Personuppgiftsbiträdesavtal

Senast uppdaterad: januari 2025

1. Parter

Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") ingås mellan den organisation som använder Boinspekt ("Personuppgiftsansvarig") och Texico AB, org.nr 559556-4260("Personuppgiftsbiträdet"), nedan gemensamt kallade "Parterna".

Biträdesavtalet utgör en del av avtalet om användning av Boinspektoch reglerar Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den Personuppgiftsansvarige.

2. Ändamål och omfattning

Personuppgiftsbiträdet behandlar personuppgifter uteslutande för att tillhandahålla tjänsten Boinspekt åt den Personuppgiftsansvarige. Behandlingen omfattar:

  • Lagring och hantering av användaruppgifter för att möjliggöra inloggning och behörighetsstyrning
  • Hantering av dokument, protokoll, felanmälningar och leverantörsinformation som laddas upp av användare
  • Utskick av notifikationer via e-post kopplat till tjänstens funktioner
  • Säkerhetskopiering och loggning för att säkerställa tjänstens drift och säkerhet

Personuppgiftsbiträdet får inte behandla personuppgifter för andra ändamål än de som anges i detta avtal utan skriftligt godkännande från den Personuppgiftsansvarige.

3. Personuppgifter som behandlas

Följande kategorier av personuppgifter behandlas inom tjänsten:

Kategorier av registrerade

  • Styrelsemedlemmar i bostadsrättsföreningar
  • Anställda hos fastighetsförvaltare
  • Kontaktpersoner hos leverantörer

Typer av personuppgifter

  • Namn, e-postadress och telefonnummer
  • Organisationstillhörighet och roll
  • Profilbild (valfritt)
  • IP-adress och teknisk sessionsinformation
  • Innehåll i dokument, felanmälningar och meddelanden som kan innehålla personuppgifter

4. Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ansvarar för att:

  • Det finns en rättslig grund för behandlingen av personuppgifter
  • Registrerade personer har informerats om behandlingen i enlighet med GDPR
  • Instruktionerna till Personuppgiftsbiträdet är förenliga med gällande dataskyddslagstiftning

5. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet förbinder sig att:

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige
  • Säkerställa att personer med behörighet att behandla personuppgifter har åtagit sig tystnadsplikt
  • Vidta alla tekniska och organisatoriska säkerhetsåtgärder som krävs enligt artikel 32 i GDPR
  • Bistå den Personuppgiftsansvarige vid hantering av registrerades rättigheter och vid konsekvensbedömningar
  • Informera den Personuppgiftsansvarige om instruktioner som enligt Biträdets bedömning strider mot GDPR

6. Säkerhet

Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, inklusive men inte begränsat till:

  • Kryptering vid överföring — All kommunikation mellan användare och tjänsten sker via TLS (Transport Layer Security) med minst TLS 1.2
  • Kryptering vid lagring — Personuppgifter och uppladdade filer krypteras vid lagring (encryption at rest)
  • Åtkomstkontroll — Behörighetsstyrning säkerställer att användare enbart har tillgång till uppgifter de är behöriga att se
  • Lösenordshantering — Lösenord lagras med kryptografisk hashning och saltas individuellt
  • Säkerhetskopiering — Regelbundna säkerhetskopieringar genomförs för att förhindra dataförlust
  • Loggning och övervakning — Åtkomst till system och data loggas för att upptäcka och utreda obehörig användning
  • Uppdateringar — System och programvara hålls uppdaterade med säkerhetspatchar

7. Plats för behandling

All behandling av personuppgifter sker på servrar inom EU/EES. Personuppgifter överförs inte till tredje land utanför EU/EES utan föregående skriftligt godkännande från den Personuppgiftsansvarige och utan att lämpliga skyddsåtgärder vidtagits i enlighet med kapitel V i GDPR.

8. Underbiträden

Personuppgiftsbiträdet anlitar följande kategorier av underbiträden för att tillhandahålla tjänsten:

  • DigitalOcean, LLC — Hosting och infrastruktur (servrar inom EU/EES)
  • Wildbit, LLC (Postmark) — Transaktionella e-postutskick

Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige innan nya underbiträden anlitas. Den Personuppgiftsansvarige har rätt att invända mot anlitande av ett nytt underbiträde. Personuppgiftsbiträdet säkerställer att underbiträden är bundna av motsvarande skyldigheter som i detta avtal.

9. Personuppgiftsincidenter

Vid en personuppgiftsincident ska Personuppgiftsbiträdet utan onödigt dröjsmål, och senast inom 24 timmar efter upptäckt, informera den Personuppgiftsansvarige. Meddelandet ska innehålla:

  • En beskrivning av incidentens art
  • Kategorier och ungefärligt antal berörda registrerade
  • Sannolika konsekvenser av incidenten
  • Åtgärder som vidtagits eller föreslås för att hantera incidenten

10. Avtalets upphörande

Vid upphörande av tjänsteavtalet ska Personuppgiftsbiträdet, enligt den Personuppgiftsansvariges val, radera eller återlämna samtliga personuppgifter. Radering ska ske inom 30 dagar efter avtalets upphörande, om inte lagstiftning kräver fortsatt lagring.

Personuppgiftsbiträdet ska på begäran skriftligen bekräfta att radering har genomförts.

11. Avtalstid

Detta Biträdesavtal gäller så länge Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige. Avtalet upphör automatiskt när samtliga personuppgifter har raderats eller återlämnats.

12. Kontakt

Frågor om detta avtal kan ställas till:

Texico AB
E-post: contact@boinspekt.se