Personuppgiftsbiträdesavtal
(PUB-avtal enligt GDPR artikel 28)
1. Parter
Personuppgiftsansvarig (”Den ansvarige”):
Organisationsnamn: ________________________________
Organisationsnummer: ________________________________
Kontaktperson: ________________________________
E-post: ________________________________
Personuppgiftsbiträde (”Biträdet”):
Organisationsnamn: ________________________________
Organisationsnummer: ________________________________
Kontaktperson: ________________________________
E-post: ________________________________
2. Bakgrund och syfte
Den ansvarige använder Biträdets molntjänst ”TN Terminal — Ankomstregistrering” för att registrera besökare vid sin terminalanläggning. Biträdet behandlar personuppgifter på uppdrag av och enligt instruktioner från Den ansvarige. Detta avtal reglerar Biträdets behandling av personuppgifter i enlighet med GDPR artikel 28.
3. Behandlingens omfattning
| Ändamål | Ankomstregistrering av besökare vid terminalanläggning för säkerhets- och logistikändamål |
| Kategorier av registrerade | Chaufförer, transportförare, besökare vid terminalanläggningen |
| Kategorier av personuppgifter | Namn, företag, telefonnummer, besöksärende, besöksmål, tidpunkt för registrering |
| Behandlingsaktiviteter | Insamling, lagring, visning i dashboard, aggregerad statistik, automatisk radering |
| Varaktighet | Så länge den ansvarige använder tjänsten, plus 30 dagar för slutgiltig radering efter upphörande |
4. Biträdets skyldigheter
Biträdet förbinder sig att:
- Enbart behandla personuppgifter enligt Den ansvariges dokumenterade instruktioner.
- Säkerställa att personer som behandlar personuppgifterna har förbundit sig till sekretess.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder, inklusive:
- Kryptering vid överföring (TLS/SSL)
- Kryptering vid lagring (AES-256)
- Behörighetsstyrning (Row Level Security)
- Loggning av åtkomst
- Automatisk radering efter konfigurerad lagringsperiod
- Inte anlita underbiträden utan föregående skriftligt godkännande från Den ansvarige.
- Bistå Den ansvarige vid hantering av registrerades rättigheter (tillgång, riktelse, radering, etc.).
- Bistå Den ansvarige vid konsekvenbedömning och förhandsrådfrågning hos IMY om så krävs.
- Radera alla personuppgifter efter avtalets upphörande, om inte lagstiftning kräver lagring.
- Ge Den ansvarige tillgång till information som är nödvändig för att påvisa efterlevnad.
5. Underbiträden
Följande underbiträden används vid avtalets ingående:
| Underbiträde | Tjänst | Land |
|---|---|---|
| Supabase Inc. | Databas, autentisering, realtid | EU (Frankfurt) |
| Vercel Inc. | Applikationshosting, CDN | EU (via Edge Network) |
Biträdet informerar Den ansvarige minst 30 dagar i förväg vid byte eller tillägg av underbiträden. Den ansvarige har rätt att invända.
6. Överföring till tredje land
Personuppgifter lagras och behandlas inom EU/EES. Om överföring till tredje land behövs säkerställer Biträdet att adekvat skyddsnivå uppnås genom EU-kommissionens standardavtalsklausuler (SCC) eller adekvansbeslutet för EU–US Data Privacy Framework (DPF) där tillämpligt.
7. Personuppgiftsincidenter
Biträdet ska utan onödigt dröjsmål, och senast inom 24 timmar, underrätta Den ansvarige vid personuppgiftsincident. Underrättelsen ska innehålla:
- Beskrivning av incidentens art
- Kategorier och ungefärligt antal berörda registrerade
- Troliga konsekvenser
- Vidtagna och planerade åtgärder
8. Granskning och revision
Den ansvarige har rätt att, på egen bekostnad och med skälig förvarning (minst 30 dagar), genomföra eller låta genomföra revision av Biträdets efterlevnad av detta avtal. Biträdet ska medverka och ge tillgång till relevant dokumentation.
9. Avtalstid och upphörande
Detta avtal gäller så länge Den ansvarige använder tjänsten. Vid upphörande ska Biträdet radera alla personuppgifter inom 30 dagar, om inte lagstiftning kräver fortsatt lagring. Den ansvarige har rätt att begära skriftlig bekräftelse på att radering har skett.
10. Ansvar och skadestånd
Part som bryter mot detta avtal ansvarar för skada som uppstår för den andra parten eller den registrerade i enlighet med GDPR artikel 82.
Underskrifter
Personuppgiftsansvarig:
Namn: ________________________________
Datum: ________________________________
Ort: ________________________________
Personuppgiftsbiträde:
Namn: ________________________________
Datum: ________________________________
Ort: ________________________________
Detta är en mall och utgör inte juridisk rådgivning. Konsultera en jurist för att anpassa avtalet till er verksamhet.