sajn

Personuppgiftsbiträdesavtal

Avtal om behandling av personuppgifter mellan sajn och kund enligt GDPR.

1. Inledning och definitioner

Detta personuppgiftsbiträdesavtal ("Avtalet") utgör en del av avtalet mellan RIBBAN AB / sajn labs ("Personuppgiftsbiträdet", "sajn") och kund ("Personuppgiftsansvarig", "Kunden") avseende tillhandahållande av digital signeringstjänst.

I detta avtal används följande definitioner:

  • Personuppgift - all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet
  • Behandling - varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter
  • Personuppgiftsansvarig - den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen
  • Personuppgiftsbiträde - den som behandlar personuppgifter för den personuppgiftsansvariges räkning
  • Registrerad - en identifierad eller identifierbar fysisk person
  • GDPR - Europaparlamentets och rådets förordning (EU) 2016/679

2. Avtalets syfte

Detta avtal reglerar sajns behandling av personuppgifter för Kundens räkning i samband med tillhandahållandet av Tjänsten och säkerställer att behandlingen sker i enlighet med GDPR och annan tillämplig dataskyddslagstiftning.

Avtalet utgör det personuppgiftsbiträdesavtal som krävs enligt artikel 28 i GDPR och ska tolkas i enlighet med GDPR:s bestämmelser.

3. Biträdesförhållande

Kunden är personuppgiftsansvarig och sajn är personuppgiftsbiträde avseende de personuppgifter som behandlas i Tjänsten. sajn ska:

  • Endast behandla personuppgifter i enlighet med dokumenterade instruktioner från Kunden
  • Säkerställa att personer som är behöriga att behandla personuppgifterna har förbundit sig till sekretess
  • Vidta alla åtgärder som krävs enligt artikel 32 i GDPR
  • Iaktta villkoren i artiklarna 28.2 och 28.4 i GDPR för att anlita ett annat biträde
  • Med beaktande av behandlingens art bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder

sajn får inte behandla personuppgifter för andra ändamål än vad som följer av Kundens instruktioner, såvida inte behandlingen krävs enligt unionsrätten eller medlemsstatens nationella rätt.

4. Behandlingens art, ändamål och varaktighet

Behandlingens art

Lagring, organisering, strukturering, överföring och annan behandling av personuppgifter som är nödvändig för att tillhandahålla digital signeringstjänst.

Ändamål med behandlingen

Tillhandahållande av digital signering av dokument, lagring av signerade dokument, identitetsverifiering med BankID samt kommunikation med parter via e-post och SMS.

Kategorier av registrerade

  • Kundens användare och administratörer
  • Motparter i signeringsprocesser
  • Andra personer vars uppgifter förekommer i dokument

Kategorier av personuppgifter

  • Identitetsuppgifter: namn, personnummer, e-postadress, telefonnummer
  • Tekniska uppgifter: IP-adress, inloggningshistorik
  • Dokumentuppgifter: innehåll i uppladdade dokument, signaturer
  • Kommunikationsuppgifter: e-postkorrespondens, SMS-notifikationer

Känsliga personuppgifter

Kunden ska informera sajn om personuppgifter som utgör särskilda kategorier enligt artikel 9 GDPR innan sådan behandling sker. Kunden ansvarar för att identifiera och kräva nödvändiga särskilda säkerhetsåtgärder. sajn behandlar inte sådana uppgifter utan dokumenterade instruktioner.

Behandlingens varaktighet

Behandlingen pågår under hela den tid som Tjänsten tillhandahålls samt under eventuell lagringsperiod enligt avtal eller lag.

5. Säkerhetsåtgärder

sajn ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot obehörig eller otillåten behandling samt mot förlust, förstöring eller skada. Åtgärderna inkluderar:

  • Kryptering: All data krypteras vid överföring (TLS) och i vila (AES-256)
  • Åtkomstkontroll: Tvåfaktorsautentisering, rollbaserad åtkomst, regelbunden granskning
  • Fysisk säkerhet: Data lagras hos certifierade molntjänstleverantörer med ISO 27001
  • Säkerhetskopiering: Automatisk daglig backup med geografisk redundans
  • Loggning: All åtkomst och ändringar loggas och övervakas
  • Personalutbildning: Regelbunden utbildning i datasäkerhet och GDPR
  • Incidenthantering: Rutiner för att upptäcka, rapportera och hantera incidenter

6. Underbiträden

Kunden ger sajn ett generellt tillstånd att anlita underbiträden för behandling av personuppgifter. sajn ska informera Kunden om ändringar avseende tillägg eller ersättning av underbiträden, vilket ger Kunden möjlighet att invända mot sådana ändringar inom skälig tid.

En aktuell lista över underbiträden finns tillgänglig på sajn.se/underleverantorer.

sajn säkerställer att underbiträden omfattas av samma skyldigheter som sajn genom skriftligt avtal. sajn ansvarar gentemot Kunden för underbiträdets fullgörande av sina skyldigheter.

7. Registrerades rättigheter

sajn ska, i den mån det är möjligt med hänsyn till behandlingens art, bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder för att fullgöra Kundens skyldighet att besvara begäran om utövande av den registrerades rättigheter enligt GDPR kapitel III.

Den registrerades rättigheter omfattar:

  • Rätt till tillgång (artikel 15)
  • Rätt till rättelse (artikel 16)
  • Rätt till radering (artikel 17)
  • Rätt till begränsning av behandling (artikel 18)
  • Rätt till dataportabilitet (artikel 20)
  • Rätt att göra invändningar (artikel 21)

Om sajn mottar en begäran från en registrerad ska sajn utan dröjsmål vidarebefordra begäran till Kunden.

8. Personuppgiftsincident

Vid en personuppgiftsincident ska sajn utan onödigt dröjsmål, och senast inom 24 timmar efter att ha blivit medveten om incidenten, underrätta Kunden. Underrättelsen ska innehålla:

  • Beskrivning av personuppgiftsincidentens art
  • Kategorier och ungefärligt antal registrerade som berörs
  • Kategorier och ungefärligt antal personuppgiftsposter som berörs
  • Beskrivning av de sannolika konsekvenserna
  • Beskrivning av vidtagna eller planerade åtgärder
  • Kontaktpunkt där mer information kan erhållas

sajn ska bistå Kunden med all information som krävs för att Kunden ska kunna fullgöra sin skyldighet att rapportera incidenten till tillsynsmyndighet och/eller registrerade.

På begäran ska sajn tillhandahålla samlad dokumentation över personuppgiftsincidenter inklusive omständigheter, effekter och vidtagna åtgärder.

9. Överföring till tredjeland

sajn lagrar all data inom EU/EES. Personuppgifter överförs inte till tredjeland (land utanför EU/EES) utan Kundens skriftliga godkännande.

Om överföring till tredjeland skulle bli nödvändig ska sajn säkerställa att överföringen sker i enlighet med GDPR kapitel V och endast till länder eller organisationer som erbjuder en adekvat skyddsnivå.

10. Radering av personuppgifter

Vid avtalets upphörande ska sajn, enligt Kundens val:

  • Radera alla personuppgifter och befintliga kopior, eller
  • Återlämna alla personuppgifter till Kunden i ett strukturerat, allmänt använt och maskinläsbart format

Radering eller återlämnande ska ske inom trettio (30) dagar efter avtalets upphörande.

sajn får behålla personuppgifter i den utsträckning det krävs enligt unionsrätten eller medlemsstatens nationella rätt. I sådant fall ska sajn säkerställa konfidentialiteten för personuppgifterna och endast behandla dem i den utsträckning som krävs.

11. Revision och granskning

sajn ska tillhandahålla Kunden all information som är nödvändig för att visa att de skyldigheter som anges i detta avtal har fullgjorts.

sajn ska ge möjlighet till och bidra till revisioner, inklusive inspektioner, som genomförs av Kunden eller en annan revisor som Kunden har bemyndigat. Sådan revision får dock inte genomföras mer än en gång per år om det inte finns särskilda skäl.

Revisor ska vara skriftligen bunden av sekretess gentemot sajn. Revision ska föregås av skriftlig notifikation minst trettio (30) dagar i förväg och genomföras under ordinarie arbetstid.

12. Ansvar och ersättning

sajn ansvarar för skada som orsakas av behandling av personuppgifter i strid med GDPR eller instruktioner från Kunden, i enlighet med bestämmelserna i GDPR artikel 82.

sajn är befriad från ansvar om sajn bevisar att biträdet inte på något sätt är ansvarigt för den händelse som orsakade skadan.

sajns totala ekonomiska ansvar enligt detta avtal, oavsett ansvarsgrund, är begränsat till ett belopp motsvarande vad Kunden betalat för Tjänsten under de senaste tolv (12) månaderna.

sajn har rätt till skälig ersättning för arbete och kostnader för bistånd som överstiger Tjänstens ordinarie funktionalitet (t.ex. omfattande DPIA-stöd, särskilda revisioner), enligt vid var tid gällande prislista eller särskild överenskommelse.

13. Avtalstid

Detta avtal träder i kraft när Kunden accepterar sajns allmänna villkor och gäller så länge sajn behandlar personuppgifter för Kundens räkning.

Vid avtalets upphörande ska bestämmelserna i punkt 10 (Radering av personuppgifter) tillämpas.

Kontaktinformation för personuppgiftsbiträdet:

RIBBAN AB / sajn labs

Organisationsnummer: 559254-0321

E-post: hej@sajn.se

Dataskyddsombud: För frågor om personuppgiftsbehandling, kontakta oss på privacy@sajn.se

Senast uppdaterad: 2025-10-04

14. Instruktioner & integrationer

sajn behandlar personuppgifter endast enligt dokumenterade instruktioner från Kunden. sajn kan förlita sig på instruktioner lämnade av behöriga administratörer inom Kundens konto (systemadministratörer).

  • Om instruktion saknas för nödvändig behandling underrättar sajn Kunden och inväntar komplettering.
  • Om instruktion bedöms strida mot GDPR informerar sajn Kunden utan dröjsmål.
  • Vid aktivering av integrationer med tredje part får sajn, i den mån det är nödvändigt, lämna ut och motta personuppgifter för att parterna ska kunna fullgöra sina åtaganden mot Kunden.

15. Register & överföring

sajn för register över behandlingar enligt artikel 30 GDPR och gör detta tillgängligt för behörig tillsynsmyndighet på begäran.

Överföring mellan parter sker på överenskommet medium, normalt elektroniskt via säkra protokoll (TLS). Om registrerad begär elektroniskt utdrag tillhandahålls information i elektronisk form när så är möjligt.

16. Tillämplig lag & tvist

Detta avtal ska tolkas och tillämpas i enlighet med svensk lag.

Tvist med anledning av detta avtal ska avgöras av svensk domstol, med Stockholms tingsrätt som första instans.