Juridiska dokument

Personuppgiftsbiträdesavtal

(PUB-avtal enligt GDPR art. 28)

Version:1.0
Giltig från:2026-06-10
Vad är ett PUB-avtal? Ett personuppgiftsbiträdesavtal reglerar hur vi (Offertize) behandlar personuppgifter för din räkning. När du laddar upp kunddata till vår tjänst agerar du som personuppgiftsansvarig och vi som personuppgiftsbiträde.

Innehåll

  1. Parter och bakgrund
  2. Definitioner
  3. Behandlingens art och ändamål
  4. Personuppgiftsbiträdets skyldigheter
  5. Den personuppgiftsansvariges skyldigheter
  6. Underbiträden
  7. Säkerhetsåtgärder
  8. Överföring till tredjeland
  9. Personuppgiftsincidenter
  10. Bistånd
  11. Avtalets upphörande
  12. Kontaktuppgifter

1. Parter och bakgrund

1.1 Parter

Detta personuppgiftsbiträdesavtal ("Avtalet") ingås mellan:

  • Kunden("Personuppgiftsansvarig") - den organisation eller person som använder Tjänsten, och
  • OptiQura AB, org.nr 559528-0164 ("Personuppgiftsbiträdet" eller "vi")

1.2 Bakgrund

I samband med tillhandahållandet av Offertize behandlar vi personuppgifter för Kundens räkning. Detta Avtal reglerar sådan behandling i enlighet med art. 28 i EU:s dataskyddsförordning (GDPR).

Detta Avtal utgör en integrerad del av de Allmänna villkoren för Tjänsten och träder i kraft när Kunden börjar använda Tjänsten.

2. Definitioner

I detta Avtal gäller följande definitioner:

  • "Personuppgifter" - all information som direkt eller indirekt kan hänföras till en levande fysisk person.
  • "Behandling" - varje åtgärd som vidtas beträffande personuppgifter, såsom insamling, lagring, bearbetning, överföring eller radering.
  • "Registrerad" - den person vars personuppgifter behandlas.
  • "Underbiträde" - tredje part som behandlar personuppgifter för Personuppgiftsbiträdets räkning.
  • "Personuppgiftsincident" - säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av personuppgifter.

3. Behandlingens art och ändamål

3.1 Ändamål

Personuppgiftsbiträdet behandlar personuppgifter endast i syfte att tillhandahålla Tjänsten enligt de Allmänna villkoren, vilket inkluderar:

  • Lagring av kundförfrågningar och offertdata
  • AI-baserad analys av förfrågningar
  • Generering av offerter och dokument
  • Tillhandahållande av teknisk support

3.2 Kategorier av personuppgifter

Behandlingen kan omfatta följande kategorier av personuppgifter:

  • Kontaktuppgifter (namn, e-post, telefonnummer, adress)
  • Projektrelaterad information (beskrivningar, önskemål, planer)
  • Ekonomisk information (offertsummor, betalningsuppgifter)

3.3 Kategorier av registrerade

  • Kundens slutkunder (de som begär offerter)
  • Kundens anställda och kontaktpersoner

3.4 Behandlingens varaktighet

Behandlingen pågår så länge Kunden använder Tjänsten och under den lagringstid som anges i vår Integritetspolicy.

4. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet förbinder sig att:

4.1 Instruktioner

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte behandling krävs enligt lag.
  • Omedelbart informera den Personuppgiftsansvarige om en instruktion enligt vår uppfattning strider mot GDPR eller annan dataskyddslagstiftning.

4.2 Sekretess

  • Säkerställa att personal som behandlar personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lagenlig tystnadsplikt.

4.3 Säkerhet

  • Genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

4.4 Underbiträden

  • Inte anlita andra underbiträden utan den Personuppgiftsansvariges skriftliga förhandsgodkännande (se avsnitt 6).

4.5 Bistånd

  • Bistå den Personuppgiftsansvarige vid hantering av registrerades rättigheter.
  • Bistå den Personuppgiftsansvarige vid säkerställande av efterlevnad av skyldigheterna i art. 32-36 GDPR.

4.6 Radering

  • Efter avslutad behandling, radera eller återlämna alla personuppgifter enligt den Personuppgiftsansvariges val.

4.7 Tillsyn

  • Ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att skyldigheterna i art. 28 GDPR efterlevs.
  • Möjliggöra och bidra till granskningar, inklusive inspektioner, som utförs av den Personuppgiftsansvarige eller en auktoriserad granskare.

5. Den personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige förbinder sig att:

  • Säkerställa att det finns en laglig grund för behandlingen av personuppgifter som laddas upp till Tjänsten.
  • Informera registrerade om behandlingen på det sätt som krävs enligt GDPR.
  • Hantera begäranden om utövande av registrerades rättigheter.
  • Tillhandahålla tydliga och dokumenterade instruktioner till Personuppgiftsbiträdet.
  • Inte ladda upp känsliga personuppgifter (särskilda kategorier enligt art. 9 GDPR) utan föregående skriftligt avtal.

6. Underbiträden

6.1 Godkännande

Den Personuppgiftsansvarige ger härmed ett allmänt förhandsgodkännande till att Personuppgiftsbiträdet anlitar underbiträden för behandling av personuppgifter.

6.2 Aktuella underbiträden

En förteckning över aktuella underbiträden finns på vår underbiträdessida.

6.3 Nya underbiträden

Vid anlitande av nya underbiträden kommer Personuppgiftsbiträdet att:

  • Informera den Personuppgiftsansvarige minst 30 dagar i förväg
  • Ge den Personuppgiftsansvarige möjlighet att invända mot det nya underbiträdet

6.4 Avtal med underbiträden

Personuppgiftsbiträdet säkerställer genom avtal att underbiträden uppfyller motsvarande skyldigheter som anges i detta Avtal.

7. Säkerhetsåtgärder

Personuppgiftsbiträdet har implementerat följande tekniska och organisatoriska åtgärder:

7.1 Tekniska åtgärder

  • Kryptering vid dataöverföring (TLS 1.3)
  • Kryptering av lagrade data
  • Åtkomstkontroll och behörighetshantering
  • Brandväggar och intrångsskydd
  • Säkerhetskopiering och disaster recovery
  • Loggning och övervakning

7.2 Organisatoriska åtgärder

  • Behörighetsstyrning baserad på "need-to-know"
  • Personalutbildning i dataskydd
  • Sekretessavtal med personal
  • Rutiner för incidenthantering
  • Regelbundna säkerhetsgranskningar

Mer information om säkerhetsåtgärder finns på vår säkerhetssida.

8. Överföring till tredjeland

Personuppgiftsbiträdet överför som huvudregel inte personuppgifter utanför EU/EES. Om överföring är nödvändig säkerställer vi att lämpliga skyddsåtgärder finns på plats enligt GDPR kapitel V, såsom:

  • EU-kommissionens standardavtalsklausuler (SCC)
  • Beslut om adekvat skyddsnivå från EU-kommissionen

9. Personuppgiftsincidenter

9.1 Notifiering

Vid en personuppgiftsincident som påverkar personuppgifter som behandlas för den Personuppgiftsansvariges räkning kommer Personuppgiftsbiträdet att utan onödigt dröjsmål, och senast inom 48 timmar, informera den Personuppgiftsansvarige.

9.2 Innehåll i notifiering

Notifieringen kommer att innehålla:

  • En beskrivning av incidentens art
  • Kategorier och antal berörda registrerade
  • Sannolika konsekvenser av incidenten
  • Åtgärder som vidtagits eller föreslås
  • Kontaktuppgifter för ytterligare information

9.3 Bistånd

Personuppgiftsbiträdet kommer att bistå den Personuppgiftsansvarige med att uppfylla skyldigheterna enligt art. 33-34 GDPR (anmälan till tillsynsmyndighet och information till registrerade).

10. Bistånd vid registrerades rättigheter

Personuppgiftsbiträdet ska, med beaktande av behandlingens art, bistå den Personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder för att fullgöra skyldigheten att besvara begäranden om utövande av registrerades rättigheter enligt GDPR kapitel III.

Om en registrerad kontaktar Personuppgiftsbiträdet direkt med en sådan begäran, kommer Personuppgiftsbiträdet omedelbart vidarebefordra begäran till den Personuppgiftsansvarige.

11. Avtalets upphörande

11.1 Varaktighet

Detta Avtal gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

11.2 Åtgärder vid upphörande

Vid Avtalets upphörande ska Personuppgiftsbiträdet, enligt den Personuppgiftsansvariges val:

  • Radera alla personuppgifter, såvida inte lagring krävs enligt lag, eller
  • Återlämna alla personuppgifter i ett allmänt använt, maskinläsbart format

12. Kontaktuppgifter

För frågor rörande detta Avtal eller personuppgiftsbehandlingen, kontakta: