Personuppgiftsbiträdesavtal

Senast uppdaterad: 2026-04-01

Bilaga 3, Bilaga 3a och Bilaga 3b till Licensavtalet. Personuppgiftsbiträdesavtalet gäller från och med 2026-01-12, instruktionerna från 2026-01-12 och förteckningen över godkända underbiträden från 2026-04-01.

Detta Personuppgiftsbiträdesavtal enligt artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679, nedan nämnd "PUB avtal" reglerar Ur Brkr AB:s behandling av personuppgifter i egenskap av Personuppgiftsbiträde i samband med er användning av Applikationen i enlighet med Licensavtalet och dess bilagor och utgör en integrerad del därav.

Bilaga 3 – Personuppgiftsbiträdesavtal

1. Definitioner

Begrepp och definitioner i detta PUB avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad "Dataskyddsförordningen") samt tolkas och tillämpas i enlighet med tillämplig Dataskydds-lagstiftning.

Detta innebär bland annat följande:

Behandling avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddslagstitning avser Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och de nationella lagar som stiftas till följd av denna förordning. "Tillämplig dataskyddslagstiftning" inkluderar även bindande vägledningar, utlåtanden, rekommendationer och beslut från tillsynsmyndigheter, domstol eller annan myndighet.

Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter.

Instruktion är de skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen.

Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB avtal och som kan knytas till en enskild fysisk person.

Logg är resultatet av Loggning.

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

Personuppgift avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

Registrerad är en fysisk person vars Personuppgifter Behandlas.

Tredje land är en stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till europeiska ekonomiska samarbetsområdet (EES).

Underbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet behandlar Personuppgifter för Personuppgiftsansvariges räkning.

2. Bakgrund och syfte

Allmänna dataskyddsförordningen EU 2016/679 föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets Behandling av Personuppgifter för den personuppgiftsansvariges räkning. Med detta PUB avtal jämte Instruktioner och en eventuell förteckning över Underbiträden, regleras Personuppgiftsbiträdets behandling av Personuppgifter åt den Personuppgiftsansvarige.

Avtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad stadgas i artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679 ("Dataskyddsförordningen").

När Avtalet utgör ett av flera avtalsdokument inom ramen för ett annat avtal benämns det andra avtalet "Licensavtalet" i PUB avtalet.

Hänvisningar i PUB avtalet till nationell eller unionsrättslig lagstiftning, avser vid var tid tillämpliga bestämmelser.

3. Behandling av personuppgifter och specifikation

Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Behandlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i detta PUB avtal.

Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur det ska utföra Behandlingen. Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med PUB avtalet och vid var tid gällande Instruktioner.

Instruktioner till Personuppgiftbiträdet är bilagd PUB avtalet i Bilaga 3a Instruktioner för behandling av personuppgifter.

4. Den personuppgiftsansvariges ansvar

Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner så att Personuppgiftsbiträdet och eventuellt Underbiträde kan fullgöra sitt eller sina uppdrag enligt detta PUB avtal och Licensavtal i förekommande fall.

Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.

Den Personuppgiftsansvarig ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskydds-lagstiftningen.

I samband med tillhandahållandet av tjänster enligt Licensavtalet och dess bilagor kan Personuppgifts-biträdet komma att ha tillgång till och/eller ge stöd för tredjepartsapplikationer, för vilka Personuppgiftsansvarig är licensinnehavare eller kund och vilka tredjepartsapplikationer som kan spara data till privata eller offentliga tjänster som Personuppgiftsbiträdet inte har tillgång till och/eller som är utanför Personuppgiftsbiträdets kontroll. Personuppgiftsansvarig kan också i övrigt kräva att namngivna tredjepartsleverantörer av molntjänster används som en del av tillhandahållandet av tjänster enligt Licensavtalet. I sådana fall som beskrivs i detta avsnitt anses tredjepartslicensgivare eller Personuppgiftsansvarigs utnämnda molntjänstleverantörer inte vara underleverantörer eller under-biträden till Personuppgiftsbiträdet i den mening som avses i detta PUB avtal.

5. Personuppgiftsbiträdets åtaganden

Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB avtalet och Instruktioner samt att följa Dataskyddslagstiftningen. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.

Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB avtalet, Instruktioner och Dataskyddslagstiftningen.

Personuppgiftsbiträdet åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.

Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå. Personuppgiftsbiträdet kan ta betalt för utförande av ovan nämnt bistånd och förfrågningar från Personuppgiftsansvarig i samband med Registrerades utövande av rättigheter.

För det fall Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskydds-lagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner.

För det fall att den Personuppgiftsansvarige förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela den Personuppgiftsansvarige huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Personuppgiftsbiträdet.

6. Säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.

Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.

Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter Parternas tecknande av PUB avtalet, ska betraktas som nya Instruktioner enligt PUB avtalet.

Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.

Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt Avtalet och i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.

Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

7. Sekretess/tystnadsplikt

Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, varken direkt eller indirekt, såvida inte annat avtalats.

Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträden samt sekretessförbindelser mellan Underbiträden och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.

Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsyns-myndigheter i frågor avseende Behandlingen.

Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav. Personuppgiftsbiträdet kan ta betalt för utförande av ovan nämnt bistånd och förfrågningar från Personuppgiftsansvarig.

8. Granskning, tillsyn och revision

Personuppgiftsbiträdet ska utan onödigt dröjsmål som en del av sina garantier, enligt artikel 28.1 i Dataskydds-förordningen, på den Personuppgiftsansvariges begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt Avtalet och artikel 28.h i Dataskyddsförordningen.

Personuppgiftsbiträdet ska minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer PUB avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.

Den Personuppgiftsansvarige äger rätt att på egen bekostnad, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller PUB avtalet, Instruktionernas och Dataskyddslagstiftningens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgifts-ansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av PUB avtalet, Instruktioner och Dataskyddslagstiftningen. Personuppgiftsbiträdet kan ta betalt för utförande av ovan nämnt bistånd. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.

Personuppgiftsbiträdet äger alternativt till vad som stadgas i punkterna 9.2–9.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall på egen bekostnad, äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Personuppgifts-biträdet ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen. Personuppgiftsbiträdet kan ta betalt för utförande av ovan nämnd assistans.

Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens regler och i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB avtalet.

Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Personuppgiftsbiträdet enligt punkten 9 i Avtalet.

9. Hantering av rättelser och radering m.m.

För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgifts-ansvarige. När den Personuppgiftsansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för rättelse eller radering.

Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Personuppgiftsbiträdet i Behandlingen, vilka kan väntas påverka Behandlingen, ska Personuppgiftsbiträdet skriftligt informera den Personuppgiftsansvarige om detta i enlighet med vad stadgas om meddelanden i punkten 19 i PUB avtalet. Informationen ska lämnas i god tid innan åtgärderna vidtas.

10. Personuppgiftsincidenter

Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1.c i Dataskyddsförordningen.

Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller obehörig åtkomst till Personuppgifterna.

Vid Personuppgiftsincident, vilken Personuppgiftsbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen. Person-uppgiftsbiträdet ska, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå, tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.

Beskrivningen ska redogöra för:

a) Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
b) de sannolika konsekvenserna av Personuppgiftsincidenten, och
c) åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt punkten 11 tredje stycket i PUB avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

11. Underbiträde

Personuppgiftsbiträdet äger rätt att anlita den eller de Underbiträden som framgår av bilagd förteckning, bilaga 3b till Avtalet, över Underbiträden.

Personuppgiftsbiträdet åtar sig att teckna ett skriftligt avtal med Underbiträdet som reglerar Behandlingen som Underbiträdet utför åt den Personuppgiftsansvariges vägnar samt att endast anlita Underbiträden som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder så att Behandlingen uppfyller kraven i Dataskyddsförordningen. I fråga om dataskydd ska avtalet ålägga Underbiträdet samma skyldigheter som åläggs Personuppgiftsbiträdet i detta PUB avtal.

Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgifts-ansvarige.

Personuppgiftsbiträdet äger rätt att anlita nya Underbiträden och ersätta befintliga Underbiträden.

När Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt Underbiträde ska Personuppgiftsbiträdet säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen.

Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige om

a) Underbiträdets namn, organisationsnummer och säte (adress och land),
b) vilken typ av uppgifter och kategorier av Registrerade som behandlas, och
c) var Personuppgifterna ska behandlas.

Den Personuppgiftsansvarige äger rätt att inom trettio (30) dagar från dag för meddelande enligt punkten invända mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde och att, med anledning av sådan invändning, säga upp detta PUB avtal att upphöra i enlighet med vad stadgas i PUB avtalet.

När Personuppgiftsbiträdet upphör med att anlita Underbiträdet ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om att det upphör med att anlita Underbiträdet.

Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran översända en kopia av det avtal som reglerar Behandling av Underbiträdets Behandling av Personuppgifter.

12. Lokalisering och överföring av personuppgifter till tredje land

Personuppgiftsbiträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte PUB avtalets Parter kommer överens om något annat.

Personuppgiftsbiträdet äger endast rätt att överföra Personuppgifter till Tredje land för Behandling (t.ex. service, support, underhåll, utveckling, drift eller liknande hantering) om den Personuppgiftsansvarige på förhand skriftligen godkänt sådan överföring och utfärdat Instruktioner för detta ändamål. Ett sådant godkännande anses föreligga i det fall instruktioner för detta ändamål bifogas PUB avtalet.

Överföring till Tredje land för Behandling enligt PUB avtalet får endast ske om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen vilka ställs i PUB avtalet och Instruktioner.

13. Ansvar för skada i samband med behandling

Om endera Part får kännedom om omständighet som kan leda till skada för motparten ska Parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i Avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel i 82 i Dataskyddsförordningen tillämpas.

Sanktionsavgifter enligt artikel 83 i Dataskydds-förordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den av Avtalets Parter som påförts en sådan avgift.

Oaktat vad sägs i Licensavtalet gäller detta PUB avtal, punkten 14 andra och tredje stycket före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser Behandlingen. Ingen av Parterna ska hållas ansvariga gentemot den andra Parten för indirekta eller följdmässiga förluster eller skador, såvida inte i händelse av grov vårdslöshet eller avsiktlig försummelse.

14. Lagval och tvistlösning

För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av Avtalet, som Parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.

15. Avtalets tecknande, avtalstid och uppsägning

Avtalet gäller från och med den tidpunkt Licensavtalet undertecknats av båda Parter och tills vidare. Parterna äger ömsesidig rätt att säga upp Avtalet att upphöra med trettio (30) dagars varsel.

16. Ändringar och uppsägning med omedelbar verkan m.m.

Endera Part i PUB avtalet äger rätt att påkalla omförhandling av PUB avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB avtalet ska påbörjas.

Tillägg till, och ändringar i, PUB avtalet ska vara skriftliga och undertecknade av båda Parter.

När någon av Parterna får kännedom om att motparten agerar i strid med PUB avtalet och/eller Instruktioner ska Parten utan dröjsmål meddela motparten om agerandet. Därefter äger Parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt PUB avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den Part som påtalat motpartens agerandet.

Om den Personuppgiftsansvarige invänder mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde, enligt detta PUB avtal har den Personuppgiftsansvarige rätt att säga upp PUB avtalet att upphöra med omedelbar verkan.

17. Åtgärder vid avtalets upphörande

Vid uppsägning av PUB avtalet ska den Personuppgiftsansvarige utan onödigt dröjsmål begära att Personuppgiftsbiträdet överlämnar samtliga Personuppgifter till den Personuppgiftsansvarige eller raderar dem, enligt dennes önskemål. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB avtalet.

Överlämning och radering enligt PUB avtalet ska vara utförda senast trettio (30) dagar räknat från den tidpunkt uppsägning gjorts enligt detta PUB avtal.

Personuppgiftsbiträdet ska säkerställa att Underbiträde vidtar samma åtgärder.

Bestämmelser om sekretess/tystnadsplikt i punkten 8 enligt detta PUB avtal ska fortsätta gälla även om PUB avtalet i övrigt upphör av gälla.

18. Meddelanden inom ramen för detta avtal och instruktioner

Meddelanden om PUB avtalet och dess administration inklusive uppsägning ska skickas till respektive Parts kontaktperson för Licensavtalet.

Meddelanden om parternas samarbete om dataskydd, gällande Behandlingen, ska skickas till respektive Parts kontaktperson för Licensavtalet.

Meddelanden inom ramen för PUB avtalet och Instruktioner ska skickas skriftligt.

Kontaktuppgifter

Personuppgiftbiträde i enlighet med detta avtal är:

UR Brkr AB
Org. nr. 559536–7680
Kaserntorget 6
411 18 Göteborg

För frågor kring detta avtal eller Ur Brkr AB:s behandling av personuppgifter, är ni välkomna att kontakta Ur Brkr AB via [email protected].

Bilaga 3a – Instruktioner för behandling av personuppgifter

Senast uppdaterad: 2026-01-12

Område	Specifikation
Syfte och ändamål Specificera alla skäl till att Personuppgiftsbiträdet kommer att behandla Personuppgifter.	Syftet med behandlingen är att Personuppgiftsbiträdet ska kunna tillhandahålla följande tjänster eller uppdrag: Tillhandahålla Applikationen för: Objektshantering Kundkommunikation Dokumentarkivering
Kategorier av personuppgifter Specificera de typer av Personuppgifter som kommer att behandlas av personuppgiftsbiträdet.	Följande Personuppgifter kommer att behandlas: Identitetsuppgifter Namn (för- och efternamn) E-postadress Telefonnummer Personnummer (vid BankID-verifiering och PEP-deklaration) Profilbild Medborgarskap Fastighetsrelaterade uppgifter Fastighetsadress och lägenhetsinformation Ägarandelar och förvärvsdatum Bostadsrättsuppgifter (avgifter, andelstal) Inteckningar och skuldförbindelser Energideklarationsdata Finansiella uppgifter Bankkontonummer (för utbetalningar) Låneuppgifter och borgenärsinformation Bostadsrättsföreningens ekonomiska data PEP-deklarationsuppgifter (penningtvättslagstiftning) PEP-status (politiskt exponerad person) Relationer till PEP (familj/medarbetare) Signerad deklaration med BankID Kommunikationsdata Meddelanden i Appen Meddelandebilagor Läskvitton Tekniska uppgifter IP-adress (vid inloggning) Enhetsinformation (user agent, push-token) Sessionsdata Dokument och filer Uppladdade dokument (årsredovisningar, planritningar, bilder) Extraherade data från dokument via AI
Kategorier av Registrerade Specificera de kategorier av Registrerade vars personuppgifter kommer behandlas av personuppgiftsbiträdet.	Följande kategorier av registrerade kommer personuppgifter att behandlas: Anställda Underleverantörer (fysiska personer) Säljare Köpare
Typ av behandling Specificera alla slags behandlingsverksamheter som ska utföras av personuppgiftsbiträdet.	Behandlingen omfattar insamling, registrering, lagring, strukturering, bearbetning, framtagning, läsning och användning av personuppgifter för att tillhandahålla Applikationens funktioner. Vidare ingår utlämning av uppgifter till behöriga mottagare, sammanförande av uppgifter för kundhantering, arkivering enligt lagkrav, backup för säkerhetsändamål samt radering på begäran eller vid avtalets upphörande.
Behandlingens varaktighet	Behandlingens varaktighet skall vara enligt följande: Kunduppgifter och avtalsinformation: Under avtalstiden plus 7 år efter avtalets upphörande (enligt bokföringslagen) Fakturauppgifter: 7 år från räkenskapsårets slut (bokföringslag) Användaruppgifter för plattformstillgång: Under avtalstiden och 6 månader efter avtalets upphörande Tekniska loggar: 12 månader Supportärenden: 3 år efter ärendets avslutande Marknadsföringsuppgifter: Tills du återkallar ditt samtycke eller invänder mot behandlingen
Säkerhetsåtgärder	Följande säkerhetsåtgärder skall vidtas för att skydda personuppgifter som behandlas via Applikationen: Autentisering och åtkomstkontroll Flerfaktorsautentisering: Telefonnummer-baserad OTP via SMS samt BankID för känsliga operationer Sessionshantering: Tidsbegränsade sessioner med automatisk utgång, lagrade i databas med Redis-cache Engångstoken för WebSocket: Tidsbegränsade tokens (3 minuter) för realtidskopplingar Rollbaserad åtkomstkontroll: Separata behörighetskedjor för säljare och mäklare Databaskontrollerad behörighet: Alla åtkomstförfrågningar valideras mot databasrelationer Kryptering och dataöverföring Transport Layer Security (TLS/HTTPS): All kommunikation med externa tjänster sker över krypterade anslutningar Signerade URL:er för filuppladdning: Tidsbegränsade presigned URLs (5 minuter) för säker filöverföring Krypterad databasanslutning: PostgreSQL-anslutningar via SSL Indatavalidering och skydd mot attacker Schema-validering: Samtliga API-förfrågningar valideras med Zod-scheman Parameteriserade databasförfrågningar: Drizzle ORM förhindrar SQL-injektion Origin-kontroll: Begränsning av tillåtna källor (CORS/trusted origins) Felhantering utan dataläckage: Detaljerade fel loggas internt, generiska meddelanden returneras till användare Loggning och övervakning Strukturerad loggning: Alla API-förfrågningar loggas med Pino Felövervakning: Glitchtip-integration för automatisk felrapportering och användarkontext Händelseköer: PGMQ för revisionsspår av systemhändelser Sessionsdata: IP-adress och enhetsinformation sparas för säkerhetsanalys Organisatoriska åtgärder Miljövalidering vid uppstart: Samtliga konfigurationsparametrar valideras vid serverstart Separata miljöer: Utveckling, test och produktion med separata miljövariabler Container-säkerhet: Icke-root användare i Docker-containers Kodgranskning: Versionskontroll med Git och CI/CD-pipelines Soft delete för meddelanden: Möjlighet till dataåterställning vid behov Tredjepartsintegrationer BankID: Säker identifiering via svensk e-legitimation 46elks: SMS-leverans endast i produktionsmiljö Vitec CRM: Basic Auth med miljöbaserade inloggningsuppgifter Elastx Swift: Åtkomstkontrollerad objektlagring
Specifika säkerhetskrav Om personuppgiftsbiträdet ska vidta vissa speciella säkerhetsåtgärder ska dessa specificeras här.	Se säkerhetsåtgärder
Geografisk placering av behandling Lista de länder där personuppgifter kommer att behandlas av personuppgiftsbiträdet och, i förekommande fall, av Underbiträde.	Ansvisning avseende överföringen av personuppgifter till ett tredjeland får ske enligt följande: Geografisk placering Sverige EU/EES

Bilaga 3b – Godkända underbiträden

Senast uppdaterad: 2026-04-01

Namn	Org.nr	Adress	Beskrivning av Behandling
Bitio Services AB	559536-7680	Munkbron 11 1tr, 111 28 Stockholm	Autentisering och identifiering Bank ID verifiering Namn, personnummer, telefonnummer
46Elks AB		Sidenvävargatan 17, 753 19 Uppsala	Autentisering och identifiering SMS-leverans (OTP) Telefonnummer
Vitec Mäklarsystem AB	556367-6500	Borgmästaregatan 5, 393 52 Kalmar	Fastighetshantering Fastighetssystem (CRM) Kontaktuppgifter, fastighetsdata, dokument, bilder
Boverket	202100-3989	Box 534, 371 23 Karlskrona	AI och dokumentbehandling Energideklarationer Fastighetsbeteckning, adressuppgifter
MojoDoo Sweden AB	559328-6965	Kaserntorget 6, 411 18 Göteborg	AI och dokumentbehandling AI dok extraktion Dokumentinnehåll (årsredovisningar, lägenhetsförteckningar) Infrastruktur och Datalagring Fillagring Spaces Uppladdade dok och bilder