Behöver du en signerad version?
Mejla dpo@fresab.se så skickar vi en kopia för signering via Scrive eller motsvarande.
Personuppgiftsbiträdesavtal (PUB)
Senast uppdaterad: 2026-06-14
Detta avtal reglerar förhållandet mellan dig som kund (Personuppgiftsansvarig) och Fresab AB (Personuppgiftsbiträde) avseende behandling av personuppgifter i FRES-App, enligt artikel 28 i EU:s allmänna dataskyddsförordning (GDPR).
1. Parter
Personuppgiftsansvarig: Kunden enligt huvudavtalet om FRES-App.
Personuppgiftsbiträde: Fresab AB, org.nr 556xxx-xxxx, [adress].
2. Föremål och varaktighet
Biträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning i syfte att tillhandahålla FRES-App enligt huvudavtalet. Avtalet gäller så länge huvudavtalet löper plus 90 dagar för raderings- och återlämningsåtgärder.
3. Typ av personuppgifter och kategorier av registrerade
Kategorier av registrerade: den Personuppgiftsansvariges anställda och deras kunder/kontaktpersoner samt slutkunder (privatpersoner som beställer arbete).
Typer av personuppgifter: namn, kontaktuppgifter, adress, personnummer (för ROT/RUT — krypterat), arbetsorder-historik, tidsregistreringar, GPS-position vid tidstämpling, fotodokumentation, eventuella anteckningar.
4. Behandlingens art och ändamål
Att leverera, drifta och utveckla FRES-App, inklusive:
- Lagring och visning av arbetsorder, kunder, fastigheter
- Tidregistrering och fakturaunderlag
- Synkronisering mellan webb, mobil och offlinelägen
- Användarstöd och felsökning (på begäran)
5. Biträdets skyldigheter
- Behandla personuppgifter endast enligt dokumenterade instruktioner från den Personuppgiftsansvarige (huvudavtalet, denna PUB, samt instruktioner via support).
- Säkerställa att personer med åtkomst har tystnadsplikt.
- Vidta tekniska och organisatoriska säkerhetsåtgärder enligt art. 32 GDPR — se Bilaga A.
- Bistå den Personuppgiftsansvarige vid förfrågningar från registrerade samt vid konsekvensbedömningar.
- Underrätta den Personuppgiftsansvarige om personuppgiftsincident inom 24 timmar efter upptäckt.
- Vid avtalets slut, radera eller återlämna alla personuppgifter inom 90 dagar.
6. Underbiträden
Den Personuppgiftsansvarige godkänner att Biträdet anlitar underbiträden enligt aktuell lista nedan. Vid byte eller tillägg informeras kunden minst 30 dagar i förväg via mejl och har rätt att invända.
| Underbiträde | Tjänst | Plats |
|---|---|---|
| Supabase Inc. | Databas (Postgres) | EU (Frankfurt) |
| Vercel Inc. | Drift (Next.js) | EU |
| Anthropic PBC | AI-tjänster (Claude) | USA — DPF-certifierad |
| Resend / Postmark | Transaktionsmejl | EU |
| Sentry | Felrapportering | EU |
7. Tredjelandsöverföring
Vid överföring till tredje land (utanför EU/EES) säkerställer Biträdet adekvat skyddsnivå genom Standard Contractual Clauses eller annan godkänd mekanism enligt art. 46 GDPR.
8. Granskning
Den Personuppgiftsansvarige har rätt att en gång per år, med 30 dagars varsel, granska Biträdets efterlevnad. Granskningen sker digitalt via dokumentation eller, vid skälig misstanke om brott mot avtalet, på plats efter överenskommelse.
9. Ansvar
Vardera part ansvarar för den skada som part orsakat enligt GDPR. Biträdets ansvar är begränsat enligt huvudavtalets ansvarsbegränsning.
10. Tvist
Svensk lag gäller. Tvist avgörs vid Sveriges Domstolar.
Bilaga A — Tekniska och organisatoriska säkerhetsåtgärder
- All trafik krypteras med TLS 1.2+ (HTTPS-only)
- Personnummer och OAuth-tokens krypteras AES-256-GCM på applikationsnivå innan lagring
- Postgres Row-Level-Security (RLS) — full dataisolation mellan organisationer
- 2FA via Microsoft 365 / Google SSO eller TOTP
- Daglig backup, 30 dagars retention
- Audit-spår av kritiska ändringar (åtkomst, kundändringar, ROT/RUT-rapportering)
- Incidenthantering med 24h-rapportering
- Personalavtal med tystnadsplikt + årlig GDPR-utbildning
Detta är en standardmall. För skräddarsydda villkor (t.ex. egna säkerhetskrav från koncern-IT) kontakta dpo@fresab.se.