1. Parter
Personuppgiftsansvarig
Du, kunden
Personuppgiftsbiträde
ClientFlow
1.1 Behandlingens omfattning
Detta DPA gäller för behandlingen av personuppgifter där:
- ClientFlow behandlar personuppgifter å den personuppgiftsansvariges vägnar som en del av tillhandahållandet av tjänsten
- Behandlingen avser hantering av den personuppgiftsansvariges kundrelationer
- De registrerade är den personuppgiftsansvariges kunder och affärskontakter
Behandlingsaktiviteter
- Lagring och organisering av kundkontaktinformation
- Registrering och spårning av betalningstransaktioner
- Skickning av auktoriserade meddelanden (påminnelser, aviseringar)
- Generering av analyser och rapporter baserade på aggregerade data
2. Datakategorier
| Kategori | Exempel | Syfte |
|---|---|---|
| Kontodata | E-post, namn, profilbild | Tjänståtkomst |
| Kunddata | Kundnamn, telefoner, e-post | CRM-funktionalitet |
| Betalningsregister | Belopp, datum, status | Betalningsspårning |
| Användningsdata | Inloggningstider, funktionsanvändning | Säkerhet, förbättring |
3. Biträdets skyldigheter
Vi kommer att:
- Behandla data endast enligt dina dokumenterade instruktioner
- Säkerställa att personal är bundna av sekretess
- Implementera lämpliga säkerhetsåtgärder
- Bistå med begäranden om registrerade
- Meddela dig om dataintrång inom 72 timmar
- Radera data vid uppsägning (efter lagringsperiod)
4. Säkerhetsåtgärder
Tekniska
- TLS 1.3 (överföring)
- AES-256 (i vila)
- OAuth 2.0-autentisering
- Rollbaserad åtkomstkontroll
- Realtidsövervakning
Organisatoriska
- Säkerhetspolicyer
- Incidenthanteringsplan
- Regelbundna granskningar
- Leverantörssäkerhetsgranskningar
- Personalutbildning
5. Underbiträden
Vi använder följande auktoriserade underbiträden:
| Leverantör | Tjänst | Plats | DPF |
|---|---|---|---|
| Google Cloud | Autentisering | USA | Ja |
| iyzico | Betalningar | Turkiet | SCCs |
| Meta (WhatsApp) | Meddelanden | USA | Ja |
| Skicka igen | E-post | USA | SCCs |
| Supabase | Databas | EU/USA | SCCs |
| Cloudflare | Cachning | EU | SCCs |
DPF = EU-US Data Privacy Framework-certifierad
Ändringsmeddelanden för underbiträden
Vi kommer att meddela dig om eventuella planerade ändringar av underbiträden:
- Minst 14 dagars varsel innan du lägger till eller ersätter underbehandlare
- Meddelande via e-post till din registrerade e-postadress för ditt konto
- Du kan invända mot ändringar inom 14 dagar genom att kontakta oss
- Om din invändning inte kan lösas kan du avsluta de berörda tjänsterna
7. Revisionsrättigheter
Den personuppgiftsansvarige har rätt att genomföra revisioner för att verifiera efterlevnad av detta DPA.
- Revisioner måste begäras med minst 30 dagars skriftlig varsel
- Revisioner får inte orsaka onödiga störningar i vår verksamhet
- Högst en (1) revision per år, såvida inte en överträdelse konstaterats
- Revisorn måste underteckna ett sekretessavtal
Revisionsomfattning
- Säkerhetsåtgärder och tekniska skyddsåtgärder
- Underbiträdens efterlevnad
- Rutiner för datahantering
- Incidenthanteringskapacitet
Kostnader för revisioner ska bäras av den personuppgiftsansvarige såvida inte revisionen avslöjar väsentlig bristande efterlevnad.
6. Datalagring & radering
Dina data bevaras för kontoåterställning och regulatorisk efterlevnad.
| Tidslinje | Åtgärd |
|---|---|
| Omedelbart | Konto deaktiverat |
| Obegränsat | Data bevarat (arkiverat) |
| När som helst | Konto kan återaktiveras |
7. CCPA-bestämmelser
Under CCPA agerar vi som en "tjänsteleverantör" och:
- Behandlar data endast för specificerade affärsändamål
- Säljer inte personlig information
- Bistår med konsumenträttsbegäranden
- Implementerar rimliga säkerhetsåtgärder
8. Meddelande om dataintrång
I händelse av ett personuppgiftsintrång förbinder vi oss till följande:
Meddelandetidslinje
- Meddela dig inom 72 timmar efter att ha blivit medveten om ett intrång
- Tillhandahålla initial bedömning av intrångets omfattning och påverkan
- Leverera detaljerat skriftligt meddelande inom 5 arbetsdagar
Meddelandeinnehåll
- Beskrivning av intrångets art
- Kategorier och ungefärligt antal berörda registrerade
- Kategorier och ungefärligt antal berörda personuppgiftsposter
- Vidtagna eller föreslagna åtgärder för att hantera intrånget
- Åtgärder för att mildra potentiella negativa effekter
- Kontaktpunkt för ytterligare information
Vi kommer att fullt ut samarbeta med dig för att uppfylla dina skyldigheter enligt GDPR artikel 33 och 34, inklusive meddelanden till tillsynsmyndigheter och registrerade efter behov.
9. Internationella dataöverföringar
När personuppgifter överförs utanför Europeiska ekonomiska samarbetsområdet (EES) säkerställer vi lämpliga skyddsåtgärder:
Överföringsmekanismer
EU:s lämplighetsbeslut
Överföringar till länder som bedömts som lämpliga av Europeiska kommissionen
EU-US Data Privacy Framework
För USA-baserade personuppgiftsbiträden certifierade enligt DPF
Standardavtalsklausuler (SCC)
EU-kommissionens godkända klausuler (version 2021) för andra överföringar
Vi genomför bedömningar av överföringarnas påverkan där det krävs och implementerar kompletterande åtgärder (tekniska, organisatoriska och avtalsmässiga) när det är nödvändigt för att säkerställa en i huvudsak likvärdig skyddsnivå.
Du kan begära kopior av relevanta överföringsmekanismer på begäran.
10. Ansvar och ersättning
Personuppgiftsbiträdets ansvar
ClientFlow ska vara ansvarig för skador orsakade av behandling som inte överensstämmer med detta DPA eller där vi har agerat utanför eller i strid med lagliga instruktioner från den personuppgiftsansvarige.
Personuppgiftsansvariges ansvar
Den personuppgiftsansvarige ska vara ansvarig för skador orsakade av behandling som bryter mot tillämplig dataskyddslagstiftning eller inte överensstämmer med den personuppgiftsansvariges skyldigheter enligt detta DPA.
Begränsningar
- Ingen part ska vara ansvarig för indirekta, tillfälliga eller följdskador
- Det totala sammanlagda ansvaret enligt detta DPA är begränsat till avgifter som betalats under de 12 månaderna före anspråket
- Dessa begränsningar gäller inte för brott mot sekretess, uppsåtligt beteende eller grov vårdslöshet
Varje part samtycker till att ersätta den andra mot tredjepartsanspråk som uppstår från den ersättningsskyldiga partens brott mot detta DPA eller tillämplig dataskyddslagstiftning.
11. Uppsägning och dataretur
Varaktighet
Detta DPA förblir i kraft under tjänsteavtalets varaktighet och så länge vi behandlar personuppgifter å dina vägnar.
Vid uppsägning
- Efter ditt val kommer vi att returnera eller radera alla personuppgifter inom 30 dagar
- Du kan begära dataexport i ett vanligt använt maskinläsbart format
- Vi kommer att certifiera radering på begäran
- Data kan lagras där det krävs enligt tillämplig lag
Avsnitt som rör sekretess, ansvar och dataskyddsrättigheter ska överleva uppsägningen av detta DPA.