Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal ("PUB-avtalet") reglerar BoViews behandling av personuppgifter för Kundens räkning och utgör en bilaga till Användarvillkoren mellan parterna. PUB-avtalet träder i kraft när Kunden accepterar Användarvillkoren.

I detta PUB-avtal avses med Personuppgiftsansvarig den Kund som använder BoViews tjänst för att behandla personuppgifter om sina hyresgäster, sin personal eller andra registrerade, och med Personuppgiftsbiträde BoView, som behandlar dessa uppgifter på den Personuppgiftsansvariges instruktion.

Avtalet är utformat i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), särskilt artikel 28, samt kompletterande svensk dataskyddslagstiftning.

BoView behandlar personuppgifter uteslutande för att tillhandahålla de tjänster som framgår av Användarvillkoren — det vill säga för att driva och underhålla fastighetsförvaltningsplattformen på den Personuppgiftsansvariges vägnar.

Behandlingen avser i huvudsak följande kategorier av registrerade och uppgifter:

• Hyresgäster: namn, kontaktuppgifter, lägenhetsnummer, ärende- och meddelandehistorik
• Personal (driftpersonal/ekonomipersonal): namn, kontaktuppgifter, behörighetsnivå
• Fastighetsägare/administratörer: namn, e-postadress samt konto- och autentiseringsuppgifter

Behandlingen sker så länge Kunden har ett aktivt konto hos BoView, eller tills PUB-avtalet på annat sätt upphör att gälla.

BoView åtar sig att:

• Behandla personuppgifter enbart enligt dokumenterade instruktioner från den Personuppgiftsansvarige, om inte annat krävs enligt EU-rätt eller svensk rätt.
• Säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lagstadgad tystnadsplikt.
• Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med GDPR artikel 32 för att skydda uppgifterna mot obehörig åtkomst, förlust eller förstörelse.
• Omedelbart underrätta den Personuppgiftsansvarige om BoView bedömer att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning.
• Bistå den Personuppgiftsansvarige, i den mån det är möjligt, med att fullgöra sina skyldigheter avseende de registrerades rättigheter (tillgång, rättelse, radering m.m.).
• Radera eller återlämna alla personuppgifter när tjänsten upphör, i enlighet med den Personuppgiftsansvariges instruktioner och vad som anges i avsnitt 6 nedan.
• Tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att skyldigheterna i detta avtal fullgörs.

Den Personuppgiftsansvarige ger BoView ett generellt tillstånd att anlita underbiträden för att tillhandahålla Tjänsten. BoView anlitar underbiträden inom följande kategorier:

Samtliga underbiträden är etablerade inom, eller överför uppgifter enligt godkända skyddsmekanismer till, EU/EES. En aktuell och fullständig förteckning över de namngivna underbiträden som BoView anlitar lämnas till den Personuppgiftsansvarige på begäran via support@boview.se.

BoView informerar den Personuppgiftsansvarige om planerade förändringar avseende tillkommande eller utbytta underbiträden med rimligt varsel, varvid den Personuppgiftsansvarige ges möjlighet att invända. BoView ansvarar för att underbiträdena uppfyller motsvarande dataskyddsskyldigheter som BoView självt.

Vid överföring av personuppgifter till tredje land (utanför EU/EES) säkerställer BoView att lämpliga skyddsåtgärder vidtas, exempelvis genom EU-kommissionens standardavtalsklausuler (SCC) eller att mottagarlandet har ett adekvat skyddsnivåbeslut.

BoView vidtar tekniska och organisatoriska åtgärder som är lämpliga med hänsyn till risken för de registrerade, däribland:

• Kryptering av data i vila och under överföring (TLS/HTTPS)
• Rollbaserad åtkomstkontroll — varje användare ser enbart data relevant för sin roll
• Signerade URL:er för filåtkomst med tidsbegränsad giltighet
• Row Level Security (RLS) i databasen som förhindrar obehörig läsning
• Löpande säkerhetsuppdateringar och sårbarhetsgranskning
• Separata miljöer för produktion och test

När Kundens konto avslutas — oavsett anledning — kan Kunden exportera sina uppgifter i maskinläsbart format (JSON/CSV) fram till kontots stängning. I normalfallet bevaras data i upp till 30 dagar efter kontots avslutande, varefter permanent radering sker ur samtliga system inklusive säkerhetskopior i takt med att dessa roteras.

Vid Kundens begäran kan BoView bekräfta skriftligen att radering genomförts. BoView är inte skyldig att radera uppgifter som måste bevaras enligt EU-rätt, svensk lag eller myndighetsföreskrift.

BoView ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått kännedom om en personuppgiftsincident som rör uppgifter som behandlas enligt detta PUB-avtal. Underrättelsen ska innehålla tillgänglig information om incidentens art, berörd datamängd, troliga konsekvenser och vidtagna åtgärder.

Den Personuppgiftsansvarige ansvarar för att bedöma om incidenten ska anmälas till Integritetsskyddsmyndigheten (IMY) och i förekommande fall underrätta berörda registrerade, i enlighet med GDPR artiklarna 33–34.

Den Personuppgiftsansvarige har rätt att genomföra, eller låta en oberoende tredje part genomföra, revision av BoViews behandling av personuppgifter under detta PUB-avtal, dock högst en (1) gång per kalenderår om inte särskilda skäl föreligger, exempelvis en konstaterad säkerhetsincident av allvarlig karaktär.

Revision sker med minst 30 dagars skriftligt varsel, på den Personuppgiftsansvariges bekostnad och på ett sätt som inte onödigt stör BoViews verksamhet eller inkräktar på övriga kunders säkerhet och konfidentialitet. BoView äger rätt att neka eller begränsa en revision som bedöms riskera säkerheten för andra kunders data, och kan i sådana fall i stället tillhandahålla relevanta certifikat, tredjepartsgranskningsrapporter eller annan adekvat dokumentation som alternativ till direkt tillgång.

Den Personuppgiftsansvarige ansvarar för att det finns rättslig grund för all behandling av personuppgifter som sker genom Tjänsten, i enlighet med GDPR artikel 6 och, i tillämpliga fall, artikel 9. BoView ansvarar inte för att kontrollera eller ifrågasätta den rättsliga grunden för den Personuppgiftsansvariges behandling.

Den Personuppgiftsansvarige ansvarar vidare för att de registrerade informeras om behandlingen i enlighet med GDPR artiklarna 13–14, samt för att hantera eventuella invändningar, klagomål eller rättighetsförfrågningar från registrerade. BoView bistår på begäran med tekniska åtgärder som underlättar fullgörandet av dessa skyldigheter, men ansvarar inte för den Personuppgiftsansvariges rättsliga efterlevnad i övrigt.

Om den Personuppgiftsansvarige instruerar BoView att behandla personuppgifter på ett sätt som strider mot GDPR eller annan tillämplig dataskyddslagstiftning, ska BoView underrätta den Personuppgiftsansvarige om detta. BoView är inte ansvarigt för skador eller sanktioner som uppstår till följd av den Personuppgiftsansvariges instruktioner eller bristande efterlevnad.

Detta PUB-avtal gäller så länge BoView behandlar personuppgifter för den Personuppgiftsansvariges räkning. Avtalet upphör automatiskt när Kundens konto avslutas och all behandling av personuppgifter har upphört i enlighet med avsnitt 6 ovan.

Detta PUB-avtal tolkas och regleras av svensk rätt. Tvister hänförs till Stockholms tingsrätt som första instans, om inte tvingande regler föreskriver annat.

Frågor om detta PUB-avtal eller BoViews dataskyddsarbete besvaras via support@boview.se.