Personuppgiftsbiträdesavtal (DPA)
För våra B2B Företagskunder
1. Syfte & Bakgrund
Detta Personuppgiftsbiträdesavtal ("Avtalet") reglerar HR Directs ("Personuppgiftsbiträdets") behandling av personuppgifter för kundens räkning ("Personuppgiftsansvarige"). Avtalet är en integrerad del av Användarvillkoren.
2. Roller & Ansvar
Kunden agerar uteslutande Personuppgiftsansvarig för de uppgifter som anställda genomgår på plattformen (Namn, Email, Telefon). Biträdet samlar in, strukturerar, och lagrar uppgifterna i enlighet med Ansvariges skriftliga instruktioner.
3. Kategorier av Personuppgifter
Biträdet behandlar: Fysiska personers för- och efternamn, e-postadresser, telefonnummer, befattning, inloggningshistorik och tillhörande IP-adresser.
4. Tekniska och Organisatoriska Åtgärder
Biträdet implementerar TLS/SSL kryptering under överföring (In-Transit), AES-volymkryptering för databaslagring (At-Rest), Roll-baserad Systemåtkomst, samt loggreducering.
5. Underbiträden (Subprocessors)
- Vercel Inc (Application & Serverless Execution)
- MongoDB Atlas (Database Operations)
- Upstash (Session Delivery & Rate-limiting)
- Cloudinary (File Cloud Storage)
6. Geografisk Lokalisering & Överföring (SCC)
Data lagras primärt i datacenter inom Europa (EU/EES). För eventuella överföringar till länder utanför EU tillämpas EU:s standardavtalsklausuler (SCC) eller motsvarande Data Privacy Framework.
7. Dataöverlämning och Radering
Vid upphörande av huvudavtalet äger den Ansvarige rätt att själv exekvera en JSON-dataexport från systemets inställningar. Vid aktivering av funktionen 'Konto-radering', raderas eller anonymiseras alla uppgifter inom systemet enligt gällande lagstadgade krav, exempelvis Bokföringslagen.
För Personuppgiftsansvarig:
Datum / Underskrift
För Personuppgiftsbiträdet:
Datum / Underskrift (HR Direct)