Personuppgiftsbiträdesavtal för ResePro
Detta personuppgiftsbiträdesavtal ("DPA") beskriver hur ResePro AB, org.nr 559515-7297, behandlar personuppgifter för kunders räkning när ResePro används som körjournal, fordonsadministration och rapporteringsverktyg i en organisation.
Syftet är att tydliggöra ansvarsfördelningen enligt GDPR: kunden bestämmer ändamål och instruktioner för behandlingen, medan ResePro behandlar uppgifterna som personuppgiftsbiträde för att leverera, säkra och supportera tjänsten.
1. Parter och roller
Kunden är personuppgiftsansvarig för de personuppgifter som behandlas i tjänsten för kundens räkning.
ResePro är personuppgiftsbiträde och behandlar personuppgifter endast enligt kundens dokumenterade instruktioner, detta avtal och tillämplig dataskyddslagstiftning.
Kundens instruktioner framgår av detta avtal, huvudavtalet mellan parterna och kundens användning av tjänsten.
2. Behandlingens föremål, varaktighet, art och ändamål
Föremål: behandling av personuppgifter som krävs för att ResePro ska kunna tillhandahålla tjänsten till kunden.
Varaktighet: behandlingen pågår under avtalstiden och därefter under den tid som krävs för export, anonymisering, säkerhetskopiering, felsökning eller lagstadgade skyldigheter.
Art: insamling, registrering, lagring, strukturering, bearbetning, visning, export, supportåtkomst, anonymisering och radering.
Ändamål:
- Tillhandahållande av digital körjournal
- Automatisk och manuell loggning av resor
- Klassificering av resor som privat- eller tjänsteresor
- Hantering av användare, fordon och inställningar
- Generering av rapporter och underlag
- Support, felsökning, drift och säkerhet
3. Kategorier av registrerade
Personuppgifterna kan avse:
- Förare och användare hos kunden
- Administratörer hos kunden
- Kontaktpersoner hos kunden
4. Typer av personuppgifter
Följande typer av personuppgifter kan behandlas i tjänsten:
- Namn
- E-postadress
- Användar-ID och behörighetsnivå
- Företags- och organisationsuppgifter kopplade till användaren
- Fordonsuppgifter, inklusive registreringsnummer
- Resedata, inklusive start- och stopptid, plats, rutt, distans, restid och klassificering
- GPS- och positionsdata som krävs för körjournalsfunktionen
- Rapportunderlag, exempelvis milersättning och körsträcka
- Tekniska uppgifter som krävs för drift, support och säkerhet
ResePro behandlar inte avsiktligen särskilda kategorier av personuppgifter enligt artikel 9 GDPR inom ramen för tjänsten. Kunden ska inte registrera sådana uppgifter i ResePro om inte parterna uttryckligen har avtalat om detta skriftligen.
5. Kundens ansvar
- Kunden ansvarar för att det finns laglig grund för behandlingen av personuppgifter i tjänsten.
- Kunden ansvarar för att informera sina användare och förare om behandlingen av personuppgifter i tjänsten.
- Kunden ansvarar för att användare, behörigheter, fordon och inställningar i tjänsten är korrekta och ändamålsenliga.
- Kunden ska inte registrera personuppgifter i tjänsten som inte är nödvändiga för användningen av tjänsten.
6. ResePros ansvar
- Endast behandla personuppgifter enligt kundens dokumenterade instruktioner.
- Säkerställa att personer med åtkomst till personuppgifter omfattas av sekretess.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder.
- Bistå kunden vid begäran från registrerade i den mån det är möjligt och rimligt.
- Bistå kunden med information som behövs för att uppfylla skyldigheter enligt dataskyddslagstiftningen.
- Informera kunden utan onödigt dröjsmål vid personuppgiftsincident.
- Återlämna, anonymisera eller radera personuppgifter enligt detta avtal.
7. Säkerhet
ResePro ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder med hänsyn till behandlingens art, omfattning och risker. Åtgärderna omfattar bland annat:
- Behörighetsstyrning
- Autentisering och åtkomstkontroll
- Begränsad intern åtkomst enligt behovsprincipen
- Kryptering vid överföring där det är tekniskt tillämpligt
- Säker drift och lagring inom EU/EES där tjänstens primära data lagras
- Rutiner för backup och återställning
- Teknisk loggning och övervakning
- Rutiner för incidenthantering
8. Underbiträden
Kunden godkänner att ResePro får anlita underbiträden för att tillhandahålla tjänsten.
ResePro ska säkerställa att underbiträden omfattas av skriftliga avtal som ålägger dem dataskyddsskyldigheter som i allt väsentligt motsvarar skyldigheterna i detta avtal.
| Underbiträde | Syfte | Typ av personuppgifter | Plats / överföring |
|---|---|---|---|
| Microsoft Azure | Molndrift, databas, lagring, backend-infrastruktur, säkerhet, backup och drift. | Kunddata, användardata, fordonsdata, resedata, GPS-/positionsdata och tekniska loggar. | Primär drift inom EU/EES där ResePro använder europeisk Azure-region, exempelvis Sweden Central. |
| Clerk | Autentisering, inloggning, användarhantering, sessionshantering och identitetsrelaterade uppgifter. | Namn, e-post, användar-ID, autentiseringsdata, sessionsdata och roll-/organisationskopplingar. | Kan innebära behandling eller överföring utanför EU/EES enligt Clerks villkor och underbiträden. |
ResePro ska informera kunden om väsentliga ändringar av underbiträden. Kunden har rätt att invända mot ett nytt underbiträde om kunden har sakliga dataskyddsskäl för invändningen.
9. Överföring till tredje land
ResePro ska sträva efter att behandla och lagra kundens personuppgifter inom EU/EES.
Om personuppgifter överförs till land utanför EU/EES ska ResePro säkerställa att överföringen sker i enlighet med tillämplig dataskyddslagstiftning, exempelvis genom beslut om adekvat skyddsnivå, EU-kommissionens standardavtalsklausuler eller annan giltig överföringsmekanism.
10. Personuppgiftsincidenter
ResePro ska informera kunden utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som rör kundens personuppgifter.
Informationen ska, i den mån den är tillgänglig, innehålla:
- Incidentens art
- Berörda kategorier av uppgifter och registrerade
- Sannolika konsekvenser
- Vidtagna eller planerade åtgärder
Kunden ansvarar för eventuell anmälan till tillsynsmyndighet och information till registrerade, om inte annat följer av lag.
11. Export och anonymisering
Kunden ska under avtalstiden kunna exportera relevanta resedata och rapportunderlag från tjänsten.
Efter avtalets upphörande har kunden 30 dagar på sig att exportera sin data.
Efter exportperioden ska ResePro anonymisera personuppgifter som behandlas för kundens räkning, om fortsatt lagring inte krävs enligt lag, säkerhetsskäl, bokföringsskyldighet eller för att hantera rättsliga anspråk.
Säkerhetskopior kan finnas kvar under en begränsad tid enligt ResePros normala backup- och raderingsrutiner, men ska inte användas för andra ändamål än återställning, säkerhet och driftkontinuitet.
12. Granskning och information
ResePro ska på begäran tillhandahålla kunden rimlig information som krävs för att visa efterlevnad av detta avtal.
Kunden har rätt att begära granskning av ResePros behandling av kundens personuppgifter, förutsatt att granskningen är rimlig, proportionerlig och sker med skäligt varsel.
ResePro får uppfylla granskningsskyldigheten genom att tillhandahålla relevant dokumentation, säkerhetsbeskrivningar, intyg eller annan motsvarande information.
13. Sekretess
ResePro ska säkerställa att personer som behandlar kundens personuppgifter är bundna av sekretess.
ResePro får inte lämna ut kundens personuppgifter till tredje part annat än enligt detta avtal, huvudavtalet, kundens instruktioner eller lag.
14. Ansvar
Parternas ansvar enligt detta avtal regleras av huvudavtalet mellan parterna, om inte tvingande dataskyddslagstiftning anger annat.
Detta avtal begränsar inte registrerades rättigheter enligt tillämplig dataskyddslagstiftning.
15. Avtalstid och upphörande
Detta avtal gäller så länge ResePro behandlar personuppgifter för kundens räkning.
Vid konflikt mellan detta avtal och huvudavtalet ska detta avtal ha företräde i frågor som rör behandling av personuppgifter.
16. Kontakt
Kontakt för dataskyddsfrågor hos ResePro: