Integritetspolicy och Personuppgiftsbiträdesavtal (PUB)

Behandling av personuppgifter enligt GDPR

Detta dokument utgör både integritetspolicy och personuppgiftsbiträdesavtal (PUB) enligt artikel 28 i GDPR mellan dig som personuppgiftsansvarig och Smutt AB som personuppgiftsbiträde.

1. Parter och roller

Personuppgiftsansvarig (Kund)

Du som kund är personuppgiftsansvarig för de personuppgifter som behandlas genom våra tjänster, inklusive uppgifter om dina anställda och kunder.

Personuppgiftsbiträde (Smutt AB)

Smutt AB
Organisationsnummer: 559333-4211
Adress: Åkernvägen 38, 827 31 Ljusdal
E-post: info@smutt.se

Smutt AB agerar som personuppgiftsbiträde och behandlar personuppgifter på uppdrag av den personuppgiftsansvarige enligt detta avtal.

2. Ändamål och kategorier av personuppgifter

Behandlingen sker för följande ändamål och omfattar följande kategorier av personuppgifter:

Ändamål

  • Förmedling av lönespecifikationer från ekonomisystem till digitala brevlådor
  • Förmedling av fakturor från ekonomisystem till digitala brevlådor
  • Tillhandahållande av teknisk plattform för dokumenthantering

Kategorier av personuppgifter

  • Kontaktuppgifter: Namn, e-postadress, telefonnummer, adress
  • Identifikationsuppgifter: Personnummer, organisationsnummer
  • Ekonomiska uppgifter: Löneinformation, fakturauppgifter, betalningsinformation
  • Anställningsuppgifter: Information som framgår av lönespecifikationer

Kategorier av registrerade

  • Anställda hos den personuppgiftsansvarige
  • Kunder och leverantörer till den personuppgiftsansvarige
  • Kontaktpersoner hos juridiska personer

3. Underleverantörer (Underbiträden)

Den personuppgiftsansvarige godkänner härmed att Smutt AB använder följande underleverantörer för behandling av personuppgifter:

Godkända underleverantörer

Kivra Sverige AB

Organisationsnummer: 556917-3544

Ändamål: Leverans av dokument till slutmottagares digitala brevlåda

Behandlingsgrund: Nödvändig för fullgörande av avtal

Billo AB

Organisationsnummer: 559138-6718

Ändamål: Leverans av dokument till slutmottagares digitala brevlåda

Behandlingsgrund: Nödvändig för fullgörande av avtal

Viktigt: Smutt AB säkerställer att alla underleverantörer omfattas av skriftliga avtal som uppfyller kraven i artikel 28 GDPR och att samma skyddsnivå upprätthålls.

4. Biträdets skyldigheter

Smutt AB åtar sig att:

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige
  • Säkerställa att personer som har tillgång till personuppgifterna har förbundit sig till sekretess
  • Vidta alla åtgärder som krävs enligt artikel 32 GDPR (säkerhet vid behandling)
  • Bistå den personuppgiftsansvarige med att fullgöra skyldigheten att besvara förfrågningar om utövande av registrerades rättigheter
  • Bistå den personuppgiftsansvarige med att säkerställa efterlevnad av artiklarna 32-36 GDPR
  • Radera eller återlämna alla personuppgifter efter det att tjänsterna upphört
  • Tillhandahålla all information som är nödvändig för att visa att skyldigheterna enligt artikel 28 efterlevs

5. Tekniska och organisatoriska säkerhetsåtgärder

Smutt AB har implementerat följande säkerhetsåtgärder enligt artikel 32 GDPR:

Tekniska åtgärder

  • Kryptering av personuppgifter under överföring (TLS 1.3)
  • Kryptering av personuppgifter i vila (AES-256)
  • Säker autentisering och auktorisation
  • Regelbunden säkerhetskopiering med krypterade backuper
  • Loggning och övervakning av systemåtkomst

Organisatoriska åtgärder

  • Begränsad åtkomst enligt principen om minsta behörighet
  • Sekretessavtal för all personal med tillgång till personuppgifter
  • Regelbunden utbildning i informationssäkerhet och GDPR
  • Incidenthanteringsprocess för personuppgiftsincidenter
  • Regelbundna säkerhetsgranskningar och penetrationstester

6. Personuppgiftsincidenter

Vid misstanke om eller konstaterad personuppgiftsincident åtar sig Smutt AB att:

  • Omedelbart vidta åtgärder för att begränsa incidentens omfattning
  • Anmäla incidenten till den personuppgiftsansvarige utan onödigt dröjsmål, senast inom 24 timmar
  • Tillhandahålla all relevant information om incidenten
  • Bistå med åtgärder för att minska negativa konsekvenser

Kontakt vid incidenter: info@smutt.se eller telefon enligt separat incidentkontaktlista

7. Internationella överföringar

Personuppgifter behandlas inom EU/EES. Eventuella överföringar till tredjeland sker endast med lämpliga skyddsåtgärder enligt kapitel V i GDPR.

8. Lagringstid och radering

Personuppgifter lagras endast så länge som är nödvändigt för att fullgöra avtalet. Vid avtalets upphörande raderas eller återlämnas alla personuppgifter inom 30 dagar, såvida inte annan lagring krävs enligt lag.

9. Registrerades rättigheter

Som personuppgiftsansvarig ansvarar du för att informera registrerade om deras rättigheter enligt GDPR. Smutt AB bistår vid behov med att hantera förfrågningar från registrerade avseende:

  • Rätt till tillgång (artikel 15)
  • Rätt till rättelse (artikel 16)
  • Rätt till radering (artikel 17)
  • Rätt till begränsning av behandling (artikel 18)
  • Rätt till dataportabilitet (artikel 20)
  • Rätt att invända (artikel 21)

10. Revision och kontroll

Den personuppgiftsansvarige har rätt att genomföra revisioner av Smutt AB:s efterlevnad av detta avtal. Smutt AB åtar sig att tillhandahålla nödvändig information och medverka vid sådana revisioner.

11. Kontaktuppgifter

E-post: info@smutt.se
Telefon: Enligt separat kontaktlista
Postadress: Åkernvägen 38, 827 31 Ljusdal

12. Avtalets giltighet och ändringar

Detta personuppgiftsbiträdesavtal träder i kraft när du börjar använda Smutts tjänster och gäller så länge behandling av personuppgifter pågår. Ändringar av avtalet meddelas minst 7 dagar i förväg via e-post eller genom publicering på vår webbplats.

Godkännande

Genom att använda Smutts tjänster godkänner du detta personuppgiftsbiträdesavtal och bekräftar att du har rätt att ingå detta avtal på den personuppgiftsansvariges vägnar.

Senast uppdaterad: 2025-08-27
Version: 2.0
Giltig från: 2025-08-27