Personuppgiftsbiträdesavtal

Personuppgiftsbiträde: BokaPro AB, org.nr 19860528-4135, ("BokaPro", "Biträdet"). BokaPro behandlar personuppgifter på uppdrag av Merchant i enlighet med detta avtal.

Personuppgiftsansvarig: Det företag eller den enskilda firma ("Merchant", "du") som ingår Företagsvillkor med BokaPro och vars kunder bokar via plattformen. Merchant avgör ändamålen och medlen för behandlingen av kundernas personuppgifter.

Detta avtal utgör ett skriftligt avtal enligt GDPR artikel 28(9) och reglerar BokaPros behandling av personuppgifter för Merchants räkning.

Föremål: BokaPro behandlar personuppgifter för att tillhandahålla bokningsplattformen, inklusive mottagning av bokningar, bekräftelseutskick, kalenderhantering och betalningsförmedling via Stripe Connect.

Varaktighet: Behandlingen pågår under avtalstiden för Företagsvillkoren. Vid avtalets upphörande gäller punkt 8 (radering och återlämnande).

Behandlingens art: Insamling, lagring, vidarebefordran av bekräftelser, strukturerad åtkomst och radering av boknings- och kunddata.

Ändamål: Att möjliggöra att Merchants kunder kan boka, betala och kommunicera med Merchant via BokaPros plattform.

Typer av personuppgifter som behandlas:

• Namn (för- och efternamn)
• E-postadress
• Telefonnummer
• Bokningsdata (tjänst, datum, tid, pris)
• Betalningsreferenser (transaktions-ID från Stripe — inga fullständiga kortnummer lagras av BokaPro)
• Kommunikationshistorik kopplad till bokningen

Kategorier av registrerade: Merchants slutkunder ("bokare") som bokar tjänster via BokaPros plattform. Inga känsliga personuppgifter enligt GDPR artikel 9 behandlas i normalfallet.

BokaPro AB åtar sig härmed att uppfylla följande skyldigheter i enlighet med GDPR artikel 28(3)(a–h):

4.1 Behandling enligt dokumenterade instruktioner (Art. 28(3)(a))

BokaPro behandlar personuppgifter uteslutande enligt Merchants dokumenterade instruktioner, såsom de framgår av Företagsvillkoren och detta avtal. BokaPro behandlar inte personuppgifterna för egna ändamål. Om BokaPro är skyldigt att behandla uppgifterna enligt tillämplig rätt ska BokaPro underrätta Merchant om detta, om inte lagen förbjuder underrättelse. Instruktioner avseende tredjelandsöverföringar framgår av punkt 6.

4.2 Sekretess för personal (Art. 28(3)(b))

BokaPro säkerställer att personal som är behörig att behandla Merchants personuppgifter har åtagit sig sekretess, antingen genom avtalsrättslig sekretessförbindelse eller lagstadgad sekretess. Åtkomst till personuppgifterna begränsas till personal som behöver åtkomst för att fullgöra sina arbetsuppgifter (need-to-know).

4.3 Tekniska och organisatoriska säkerhetsåtgärder (Art. 28(3)(c))

BokaPro vidtar alla åtgärder som krävs enligt GDPR artikel 32, innefattande lämpliga tekniska och organisatoriska säkerhetsåtgärder med beaktande av risken för de registrerades rättigheter och friheter. Dessa åtgärder inkluderar bland annat:

• Kryptering av personuppgifter under transport (TLS) och i vila
• Åtkomstkontroll och behörighetshantering
• Rutiner för säkerhetskopiering och återställning
• Regelbunden säkerhetsgranskning av plattformen
• Pseudonymisering där det är möjligt och ändamålsenligt

4.4 Underbiträden (Art. 28(3)(d))

BokaPro anlitar underbiträden (se bilaga A). Merchant ger härmed sitt generella godkännande till de underbiträden som anges i bilaga A. BokaPro ska underrätta Merchant minst 30 dagar i förväg innan ett nytt underbiträde anlitas eller ett befintligt byts ut. Merchant har rätt att invända mot sådana förändringar. Om Merchant invänder och parterna inte kan komma överens äger Merchant rätt att säga upp detta avtal.

BokaPro ansvarar för att underbiträden åläggs samma dataskyddsskyldigheter som framgår av detta avtal. BokaPro kvarstår ansvarigt gentemot Merchant om ett underbiträde inte uppfyller sina skyldigheter.

4.5 Bistånd vid utövande av de registrerades rättigheter (Art. 28(3)(e))

BokaPro bistår Merchant, genom lämpliga tekniska och organisatoriska åtgärder, vid fullgörandet av Merchants skyldighet att besvara begäranden från registrerade om utövande av sina rättigheter enligt GDPR kapitel III, innefattande rätt till:

• Tillgång till personuppgifter (Art. 15)
• Rättelse av felaktiga uppgifter (Art. 16)
• Radering ("rätt att bli glömd") (Art. 17)
• Begränsning av behandling (Art. 18)
• Dataportabilitet (Art. 20)
• Invändning mot behandling (Art. 21)

BokaPro vidarebefordrar begäranden från registrerade till Merchant utan onödigt dröjsmål och lämnar de uppgifter som behövs för att Merchant ska kunna besvara begäran.

4.6 Bistånd avseende Art. 32–36-skyldigheter (Art. 28(3)(f))

BokaPro bistår Merchant med fullgörande av Merchants skyldigheter avseende:

• Säkerhet vid behandling (Art. 32)
• Anmälan av personuppgiftsincidenter till IMY (Art. 33) — BokaPro underrättar Merchant om en incident utan onödigt dröjsmål, och senast inom 48 timmar efter att BokaPro fått kännedom om incidenten, för att möjliggöra Merchants 72-timmarsanmälan
• Underrättelse till de registrerade om en incident (Art. 34)
• Konsekvensbedömningar avseende dataskydd (DPIA) (Art. 35)
• Förhandssamråd med IMY (Art. 36)

4.7 Radering eller återlämnande av uppgifter (Art. 28(3)(g))

Efter avtalets upphörande ska BokaPro, efter Merchants val, antingen radera eller återlämna alla personuppgifter till Merchant. BokaPro raderar alla personuppgifter inom 30 dagar efter avtalets upphörande, om inte tillämplig rätt kräver att uppgifterna bevaras. BokaPro underrättar i sådant fall Merchant om detta krav.

4.8 Revisionsrätt och informationsskyldighet (Art. 28(3)(h))

BokaPro tillhandahåller all information som krävs för att visa att skyldigheterna i detta avtal fullgörs, och möjliggör och bidrar till revisioner, inklusive inspektioner, som genomförs av Merchant eller av Merchant utsedd revisor. BokaPro meddelar Merchant omgående om BokaPro anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddsrätt.

Revisioner genomförs normalt en gång per år, med skälig förvarning och utan att störa BokaPros ordinarie verksamhet. Kostnaderna för revisionen bärs av Merchant.

Vid misstänkt eller konstaterad personuppgiftsincident som rör personuppgifter som behandlas för Merchants räkning ska BokaPro:

• Underrätta Merchant utan onödigt dröjsmål, senast inom 48 timmar från det att BokaPro fick kännedom om incidenten
• I underrättelsen inkludera: incidentens art, berörda kategorier och antal registrerade, troliga konsekvenser samt vidtagna och planerade åtgärder
• Bistå Merchant med att fullgöra anmälningsskyldigheten till IMY inom 72 timmar

BokaPro anlitar följande underbiträden som är etablerade utanför EES. Överföringarna sker med stöd av följande mekanismer:

BokaPro tillämpar kompletterande skyddsåtgärder för överföringar till USA, innefattande kryptering av data i transit och i vila samt begränsning av personalåtkomst. BokaPro har genomfört en överföringskonsekvensbedömning (Transfer Impact Assessment) för berörda underbiträden i enlighet med EDPB Recommendations 01/2020.

Merchant ansvarar som personuppgiftsansvarig för att:

• Behandlingen av personuppgifter har rättslig grund enligt GDPR artikel 6
• De registrerade (kunderna) informeras om behandlingen i enlighet med GDPR artiklarna 13–14
• Instruktioner som lämnas till BokaPro är förenliga med GDPR
• Eventuella begäranden från IMY eller de registrerade hanteras av Merchant

Inom 30 dagar efter det att avtalsförhållandet upphört ska BokaPro, efter Merchants skriftliga val:

• Återlämna alla personuppgifter i ett strukturerat, maskinläsbart format, eller
• Permanent radera alla personuppgifter, inklusive kopior hos underbiträden

BokaPro bekräftar skriftligen att raderingen är genomförd. Uppgifter som BokaPro är skyldigt att bevara enligt lag (t.ex. bokföringslagen) bevaras under lagstadgad tid och raderas därefter.

Detta avtal regleras av svensk rätt. Svenska är avtalets styrande språk. Vid tvist om avtalets tolkning eller tillämpning gäller den svenska texten framför eventuella översättningar.

Tvister avgörs i allmän domstol med Stockholms tingsrätt som första instans, om inte parterna kommer överens om annat.

Frågor om detta avtal eller om BokaPros behandling av personuppgifter riktas till: [email protected]

BokaPro AB
[Gatuadress]
[Postnummer], [Ort]
Sverige

Följande underbiträden är godkända per avtalets ikraftträdandedatum. BokaPro meddelar Merchant minst 30 dagar innan förändringar sker i listan.

BokaPro tillämpar följande tekniska och organisatoriska säkerhetsåtgärder:

• Kryptering: All datatransport sker via TLS 1.2 eller högre. Personuppgifter krypteras i vila i databasen.
• Åtkomstkontroll: Rollbaserad åtkomstkontroll (RBAC). Multifaktorautentisering krävs för administrativ åtkomst.
• Pseudonymisering: Tillämpas där det är tekniskt möjligt och ändamålsenligt.
• Säkerhetskopiering: Dagliga säkerhetskopior med verifierad återställningsprocedur. Backup lagras krypterat inom EES.
• Incidenthantering: Dokumenterade rutiner för identifiering, klassificering och rapportering av personuppgiftsincidenter.
• Åtkomstloggning: Åtkomst till personuppgifter loggas och granskas regelbundet.
• Personalsäkerhet: Sekretessförbindelser, utbildning i dataskydd och need-to-know-principen tillämpas för all personal.
• Leverantörsgranskning: Underbiträden granskas avseende dataskydd innan anlitande och vid väsentliga förändringar.