Databehandlingsavtal (DPA)

Databehandlingsavtal enligt artikel 28 i EU:s allmänna dataskyddsförordning (GDPR) mellan Attire (Behandlare) och kunden (Registreringsansvarig). Denna sida motsvarar en underteckningsbar avtalsmall - begär en officiell, underteckningsbar version på tietosuoja@attire.fi.

Tips: Med webbläsarens Skriv ut-funktion (Ctrl+P / Cmd+P) kan du få en PDF-version för offline-användning.

1. Avtalets objekt och varaktighet

Detta avtal definierar villkoren för behandling av personuppgifter som Behandlaren utför på Registeransvarigs vägnar vid användning av Attire-tjänsten. Avtalet gäller under hela avtalsperioden för Attire-tjänsten och tills alla Registeransvarigs personuppgifter har återlämnats eller raderats från tjänsten.

2. Behandlingens natur och syfte

Behandlaren behandlar Registeransvarigs personuppgifter som Registeransvarig lagrar i Attire-tjänsten för att hantera sin utrustning och sina rapporter. Syftet med behandlingen är att tillhandahålla Attire-tjänsten enligt överenskomna villkor.

3. Typer av personuppgifter och grupper av registrerade

Behandlingen omfattar typiskt följande personuppgifter:

  • Registeransvarigs användares kontaktuppgifter (namn, e-post, telefon, användarnamn)
  • Kund- och företagsinformation (företagsnamn, organisationsnummer, kontaktpersoner)
  • Fordonsinformation (registreringsnummer, VIN, ägarinformation)
  • Information relaterad till rapporter, såsom verkstadsarbetarens namn eller kundens underskrift
  • Användarloggar (IP-adress, aktivitetstid, utförda åtgärder)

Grupper av registrerade:

  • Registeransvarigs anställda och deras underleverantörer
  • Registeransvarigs kunders kontaktpersoner
  • Fordonsägare och förare

4. Behandlarens skyldigheter

Behandlaren åtar sig:

  • att endast behandla personuppgifter i enlighet med Registeransvarigs dokumenterade instruktioner, inklusive dessa villkor
  • att säkerställa att de personer som behandlar personuppgifter är bundna av sekretess
  • att genomföra lämpliga tekniska och organisatoriska åtgärder (beskrivna i punkt 8)
  • att bistå Registeransvarig i genomförandet av registrerades rättigheter
  • att bistå Registeransvarig i rapportering av dataintrång och bedömning av konsekvenser
  • att utan onödigt dröjsmål informera Registeransvarig om dataintrång och senast inom 72 timmar efter upptäckten
  • att vid avtalets slut återlämna eller radera alla personuppgifter enligt Registeransvarigs val

5. Registeransvarigs skyldigheter

Registeransvarig:

  • ansvarar för att ha laglig grund för lagring och behandling av uppgifter i Attire-tjänsten
  • ansvarar för att informera sina egna registrerade om behandlingen
  • att ge instruktioner till Behandlaren om hur uppgifter ska behandlas vid avslut av beställningar

6. Underleverantörer

Registeransvarig ger Behandlaren en allmän fullmakt att använda följande underleverantörer för att säkerställa Attire-tjänstens drift:

  • Google Cloud (Google Ireland Limited) — tjänstekapacitet, databas och fillagring inom EU-området (europe-west3, Frankfurt)
  • Stripe (Stripe Payments Europe Ltd. / Stripe Inc.) — betalningstjänst och orderfakturering
  • Plausible Analytics (Plausible Insights OÜ) — anonymiserad besökaranalys
  • E-posttjänsteleverantör — skickande av transaktionsmeddelanden (t.ex. aviseringar)

Behandlaren ska informera Registreringsansvarig om nya underbehandlare eller ändringar minst 30 dagar i förväg. Registreringsansvarig har rätt att motsätta sig ändringen. Om enighet inte nås på grund av invändningen kan vilken part som helst säga upp beställningen utan uppsägningstid.

7. Överföringar utanför EU/EEA-området

Personuppgifter lagras och behandlas huvudsakligen inom EU/EEA-området. För Stripe Inc. kan vissa betalningstransaktionsdata överföras till USA. Överföringar görs enligt standardavtalsklausuler (SCC) godkända av EU-kommissionen.

8. Tekniska och organisatoriska åtgärder

  • Nätverkstrafik krypteras med TLS 1.2+ protokoll
  • Databaser lagras i krypterade Google Cloud-volymer (data-at-rest-kryptering)
  • Åtkomsthantering baseras på roller, minimiåtkomster och flerfaktorsautentisering för administratörer
  • Produktnycklar och hemligheter lagras i Google Secret Manager
  • Regelbundna säkerhetskopior hålls inom EU-området; återställningstest utförs minst en gång per år
  • Alla väsentliga systemändringar loggas och lagras i 12 månader
  • Programkod och konfigurationer hålls i versionshantering; kritiska ändringar kräver granskning
  • Sårbarhetsuppdateringar genomförs i enlighet med risk, kritiska utan onödig fördröjning

9. Granskningsrätt

Registreringsansvarig har rätt att kontrollera Behandlarens efterlevnad av dataskyddspraxis en gång per kalenderår. Granskningen görs främst baserat på den granskningsrapport eller certifikatdokumentation som tillhandahålls av Behandlaren. Om en platsgranskning är nödvändig, ska detta avtalas minst 30 dagar i förväg och Registreringsansvarig ansvarar för rimliga kostnader för granskningen.

10. Avtalets upphörande

Vid avtalets upphörande ska Behandlaren återlämna eller radera alla personuppgifter enligt Registreringsansvarigs val, såvida inte lagstiftningen kräver att uppgifterna lagras. Lagring som krävs av lagstiftningen (t.ex. bokföringsunderlag) fortsätter under den lagstadgade perioden, varefter uppgifterna raderas.

11. Ansvar och avtalsvillkor

Detta avtal omfattas av ansvarighetsbegränsningar i användarvillkoren för Attire-tjänsten. Om det finns en konflikt mellan detta avtal och användarvillkoren avseende behandling av personuppgifter, har detta avtal företräde. Avtalet regleras av finsk lag.

Uppdaterad: 29.6.2026.

Behandlaren är Kinttala Group (organisationsnummer 2933129-2, Salonkyläntie 167, 21140 Rymättylä). Detta är Attires standardbaserade DPA-version. En signerbar version med företagsinformation kan tillhandahållas på begäran. Anpassningar (t.ex. mer detaljerade tekniska åtgärder eller bredare granskningsrätt) är möjliga i Enterprise-beställningar.