Senast uppdaterad: 2026-05-17 · Version 1.0
Det här personuppgiftsbiträdesavtalet ("DPA") gäller mellan Kunden (personuppgiftsansvarig) och Kundkanalen (personuppgiftsbiträde) och utgör en del av tjänsteavtalet. Vid konflikt mellan tjänsteavtalet och detta DPA har DPA företräde vad gäller behandling av personuppgifter.
1. Definitioner
Begrepp som "personuppgift", "behandling", "personuppgiftsansvarig", "personuppgiftsbiträde", "underbiträde" och "personuppgiftsincident" har den betydelse som anges i GDPR (EU 2016/679).
2. Föremål och syfte
Kundkanalen behandlar personuppgifter för Kundens räkning i syfte att leverera tjänsten — definiera målgrupp, producera och leverera kampanjer samt rapportera resultat — enligt Kundens dokumenterade instruktioner. Behandlingen sker så länge tjänsteavtalet är i kraft.
3. Behandlingens art och kategorier
- Behandlingens art: insamling, lagring, organisation, segmentering, leverans, mätning, radering.
- Kategorier av registrerade: mottagare av Kundens kampanjer (typiskt företagspersoner i B2B-sammanhang).
- Kategorier av personuppgifter: namn, befattning, företag, e-postadress, telefon, segmenteringsattribut, samtyckesbevis, interaktionsdata (öppningar, klick, avregistrering).
- Särskilda kategorier: behandlas inte.
4. Instruktioner
Kundkanalen behandlar personuppgifter endast enligt Kundens dokumenterade instruktioner — tjänsteavtalet, kampanjbriefer och uppdrag i kundportalen utgör sådana instruktioner. Om vi anser att en instruktion strider mot gällande dataskyddslag informerar vi Kunden utan dröjsmål.
5. Tystnadsplikt
Vi säkerställer att personal som behandlar personuppgifter omfattas av tystnadsplikt — antingen genom anställningsavtal eller särskild sekretessförbindelse — och att åtkomst begränsas till de personer som behöver den för att utföra sina arbetsuppgifter.
6. Säkerhetsåtgärder (art. 32)
Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, bland annat:
- Kryptering i transit (TLS 1.2+) och vid lagring där det är tillämpligt.
- Åtkomstkontroll och rollbaserade rättigheter (principen om minsta privilegium).
- Loggning av åtkomst och behandling samt regelbunden granskning.
- Regelbundna säkerhetskopior och dokumenterad återställningsprocess.
- Sårbarhetsövervakning och tidig patchning.
- Härdade molnmiljöer hos leverantörer med ISO 27001 eller motsvarande.
- Dokumenterad incidenthanteringsprocess.
7. Underbiträden
Kunden lämnar generellt skriftligt förhandsgodkännande till att Kundkanalen anlitar underbiträden för leverans av tjänsten. Aktuell lista över underbiträden lämnas på begäran via [email protected].
Innan ett nytt underbiträde tas i bruk informeras Kunden skriftligen med minst 30 dagars varsel. Kunden har rätt att invända — om vi inte kan hitta en rimlig lösning har Kunden rätt att säga upp avtalet utan kostnad.
Vi tecknar skriftligt avtal med varje underbiträde som ålägger minst samma dataskyddsskyldigheter som detta DPA. Vi ansvarar gentemot Kunden för underbiträdets behandling.
8. Tredjelandsöverföring
Behandlingen sker primärt inom EU/EES. Om överföring till tredje land förekommer sker den med stöd av beslut om adekvat skyddsnivå eller, om sådant saknas, EU-kommissionens standardavtalsklausuler (SCC) samt vid behov kompletterande skyddsåtgärder.
9. Bistånd vid registrerades rättigheter
Vi bistår Kunden — med tekniska och organisatoriska åtgärder och i den utsträckning det är möjligt — att besvara begäran från registrerade om tillgång, rättelse, radering, begränsning, dataportabilitet och invändning. Begäran som inkommer direkt till oss vidarebefordras till Kunden utan dröjsmål.
10. Personuppgiftsincident (art. 33)
Vid personuppgiftsincident informerar vi Kunden skriftligen utan onödigt dröjsmål — senast 48 timmar efter att vi fått kännedom — med beskrivning av incidentens art, omfattning, kategorier och ungefärligt antal berörda registrerade, sannolika konsekvenser samt vidtagna och planerade åtgärder. Vi bistår Kunden vid eventuell anmälan till IMY och kommunikation till berörda registrerade.
11. Konsekvensbedömning (DPIA) och förhandssamråd
På Kundens begäran bistår vi med rimlig information för att Kunden ska kunna genomföra konsekvensbedömning enligt art. 35 eller förhandssamråd med IMY enligt art. 36.
12. Granskningsrätt (art. 28.3 h)
Kunden har rätt att en gång per år och med rimlig framförhållning granska vår efterlevnad av detta DPA. Granskningen kan ske genom skriftlig förfrågan, granskning av vår säkerhetsdokumentation eller — om Kunden anser det nödvändigt — fysisk revision. Vid revision står Kunden för kostnaderna och vi får rimlig kompensation för nedlagd tid. Vid inspektioner av tillsynsmyndighet samarbetar vi utan kostnad.
13. Återlämning och radering
Vid avtalets upphörande raderar eller återlämnar vi — efter Kundens val — samtliga personuppgifter inom 30 dagar, om inte EU-rätt eller svensk lag kräver fortsatt lagring. Skriftlig bekräftelse på radering lämnas på begäran. Säkerhetskopior raderas i takt med ordinarie rotationscykel, senast inom 90 dagar.
14. Tillsyn och tvister
Tillsynsmyndighet är Integritetsskyddsmyndigheten (IMY). Tvist som rör detta DPA prövas enligt det forum som anges i Användarvillkoren.
15. Underskriven version
På begäran tillhandahåller vi en signerbar PDF-version av detta DPA för inkludering i ert dataskyddsregister. [email protected]