Kom igång!
Kom igång!

Personuppgiftsbiträdesavtal

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Detta dokument har översatts för din bekvämlighet. Vid eventuella avvikelser gäller den engelska versionen.

Detta personuppgiftsbiträdesavtal ("DPA") utgör en del av avtalet mellan kunden ("Personuppgiftsansvarig") och Skiwo AS, som driver plattformen Report Securely ("Personuppgiftsbiträde"), för tillhandahållande av visselblåsar- och säkra rapporteringstjänster ("Tjänsten").

Detta DPA ingås i enlighet med kraven i artikel 28 i den allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR") och reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvarigas räkning.

1. Definitioner

Termer som används i detta DPA har samma betydelse som i GDPR om inte annat anges. "Personuppgifter" avser alla personuppgifter som behandlas av Personuppgiftsbiträdet för den Personuppgiftsansvarigas räkning i samband med Tjänsten. "Underbiträde" avser tredje part som anlitas av Personuppgiftsbiträdet för att behandla Personuppgifter för den Personuppgiftsansvarigas räkning.

2. Omfattning och syfte med behandlingen

Personuppgiftsbiträdet behandlar Personuppgifter enbart i syfte att tillhandahålla Tjänsten till den Personuppgiftsansvarige, enligt beskrivning i huvudavtalet och detta DPA.

Kategorier av registrerade inkluderar: rapportörer (visselblåsare), personer som nämns i rapporter, ärendehandläggare och behöriga användare inom den Personuppgiftsansvarigas organisation. Typer av personuppgifter som behandlas kan inkludera: namn, kontaktuppgifter, rapportinnehåll, kommunikation mellan rapportörer och ärendehandläggare, ärendemetadata och granskningsloggar.

Behandlingens varaktighet motsvarar huvudavtalets löptid, plus eventuell lagringsperiod som krävs enligt tillämplig lag eller överenskommelse mellan parterna.

3. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska:

  • Behandla Personuppgifter endast enligt dokumenterade instruktioner från den Personuppgiftsansvarige, om inte annat krävs enligt tillämplig lag
  • Säkerställa att personer som är behöriga att behandla Personuppgifter är bundna av sekretessåtaganden
  • Implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken
  • Inte anlita annat biträde (underbiträde) utan föregående skriftligt godkännande från den Personuppgiftsansvarige
  • Bistå den Personuppgiftsansvarige med att besvara begäranden från registrerade enligt GDPR artiklarna 15–22
  • Bistå den Personuppgiftsansvarige med att säkerställa efterlevnad av GDPR artiklarna 32–36 (säkerhet, anmälan av dataintrång, konsekvensbedömningar)
  • Efter den Personuppgiftsansvarigas val radera eller returnera alla Personuppgifter vid Tjänstens upphörande, om inte lagring krävs enligt tillämplig lag
  • Tillhandahålla den Personuppgiftsansvarige all information som är nödvändig för att påvisa efterlevnad av de skyldigheter som anges i detta DPA och GDPR artikel 28

4. Säkerhetsåtgärder

Personuppgiftsbiträdet implementerar och upprätthåller följande tekniska och organisatoriska säkerhetsåtgärder:

  • Kryptering av data under överföring (TLS 1.2 eller högre) och i vila (AES-256)
  • Rollbaserad åtkomstkontroll med principen om minsta behörighet
  • Granskningsloggning av alla väsentliga åtgärder inom plattformen
  • Regelbunden säkerhetstestning och sårbarhetsbedömningar
  • Säkra mjukvaruutvecklingsmetoder enligt OWASP-riktlinjer
  • Automatiska säkerhetskopior med krypterad lagring
  • Strikta säkerhetsrubriker (HSTS, CSP, X-Frame-Options)

Personuppgiftsbiträdet granskar och uppdaterar regelbundet dessa åtgärder för att återspegla aktuell tekniknivå samt behandlingens art, omfattning och ändamål.

5. Underbiträden

Den personuppgiftsansvarige ger ett generellt godkännande för personuppgiftsbiträdet att anlita underbiträden, med förbehåll för villkoren i detta avsnitt.

Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om eventuella planerade ändringar avseende tillägg eller ersättning av underbiträden, vilket ger den personuppgiftsansvarige möjlighet att invända mot sådana ändringar.

När personuppgiftsbiträdet anlitar ett underbiträde ska det ålägga samma dataskyddsskyldigheter som anges i detta PUB genom ett avtal, vilket säkerställer att underbiträdet tillhandahåller tillräckliga garantier för att implementera lämpliga tekniska och organisatoriska åtgärder.

Personuppgiftsbiträdet förblir fullt ansvarigt gentemot den personuppgiftsansvarige för underbiträdets fullgörande av sina skyldigheter.

6. Dataöverföringar

All personuppgifter lagras och behandlas inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgiftsbiträdet får inte överföra personuppgifter till ett land utanför EES eller till en internationell organisation såvida inte: (a) personuppgiftsansvarige har lämnat skriftligt förhandsgodkännande, och (b) lämpliga skyddsåtgärder är på plats i enlighet med GDPR kapitel V, såsom EU:s standardavtalsklausuler eller ett adekvat beslut från Europeiska kommissionen.

7. Anmälan av dataintrång

Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta personuppgiftsansvarige efter att ha blivit medveten om ett personuppgiftsintrång som påverkar personuppgifter som behandlas enligt detta DPA.

Anmälan ska innehålla: en beskrivning av intrångets art, kategorierna och det ungefärliga antalet berörda registrerade, de sannolika konsekvenserna av intrånget samt de åtgärder som vidtagits eller föreslagits för att hantera intrånget.

8. Revisionsrättigheter

Personuppgiftsbiträdet ska tillhandahålla personuppgiftsansvarige all information som är nödvändig för att visa efterlevnad av de skyldigheter som anges i GDPR artikel 28 och detta DPA, och ska tillåta och bidra till revisioner, inklusive inspektioner, som utförs av personuppgiftsansvarige eller en annan revisor som utsetts av personuppgiftsansvarige.

Revisioner ska genomföras med rimlig varsel och under normal kontorstid, och ska inte oskäligt störa personuppgiftsbiträdets verksamhet.

9. Radering och återlämnande av data

Vid uppsägning av tjänsten ska personuppgiftsbiträdet, efter personuppgiftsansvariges val, radera eller återlämna alla personuppgifter till personuppgiftsansvarige och radera befintliga kopior, såvida inte tillämplig lag kräver fortsatt lagring.

Personuppgiftsansvarige kan begära dataexport i ett allmänt använt, maskinläsbart format före uppsägning.

10. Ansvar

Vardera parts ansvar enligt detta DPA är föremål för de begränsningar och undantag som anges i huvudtjänsteavtalet mellan parterna.

Ingenting i detta DPA begränsar någondera parts ansvar för brott mot dataskyddslagstiftning i den utsträckning sådant ansvar inte kan begränsas enligt tillämplig lag.

11. Tillämplig lag

Detta DPA regleras av norsk lag. Eventuella tvister som uppstår ur eller i samband med detta DPA ska vara föremål för Oslo tingsrätts exklusiva jurisdiktion, såvida inte tvingande lag föreskriver annat.

12. Kontakt

För frågor om detta DPA eller dataskyddsfrågor, kontakta:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com