Senast uppdaterad 2026-05-20
Personuppgiftsbiträdesavtal (DPA)
Detta personuppgiftsbiträdesavtal ("DPA") utgör bilaga till huvudavtalet mellan Markudd AB ("Biträdet") och Kunden ("Personuppgiftsansvarig"). DPA:t reglerar Biträdets behandling enligt GDPR art. 28.
1. Föremål och varaktighet
Biträdet behandlar personuppgifter för Kundens räkning så länge huvudavtalet löper.
2. Typ av uppgifter
- Gästers namn, e-post, telefonnummer, adress.
- Bokningsdetaljer, beläggning, allergier och önskemål (i förekommande fall).
- Personaldata som Kunden lägger in (namn, kontaktuppgifter, rolltilldelning).
3. Kategorier av registrerade
- Kundens egna gäster, kunder och leverantörer.
- Kundens anställda och inhyrd personal.
4. Biträdets skyldigheter
- Behandla uppgifter endast enligt dokumenterade instruktioner från Personuppgiftsansvarig.
- Säkerställa konfidentialitet hos personal med åtkomst.
- Vidta tekniska och organisatoriska säkerhetsåtgärder enligt art. 32 (kryptering, åtkomstkontroll, backup, loggning).
- Bistå Personuppgiftsansvarig vid begäranden från registrerade.
- Meddela personuppgiftsincident utan onödigt dröjsmål, senast inom 48 timmar.
- Radera eller återlämna uppgifter efter avtalets slut.
5. Underbiträden
Kunden ger generellt förhandsgodkännande för följande underbiträden. Vi meddelar ändringar med 30 dagars varsel.
| Underbiträde | Ändamål | Plats |
|---|---|---|
| Supabase / AWS (EU) | Databas, fillagring, autentisering | EU |
| Cloudflare | CDN, DNS, DDoS-skydd | EU/Global |
| Resend | Transaktionell e-post | EU |
| Lovable Cloud | Hosting & deploy | EU |
6. Överföring till tredje land
Primär datalagring sker inom EU/EES. Eventuella överföringar utanför EU sker endast med EU-kommissionens standardavtalsklausuler (SCC) eller motsvarande skyddsmekanism.
7. Säkerhetsåtgärder
- TLS 1.2+ för all trafik.
- Radnivå-säkerhet (RLS) i databasen — varje kunds data är logiskt separerad.
- Daglig automatisk backup, retention 30 dagar.
- Loggning av administrativ åtkomst.
- Lösenord hashade med bcrypt/argon2.
8. Granskning
Personuppgiftsansvarig har rätt att en gång per år, mot skäliga kostnader, begära revision av Biträdets säkerhetsåtgärder.
9. Ansvar och ersättning
Ansvar enligt DPA:t följer huvudavtalets ansvarsbegränsning.
Detta DPA är elektroniskt accepterat när Kundens behörige företrädare aktiverar sin portal eller skriver under huvudavtalet.
Markudd AB · Org.nr 559470-7001 · Göteborg, Sverige · hej@viboka.se