Personuppgiftsbiträdesavtal (DPA)

Senast uppdaterad: 2026-05-09

Parter

Personuppgiftsansvarig (PuA): Kunden (det aktiebolag som köper tjänsten).
Personuppgiftsbiträde (PuB): Enkelservice.

1. Föremål

PuB behandlar personuppgifter åt PuA inom ramen för Tjänsten (Bokföring, Lön, Faktura, HR-Offboarding, Tid, Inkasso). Behandlingen omfattar:

• Anställdas namn, personnummer, lönedata, anställningsavtal (Lön + HR-Offboarding)
• Kund- och leverantörsuppgifter (Faktura + Bokföring + Inkasso)
• Tidrapporteringsdata kopplad till anställda (Tid)

2. PuB:s skyldigheter

1. Behandla personuppgifter endast enligt PuA:s dokumenterade instruktioner.
2. Säkerställa att personer med tillgång har sekretessåtagande.
3. Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (kryptering, åtkomstkontroll, loggning).
4. Anlita underbiträden endast efter godkännande (lista enligt p. 4).
5. Bistå PuA vid förfrågningar från registrerade och tillsynsmyndighet.
6. Anmäla personuppgiftsincident till PuA inom 72 timmar.
7. Radera eller återlämna alla personuppgifter inom 30 dagar efter avtalets upphörande, om inte lagring krävs av lag.

3. Säkerhetsåtgärder

• HTTPS/TLS i transit, TDE i vila
• Bcrypt-hashade lösenord, TOTP/WebAuthn för 2FA
• Loggning av åtkomst till anställd-data
• Backuper var 24 h med 30 dagars retention, krypterade off-site
• Begränsad personalåtkomst (need-to-know)

4. Underbiträden

5. Granskning

PuA har rätt att en gång per år göra revision av PuB:s säkerhetsåtgärder. Begäran via mejl, 30 dagars varsel.

6. Ansvar

PuB ersätter direkt skada upp till 12 månaders avgift för den berörda modulen. PuA ansvarar för lagligheten i PuA:s eget syfte med behandlingen.

7. Avtalstid

DPA gäller så länge huvudavtalet (Användarvillkor) gäller, samt 30 dagar därefter för dataretur/radering.

8. Signering

Detta DPA gäller automatiskt när du tecknar prenumeration enligt Användarvillkoren. Vid behov av separat signering, mejla [email protected].