Avtal om behandling av personuppgifter (DPA)

Detta databehandlingsavtal (“Avtalet”) utgör en del av avtalet mellan Conlumina Digital (“Behandlare”) och kunden (“Personuppgiftsansvarig”) avseende användningen av tjänsten Conlumina Reviews.

Senast uppdaterad: 2026-04-20

1. Roller och Omfattning

Kontrollanten agerar som personuppgiftsansvarig och Behandlaren agerar som personuppgiftsbiträde i den mening som avses i GDPR.

Processorn ska behandla personuppgifter uteslutande på uppdrag av den personuppgiftsansvarige och i enlighet med den personuppgiftsansvariges dokumenterade instruktioner, såsom dessa definieras i detta avtal, tillämpliga användarvillkor och den personuppgiftsansvariges användning och konfiguration av tjänsten.

2. Omfattning av behandling

Processorn behandlar personuppgifter för att tillhandahålla tjänsten Conlumina Reviews. Detta inkluderar:

  • Importera kunddata som tillhandahålls av Controller
  • Skicka granskningsinbjudningar via e-post eller andra kommunikationskanaler enligt vad som konfigurerats av Controller
  • Att hantera och lagra svar på recensioner
  • Tillhandahåller verktyg för moderering, respons och publicering av recensioner
  • Aggregering och presentation av recensionsdata inom plattformen

Processorn använder inte personuppgifter för egna ändamål och bestämmer inte självständigt ändamålen eller metoderna för behandling utöver vad som är nödvändigt för att tillhandahålla tjänsten.

3. Instruktioner

Kontrollanten instruerar Processorn att behandla personuppgifter för att tillhandahålla tjänsten. Sådana instruktioner inkluderar, men är inte begränsade till:

  • Ladda upp eller synkronisera kunddata
  • Konfigurera kommunikationsflöden och triggers
  • Att definiera mottagare och tidpunkt för granskningsinbjudningar
  • Hantering och svar på recensioner

Kontrollanten kan tillhandahålla ytterligare dokumenterade instruktioner. Processor ska informera Kontrollanten om en instruktion enligt dess uppfattning strider mot gällande lag.

4. Rättslig grund

Kontrollanten är ensamt ansvarig för att säkerställa att en giltig rättslig grund finns för behandling av personuppgifter, inklusive all kommunikation som skickas via tjänsten (t.ex. inbjudningar till recensioner), i enlighet med gällande lagar om dataskydd och elektronisk kommunikation.

Processorn fastställer inte den rättsliga grunden för behandlingen och agerar endast på uppdrag av den personuppgiftsansvarige.

5. Sekretess

Processorn ska säkerställa att personer som har befogenhet att behandla personuppgifter har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad sekretessplikt.

6. Säkerhetsåtgärder

Processorn ska implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en risknivå som är lämplig för säkerheten, inklusive men inte begränsat till:

  • Kryptering av data under överföring
  • Åtkomstkontroll och autentiseringsmekanismer
  • Åtkomstbegränsning till personuppgifter
  • Regelbundna systemuppdateringar och övervakning

Ytterligare detaljer beskrivs i bilaga 1.

7. Underleverantörer

Processorn kan anlita underbiträden för att tillhandahålla delar av tjänsten, inklusive leverantörer av hosting-, infrastruktur-, kommunikationsleverans- och analystjänster.

Processorn ska säkerställa att personuppgiftsbiträden binder sig till dataskyddsskyldigheter som motsvarar dem som anges i detta avtal.

En aktuell lista över underbiträden finns tillgänglig på begäran eller på: [INSERT URL].

Kontrollanten kan invända mot användningen av en ny underbiträde på rimliga grunder av dataskydd.

8. Bistånd till Controller

Processorn ska med hänsyn till behandlings ändamål biträda den personuppgiftsansvarige med att fullgöra sina skyldigheter enligt tillämplig dataskyddslagstiftning, inklusive:

  • Att hantera förfrågningar från enskilda personer
  • Säkerställa efterlevnad av säkerhetsförpliktelser
  • Stödja konsekvensbedömningar av dataskydd när så krävs

9. Dataintrång

Processorn ska utan onödigt dröjsmål och, om möjligt, inom 24 timmar efter att ha upptäckt ett personuppgiftsintrång underrätta Kontrollanten.

10. Internationella överföringar

Personuppgiftsansvarig får inte överföra personuppgifter utanför EU/EES om inte lämpliga skyddsåtgärder finns på plats i enlighet med tillämplig lagstiftning.

11. Datalagring och radering

Vid uppsägning av tjänsten ska personuppgiftsbiträdet, efter personuppgiftsansvarigs val, radera eller returnera alla personuppgifter, såvida inte lagring krävs enligt tillämplig lag.

Om inte annat avtalats ska personuppgifter raderas inom 30 dagar efter avslutandet av tjänsten.

12. Revisioner

Kontrollanten får begära information som är nödvändig för att visa efterlevnad av detta avtal. Alla granskningar ska genomföras med rimligt varsel och utan att störa Processorns verksamhet.

13. Avtalstid och Uppsägning

Detta avtal gäller så länge Processor behandlar personuppgifter för Kontrollants räkning.

Bilaga 1 – Beskrivning av behandling

Kategorier av registrerade

  • Kunder eller klienter hos Controller

Typer av personuppgifter

  • Namn
  • E-postadress
  • Telefonnummer (om angivet)
  • Granska innehåll och svar
  • Metadata relaterad till kommunikation och interaktion (t.ex. tidsstämplar, leveransstatus)

Ändamål med behandling

  • Skicka recensionsinbjudningar
  • Att samla in och hantera kundrecensioner
  • Att tillhandahålla analyser och insikter relaterade till recensioner
  • Möjliggör publicering och moderering av recensioner

Behandlingens art

  • Samling, lagring, organisation och strukturering av data
  • Överföring (t.ex. sändning av kommunikationer)
  • Hämtning och användning inom plattformen
  • Radering vid anvisning eller uppsägning

Behandlingstid

  • Under tjänsteavtalets löptid och till dess att det raderas i enlighet med avsnitt 11

Säkerhetsåtgärder

  • Kryptering under överföring (HTTPS)
  • Åtkomstkontroll och rollbaserade behörigheter
  • Begränsad åtkomst endast för behörig personal
  • Övervakning och loggning av systemaktivitet