Databehandlaravtal

1. Parter och syfte

Detta databehandlaravtal (”DPA”) ingås mellan Nordic IT Resources AB, org.nr 559481-4591, Skarnberga 653, 247 91 Södra Sandby (”Personuppgiftsbiträdet”), som tillhandahåller plattformen Bokningssida.se, och det företag (”Personuppgiftsansvarig”) som registrerat ett konto i tjänsten.

DPA reglerar den behandling av personuppgifter som Personuppgiftsbiträdet utför för Personuppgiftsansvariges räkning i samband med tillhandahållandet av tjänsten, i enlighet med artikel 28 i dataskyddsförordningen (EU) 2016/679 (”GDPR”).

DPA gäller automatiskt så länge Personuppgiftsansvarig använder tjänsten, och utgör en integrerad del av användarvillkoren mellan parterna.

2. Definitioner

Begrepp i detta DPA har samma innebörd som i GDPR. Med ”Personuppgifter” avses all information som direkt eller indirekt kan identifiera en fysisk person (registrerad), exempelvis namn, telefonnummer, e-postadress, bokningar och betalningsuppgifter.

3. Behandlingens art, syfte och varaktighet

Personuppgiftsbiträdet behandlar Personuppgifter uteslutande för att möjliggöra och tillhandahålla tjänsten Bokningssida, vilket innefattar:

• Hantering av bokningar och avbokningar
• Kundregister och bokningshistorik
• Betalningar, depositioner och återbetalningar
• Påminnelser, bekräftelser och kvitton via SMS och e-post
• Bokföringsunderlag och momsrapportering
• Marknadsföring som Personuppgiftsansvarig själv initierar
• Drift, säkerhet och felsökning av tjänsten

Behandlingen pågår så länge Personuppgiftsansvarig använder tjänsten samt under den lagringsperiod som följer av tillämplig lag (exempelvis bokföringslagens sju år för transaktionsdata).

4. Kategorier av registrerade och personuppgifter

Behandlingen omfattar följande kategorier av registrerade:

• Slutkunder som bokar tid hos Personuppgiftsansvarig
• Anställda och personal hos Personuppgiftsansvarig som använder tjänsten
• Personer på Personuppgiftsansvariges marknadsföringslistor

Kategorier av personuppgifter som behandlas:

• Identitetsuppgifter (namn)
• Kontaktuppgifter (telefonnummer, e-postadress, adress)
• Bokningsdata (tider, tjänster, anteckningar)
• Betalningshistorik och transaktionsdata
• Samtyckesinformation (marknadsföring, SMS, e-post)
• Tekniska uppgifter (IP-adress, enhetstyp, loggar) för drift och säkerhet

Personuppgiftsbiträdet behandlar inga särskilda kategorier av personuppgifter (”känsliga uppgifter” enligt artikel 9 GDPR) eller uppgifter om lagöverträdelser, och Personuppgiftsansvarig får inte använda fritextfält i tjänsten för att lagra sådana uppgifter.

5. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet förbinder sig att:

• Endast behandla Personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig (där detta DPA och användarvillkoren utgör grundinstruktionen).
• Säkerställa att personer med åtkomst till Personuppgifterna omfattas av sekretessåtagande.
• Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt punkt 8.
• Bistå Personuppgiftsansvarig vid hantering av registrerades rättigheter och vid eventuella förfrågningar från tillsynsmyndighet.
• Inte överföra Personuppgifter till tredje land annat än enligt punkt 11.
• Vid avtalets upphörande radera eller återlämna Personuppgifter enligt punkt 12.

6. Personuppgiftsansvarigs skyldigheter

Personuppgiftsansvarig ansvarar för att:

• Det finns laglig grund för all behandling som sker via tjänsten.
• Korrekt och fullständig information ges till de registrerade (egen integritetspolicy gentemot slutkunder).
• Marknadsföringssamtycke inhämtats där det krävs och att avregistreringar respekteras.
• Inga särskilda kategorier av personuppgifter förs in i tjänsten.
• Tillgång till administrativa konton begränsas till behöriga personer.

7. Underbiträden

Personuppgiftsbiträdet anlitar följande underbiträden för att tillhandahålla tjänsten. Personuppgiftsansvarig ger genom godkännandet av detta DPA generellt förhandsgodkännande till dessa.

• Supabase — databas, autentisering och fillagring (EU).
• Vercel — webbhotell, edge-nätverk och CDN (EU/EES samt USA enligt EU-US Data Privacy Framework).
• Stripe — betalningar, abonnemang och utbetalningar till anslutna konton (EU/EES, USA via DPF).
• Resend — utskick av transaktions- och marknadsföringsmejl (EU).
• GatewayAPI — utskick av transaktions- och marknadsförings-SMS (EU).
• Cloudflare — botskydd (Turnstile) och DNS (EU samt USA via DPF).
• Sentry — felrapportering (EU).

Personuppgiftsbiträdet säkerställer att varje underbiträde är bundet av motsvarande skyldigheter som följer av detta DPA.

Vid byte eller tillägg av underbiträde informeras Personuppgiftsansvarig minst 30 dagar i förväg via e-post eller via tjänsten. Personuppgiftsansvarig har då rätt att invända — om parterna inte når en lösning får Personuppgiftsansvarig säga upp avtalet med omedelbar verkan.

8. Säkerhet — tekniska och organisatoriska åtgärder

Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda Personuppgifterna mot obehörig eller olaglig behandling samt mot förlust, förstöring eller skada. Åtgärderna omfattar bland annat:

• Kryptering i transit (TLS 1.2+) och i vila
• Row-Level Security (RLS) i databasen för isolering mellan företag
• Behörighetsstyrning baserat på minsta nödvändiga åtkomst
• Tvåfaktorsautentisering för administrativa konton
• Loggning av åtkomst och förändringar (audit logs)
• Regelbundna säkerhetskopior med definierad återställningstid
• Sårbarhetshantering, beroendeuppdateringar och säkerhetsgranskning av kod
• Sekretessåtaganden för personal med åtkomst till data

9. Personuppgiftsincident

Personuppgiftsbiträdet ska utan onödigt dröjsmål, och senast inom 24 timmar från att incidenten upptäcktes, informera Personuppgiftsansvarig om en personuppgiftsincident som rör Personuppgifter som behandlas för Personuppgiftsansvariges räkning.

Meddelandet ska innehålla, i den utsträckning det är möjligt: incidentens art, kategorier och uppskattat antal berörda registrerade, sannolika konsekvenser samt vidtagna eller föreslagna åtgärder för att begränsa skadan.

Personuppgiftsansvarig ansvarar för eventuell anmälan till Integritetsskyddsmyndigheten (IMY) och berörda registrerade.

10. Registrerades rättigheter

Personuppgiftsbiträdet ska, i den utsträckning det är möjligt, bistå Personuppgiftsansvarig att uppfylla sina skyldigheter att besvara förfrågningar från registrerade om utövande av sina rättigheter (tillgång, rättelse, radering, begränsning, dataportabilitet och invändning).

Tjänsten tillhandahåller funktioner för export och radering av kunddata via instrumentpanelen. Vid komplexa förfrågningar lämnar Personuppgiftsbiträdet rimlig assistans på begäran.

11. Tredjelandsöverföringar

All primär databehandling sker inom EU/EES. Vissa underbiträden (Stripe, Vercel, Cloudflare) kan medföra överföring till USA. Sådan överföring sker endast med stöd av:

• EU-US Data Privacy Framework där underbiträdet är certifierat, eller
• EU-kommissionens standardavtalsklausuler (SCC) tillsammans med kompletterande skyddsåtgärder, eller
• Annan giltig överföringsmekanism enligt kapitel V i GDPR.

12. Avtalstid, återlämning och radering

Avtalet löper så länge Personuppgiftsbiträdet behandlar Personuppgifter för Personuppgiftsansvariges räkning.

Vid avtalets upphörande ska Personuppgiftsbiträdet, enligt Personuppgiftsansvariges val, antingen återlämna eller radera samtliga Personuppgifter. Radering sker senast 90 dagar efter avtalets upphörande, med undantag för uppgifter som måste sparas enligt tvingande lag (exempelvis bokföringsdata under sju år enligt bokföringslagen).

Säkerhetskopior raderas i takt med ordinarie rotationscykel (max 90 dagar).

13. Revision och granskning

Personuppgiftsansvarig har rätt att en gång per år, med minst 30 dagars varsel, begära skriftlig dokumentation som styrker att Personuppgiftsbiträdet uppfyller sina åtaganden enligt detta DPA.

Vid skäliga misstankar om allvarlig avtalsöverträdelse kan Personuppgiftsansvarig på egen bekostnad genomföra en revision på plats. Revisionen ska planeras så att den inte stör driften av tjänsten och får inte avse uppgifter som tillhör andra kunder.

14. Ändringar i DPA

Personuppgiftsbiträdet kan uppdatera detta DPA för att återspegla regulatoriska förändringar eller förändringar i tjänsten. Vid väsentliga ändringar informeras Personuppgiftsansvarig via e-post eller via tjänsten minst 30 dagar i förväg.

Fortsatt användning av tjänsten efter ikraftträdandet innebär ett godkännande av den uppdaterade versionen.

15. Tvist och tillämplig lag

Detta DPA regleras av svensk lag. Tvister ska i första hand lösas genom förhandling. Om förhandling inte leder till lösning ska tvisten avgöras av svensk allmän domstol med Stockholms tingsrätt som första instans.

16. Kontakt

Frågor om detta DPA eller om hur personuppgifter behandlas kan skickas till support@bokningssida.se.