Personuppgiftsbiträdesavtal (PUBA)

1. Bakgrund och roller

När du använder Svarnu för att hantera kundförfrågningar behandlar vi personuppgifter på uppdrag av dig. I denna relation gäller följande:

• Du (kunden) är personuppgiftsansvarig för de personuppgifter som behandlas i tjänsten.
• Svarnu är personuppgiftsbiträde och behandlar uppgifterna enligt dina instruktioner.

Detta dokument beskriver hur Svarnu hanterar personuppgifter som biträde och utgör en del av avtalet mellan parterna.

2. Behandlingens omfattning

Svarnu behandlar följande personuppgifter på ditt uppdrag:

• Kontaktuppgifter till dina kunder (namn, telefonnummer, e-postadress).
• Meddelandeinnehåll (SMS, e-post) mellan dig och dina kunder.
• Bokningsinformation och tidsuppgifter.
• Metadata (tidsstämplar, leveransstatus).

Behandlingen sker för att tillhandahålla tjänsten enligt avtalet – det vill säga automatiska svar, uppföljning och bokningshantering.

3. Instruktioner

Svarnu behandlar personuppgifter endast enligt dina dokumenterade instruktioner. Instruktionerna framgår av:

• Tjänsteavtalet och dessa villkor.
• De svarsmallar och inställningar du konfigurerar i tjänsten.
• Skriftliga instruktioner du lämnar via e-post eller support.

Om vi anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning kommer vi att meddela dig.

4. Säkerhetsåtgärder

Svarnu vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter:

• Kryptering av data vid överföring (TLS/SSL).
• Kryptering av data i vila.
• Åtkomstkontroll med behörighetsstyrning.
• Regelbunden säkerhetskopiering.
• Loggning och övervakning av systemåtkomst.
• Utbildning av personal i dataskydd.

5. Underbiträden

Svarnu använder följande kategorier av underbiträden för att leverera tjänsten:

• Molntjänstleverantörer för datalagring och beräkning (inom EU/EES).
• SMS-gateway-leverantörer för att skicka och ta emot SMS.
• E-postleverantörer för att skicka och ta emot e-post.

Alla underbiträden har avtal som säkerställer samma skyddsnivå som detta avtal. En aktuell lista över underbiträden kan begäras via hej@svarnu.se.

Vi meddelar dig innan vi anlitar nya underbiträden. Du har rätt att invända mot nya underbiträden inom 14 dagar.

6. Personuppgiftsincidenter

Vid en personuppgiftsincident (t.ex. dataintrång) kommer Svarnu att:

• Meddela dig utan onödigt dröjsmål, senast inom 48 timmar.
• Beskriva incidentens art, omfattning och troliga konsekvenser.
• Beskriva vilka åtgärder som vidtagits eller planeras.
• Bistå dig med information för eventuell anmälan till IMY.

7. Registrerades rättigheter

Svarnu bistår dig med att uppfylla registrerades rättigheter enligt GDPR (tillgång, rättelse, radering, etc.). Om en registrerad kontaktar Svarnu direkt hänvisar vi till dig som personuppgiftsansvarig.

8. Radering och återlämnande

När avtalet upphör kommer Svarnu att:

• På din begäran exportera alla personuppgifter i ett strukturerat format.
• Radera alla personuppgifter inom 90 dagar efter avtalets upphörande.
• Bekräfta skriftligen att radering har skett.

Undantag gäller för uppgifter som måste sparas enligt lag (t.ex. bokföringslagen).

9. Granskning

Du har rätt att granska att Svarnu följer detta avtal. Granskning kan ske genom att begära dokumentation om våra säkerhetsåtgärder och rutiner. Vid behov av fysisk granskning ska detta överenskommas i förväg och bekostas av dig.