Personuppgiftsbiträdesavtal (PUB-avtal)

Mellan:
FAA Solutions AB, org.nr 556892-1786, härefter "Personuppgiftsbiträdet"

Och:
Användaren av tjänsten Bokföring Online™, härefter "Personuppgiftsansvarig"

Giltig från och med: 2025-01-01 (Senast uppdaterad: 2025-04-22)

1. Bakgrund och syfte

Detta avtal reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR").

2. Behandlingens ändamål och omfattning

Behandlingen sker i syfte att tillhandahålla digitala bokföringstjänster enligt det huvudsakliga avtalet. De kategorier av registrerade som omfattas är exempelvis Kundens anställda, kunder och leverantörer. Personuppgifter kan inkludera namn, kontaktuppgifter, betalningsinformation, fakturahistorik och andra bokföringsrelaterade uppgifter.

3. Instruktioner och ansvar

Personuppgiftsbiträdet behandlar endast personuppgifter i enlighet med dokumenterade instruktioner från Personuppgiftsansvarig och åtar sig att inte behandla uppgifterna för egna ändamål.

4. Sekretess

Personuppgiftsbiträdet förbinder sig att säkerställa att alla som behandlar personuppgifter under detta avtal är bundna av sekretess.

5. Säkerhet

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter enligt artikel 32 i GDPR, inklusive men inte begränsat till:

• Åtkomstkontroller
• Kryptering
• Loggning
• Backup och återställning

6. Underbiträden

Personuppgiftsbiträdet får anlita underbiträden förutsatt att:

• Underbiträdet ingår motsvarande skyldigheter enligt detta avtal.
• Personuppgiftsansvarig informeras om nya underbiträden.

7. Incidentrapportering

Vid personuppgiftsincidenter ska Personuppgiftsbiträdet utan onödigt dröjsmål underrätta Personuppgiftsansvarig.

8. Rätt till granskning

Personuppgiftsansvarig har rätt att utföra kontroller och revisioner för att verifiera efterlevnad av detta avtal.

9. Radering och återlämning

Efter att avtalets syfte upphört ska Personuppgiftsbiträdet på begäran radera eller återskapa alla personuppgifter, om inget annat föreskrivs enligt lag.

10. Behandling inom ramen för betafunktioner

Om Personuppgiftsansvarig väljer att använda funktionalitet som är i betafas, kan ytterligare eller experimentell behandling av personuppgifter förekomma. Sådan behandling sker inom ramen för detta avtal och med beaktande av skäliga säkerhets- och sekretessåtgärder. Det åligger Personuppgiftsansvarig att informera sina användare och bedöma om ytterligare samtycke krävs enligt tillämplig lagstiftning.

11. Tillämplig lag och tvist

Svensk lag tillämpas. Tvist ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.