Senast uppdaterad · 2 april 2026
Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") utgör en del av Användarvillkoren mellan Handyfy ("Biträdet") och Kunden ("den Personuppgiftsansvarige"). Biträdesavtalet reglerar Biträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning i enlighet med EU:s dataskyddsförordning (GDPR).
Genom att skapa ett konto och godkänna Användarvillkoren godkänner du samtidigt detta Biträdesavtal.
1. Definitioner
- Personuppgifter: all information som direkt eller indirekt kan identifiera en fysisk person
- Behandling: varje åtgärd som vidtas med personuppgifter (lagring, läsning, ändring, radering etc.)
- Registrerade: de fysiska personer vars personuppgifter behandlas
- Personuppgiftsansvarig: Kunden, som bestämmer ändamålen med behandlingen
- Personuppgiftsbiträde: Handyfy, som behandlar personuppgifter för den Personuppgiftsansvariges räkning
- Underbiträde: tredje part som Biträdet anlitar för att utföra delar av behandlingen
2. Behandlingens omfattning
2.1. Ändamål
Biträdet behandlar personuppgifter uteslutande för att tillhandahålla Tjänsten enligt Användarvillkoren — dvs. för att driva den Personuppgiftsansvariges projekthantering, kund- och fakturasystem, tidsrapportering och relaterade funktioner.
2.2. Kategorier av registrerade
- Den Personuppgiftsansvariges slutkunder (privatpersoner och företag)
- Den Personuppgiftsansvariges anställda och teammedlemmar
- Kontaktpersoner hos den Personuppgiftsansvariges leverantörer
- Husägare/beställare som skickar offertförfrågningar (leads)
2.3. Kategorier av personuppgifter
- Kontaktuppgifter (namn, e-postadress, telefonnummer, postadress)
- Identifieringsuppgifter (personnummer, organisationsnummer)
- Finansiella uppgifter (fakturabelopp, betalstatus, bankgiro, Swish-nummer)
- Anställningsrelaterade uppgifter (tidsrapporter, frånvaro, roll/behörighet)
- Kommunikation (projektkorrespondens, meddelanden, omdömen)
- Bilder och dokument (fotodokumentation, uppladdade filer)
2.4. Behandlingens varaktighet
Behandlingen pågår så länge den Personuppgiftsansvarige har ett aktivt konto. Vid uppsägning raderas personuppgifterna inom 30 dagar, om inte lagkrav (t.ex. bokföringslagen) kräver längre lagring.
3. Biträdets skyldigheter
Biträdet förbinder sig att:
- Behandla personuppgifter enbart enligt den Personuppgiftsansvariges dokumenterade instruktioner och Användarvillkoren
- Inte behandla personuppgifter för egna ändamål
- Säkerställa att personal som behandlar personuppgifter har åtagit sig att iaktta konfidentialitet
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR
- Bistå den Personuppgiftsansvarige med att uppfylla sina skyldigheter enligt artiklarna 32–36 GDPR
- Bistå den Personuppgiftsansvarige vid hantering av registrerades rättigheter (artiklarna 15–22 GDPR)
- Vid avtalets upphörande radera eller återlämna samtliga personuppgifter enligt den Personuppgiftsansvariges instruktioner
- Tillhandahålla information som behövs för att visa att skyldigheterna i artikel 28 GDPR uppfylls
4. Säkerhetsåtgärder
Biträdet vidtar bland annat följande åtgärder:
- Kryptering av data i transit (TLS 1.2+) och i vila (AES-256)
- Åtkomstkontroll med rollbaserad behörighet och multitenant-isolering
- Lösenord lagras med envägs-hashning (bcrypt)
- Regelbundna säkerhetsuppdateringar och beroendegranskningar
- Automatiserade dagliga säkerhetskopior (med Supabase Pro)
- Rate limiting och DDoS-skydd via Vercel
5. Underbiträden
Den Personuppgiftsansvarige godkänner att Biträdet anlitar underbiträden för att tillhandahålla Tjänsten. Biträdet säkerställer att varje underbiträde är bundet av motsvarande dataskyddsvillkor.
5.1. Godkända underbiträden
| Underbiträde | Syfte | Plats | Skyddsmekanism |
|---|---|---|---|
| Supabase Inc. (AWS eu-north-1) | Databas, autentisering, lagring | EU (Stockholm) | Data lagras inom EU |
| Vercel Inc. | Hosting, serverless functions, CDN | EU / globalt CDN | EU SCC |
| Stripe Inc. | Betalningshantering | EU / USA | EU SCC + DPA |
| Resend Inc. | E-postutskick | USA | EU SCC |
5.2. Nya underbiträden
Vid byte eller tillägg av underbiträden meddelar Biträdet den Personuppgiftsansvarige minst 30 dagar i förväg via e-post. Om den Personuppgiftsansvarige har befogade invändningar har denne rätt att säga upp Tjänsten.
6. Personuppgiftsincident
6.1. Vid en personuppgiftsincident som påverkar den Personuppgiftsansvariges data meddelar Biträdet den Personuppgiftsansvarige utan onödigt dröjsmål och senast inom 48 timmar efter att incidenten upptäckts.
6.2. Meddelandet ska innehålla:
- Beskrivning av incidentens art och omfattning
- Kontaktuppgifter för ytterligare information
- Beskrivning av sannolika konsekvenser
- Beskrivning av åtgärder som vidtagits eller föreslås
7. Överföring till tredje land
Personuppgifter lagras primärt inom EU/EES (Supabase Stockholm). Vid överföring till tredje land (t.ex. USA via Stripe eller Resend) säkerställs en adekvat skyddsnivå genom EU:s standardavtalsklausuler (SCC) och kompletterande tekniska skyddsåtgärder.
8. Granskning och revision
Den Personuppgiftsansvarige har rätt att, på egen bekostnad och med skälig förvarning, genomföra eller låta genomföra revisioner för att verifiera att Biträdet uppfyller sina skyldigheter enligt detta avtal. Biträdet ska medverka och tillhandahålla nödvändig information.
9. Ansvar
Parternas ansvar enligt detta Biträdesavtal följer ansvarsbegränsningarna i Användarvillkoren, såvida inte tvingande lag kräver annat.
10. Avtalstid
Detta Biträdesavtal gäller så länge Biträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. Vid uppsägning av Användarvillkoren upphör Biträdesavtalet automatiskt, med undantag för de skyldigheter som avser radering och konfidentialitet.
11. Tillämplig lag
Detta Biträdesavtal regleras av svensk lag och GDPR. Tvister avgörs av allmän domstol i Sverige.
12. Kontakt
Frågor om detta Biträdesavtal kan ställas till:
Handyfy
E-post: hej@handyfy.se