Personuppgiftsbiträdesavtal
Bilaga till Meliaros Användaravtal.
1. Bakgrund och parter
Detta personuppgiftsbiträdesavtal ("DPA:t") ingås mellan Meliaro AB, org.nr 556958-3890 ("Personuppgiftsbiträdet" eller "Meliaro"), och den kund som använder Meliaros tjänst ("Personuppgiftsansvarig" eller "Kunden").
DPA:t är en del av och kompletterar Användaravtalet mellan parterna. När Kunden använder Tjänsten behandlar Meliaro personuppgifter för Kundens räkning. Kunden är personuppgiftsansvarig och Meliaro är personuppgiftsbiträde för denna behandling. Föremålet för behandlingen specificeras i Bilaga A.
Vid motstridighet mellan DPA:t och övriga delar av Användaravtalet har DPA:t företräde i frågor som rör behandling av personuppgifter.
DPA:t blir bindande när Kunden godkänner Användaravtalet eller använder Tjänsten. Underskrift krävs inte för att DPA:t ska gälla. Parterna kan ändå välja att underteckna DPA:t (se avsnittet Underskrifter), t.ex. om Kunden önskar ett undertecknat exemplar.
2. Definitioner
Begrepp som personuppgifter, behandling, personuppgiftsansvarig, personuppgiftsbiträde, registrerad och personuppgiftsincident har samma innebörd som i dataskyddsförordningen (EU) 2016/679 ("GDPR").
3. Behandling enligt instruktion och Kundens ansvar
Meliaro ska endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden. Användaravtalet, DPA:t och Bilaga A utgör Kundens fullständiga instruktioner vid avtalets ingående. Ytterligare instruktioner ska vara skriftliga och rymmas inom Tjänstens funktionalitet.
Om Meliaro enligt tillämplig lag är skyldigt att behandla personuppgifter på annat sätt, ska Meliaro informera Kunden om detta innan behandlingen, om inte sådan information är förbjuden enligt lag. Meliaro ska informera Kunden om Meliaro anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning.
Kunden ansvarar i egenskap av personuppgiftsansvarig för att det finns en rättslig grund för behandlingen, för att dess instruktioner till Meliaro är lagenliga, samt för att informera registrerade och hantera deras rättigheter.
4. Sekretess
Meliaro ska säkerställa att de personer som är behöriga att behandla personuppgifterna har förbundit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt, samt att åtkomst begränsas till de personer som behöver den för att fullgöra Tjänsten.
5. Säkerhet
Meliaro ska vidta lämpliga tekniska och organisatoriska åtgärder enligt artikel 32 GDPR för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Vidtagna åtgärder beskrivs i Bilaga C.
6. Underbiträden
Kunden ger Meliaro ett generellt förhandstillstånd att anlita underbiträden. De underbiträden som anlitas vid avtalets ingående anges i Bilaga B.
Meliaro ska ålägga varje underbiträde dataskyddsförpliktelser som i allt väsentligt motsvarar dem i DPA:t, och Meliaro ansvarar gentemot Kunden för underbiträdets behandling.
Meliaro ska informera Kunden i skälig tid i förväg om att ett nytt underbiträde anlitas eller byts ut. Kunden får invända mot förändringen på sakliga dataskyddsskäl. Om parterna inte kan enas får Kunden säga upp Användaravtalet.
Inget underbiträde, inbegripet leverantörer av AI-tjänster, får använda personuppgifterna för egna ändamål, såsom träning eller förbättring av egna modeller. Underbiträden får endast behandla personuppgifterna för att tillhandahålla Tjänsten enligt Kundens instruktioner.
7. Överföring till tredjeland
Vissa underbiträden behandlar personuppgifter i USA, enligt Bilaga B. Sådan överföring sker endast med stöd av lämpliga skyddsåtgärder enligt kapitel V GDPR, t.ex. EU-kommissionens standardavtalsklausuler (SCC) och/eller underbiträdets anslutning till EU–US Data Privacy Framework. Meliaro överför i övrigt inte personuppgifter till tredjeland utan Kundens instruktion eller lämpliga skyddsåtgärder.
8. Bistånd till Kunden
Meliaro ska, med beaktande av behandlingens art och tillgänglig information, bistå Kunden med lämpliga tekniska och organisatoriska åtgärder för att:
- besvara förfrågningar från registrerade som vill utöva sina rättigheter enligt kapitel III GDPR, och
- fullgöra Kundens skyldigheter enligt artiklarna 32–36 GDPR (säkerhet, anmälan av incidenter, konsekvensbedömning och förhandssamråd).
Om en registrerad vänder sig direkt till Meliaro för att utöva sina rättigheter enligt GDPR, ska Meliaro utan onödigt dröjsmål vidarebefordra begäran till Kunden för hantering.
9. Personuppgiftsincident
Meliaro ska underrätta Kunden utan onödigt dröjsmål, och senast inom fyrtioåtta (48) timmar, efter att ha fått kännedom om en personuppgiftsincident som rör de personuppgifter som behandlas för Kundens räkning. Underrättelsen ska, i den mån informationen är tillgänglig, beskriva incidentens art, kategorier och ungefärligt antal berörda registrerade, de sannolika konsekvenserna samt de åtgärder som vidtagits eller föreslås för att hantera incidenten. Informationen kompletteras efter hand som mer blir tillgänglig. Meliaro ska bistå Kunden vid utredning och hantering av incidenten.
10. Radering och återlämnande
När Tjänsten upphör ska Meliaro, enligt Kundens val, radera eller återlämna samtliga personuppgifter som behandlats för Kundens räkning och radera befintliga kopior, om inte lagring krävs enligt tillämplig lag. Kunden ges möjlighet att exportera personuppgifterna under en skälig period efter upphörandet.
Röstinspelningar raderas så snart de bearbetats eller transkriberats, senast inom trettio (30) dagar, i enlighet med Meliaros integritetspolicy.
11. Granskning och revision
Meliaro ska på Kundens begäran tillhandahålla den information som rimligen behövs för att visa att skyldigheterna enligt artikel 28 GDPR och DPA:t fullgörs. Meliaro ska möjliggöra och bidra till granskningar, inklusive inspektioner, som genomförs av Kunden eller en av Kunden utsedd oberoende granskare.
Granskning ska aviseras skäligt i förväg, genomföras under normal arbetstid och på ett sätt som inte i onödan stör Meliaros verksamhet eller äventyrar andra kunders sekretess. Kunden står för sina egna kostnader för granskning, och Meliaro har rätt till skälig ersättning för den tid och de resurser som Meliaro lägger ned på att bistå vid granskningen.
12. Ansvar
Parternas ansvar regleras av artikel 82 GDPR och, i tillämpliga delar, av ansvarsbestämmelserna i Användaravtalet.
13. Avtalstid
DPA:t gäller så länge Meliaro behandlar personuppgifter för Kundens räkning. Bestämmelser som till sin natur ska gälla även därefter (t.ex. sekretess och radering) fortsätter att gälla efter upphörandet.
14. Tillämplig lag och tvist
DPA:t regleras av svensk rätt. Tvister avgörs av allmän domstol med Stockholms tingsrätt som första instans.
Underskrifter
DPA:t är bindande redan genom Kundens godkännande av Användaravtalet (se avsnitt 1); underskrift är inte ett villkor för att det ska gälla. Parter som vill ha ett undertecknat exemplar kan underteckna nedan. Underskriften bekräftar DPA:t inklusive Bilaga A–C.
För Personuppgiftsbiträdet
Meliaro AB, org.nr 556958-3890
Namn: Thérèse Mannheimer
Befattning: VD
Ort och datum: ____________________
Underskrift: ____________________
För Personuppgiftsansvarig (Kunden)
Företag/org.nr: ____________________
Namn: ____________________
Befattning: ____________________
Ort och datum: ____________________
Underskrift: ____________________
Bilaga A – Beskrivning av behandlingen
| Föremål | Behandling av personuppgifter inom ramen för Meliaros tjänst för teknisk fastighetsförvaltning |
| Varaktighet | Så länge Kunden använder Tjänsten (se avsnitt 13) |
| Art och ändamål | Att ta emot, kategorisera, prioritera, schemalägga, utföra, dokumentera och följa upp ärenden och felanmälningar samt rondering och besiktning för Kundens räkning |
| Kategorier av registrerade | Kundens hyresgäster och andra personer som förekommer i ärenden (t.ex. kontaktpersoner) |
| Kategorier av personuppgifter | Namn och kontaktuppgifter (telefon, e-post), felanmälningar och ärendebeskrivningar, meddelanden via SMS, chatt och e-post, röstinspelningar, platsdata kopplad till ärenden samt koppling till fastighet/lägenhet |
| Särskilda kategorier | Tjänsten är inte avsedd för behandling av särskilda kategorier av personuppgifter (artikel 9) eller uppgifter om lagöverträdelser. Kunden ska undvika att föra in sådana uppgifter. Förekommer de ändå tillfälligt i fritext eller inspelningar behandlas de med samma säkerhetsåtgärder. |
Bilaga B – Godkända underbiträden
| Underbiträde | Funktion | Plats |
|---|---|---|
| Supabase | Databas och autentisering | Sverige (EU) |
| Railway | Drift av backend | Nederländerna (EU) |
| Vercel | Drift av webbgränssnitt | Sverige (EU) |
| 46elks | SMS och MMS | Sverige (EU) |
| Resend | Utgående och ingående e-post | USA (tredjeland – se avsnitt 7); sändning kan ske via Irland, men lagring sker i USA |
| Anthropic | AI-baserad kategorisering och bearbetning | USA (tredjeland – se avsnitt 7) |
| OpenAI | AI-baserad transkribering och bearbetning | USA (tredjeland – se avsnitt 7) |
| Expo (EAS) | Push-notiser till mobilappen | USA (tredjeland – se avsnitt 7) |
| Sentry | Fel- och kraschövervakning | USA (tredjeland – se avsnitt 7) |
Bilaga C – Tekniska och organisatoriska säkerhetsåtgärder
- Kryptering: överföring sker krypterat (TLS); lösenord lagras hashade; data i vila skyddas hos underbiträden inom EU/EES.
- Åtkomststyrning: behörighet per organisation med radnivåsäkerhet (RLS) i databasen, rollbaserad behörighet och behovsstyrd åtkomst för personal.
- Autentisering: säker inloggning; inloggningsuppgifter på mobil enhet lagras i enhetens säkra nyckelförvar.
- Loggning och spårbarhet: åtgärder i Tjänsten loggas; säkerhets- och åtkomstloggar bevaras under begränsad tid.
- Drift och leverantörer: hosting hos etablerade leverantörer, primärt inom EU/EES; underbiträden i tredjeland omfattas av lämpliga skyddsåtgärder.
- Organisatoriskt: sekretessåtaganden för personal, intern behörighetsstyrning och rutiner för hantering av personuppgiftsincidenter.