Personuppgiftsbiträdesavtal (DPA)

1. Avtalets syfte och parter

Detta DPA gäller personuppgifter som Fronterak ("Biträdet") behandlar för entreprenörens ("Personuppgiftsansvariges") räkning när den Personuppgiftsansvarige använder Fronterakins tjänst för att hantera sina egna kunders, dvs. konsumenternas, uppgifter (t.ex. offertförfrågningar, projektuppgifter, meddelanden).

Den Personuppgiftsansvarige beslutar om ändamålen och medlen för behandlingen av personuppgifter inom sin egen verksamhet. Biträdet behandlar uppgifter endast i enlighet med den Personuppgiftsansvariges dokumenterade anvisningar, om inte lag kräver annat.

2. Föremålet, varaktigheten, arten och syftet med behandlingen

Föremål: personuppgifter om den Personuppgiftsansvariges kunder som samlas in via Fronterakins tjänst (offertförfrågningar, projektuppgifter, meddelanden, dokument).

Varaktighet: behandlingen pågår så länge den Personuppgiftsansvarige har ett aktivt Fronterak-abonnemang samt under den tid som efter avtalets upphörande är nödvändig för att återlämna och radera uppgifterna (högst 90 dagar).

Behandlingens art och syfte: tillhandahållande av Biträdets tjänst och därtill hörande åtgärder, såsom lagring av uppgifter, förmedling av meddelanden, säkerhetskopiering och underhåll av tjänsten.

3. Typer av personuppgifter och kategorier av registrerade

Personuppgifter som behandlas: namn, e-post, telefonnummer, adress, projektuppgifter, kommunikationens innehåll, bilder och andra uppgifter som hänför sig till offertförfrågan eller projektet.

Kategorier av registrerade: den Personuppgiftsansvariges nuvarande och potentiella kunder (konsumenter) samt den Personuppgiftsansvariges egna anställda och företrädare som använder tjänsten å den Personuppgiftsansvariges vägnar.

Särskilda kategorier av personuppgifter (artikel 9 GDPR) behandlas i regel inte. Om den Personuppgiftsansvarige för in uppgifter ur särskilda kategorier i tjänsten ansvarar denne separat för lagligheten i den behandlingen.

4. Biträdets skyldigheter och konfidentialitet

Biträdet förbinder sig att: (a) behandla personuppgifter endast enligt den Personuppgiftsansvariges dokumenterade anvisningar; (b) säkerställa att personer som deltar i behandlingen har förbundit sig till konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt; (c) vidta alla säkerhetsåtgärder enligt artikel 32 GDPR; (d) bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter.

Biträdet meddelar utan dröjsmål den Personuppgiftsansvarige om Biträdet anser att en anvisning som denne gett strider mot dataskyddslagstiftningen.

5. Tekniska och organisatoriska åtgärder (TOM)

Biträdet vidtar lämpliga tekniska och organisatoriska åtgärder (TOM) för att skydda personuppgifter mot obehörig behandling, oavsiktlig förlust, förstörelse eller skada. Åtgärderna omfattar minst:

(a) Kryptering: TLS 1.2+ vid överföring och kryptering av data i vila; (b) Åtkomstkontroll: rollbaserad åtkomstkontroll (Supabase RLS), tvåfaktorsautentisering för administrativa användare; (c) Loggning och övervakning: loggning av kritiska åtgärder och regelbunden övervakning; (d) Säkerhetskopiering: dagliga säkerhetskopior vars återställning testas minst en gång per år; (e) Personalutbildning: regelbunden utbildning i dataskydd och informationssäkerhet för personal som deltar i behandlingen; (f) Incidenthanteringsprocess: en dokumenterad process för att upptäcka, bedöma och anmäla personuppgiftsincidenter.

En detaljerad beskrivning av gällande TOM finns på begäran på info@fronterak.fi.

6. Användning av underbiträden

Den Personuppgiftsansvarige ger Biträdet ett allmänt skriftligt tillstånd att anlita underbiträden för att tillhandahålla tjänsten. En uppdaterad lista över underbiträden är publicerad på listan över underbiträden.

Biträdet meddelar den Personuppgiftsansvarige om nya eller utbytta underbiträden minst 30 dagar innan ändringen träder i kraft. Den Personuppgiftsansvarige har rätt att av motiverad anledning motsätta sig en ändring — i sådant fall förhandlar parterna i god tro om en lösning och den Personuppgiftsansvarige kan vid behov säga upp avtalet.

Biträdet ingår med varje underbiträde ett skriftligt avtal som ålägger underbiträdet dataskyddsskyldigheter som motsvarar dem i detta DPA. Biträdet är fullt ansvarigt gentemot den Personuppgiftsansvarige för sina underbiträdens åtgärder.

7. Internationella överföringar

Personuppgifter lagras som huvudregel inom EU/EES. Om uppgifter överförs utanför EES grundar sig överföringen på någon av de rättsliga grunderna i kapitel V GDPR, i första hand EU-kommissionens standardavtalsklausuler (SCC) eller EU–US Data Privacy Framework.

Biträdet vidtar kompletterande skyddsåtgärder (t.ex. kryptering, anonymisering) när detta är nödvändigt för att säkerställa en adekvat skyddsnivå.

8. Bistånd vid utövandet av de registrerades rättigheter

Biträdet bistår den Personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder för att svara på registrerades förfrågningar enligt artiklarna 12–22 GDPR (bl.a. tillgång, rättelse, radering, begränsning av behandling, dataportabilitet och invändning).

Om en registrerad riktar en förfrågan direkt till Biträdet vidarebefordrar Biträdet utan dröjsmål förfrågan till den Personuppgiftsansvarige och svarar inte på förfrågan utan dennes uttryckliga bemyndigande.

9. Personuppgiftsincidenter och anmälningsskyldighet

Biträdet meddelar den Personuppgiftsansvarige utan onödigt dröjsmål och senast inom 48 timmar efter att Biträdet fått kännedom om en personuppgiftsincident som rör personuppgifter. Anmälan innehåller de uppgifter som anges i artikel 33.3 GDPR: incidentens art, konsekvenser, vidtagna åtgärder och kontaktuppgifter.

Biträdet bistår den Personuppgiftsansvarige med att fullgöra dennes anmälningsskyldigheter enligt artiklarna 33 och 34 GDPR till tillsynsmyndigheten och vid behov till de registrerade.

10. Konsekvensbedömning avseende dataskydd (DPIA)

Biträdet bistår skäligen den Personuppgiftsansvarige med att genomföra konsekvensbedömningar avseende dataskydd (DPIA) och förhandssamråd enligt artiklarna 35 och 36 GDPR när behandlingen sannolikt leder till en hög risk för de registrerades rättigheter och friheter.

11. Granskningsrätt

Biträdet ställer till den Personuppgiftsansvariges förfogande all information som krävs för att visa att skyldigheterna enligt detta DPA och artikel 28 GDPR fullgörs. Den Personuppgiftsansvarige har rätt att högst en gång per år begära information om Biträdets gällande säkerhetsåtgärder och certifieringar.

Om den Personuppgiftsansvarige kräver en mer omfattande granskning på plats kommer parterna att separat avtala om tidtabell och kostnadsfördelning. Som ersättning för en granskning kan Biträdet tillhandahålla granskningsrapporter utförda av en oberoende tredje part (t.ex. ISO 27001 eller SOC 2-rapporter).

12. Avtalets upphörande och återlämning av uppgifter

När avtalet upphör — efter den Personuppgiftsansvariges val — återlämnar Biträdet antingen alla personuppgifter till den Personuppgiftsansvarige i ett maskinläsbart format eller raderar dem permanent inom 90 dagar från avtalets upphörande.

Biträdet får dock spara personuppgifter i den utsträckning och under den tid det är nödvändigt för att fullgöra lagstadgade lagringsskyldigheter (t.ex. bokföringslagen). I sådana fall skyddar Biträdet uppgifterna på lämpligt sätt och behandlar dem endast i lagringssyfte.

13. Ansvar och skadestånd

Parterna ansvarar för sin egen verksamhet enligt artikel 82 GDPR och tillämplig nationell lagstiftning. Biträdets totala ansvar gentemot den Personuppgiftsansvarige enligt detta DPA bestäms i enlighet med ansvarsbegränsningsklausulen i entreprenörens användarvillkor.

Ansvarsbegränsningarna gäller dock inte skador som orsakats av Biträdets uppsåt eller grova vårdslöshet eller av tvingande GDPR-ansvar gentemot de registrerade.

14. Tillämplig lag, ikraftträdande och ändringar

På detta DPA tillämpas finsk lag. DPA:n träder i kraft när entreprenören registrerar sig för Fronterakins tjänst och godkänner entreprenörens användarvillkor.

Om entreprenören behöver en undertecknad version av DPA:n kan den begäras på info@fronterak.fi. Biträdet kan uppdatera detta DPA i samband med ändringar i lagstiftningen eller väsentliga ändringar av tjänsten genom att meddela ändringarna minst 30 dagar innan de träder i kraft.