Databehandlingsavtal

Artikel 28 GDPR — Personuppgiftsbiträdeavtal (PUB-avtal)
Dokumentversion: 1.0
Giltig fr.o.m.: 2026-06-01
Personuppgiftsansvarig: [Kundens företagsnamn] ("Kunden")
Personuppgiftsbiträde: Swe1 AB, org.nr 559341-8436, Northverify ("Leverantören")
Kontakt biträde: support@northverify.com
Juridisk notering: Detta dokument är en standardmall. Swe1 AB rekommenderar att Kunden granskar villkoren med juridisk rådgivare. Avtalet träder i kraft när båda parter undertecknat det.

1. Bakgrund och syfte

Detta databehandlingsavtal ("DBA" eller "Avtalet") ingås mellan Kunden och Swe1 AB och reglerar behandlingen av personuppgifter i samband med att Leverantören tillhandahåller tjänsten Northverify ("Tjänsten").

Avtalet utgör ett komplement till det kommersiella abonnemangsavtalet ("Huvudavtalet") och ska läsas tillsammans med Leverantörens integritetspolicy (northverify.com/integritetspolicy) och villkor för tjänsten (northverify.com/anvandarvillkor).

Parterna har kommit överens om att Leverantören, vid utförandet av Tjänsten, behandlar personuppgifter för Kundens räkning i egenskap av personuppgiftsbiträde i enlighet med vad som framgår av detta Avtal och Bilaga A.

2. Definitioner

I detta Avtal avses med:

3. Behandlingens föremål, art och ändamål

Leverantören behandlar personuppgifter uteslutande i enlighet med Kundens dokumenterade instruktioner och i de syften som framgår av Bilaga A, och inte för egna ändamål.

Behandlingen omfattar de personuppgifter, kategorier av registrerade, behandlingsåtgärder och den behandlingstid som anges i Bilaga A.

Behandlingen utförs inom EU/EES om inget annat avtalats. Tredjelandsöverföring regleras i avsnitt 10.

4. Kundens instruktioner

Leverantören behandlar personuppgifter endast i enlighet med Kundens dokumenterade instruktioner, inklusive vad som föreskrivs i Avtalet, Bilaga A samt Huvudavtalet.

Om Leverantören anser att en instruktion strider mot GDPR eller tillämplig dataskyddslagstiftning ska Leverantören omedelbart informera Kunden om detta.

Leverantören informerar omgående Kunden om det enligt tillämplig unionsrätt eller medlemsstatslagstiftning krävs att Leverantören behandlar personuppgifter på ett sätt som avviker från Kundens instruktioner. I sådana fall ska Leverantören informera Kunden om det rättsliga kravet innan behandlingen påbörjas, om inte sådan information är förbjuden av skäl som rör viktiga allmänintressen.

5. Sekretess

Leverantören säkerställer att de personer som är behöriga att behandla personuppgifter har åtagit sig att iaktta konfidentialitet eller är bundna av en tillämplig lagstadgad tystnadsplikt.

Leverantören ger endast tillgång till personuppgifter till personal och underleverantörer i den mån det är nödvändigt för att fullgöra Avtalet, och då endast med minimala behörigheter (principle of least privilege).

6. Säkerhetsåtgärder

Leverantören vidtar, med beaktande av den senaste tekniken, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter, lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Åtgärderna innefattar bland annat:

En detaljerad beskrivning av Leverantörens tekniska och organisatoriska åtgärder finns tillgänglig på northverify.com/dataskydd-och-sakerhet och kan erhållas på begäran.

7. Underbiträden

Kunden ger Leverantören ett generellt förhandsgodkännande att anlita underbiträden för behandling av personuppgifter, förutsatt att:

En aktuell lista över underbiträden finns tillgänglig på northverify.com/underbitraden.

8. Stöd till den personuppgiftsansvarige

Leverantören biträder Kunden, med beaktande av behandlingens art och med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, vid fullgörandet av Kundens skyldighet att svara på begäran om utövande av den registrerades rättigheter (artiklarna 15–22 GDPR).

Leverantören biträder Kunden vid fullgörandet av skyldigheterna enligt GDPR artiklarna 32–36 (säkerhet, anmälan av säkerhetsincidenter, konsekvensbedömning och förhandssamråd).

Biträdande utöver vad som ingår i standardtjänsten kan debiteras enligt Leverantörens vid var tid gällande prislista.

9. Säkerhetsincidenter

Leverantören anmäler utan onödigt dröjsmål, och om möjligt inom 48 timmar från det att incidenten uppdagades, en säkerhetsincident avseende personuppgifter till Kunden. Anmälan ska innehålla:

Leverantören dokumenterar alla säkerhetsincidenter enligt artikel 33.5 GDPR. Incidenter anmäls till security@northverify.com.

10. Tredjelandsöverföringar

Leverantören behandlar personuppgifter inom EU/EES som utgångspunkt. Om underbiträden är etablerade utanför EU/EES eller behandlar personuppgifter utanför EU/EES, säkerställer Leverantören att överföringen sker i enlighet med kapitel V GDPR, exempelvis genom:

Tillämpliga SCC-bilagan finns tillgänglig som Bilaga B eller kan erhållas på begäran via support@northverify.com.

11. Granskning och revision

Leverantören ger Kunden tillgång till all information som är nödvändig för att påvisa att skyldigheterna i detta Avtal fullgörs och möjliggör och bidrar till revisioner, inklusive inspektioner, som utförs av Kunden eller av en revisor som Kunden anlitat.

Granskning sker på Kundens bekostnad och med skälig förvarning (minst 30 dagar) och under ordinarie arbetstid. Leverantören kan kräva att revisorn undertecknar ett sekretessavtal.

Leverantören får tillhandahålla ett tredjepartsintyg (t.ex. ISO 27001-certifikat eller SOC 2-rapport) som bevis på uppfyllelse i stället för en fysisk granskning, om parterna är överens om detta.

12. Återlämning och radering

Vid upphörande av Avtalet, eller på Kundens begäran, ska Leverantören:

Leverantören får behålla personuppgifter i den mån det krävs av unionsrätten eller nationell lag, och i sådant fall informera Kunden om de rättsliga kraven.

Kunden kan exportera sina personuppgifter när som helst via "Exportera mina data" i kontopanelen (northverify.com/account).

13. Avtalstid och upphörande

Avtalet gäller från undertecknandedatumet och fortsätter att gälla så länge Leverantören behandlar personuppgifter för Kundens räkning under Huvudavtalet.

Avtalet upphör automatiskt när Huvudavtalet upphör. Bestämmelserna om sekretess, radering och ansvar gäller efter avtalets upphörande.

14. Ansvar

Vardera parts ansvar under detta Avtal regleras av ansvarsbestämmelserna i Huvudavtalet om inget annat anges. I avsaknad av Huvudavtal är Leverantörens totala ansvar gentemot Kunden under Avtalet begränsat till det belopp Kunden betalat för Tjänsten under de senaste 12 månaderna.

Leverantören ansvarar för skada som orsakas av behandling som strider mot detta Avtal eller GDPR, om Leverantören inte kan visa att Leverantören inte på något sätt bär ansvaret för den händelse som orsakade skadan.

15. Tillämplig lag och tvistlösning

Avtalet regleras av svensk rätt. Tvister avgörs i första hand genom förhandling. Om parterna inte kan nå en lösning avgörs tvisten av allmän domstol med Stockholms tingsrätt som första instans.

16. Underskrifter

Parterna har ingått detta Avtal genom underskrift nedan. Digitala underskrifter (t.ex. BankID, Scrive eller e-signatur) är likvärdiga med fysiska underskrifter.

Personuppgiftsbiträde
Swe1 AB ("Leverantören")

Namnteckning
 
Namnförtydligande
Simon Forsell
Titel
VD, Swe1 AB
Datum
 
Ort
Stockholm

Personuppgiftsansvarig
Kunden

Namnteckning
 
Namnförtydligande
 
Titel
 
Datum
 
Ort
 

Bilaga A — Beskrivning av behandlingen

Denna bilaga preciserar föremålet för och den relevanta aspekten av behandlingen av personuppgifter.

A.1 Kategorier av registrerade

A.2 Kategorier av personuppgifter

A.3 Behandlingens art och ändamål

A.4 Behandlingens varaktighet

Personuppgifter behandlas under avtalstiden. Skanningsresultat sparas så länge kontot är aktivt (Free-konton: 30 dagar per scan). Uppsagda konton: all data raderas automatiskt 90 dagar efter uppsägning. Fakturauppgifter sparas i enlighet med bokföringslagen (7 år). Samtyckesloggar sparas i minst 24 månader (för juridisk bevisföring). Loggar för säkerhet och felspårning anonymiseras efter 12 månader.

A.5 Lagringsplats

Personuppgifter lagras primärt i EU (Supabase / Dublin, Irland). Se northverify.com/underbitraden för aktuell lista.

Underbiträde Tjänst Plats Rättslig grund för överföring
Supabase Inc. Databas, autentisering, edge functions EU (Dublin, IE) SCC (2021/914/EU)
Cloudflare, Inc. CDN, Workers runtime, DDoS-skydd EU (primärt) SCC (2021/914/EU)
Stripe, Inc. Betalningsbehandling (lagrar inga kortuppgifter hos Northverify) USA/EU SCC (2021/914/EU)
Resend, Inc. Transaktionell e-post USA SCC (2021/914/EU)
Sentry, Inc. Felövervakning (kräver cookie-samtycke) USA SCC (2021/914/EU)

Bilaga B — Standardavtalsklausuler (SCC)

Om personuppgifter överförs till ett land utanför EU/EES utan adekvansbeslutat gäller Europeiska kommissionens standardavtalsklausuler antagna genom beslut 2021/914/EU av den 4 juni 2021 ("SCC"), Modul 2 (personuppgiftsansvarig till personuppgiftsbiträde).

SCC-klausulerna i sin helhet finns tillgängliga på: