Personuppgiftsbiträdesavtal (DPA)

Personuppgiftsbiträdesavtal (DPA) – SkyMap Innovations AB

Version 1.0      Fastställd 2026-03-09

Detta Personuppgiftsbiträdesavtal är en bilaga till och är en integrerad del av Allmänna Villkor för SkyMaps SaaS-tjänster (nedan kallad Tjänsten). Avtalet reglerar SkyMaps behandling av personuppgifter för Kundens räkning i enlighet med artikel 28 i GDPR.

1. Parter och roller

Kunden är Personuppgiftsansvarig (PUA). SkyMap är Personuppgiftsbiträde (PUB) vid behandling av personuppgifter i Tjänsten.

2. Behandlingens art och ändamål

SkyMap behandlar personuppgifter för tillhandahållande, drift, utveckling och support av Tjänsten i enlighet med Kundens instruktioner. Detta omfattar användarhantering, projektadministration, fil- och datalagring, loggar, metadata, åtkomsträttigheter samt kundinitierad support.

3. Kategorier av personuppgifter och registrerade

Registrerade är Kundens användare och projektmedlemmar vars uppgifter förekommer i Tjänsten. Personuppgifter är namn, e-post, användaruppgifter, loggar, roller, bilder, ritningar, metadata, geografiska data, geografisk position (GPS) samt personuppgifter som förekommer i filer som Kund lagrar i Tjänsten.

4. Kunds skyldigheter

Kunden ansvarar för att endast behandla personuppgifter i Tjänsten i enlighet med tillämplig dataskyddslagstiftning och säkerställa att det finns en giltig rättslig grund för all behandling. Kunden ska informera de registrerade enligt artiklarna 13–14 i GDPR och se till att personuppgifter som förs in i plattformen är riktiga, relevanta och uppdaterade. Kunden får inte ladda upp eller behandla känsliga personuppgifter eller uppgifter om lagöverträdelser om detta inte uttryckligen tillåts enligt huvudavtalet. Kunden ansvarar även för att hantera användarkonton och behörigheter på ett säkert sätt, ge SkyMap tydliga instruktioner om behandlingen samt utan dröjsmål rapportera eventuella incidenter eller misstänkt obehörig åtkomst. Kunden ansvarar slutligen för att all behandling som utförs i Tjänsten sker i enlighet med Kundens egna skyldigheter som personuppgiftsansvarig.

5. SkyMaps skyldigheter

SkyMap ansvarar för att behandla personuppgifter enligt Kundens instruktioner, vidta lämpliga säkerhetsåtgärder, säkerställa konfidentialitet, assistera Kunden vid rättighetsförfrågningar och bistå vid incidenthantering. SkyMap ska utan dröjsmål rapportera eventuella incidenter eller misstänkt obehörig åtkomst.

När en registrerad, en tillsynsmyndighet eller annan tredje part riktar en begäran till SkyMap avseende personuppgifter som behandlas för Kundens räkning, ska SkyMap omedelbart hänvisa begäranden till Kunden utan att själv agera på begäran, såvida inte Kunden uttryckligen instruerar annat.

SkyMap får endast lämna ut personuppgifter eller information om behandlingen till tredje part efter dokumenterad instruktion från Kunden, eller om SkyMap enligt lag är skyldigt att lämna ut uppgifterna. I sådant fall ska SkyMap, i den mån lagstiftningen tillåter det, informera Kunden om utlämnandet innan det sker.

6. Godkända underbiträden

SkyMap använder sig av följande underbiträden för behandling av personuppgifter i Tjänsten.

• Amazon Web Services (AWS), Irland – drift och lagring.
• Microsoft (Azure Entra ID) – autentiseringstjänst vid användning av SSO (Single Sign On).

7. Överföring till tredjeland

Personuppgifter lagras inom EU/EES. Om överföring till tredje land är nödvändig ska det ske enligt gällande regler och med tillräckliga skyddsåtgärder. För närvarande sker all lagring i EU.

8. Säkerhetsåtgärder

SkyMap vidtar tekniska och organisatoriska åtgärder, inklusive men inte begränsat till: Kryptering med AES-256 "i vila" via AWS KMS och TLS 1.3/HTTPS "på väg". Tjänsten körs enbart i AWS eu-west-1 (Irland); datacentren är ISO 27001- och SOC 2-certifierade. Dagliga inkrementella back-ups med 7 dagars retention. Roll- och rättighetsramverk (RBAC-grund) används främst av adminkonton. Förmågan att via accessloggar återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

SkyMap åtar sig att säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess för sådan behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.

9. Radering och återlämning

SkyMap bevarar personuppgifter endast så länge Kunden lagrar dem i Tjänsten eller enligt Kundens instruktioner. Kunden ansvarar för att exportera eventuell data som ska bevaras.

10. Giltighetstid

SkyMaps åtagande som Personuppgiftsbiträde gäller under hela den tid det finns ett giltigt avtal med Kunden som omfattas av Allmänna villkor för SkyMaps SaaS-tjänster.
 

11. Versionshantering

Version: 1.0
Föregående version: -
Fastställd: 2026-03-09