Personuppgiftsbiträdesavtal (DPA)
Enligt GDPR artikel 28 — Senast uppdaterad: 2026-04-03
Parter
Personuppgiftsansvarig:Kunden ("Kunden") som registrerar sig för och använder Tjänsten.
Personuppgiftsbiträde:[BOLAGSNAMN], org.nr [ORG_NR], [ADRESS], Sverige ("Biträdet").
1. Föremål
Detta biträdesavtal reglerar Biträdets behandling av personuppgifter på uppdrag av Kunden i samband med användningen av Cyberkoll ("Tjänsten").
2. Behandlingens art och syfte
Biträdet behandlar personuppgifter enbart för att tillhandahålla Tjänsten enligt Användarvillkoren. Behandlingen omfattar:
- Lagring av organisationsdata (namn, org.nr, sektor, storlek)
- Lagring av GAP-analyssvar och compliance-scores
- Lagring av incidentloggdata (beskrivningar, åtgärder, deadlines)
- Lagring av leverantörsdata (namn, tjänst, riskbedömning)
- Lagring av policydokument uppladdade av Kunden
- Generering av PDF-rapporter
3. Typer av personuppgifter
- Kontaktuppgifter (namn, emailadress)
- Tekniska data (IP-adresser, webbläsarinformation)
- Organisationsdata (org.nr, sektor — ej personuppgifter i sig)
- Incidentbeskrivningar (kan innehålla personuppgifter)
- Leverantörskontakter (namn, email)
4. Kategorier av registrerade
- Kundens anställda (användare av Tjänsten)
- Kundens leverantörskontakter
5. Biträdets skyldigheter
Biträdet åtar sig att:
- Behandla personuppgifter enbart enligt dokumenterade instruktioner från den Personuppgiftsansvarige (dessa villkor och detta avtal utgör sådana instruktioner).
- Säkerställa att personer som har behörighet att behandla uppgifterna är bundna av sekretess.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt GDPR artikel 32.
- Bistå den Personuppgiftsansvarige med att svara på begäran från registrerade som utövar sina rättigheter.
- Bistå den Personuppgiftsansvarige med att uppfylla skyldigheterna enligt GDPR artikel 32–36 (säkerhet, incidentanmälan, konsekvensbedömning).
- Radera eller återlämna alla personuppgifter vid avtalets upphörande.
- Tillgängliggöra all information som krävs för att visa efterlevnad av GDPR artikel 28.
6. Underbiträden
Biträdet använder följande underbiträden:
| Underbiträde | Syfte | Plats |
|---|---|---|
| Supabase Inc. | Databas, autentisering | EU (Frankfurt) |
| Vercel Inc. | Webbhosting | USA (DPF) |
| Stripe Inc. | Betalningar | USA (DPF) |
| Resend Inc. | Transaktionell email | USA (DPF) |
| Cloudflare Inc. | DNS, DDoS-skydd | Global (EU edge) |
Biträdet meddelar den Personuppgiftsansvarige om planerade ändringar av underbiträden. Den Personuppgiftsansvarige har rätt att invända mot nya underbiträden inom 14 dagar från meddelandet.
7. Säkerhetsåtgärder (GDPR Art. 32)
Biträdet upprätthåller följande tekniska och organisatoriska åtgärder:
- Kryptering i vila (AES-256 via Supabase)
- Kryptering under transport (TLS 1.3)
- Åtkomstkontroll baserad på roller (Row Level Security)
- Regelbundna säkerhetskopior
- Loggning och övervakning av åtkomst
- Incidenthanteringsprocess
8. Personuppgiftsincident
Biträdet meddelar den Personuppgiftsansvarige utan onödigt dröjsmål (och senast inom 48 timmar) efter att ha fått kännedom om en personuppgiftsincident. Meddelandet ska innehålla:
- Beskrivning av incidentens art
- Kategorier och ungefärligt antal berörda registrerade
- Sannolika konsekvenser
- Åtgärder som vidtagits eller föreslås
9. Granskning
Biträdet ska på begäran göra tillgänglig den information som krävs för att visa efterlevnad av skyldigheterna i detta avtal och GDPR artikel 28. Biträdet ska tillåta och bidra till granskningar som genomförs av den Personuppgiftsansvarige eller en revisor som denne utsett.
10. Avtalets upphörande
Vid avtalets upphörande ska Biträdet, enligt den Personuppgiftsansvariges val, radera eller återlämna alla personuppgifter och radera befintliga kopior, såvida inte lag kräver fortsatt lagring.
11. Kontakt
[BOLAGSNAMN]
[ADRESS]
dpa@cyberkoll.se