Skip to main content

Personuppgiftsbiträdesavtal

GDPR-kompatibelt tillägg om personuppgiftsbehandling

Senast uppdaterad: 2 februari 2026

Detta personuppgiftsbiträdesavtal ("PUB") är en del av avtalet mellan Tom Isgren / Bright Interaction ("vi") och dig ("kunden"). Det gäller automatiskt när du signerar ett förslag eller tjänsteavtal med oss.

1. Definitioner

  • "Personuppgifter" avser information som kan kopplas till en person (GDPR artikel 4(1)).
  • "Behandling" avser allt som görs med personuppgifter (GDPR artikel 4(2)).
  • "Personuppgiftsansvarig" avser den som bestämmer varför och hur personuppgifter behandlas (du).
  • "Personuppgiftsbiträde" avser den som behandlar personuppgifter åt den ansvarige (vi).
  • "Underbiträde" avser tredje part vi anlitar för att behandla personuppgifter.
  • "Registrerad" avser en person vars uppgifter behandlas.
  • "GDPR" avser Europaparlamentets och rådets förordning (EU) 2016/679.

2. Behandlingens omfattning och ändamål

Vi behandlar personuppgifter bara för att kunna leverera de tjänster vi avtalat, till exempel:

  • Arbetsflödesautomation och processoptimering
  • Systemintegration och API-utveckling
  • Molnhosting och hantering
  • Databasdesign, utveckling och underhåll
  • Skräddarsydd programvaruutveckling
  • Teknisk support och underhållstjänster

3. Kategorier av personuppgifter

Beroende på tjänsten kan dessa typer av personuppgifter behandlas:

  • Kontaktinformation (namn, e-postadresser, telefonnummer, adresser)
  • Professionell information (tjänstetitlar, företagsnamn, affärskontaktuppgifter)
  • Kontouppgifter och autentiseringsdata
  • Användningsdata och systemloggar
  • Andra personuppgifter du lägger in i system vi hanterar

Exakt vilka uppgifter som behandlas framgår av ditt tjänsteavtal.

4. Kategorier av registrerade

Registrerade kan inkludera:

  • Dina anställda och uppdragstagare
  • Dina kunder
  • Dina affärspartner och leverantörer
  • Slutanvändare av dina produkter eller tjänster
  • Andra personer vars uppgifter finns i system vi hanterar

5. Biträdets skyldigheter

Vi åtar oss att:

  • Bara behandla personuppgifter enligt dina instruktioner, om inte lagen kräver annat
  • Se till att alla som hanterar personuppgifter har tystnadsplikt
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt avsnitt 8
  • Respektera villkoren för anlitande av underbiträden enligt avsnitt 7
  • Bistå den ansvarige med att besvara begäranden från registrerade
  • Bistå den ansvarige med att säkerställa efterlevnad av GDPR artiklarna 32-36 (säkerhet, incidentrapportering, konsekvensbedömningar)
  • Radera eller returnera alla personuppgifter när avtalet upphör, om inte lagen kräver lagring
  • Ge dig den information du behöver för att kontrollera att vi följer avtalet

6. Den ansvariges skyldigheter

Du åtar dig att:

  • Se till att behandlingen av personuppgifter har laglig grund
  • Ge oss skriftliga instruktioner för personuppgiftsbehandlingen
  • Säkerställa att registrerade har informerats om behandlingen i enlighet med GDPR
  • Besvara begäranden från registrerade i rimlig tid
  • Meddela oss om ändringar i dataskyddslagstiftning
  • Genomföra konsekvensbedömningar avseende dataskydd där det krävs

7. Underbiträden

Du ger oss tillstånd att anlita underbiträden, med dessa villkor:

  • Vi håller en aktuell lista över underbiträden
  • Vi informerar dig om ändringar av underbiträden i god tid
  • Du kan invända mot ett nytt underbiträde inom 14 dagar
  • Alla underbiträden binds av samma dataskyddskrav som i detta PUB
  • Vi ansvarar fullt ut för våra underbiträden

Aktuella underbiträden:

Leverantör Ändamål Plats
Hetzner Online GmbH Molninfrastruktur och hosting Tyskland (EU)
Cloudflare, Inc. CDN, DNS, säkerhetstjänster EU-datacenter (med SCC)
Stripe, Inc. Betalningshantering EU/USA (med SCC)
Documenso, Inc. E-signaturtjänster EU (egenhostade)

Listan uppdaterades 2 februari 2026. Kontakta oss för senaste versionen.

8. Säkerhetsåtgärder

Vi använder dessa åtgärder för att skydda dina uppgifter:

Tekniska åtgärder:

  • Kryptering av data under överföring (TLS 1.3) och i vila (AES-256)
  • Flerfaktorsautentisering för all systemåtkomst
  • Regelbundna säkerhetsuppdateringar och sårbarhetsåtgärder
  • Nätverkssegmentering och brandväggsskydd
  • System för intrångsdetektering och -prevention
  • Regelbundna automatiserade säkerhetskopior med krypterad lagring
  • Säker utvecklingspraxis och kodgranskning

Organisatoriska åtgärder:

  • Åtkomstkontroll. Bara den åtkomst som behövs.
  • Sekretessavtal med all personal
  • Regelbunden säkerhetsutbildning
  • Incidenthanteringsrutiner
  • Kontinuitets- och katastrofåterställningsplaner
  • Regelbundna säkerhetsbedömningar och granskningar

9. Registrerades rättigheter

Vi hjälper dig besvara förfrågningar från registrerade, inklusive:

  • Rätt till tillgång. Tillhandahålla kopior av personuppgifter.
  • Rätt till rättelse. Korrigera felaktiga uppgifter.
  • Rätt till radering. Radera uppgifter ("rätten att bli bortglömd").
  • Rätt till begränsning. Begränsa behandling.
  • Rätt till dataportabilitet. Tillhandahålla uppgifter i ett strukturerat format.
  • Rätt att göra invändningar. Upphöra med viss behandling.

Vi meddelar dig inom 48 timmar om vi får en förfrågan direkt från en registrerad.

10. Anmälan av personuppgiftsincident

Vid en personuppgiftsincident ska vi:

  • Meddela dig utan onödigt dröjsmål, och senast 24 timmar efter att ha blivit medveten om incidenten
  • Ge dig all information du behöver för att rapportera incidenten enligt GDPR artikel 33
  • Samarbeta med dig i utredning och åtgärdande
  • Dokumentera alla incidenter: fakta, konsekvenser och åtgärder

Incidentrapporteringen ska innehålla:

  • Incidentens art inklusive kategorier och ungefärligt antal berörda registrerade
  • Kategorier och ungefärligt antal berörda personuppgiftsposter
  • Troliga konsekvenser av incidenten
  • Vidtagna eller föreslagna åtgärder för att hantera incidenten
  • Kontaktpunkt för ytterligare information

11. Internationella dataöverföringar

Vi behandlar data inom EES. Om vi behöver överföra data utanför EES:

  • Överföring sker bara till länder med EU:s adekvansbeslut, eller
  • Lämpliga skyddsåtgärder vidtas, inklusive standardavtalsklausuler (SCC)
  • Vi informerar dig om destinationsland och skyddsåtgärder
  • Extra åtgärder vidtas där Schrems II-beslutet kräver det

12. Granskningar och inspektioner

Biträdet ska:

  • Ge dig den information som behövs för att visa att vi följer detta PUB
  • Tillåta och bidra till granskningar som du eller din revisor utför
  • Vi kräver minst 30 dagars varsel för platsbesök
  • Granskningar sker under kontorstid med minimal störning
  • Du står för granskningskostnader, om inte granskningen visar brister från vår sida

13. Lagring och radering av uppgifter

När avtalet upphör eller om du begär det:

  • Vi returnerar alla personuppgifter i ett vanligt format, eller
  • Raderar alla personuppgifter och bekräftar det skriftligt
  • Raderingen slutförs inom 30 dagar, om inte lagen kräver längre lagring
  • Om lagen kräver att vi sparar uppgifter dokumenterar vi det och meddelar dig

14. Avtalstid och upphörande

Detta PUB gäller från det att du signerar ett förslag eller avtal med oss och så länge vi behandlar personuppgifter åt dig. Skyldigheterna kvarstår tills alla personuppgifter returnerats eller raderats.

15. Tillämplig lag och jurisdiktion

Detta PUB regleras av svensk lag och GDPR. Tvister avgörs i Malmö tingsrätt, om vi inte avtalat annat.

16. Kontaktinformation

Frågor om detta PUB eller dataskydd?

Tom Isgren / Bright Interaction

Dataskyddskontakt

Nobelvägen 3c

214 29 Malmö, Sverige

Org.nr: 199302152351

E-post: Contact

Telefon: +46 76 297 80 35

Tillbaka till startsidan Användarvillkor Integritetspolicy