Personuppgiftsbiträdesavtal (DPA)
Senast granskad: 2026-06-14 · Version v1.0 · Jurisdiktion EU/EES
Detta personuppgiftsbiträdesavtal ("DPA") gäller mellan Kunden (personuppgiftsansvarig) och {{ORG_LEGAL_NAME}}, org.nr {{ORG_REG_NUMBER}} ("Biträdet"), när Biträdet behandlar personuppgifter för Kundens räkning enligt jobscanner.ai:s tjänster.
1. Föremål och varaktighet
Biträdet behandlar personuppgifter (kontaktpersoner i annonser, ev. ansökningsmetadata, supporthistorik) endast för att leverera tjänsten. Avtalet gäller så länge Kunden har en aktiv prenumeration plus 30 dagar för borttagning.
2. Typer av uppgifter och kategorier av registrerade
- Kategorier av registrerade: Kontaktpersoner hos Kunden, rekryterare angivna i annonser, kandidater som ansöker externt via jobscanner.ai.
- Personuppgifter: Namn, e-post, telefon, titel, IP-adress vid inloggning, ansökningsmetadata (tidsstämpel, jobb-ID).
- Känsliga uppgifter: Behandlas inte.
3. Biträdets skyldigheter
- Behandla uppgifter endast enligt dokumenterade instruktioner från Kunden.
- Säkerställa att personal omfattas av sekretess.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (kryptering i transit & vila, RLS, åtkomstloggar, MFA för administratörer).
- Bistå Kunden vid begäran från registrerade (åtkomst, rättelse, radering, dataportabilitet) inom 30 dagar.
- Anmäla personuppgiftsincidenter till Kunden inom 72 timmar från upptäckt.
4. Underbiträden
Biträdet använder följande underbiträden:
| Underbiträde | Funktion | Plats |
|---|---|---|
| Supabase (Stockholm/EU) | Databas, auth, edge functions, lagring | EU |
| Cloudflare | CDN, WAF, edge compute | Globalt (data i transit) |
| Postmark (ActiveCampaign) | Transaktionell e-post | USA (SCC + DPF) |
| Stripe Payments | Betalning, fakturering | USA/EU (SCC + DPF) |
| OpenAI | Embeddings & content-generering | USA (SCC + DPF) |
| Lovable.dev | Hosting, deployment | EU |
Kunden ger generellt förhandsgodkännande till befintliga underbiträden. Vi meddelar förändringar minst 30 dagar i förväg via e-post till administratörskontot.
5. Tredjelandsöverföringar
Överföringar utanför EU/EES sker endast med EU:s standardavtalsklausuler (SCC) eller giltig adekvansbeslut (t.ex. EU-US Data Privacy Framework).
6. Säkerhet (TOM)
- TLS 1.2+ för all transport, AES-256 i vila.
- Row Level Security per tenant i Postgres.
- Hashade och saltade lösenord.
- Auditloggar 90 dagar (kortare för minimering, längre för säkerhetshändelser).
- DMARC/TLS-RPT övervakning för utgående mail.
- Återställningstest av backuper varje månad.
7. Bistånd och granskning
Biträdet bistår Kunden med konsekvensbedömningar (DPIA) och förfrågningar från tillsynsmyndigheter. Granskning får ske 1 ggr/år efter rimlig framförhållning.
8. Återlämning och radering
Vid avtalets upphörande raderar Biträdet alla personuppgifter inom 30 dagar, om inte tvingande lag kräver fortsatt lagring. Säkerhetsloggar och betalningsunderlag bevaras enligt bokföringslagen (7 år).
9. Ansvar
Parterna är var och en ansvariga för sin del enligt GDPR art. 82. Ekonomisk ansvarsbegränsning regleras i Kundens huvudavtal med Biträdet.
10. Tillämplig lag och tvist
Svensk lag. Tvist avgörs av allmän domstol i Stockholm.
Detta DPA ingås automatiskt när Kunden tecknar en prenumeration via /priser. Vid frågor: {{ORG_LEGAL_EMAIL}}.