Personuppgiftsbiträdesavtal (PUB-avtal)
Master version 1.2 · Appendix EkoRapport version 1.2 · Senast uppdaterad 2026-05-26
1. Definitioner
Termer som "personuppgifter", "behandling", "personuppgiftsansvarig", "personuppgiftsbiträde", "registrerad" och "tredje part" har den betydelse som anges i GDPR Artikel 4.
2. Föremål och syfte
Biträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning enbart för att tillhandahålla Tjänsten. Konkreta ändamål och funktioner anges i Appendix EkoRapport (A1).
3. Kategorier av registrerade och uppgifter
Kategorier av registrerade och typer av personuppgifter anges i Appendix EkoRapport (A2). Behandlingen pågår så länge tjänsteavtalet är aktivt, plus retention-perioder enligt punkt 7 och Appendix (A4).
4. Personuppgiftsansvarigs skyldigheter
- Säkerställa laglig grund för behandlingen enligt GDPR Art. 6.
- Tillhandahålla information till registrerade enligt Art. 13/14.
- Hantera förfrågningar från registrerade om utövande av rättigheter (Art. 15–22) — Biträdet bistår enligt punkt 6.
- Säkerställa att den egna användningen av Tjänsten följer tillämplig lag.
5. Biträdets skyldigheter
Biträdet förbinder sig att:
- Endast behandla personuppgifter enligt dokumenterade instruktioner (Art. 28(3)(a)).
- Säkerställa konfidentialitet — personal med åtkomst har sekretessförbindelse (Art. 28(3)(b)).
- Vidta säkerhetsåtgärder enligt Art. 32 (se punkt 10).
- Endast anlita underbiträden enligt punkt 8.
- Bistå med att svara på förfrågningar från registrerade (Art. 28(3)(e)).
- Bistå med säkerhetsanmälan vid incident inom 72 timmar (Art. 33–34, se punkt 11).
- Bistå med konsekvensbedömning (DPIA) vid behov (Art. 35–36, se punkt 11.5).
- Radera eller återlämna alla personuppgifter vid avtalets upphörande (Art. 28(3)(g)).
- Tillhandahålla information som krävs för att visa efterlevnad och möjliggöra revisioner (Art. 28(3)(h)).
5.1 Audit-rättigheter
Personuppgiftsansvarig har rätt att, max en (1) gång per 12-månadersperiod, granska Biträdets efterlevnad enligt följande: minst 30 dagars skriftlig förvarning till richard@alserda.se; genomförande av ackrediterad tredje part godkänd av båda parter; revisorn signerar NDA; Personuppgiftsansvarig bär kostnaden; revisionen får inte störa normal drift; omfattningen begränsas till behandling som omfattas av detta DPA. Vid säkerhetsincident eller krav från tillsynsmyndighet får revision ske utöver årsbegränsningen. Som alternativ tillhandahåller Biträdet på begäran skriftlig efterlevnadsrapport och sammanfattning av tekniska kontroller.
5.2 Compliance record-arkivering
Biträdet behåller compliance-relevant dokumentation (audit-log, säkerhetsrapporter, incident-noter, sub-processor-godkännanden) i minst tre (3) år efter behandlingscykelns slut.
6. Bistånd vid registreras rättigheter
Biträdet ska, så långt som möjligt med hänsyn till behandlingens art, bistå med tekniska och organisatoriska åtgärder för att Personuppgiftsansvarig ska kunna svara på begäran om utövande av registrerades rättigheter (Art. 15–22). Funktioner som Tjänsten erbjuder direkt (dataexport m.m.) beskrivs i Appendix (A5).
7. Lagringsperioder (Art. 5(1)(e))
| Datatyp | Retention |
|---|---|
| Audit-log (Art. 30) | 24 mån, sedan radering |
| Faktura- och bokföringsdata | 7 år (BFL/SKV-krav) |
| Kundkonto- och abonnemangsdata | Avtalets längd + 6 år |
Tjänst-specifika retention-perioder regleras i Appendix (A4). Vid uppsägning raderas alla rader kopplade till kundens tenant inom 30 dagar (utom audit-log som anonymiseras, samt faktura-/bokföringsdata).
8. Underbiträden
Personuppgiftsansvarig godkänner att Biträdet anlitar underbiträden för leveransen av Tjänsten. Aktuell, namngiven lista finns på /sub-processors och i Appendix (A3). Listan utgör en integrerad del av avtalet.
Biträdet informerar minst 30 dagar i förväg vid byte eller tillägg av underbiträde via e-post. Personuppgiftsansvarig har rätt att invända inom 10 dagar och säga upp avtalet utan extra kostnad för återstående bindningstid om motiv finns och invändningen inte kan lösas. Biträdet ansvarar för att alla underbiträden är bundna av skyldigheter motsvarande detta DPA.
Vissa funktioner gör outbound queries mot publika datakällor (t.ex. SCB, Naturvårdsverket). Inga personuppgifter skickas dit — endast publika identifierare. De omfattas därför inte av Art. 28 sub-processor-regimen.
9. Internationella överföringar
Vid överföringar till tredje land utanför EU/EES tillämpas EU–US Data Privacy Framework (där underbiträdet är certifierat) eller EU:s standardavtalsklausuler 2021/914. Inga överföringar sker till länder utan adekvansbeslut eller lämpliga skyddsåtgärder. Tjänst-specifika överföringar redovisas i Appendix (A3) och på /sub-processors.
10. Säkerhetsåtgärder (Art. 32)
Tekniska åtgärder
- Kryptering: AES-256 i vila, TLS 1.2+ för all kommunikation.
- Autentisering via identitetslager (Firebase Auth, JWT). MFA tillgängligt för admin-konton.
- Tenant-isolation mellan kunder.
- Backup med point-in-time-recovery via databasleverantör.
- Audit-log över administrativa och säkerhetsrelevanta behandlingar.
- Kontinuerlig uppdatering av infrastruktur och paketberoenden.
Organisatoriska åtgärder
- Sekretessförbindelser för all personal med åtkomst.
- Principen om minsta behörighet och dataminimering.
- Incidenthantering med internt 24-timmarsmål mot GDPR:s 72h-fönster.
- Årlig översyn av åtkomsträttigheter.
Certifierings-roadmap
Biträdet är inte för närvarande ISO 27001- eller SOC 2-certifierat, vilket speglar verksamhetens tidiga fas. Tills certifiering finns tillhandahåller Biträdet på begäran skriftlig efterlevnadsförklaring för Art. 32-åtgärder samt sammanfattning av tekniska kontroller. Biträdet hävdar aldrig certifieringar man inte har.
11. Personuppgiftsincident (Art. 33–34)
Vid säkerhetsincident som kan påverka personuppgifter ska Biträdet anmäla till Personuppgiftsansvarig utan onödigt dröjsmål och senast inom 72 timmar från upptäckt, samt tillhandahålla incidentens art och omfattning, kategorier och antal påverkade registrerade och poster, sannolika konsekvenser och vidtagna åtgärder. Biträdet bistår med anmälan till IMY (Art. 33), kommunikation till registrerade (Art. 34) och dokumentation (Art. 33(5)).
Notifikationskanal: e-post till Personuppgiftsansvarigs registrerade kontaktadress, kopia till richard@alserda.se (Biträdets Data Protection Contact).
11.5 Konsekvensbedömning (DPIA) (Art. 35–36)
Biträdet bistår, så långt rimligt, med DPIA och förhandssamråd med IMY samt tillhandahåller teknisk dokumentation (dataflöden, riskvärdering, säkerhetsåtgärder, sub-processor-kedja). Personuppgiftsansvarig ansvarar för själva DPIA:n; Biträdet gör inte juridiska bedömningar för Personuppgiftsansvarigs räkning.
12. Avtalstid och uppsägning
- Detta DPA gäller så länge huvudavtalet är aktivt.
- Vid uppsägning raderar eller återlämnar Biträdet all personuppgiftsdata inom 30 dagar enligt instruktion.
- Backup raderas inom 90 dagar därefter.
- Audit-log och faktura-/bokföringsdata behålls enligt BFL-krav (7 år).
- Skriftlig bekräftelse på radering tillhandahålls på begäran.
13. Ansvar och försäkring
Biträdet ansvarar gentemot Personuppgiftsansvarig för skada orsakad av brott mot GDPR eller detta DPA. Skadeståndsbegränsning enligt huvudavtalet (användarvillkoren) gäller, dock inte vid grov vårdslöshet eller uppsåt.
14. Tillämplig lag och tvistelösning
Svensk rätt tillämpas. Tvister avgörs av allmän domstol med Stockholms tingsrätt som första instans.
Appendix — EkoRapport
Tjänst-specifik bilaga till master-DPA · Version 1.2 · 2026-05-26
A1. Tjänstebeskrivning
EkoRapport hjälper svenska SME att samla och strukturera miljö- och hållbarhetsdata: datainsamling, VSME-format-stöd (EFRAG), kundkrav-svar, upphandlingsstöd och rapporter (PDF/XBRL, dashboards, trend-tracking). EkoRapport är inte certifiering, rådgivning, CSRD-full-compliance eller Scope 3-revision.
A2. Kategorier av registrerade och uppgifter
| Kategori | Typer av personuppgifter |
|---|---|
| Kundens egna användare | Namn, e-post, lösenord (hashat), företagsuppgifter, sessionsdata |
| Kundens leverantörer (Scope 3) | Bolagsnamn, kontaktperson, e-post (för data-förfrågningar) |
| Kundens kunder (kundkrav-modulen) | Bolagsnamn, kontakt (för svaren) |
EkoRapport hanterar primärt företagsdata (energiförbrukning, utsläpp per kostnad). Personuppgifter är begränsade till kontaktpersoner.
A3. Underbiträden specifika för EkoRapport
| Underbiträde | Funktion | Plats |
|---|---|---|
| Google / Firebase | Databas + autentisering | EU |
| Cloudflare, Inc. | Hosting | EU + US (DPF) |
| Stripe Payments Europe Ltd. | Betalningar | EU (Irland) |
| Loopia AB | Transaktionell e-post | Sverige |
| OpenRouter, Inc. | AI (data-tolkning + rapport-generation) | US (SCC, ZDR) |
Externa datakällor (ej underbiträden): Naturvårdsverket, Energimyndigheten, SCB, DEFRA/IVL. Kunden skickar inga personuppgifter dit — bara branschkoder för schablonvärden.
A4. Tjänst-specifika retention-perioder
- Hållbarhetsrapporter och underliggande mätdata: avtalets längd + 12 mån.
- Audit-log över ändringar: 24 mån.
- Leverantörskontakter (Scope 3): raderas inom 30 dagar efter uppsägning.
- AI-genererade rapportutkast: 12 mån.
A5. Tjänst-specifika säkerhetsåtgärder
- Rapport-integritet: versionerade rapport-snapshots med kryptografisk hash.
- Multi-tenant-isolation av kundens data.
- Export-portabilitet: all kunddata exporterbar i strukturerad form (XLSX, CSV, VSME-XML).
A6. Roller och ansvar
Kund (Personuppgiftsansvarig): ansvarar för riktigheten i hållbarhetsdata, för legitim grund vid Scope 3-förfrågningar, och för att rapporter används enligt juridiska krav.
Alserda (Personuppgiftsbiträde): tillhandahåller plattform, AI-stöd och datakällor; garanterar inte rapport-korrekthet; tillhandahåller inte rådgivning, certifiering eller revision.
A7. AI-användning
EkoRapport använder AI-modeller för data-tolkning, rapportgenerering och anomali-detektion. Alla AI-anrop sker via OpenRouter med ZDR-policy. Vi strävar efter att enbart skicka aggregerade siffror och kategorinamn — inte personuppgifter — till modellerna, och data tränar inte AI.