollbaserad åtkomstkontroll via Keycloak
  • Regelbundna säkerhetstester och sårbarhetshantering
  • Säkerhetskopior och återställningsrutiner
  • Internutbildning om dataskydd för personal med åtkomst till Personuppgifter
  • Personuppgiftsbiträdesavtal med samtliga underbiträden

7.3 Underbiträden

Den Personuppgiftsansvariga ger BuddyPro generellt tillstånd att anlita de underbiträden som anges i bilaga 1 till detta DPA. BuddyPro ska meddela den Personuppgiftsansvariga om planerade tillägg eller byten av underbiträden minst 30 dagar i förväg och ge den Personuppgiftsansvariga möjlighet att invända.

BuddyPro ska, genom skriftligt avtal, ålägga underbiträden dataskyddsförpliktelser motsvarande dem i detta DPA. BuddyPro ansvarar gentemot den Personuppgiftsansvariga för underbiträdens fullgörande av sina skyldigheter.

7.4 Den registrerades rättigheter

BuddyPro ska, med hänsyn till behandlingens art, genom lämpliga tekniska och organisatoriska åtgärder bistå den Personuppgiftsansvariga med att fullgöra skyldigheten att besvara förfrågningar från registrerade som utövar sina rättigheter enligt kapitel III GDPR.

BuddyPro ska utan onödigt dröjsmål vidarebefordra eventuella förfrågningar från registrerade som tas emot direkt till den Personuppgiftsansvariga, och inte besvara sådana förfrågningar direkt om inte den Personuppgiftsansvariga gett tillstånd till det.

7.5 Stöd vid efterlevnad

BuddyPro ska bistå den Personuppgiftsansvariga med att säkerställa efterlevnad av skyldigheterna enligt artiklarna 32 till 36 GDPR, inklusive vad gäller:

  • Säkerhet vid behandling (artikel 32)
  • Anmälan av personuppgiftsincidenter till tillsynsmyndigheten (artikel 33)
  • Information om personuppgiftsincidenter till registrerade (artikel 34)
  • Konsekvensbedömningar avseende dataskydd (artikel 35)
  • Förhandssamråd med tillsynsmyndigheten (artikel 36)

7.6 Personuppgiftsincidenter

BuddyPro ska utan onödigt dröjsmål, och i vart fall inom 48 timmar, meddela den Personuppgiftsansvariga när BuddyPro fått kännedom om en personuppgiftsincident som påverkar Personuppgifter som behandlas enligt detta DPA. Meddelandet ska, i den utsträckning informationen finns tillgänglig, omfatta: incidentens art, vilka kategorier och ungefärligt antal registrerade och poster som berörs, sannolika konsekvenser samt vidtagna eller planerade åtgärder.

7.7 Radering och återlämnande

Vid avtalets upphörande ska BuddyPro, efter den Personuppgiftsansvarigas val, radera eller återlämna alla Personuppgifter som behandlats för den Personuppgiftsansvarigas räkning, och radera befintliga kopior, om inte unionsrätt eller medlemsstats rätt kräver lagring av Personuppgifterna.

Mer specifikt, vid uppsägning av ett företagskonto:

  • Operativ data (Person-, Buddy- och relaterade poster i den Personuppgiftsansvarigas isolerade schema) raderas inom 30 dagar efter kontostängning
  • Autentiseringsdata (e-post, telefon i Keycloak) behålls tills användaren inte haft aktivitet i någon BuddyPro-tjänst på 7 år, eller tills användaren begär radering, om inte användaren är aktiv hos ett annat företagskonto på plattformen
  • Bokförings- och skatteunderlag sparas i 7 år enligt bokföringslagen

7.8 Granskningsrätt

BuddyPro ska tillhandahålla den Personuppgiftsansvariga all information som krävs för att visa efterlevnad av skyldigheterna i detta DPA och medge och medverka vid granskningar, inklusive inspektioner, som utförs av den Personuppgiftsansvariga eller en av denne anlitad revisor.

Den Personuppgiftsansvariga ska ge BuddyPro skälig varseltid inför en granskning (minst 14 dagar), säkerställa att granskningar inte oskäligt stör BuddyPros verksamhet och behandla erhållen information konfidentiellt. Granskningskostnader bärs av den Personuppgiftsansvariga, om inte granskningen visar ett väsentligt brott mot avtalet från BuddyPros sida.

8. Den Personuppgiftsansvarigas skyldigheter

Den Personuppgiftsansvariga garanterar att den har en laglig grund för att instruera BuddyPro att behandla Personuppgifter enligt detta DPA, och att den har uppfyllt sina egna skyldigheter enligt GDPR, inklusive att lämna lämplig information till registrerade.

Den Personuppgiftsansvariga ansvarar för att de Personuppgifter som lämnas till BuddyPro är korrekta och för att dess användning av Tjänsterna följer tillämplig lag.

9. Internationella överföringar

BuddyPro lagrar och behandlar Personuppgifter inom EU/EES. När ett underbiträde är beläget utanför EU/EES eller behandlar data i ett tredje land säkerställer BuddyPro att lämpliga skyddsåtgärder finns på plats enligt kapitel V GDPR, t.ex. EU:s standardavtalsklausuler eller ett beslut om adekvat skyddsnivå.

Detaljer om underbiträden och tillämpliga överföringsmekanismer framgår av bilaga 1. BuddyPro ska meddela den Personuppgiftsansvariga innan ett underbiträde anlitas som innebär överföring till tredje land.

10. Löptid

Detta DPA gäller under användarvillkorens löptid och upphör automatiskt när användarvillkoren upphör. Skyldigheter avseende konfidentialitet och datalagring överlever upphörandet.

11. Ansvar

Vardera partens ansvar enligt detta DPA omfattas av de begränsningar och undantag som framgår av användarvillkoren, i den utsträckning tillämplig lag tillåter.

Inget i detta DPA begränsar parts ansvar för bedrägeri, bedräglig framställning, dödsfall eller personskada orsakad av vårdslöshet, eller annat ansvar som inte får uteslutas eller begränsas enligt tvingande lag.

12. Tillämplig lag och tvist

Detta DPA regleras av svensk rätt och tillämplig EU-rätt. Tvist som uppstår med anledning av detta DPA löses enligt tvistlösningsbestämmelserna i användarvillkoren.

13. Ändringar

BuddyPro kan ändra detta DPA för att återspegla ändringar i tillämplig lag, underbiträdesarrangemang eller väsentliga ändringar av Tjänsterna. BuddyPro meddelar den Personuppgiftsansvariga minst 30 dagar i förväg om väsentliga ändringar. Fortsatt användning av Tjänsterna efter ändringens ikraftträdande innebär att ändringen godkänns.

Bilaga 1 — Underbiträden

Följande underbiträden är godkända per datumet för detta DPA. BuddyPro håller en uppdaterad version av listan tillgänglig på buddypro.io/legal/dpa.

UnderbiträdeSyftePlats / Överföringsskydd
Amazon Web Services (AWS)Primär infrastruktur: applikationsdrift (EKS), databaser (RDS MySQL och PostgreSQL), cache (ElastiCache/Redis), fillagring (S3), frontend-drift (Amplify), meddelandeköer (Amazon MQ/RabbitMQ), VPS (EC2)EU/EES, AWS standardavtalsklausuler
SupabaseDatabas och autentisering för FixatEU (AWS eu-central-1)
Keycloak (självhostat)Autentisering för Admin, Workforce, Customer PortalEU/EES, BuddyPro-hanterat på AWS
PostHogProduktanalys och användningsspårningEU Cloud-instans
SentryFelloggning och diagnostikEU, standardavtalsklausuler
Customer.ioTransaktionell e-post och marknadskommunikationUSA, standardavtalsklausuler
Expo.devPublicering av mobilappUSA, inga personuppgifter överförs

BuddyPro meddelar den Personuppgiftsansvariga minst 30 dagar i förväg innan ett underbiträde läggs till eller byts ut. Den Personuppgiftsansvariga kan invända skriftligen inom 14 dagar. Om Parterna inte når en lösning kan endera parten säga upp berörda Tjänster med skälig varseltid.