Personuppgiftsbiträdesavtal

Enligt EU:s allmänna dataskyddsförordning (GDPR)

Senast uppdaterad: 2025-10-25

1. Inledning

Detta personuppgiftsbiträdesavtal ("PUB") reglerar SecuraPilot AB:s ("Personuppgiftsbiträdet") behandling av personuppgifter för kundens ("Personuppgiftsansvarig") räkning i enlighet med EU:s allmänna dataskyddsförordning (GDPR).

2. Definitioner

I detta avtal gäller följande definitioner enligt GDPR:

Personuppgift
All information som kan kopplas till en identifierad eller identifierbar fysisk person
Behandling
Varje åtgärd som vidtas med personuppgifter
Personuppgiftsansvarig
Den som bestämmer ändamål och medel för behandlingen
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning

3. Behandlingens ändamål och omfattning

Personuppgiftsbiträdet ska behandla personuppgifter för följande ändamål:

  • Tillhandahållande av SecuraPilot-plattformen
  • Teknisk support och underhåll
  • Säkerhetskopiering av data

4. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet förbinder sig att:

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig
  • Säkerställa att personer som behandlar personuppgifter har förbundit sig till sekretess
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder
  • Inte anlita underbiträde utan skriftligt godkännande
  • Bistå Personuppgiftsansvarig med att uppfylla registrerades rättigheter
  • Radera eller återlämna personuppgifter när uppdraget är slutfört
  • Tillhandahålla information för att påvisa att skyldigheterna uppfylls

5. Säkerhetsåtgärder

Personuppgiftsbiträdet implementerar följande säkerhetsåtgärder:

  • Kryptering: End-to-end kryptering (AES-256)
  • Lagring: Säker lagring i svenska datacenter
  • Åtkomst: Åtkomstkontroll och autentisering
  • Backup: Regelbundna säkerhetskopior
  • Övervakning: Löpande säkerhetsövervakning
  • Incidenthantering: Etablerade incidenthanteringsprocesser

6. Underbiträden

Personuppgiftsbiträdet använder följande godkända underbiträden:

  • Hostingleverantörer i Sverige för datalagring
  • E-posttjänster för systemnotifikationer

Alla underbiträden måste uppfylla samma säkerhetskrav som ställs på Personuppgiftsbiträdet.

7. Personuppgiftsintrång

Vid personuppgiftsintrång ska Personuppgiftsbiträdet utan onödigt dröjsmål underrätta Personuppgiftsansvarig och bistå med utredning och åtgärder.

Underrättelsen ska innehålla:

  • Beskrivning av intrångets karaktär
  • Uppskattning av berörda personer och datakategorier
  • Beskrivning av vidtagna och planerade åtgärder
  • Kontaktuppgifter för ytterligare information

8. Dataöverföring

All personuppgiftsbehandling sker inom EU/EES. Överföring till tredje land sker endast med explicit godkännande och lämpliga skyddsåtgärder enligt GDPR kapitel V.

9. Granskning och revision

Personuppgiftsansvarig har rätt att granska Personuppgiftsbiträdets efterlevnad av detta avtal genom:

  • Tillgång till relevant dokumentation
  • Granskningar på plats med rimligt förhandsvarsel
  • Begäran om information om behandlingen

SecuraPilot är ISO 27001-certifierat, vilket säkerställer systematisk informationssäkerhetshantering.

10. Avtalstid och uppsägning

Detta avtal gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning. Vid avtalets upphörande ska Personuppgiftsbiträdet:

  • Radera eller återlämna all persondata enligt Personuppgiftsansvarigs instruktioner
  • Radera befintliga kopior om inte lagring krävs enligt lag
  • Tillhandahålla skriftlig bekräftelse på genomförda åtgärder

11. Kontakt

För frågor om detta personuppgiftsbiträdesavtal, kontakta vårt dataskyddsombud:

Dataskyddsombud

E-post: dpo@securapilot.se