Personuppgiftsbiträdesavtal - Avisha

1. Parter och roller

Kunden är personuppgiftsansvarig för de personuppgifter som Kunden lägger in i Avisha. Avisha AB är personuppgiftsbiträde och behandlar uppgifterna för Kundens räkning enligt detta avtal, Avishas villkor och Kundens dokumenterade instruktioner.

2. Behandlingens föremål och varaktighet

Behandlingen avser drift och tillhandahållande av Avishas SaaS-tjänst. Behandlingen pågår så länge Kunden har ett aktivt konto eller så länge Avisha behöver behandla uppgifterna för avveckling, export, radering, support, säkerhet eller rättsliga skyldigheter.

3. Ändamål och typ av behandling

Avisha behandlar personuppgifter för att lagra, visa, strukturera, söka, uppdatera, exportera, säkerhetskopiera, supportera och skydda den data som Kunden hanterar i tjänsten. Avisha får inte använda Kundens personuppgifter för egna marknadsföringsändamål eller sälja dem till tredje part.

4. Kategorier av uppgifter och registrerade

Uppgifter kan omfatta namn, e-post, telefonnummer, adress, organisationsuppgifter, kundnummer, referenser, offert-, order- och fakturauppgifter, meddelanden, dokument, tekniska loggar och andra uppgifter som Kunden registrerar. Registrerade kan vara Kundens användare, anställda, slutkunder, kontaktpersoner, leverantörer och andra personer som förekommer i Kundens affärsflöden.

5. Kundens ansvar

Kunden ansvarar för laglig grund, information till registrerade, behörighetsstyrning i den egna organisationen, riktigheten i den data som registreras och att Avisha får tydliga instruktioner för behandlingen.

6. Avishas skyldigheter

Avisha ska endast behandla personuppgifter enligt Kundens instruktioner, säkerställa att personer med åtkomst omfattas av sekretess, vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder, bistå Kunden vid registrerades rättigheter och bidra med den information som rimligen krävs för att visa efterlevnad av detta avtal.

7. Säkerhetsåtgärder

Avisha använder bland annat krypterad kommunikation, autentisering, åtkomstkontroll, rollstyrning, loggning, säkerhetskopiering, miljöseparation, begränsad administrativ åtkomst och rutiner för leverantörskontroll. Säkerhetsnivån ska vara anpassad till behandlingens art, omfattning, sammanhang och risk.

Säkerhetskopiering och återställning sker enligt Avishas tekniska rutiner och valda underbiträdens funktioner. Databasbackuper och fil-/dokumentlagring kan ha olika tekniska återställningsmöjligheter. Avisha använder säkerhetskopior för kontinuitet, incidenthantering och skydd mot oavsiktlig dataförlust, men säkerhetskopior är inte ett kundarkiv eller en garanti för återställning av varje enskild fil eller ändring.

8. Underbiträden

Kunden godkänner att Avisha använder underbiträden som behövs för att leverera tjänsten. Avisha ska ha avtal med underbiträden som ger minst motsvarande skydd som detta avtal. Vid väsentliga ändringar av underbiträden ska Kunden informeras och ges möjlighet att invända om det finns sakliga dataskyddsskäl.

Aktuella underbiträden vid denna version är Supabase för databas, autentisering och lagring, Vercel för hosting och drift, one.com för domän/DNS och e-postrelaterad infrastruktur där det används, Upstash för rate limiting/cache där det används samt Bolagsverket när Kunden eller Avisha använder bolagsuppslag. Om organisationen använder egen SMTP kan även Kundens valda e-postleverantör behandla uppgifter enligt Kundens instruktioner.

9. Överföring till tredje land

Om underbiträden eller annan behandling innebär överföring av personuppgifter utanför EU/EES ska Avisha säkerställa att överföringen stöds av giltig överföringsmekanism, till exempel standardavtalsklausuler och kompletterande skyddsåtgärder där det krävs.

10. Personuppgiftsincidenter

Avisha ska utan onödigt dröjsmål meddela Kunden efter att ha fått kännedom om en personuppgiftsincident som rör Kundens personuppgifter. Meddelandet ska, i den mån information finns, beskriva incidentens art, berörda uppgifter, möjliga konsekvenser och vidtagna eller föreslagna åtgärder.

11. Radering och återlämnande

När tjänsten upphör ska Avisha, enligt Kundens val och Avishas tekniska möjligheter, lämna tillbaka eller radera Kundens personuppgifter. Avisha får behålla uppgifter som måste sparas enligt lag, säkerhetskrav eller för att hantera rättsliga anspråk.

Personuppgifter som finns i säkerhetskopior kan finnas kvar under begränsad retentionstid efter radering i produktionsmiljön. Under den tiden skyddas uppgifterna enligt detta avtal och används endast för backup, säkerhet, incidenthantering eller återställning. När backupens retentionstid löper ut skrivs uppgifterna över eller raderas enligt Avishas och underbiträdets rutiner.

12. Revision och information

Avisha ska på rimlig begäran lämna information som behövs för att Kunden ska kunna visa efterlevnad av GDPR artikel 28. Revision ska ske med rimligt varsel, under sekretess och utan att äventyra säkerheten för andra kunder eller Avishas system.

13. Företräde

Om detta personuppgiftsbiträdesavtal står i konflikt med Avishas allmänna villkor ska detta avtal ha företräde i frågor som rör behandling av personuppgifter för Kundens räkning.

14. Tillämplig lag

Svensk rätt gäller för detta avtal.