SaberTask

Personuppgiftsbiträdesavtal

Version 1.0

Senast uppdaterad: 3 juni 2026

Detta personuppgiftsbiträdesavtal ("Avtalet") fastställer hur SaberTask behandlar personuppgifter för kundens räkning när kunden använder SaberTask-plattformen. Avtalet har ingåtts mellan:

Den Personuppgiftsansvarige

Den kund som använder SaberTask-plattformen (den "Personuppgiftsansvarige"). Kundens företagsuppgifter fylls i vid avtalets ingående.

Personuppgiftsbiträdet

SaberTask LDA, org.nr PT518467546, Rua Hermano Neves N.º 18, Piso 3, Escritório 7, V5098 1600-477 Lissabon, Portugal ("Personuppgiftsbiträdet").

Den Personuppgiftsansvarige och Personuppgiftsbiträdet benämns härefter var för sig som en "Part" och gemensamt som "Parterna". Parterna har ingått detta Avtal i syfte att efterleva förordning 2016/679 (dataskyddsförordningen) och säkerställa skydd för privatlivet och fysiska personers grundläggande rättigheter och friheter.

1. Inledning

  1. Detta Avtal fastställer Personuppgiftsbiträdets rättigheter och skyldigheter när detta behandlar personuppgifter för den Personuppgiftsansvariges räkning.
  2. Detta Avtal har utformats för att säkerställa Parternas efterlevnad av artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 ("dataskyddsförordningen").
  3. I samband med tillhandahållandet av SaberTask-plattformen för hantering av den Personuppgiftsansvariges serviceverksamhet ("Huvudavtalet") behandlar Personuppgiftsbiträdet personuppgifter för den Personuppgiftsansvariges räkning i enlighet med detta Avtal.
  4. Avtalet har företräde framför eventuella motsvarande bestämmelser i andra avtal mellan parterna, inklusive Huvudavtalet.
  5. Två bilagor utgör en integrerad del av detta Avtal:
    • Bilaga A innehåller uppgifter om behandlingens ändamål, karaktär, datatyper och varaktighet.
    • Bilaga B innehåller en förteckning över godkända underbiträden.

2. Den Personuppgiftsansvariges rättigheter och skyldigheter

  1. Den Personuppgiftsansvarige ansvarar för att säkerställa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen och detta Avtal.
  2. Den Personuppgiftsansvarige har rätt och skyldighet att fatta beslut om för vilka ändamål och med vilka medel personuppgifter får behandlas.
  3. Den Personuppgiftsansvarige ansvarar för att det finns en rättslig grund för de behandlingar som Personuppgiftsbiträdet instrueras att utföra.

3. Personuppgiftsbiträdet handlar enligt instruktion

  1. Personuppgiftsbiträdet får endast behandla personuppgifter enligt dokumenterad instruktion från den Personuppgiftsansvarige, jfr Bilaga A, om det inte krävs enligt EU-rätt eller nationell rätt.
  2. Personuppgiftsbiträdet underrättar omedelbart den Personuppgiftsansvarige om en instruktion enligt Personuppgiftsbiträdets bedömning strider mot dataskyddsförordningen.

4. Sekretess

  1. Personuppgiftsbiträdet får endast ge tillgång till personuppgifter till personer som omfattas av tystnadsplikt, och endast i nödvändig omfattning.
  2. Åtkomstlistor granskas löpande och stängs när åtkomst inte längre är nödvändig.

5. Behandlingssäkerhet

  1. Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en skyddsnivå som är lämplig i förhållande till risken med behandlingen, jfr dataskyddsförordningens artikel 32.
  2. SaberTask LDA arbetar aktivt mot ISO 27001-certifiering och övervakar löpande sin GDPR-efterlevnad via Sprinto (automatiserad efterlevnadsövervakning). Relevanta säkerhetsåtgärder omfattar bland annat:
    • Kryptering av personuppgifter under överföring och lagring
    • Åtkomststyrning och rollbaserade behörigheter
    • Kontinuerlig loggning och övervakning av system
    • Rutiner för incidenthantering och säkerhetshändelser
  3. Personuppgiftsbiträdet bistår den Personuppgiftsansvarige med uppgifter om vidtagna säkerhetsåtgärder när detta är nödvändigt för den Personuppgiftsansvariges efterlevnad av artikel 32.

6. Underbiträden

  1. Personuppgiftsbiträdet arbetar under en generell godkännandeordning, jfr dataskyddsförordningens artikel 28.2. Den Personuppgiftsansvarige ger härmed generellt förhandsgodkännande för användning av de underbiträden som framgår av Bilaga B.
  2. Personuppgiftsbiträdet underrättar den Personuppgiftsansvarige skriftligen om planerade ändringar gällande tillägg eller byte av underbiträden minst 30 dagar innan de tas i bruk. Den Personuppgiftsansvarige har rätt att göra motiverad invändning inom denna frist. Parterna ska i så fall diskutera invändningen i god tro. Om parterna inte kan nå enighet inom 14 dagar efter invändningen kan den Personuppgiftsansvarige säga upp Avtalet med 30 dagars skriftligt varsel.
  3. Personuppgiftsbiträdet ålägger underbiträden samma dataskyddsskyldigheter som de som framgår av detta Avtal.
  4. Personuppgiftsbiträdet förblir fullt ansvarigt gentemot den Personuppgiftsansvarige även om ett underbiträde inte uppfyller sina skyldigheter.

7. Överföring till tredjeland

  1. Behandling sker huvudsakligen inom EU/EES. Eventuell överföring till tredjeland sker endast på grundval av dokumenterad instruktion från den Personuppgiftsansvarige och i enlighet med dataskyddsförordningens kapitel V.
  2. Relevanta överföringsgrunder för godkända underbiträden (jfr Bilaga B) anges däri.

8. Bistånd till den Personuppgiftsansvarige

  1. Personuppgiftsbiträdet bistår, i den mån det är möjligt, den Personuppgiftsansvarige med att uppfylla de registrerades rättigheter (tillgång, rättelse, radering, dataportabilitet m.m.), jfr dataskyddsförordningens kapitel III.
  2. Personuppgiftsbiträdet bistår vidare den Personuppgiftsansvarige med:
    • Anmälan av personuppgiftsincidenter till tillsynsmyndigheten (inom 72 timmar)
    • Underrättelse av registrerade vid incident med hög risk
    • Genomförande av konsekvensbedömningar (DPIA) när det är relevant

9. Underrättelse om säkerhetsincidenter

  1. Personuppgiftsbiträdet underrättar den Personuppgiftsansvarige utan onödigt dröjsmål och senast inom 48 timmar efter att ha fått kännedom om en personuppgiftsincident.
  2. Underrättelsen ska som minimum innehålla: incidentens karaktär, berörda kategorier och antal registrerade, sannolika konsekvenser samt vidtagna eller planerade avhjälpande åtgärder.

10. Radering och återlämnande av uppgifter

  1. Vid avtalets upphörande raderar Personuppgiftsbiträdet alla personuppgifter som behandlats för den Personuppgiftsansvariges räkning och bekräftar skriftligen att radering har genomförts - om inte lagstiftning kräver fortsatt lagring.
  2. Den Personuppgiftsansvarige kan före upphörande begära utlämning av data i ett standardformat (CSV, Excel eller JSON).

11. Granskning och inspektion

  1. Personuppgiftsbiträdet ställer all information som är nödvändig för att påvisa efterlevnaden av dataskyddsförordningens artikel 28 och detta Avtal till den Personuppgiftsansvariges förfogande.
  2. Personuppgiftsbiträdet möjliggör granskning och inspektion, bland annat via Personuppgiftsbiträdets löpande efterlevnadsrapporter från Sprinto, som kan tillhandahållas på begäran.

12. Skadeståndsansvar och ansvarsbegränsning

  1. Personuppgiftsbiträdets samlade skadeståndsansvar gentemot den Personuppgiftsansvarige är begränsat till ett belopp motsvarande 6 månaders abonnemangsavgifter som betalats av den Personuppgiftsansvarige enligt Huvudavtalet under de 6 månader som föregick den händelse som gav upphov till kravet.

13. Ikraftträdande och upphörande

  1. Detta Avtal träder i kraft vid båda Parters underskrift och gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
  2. Avtalet kan omförhandlas om lagändringar eller väsentliga ändringar i behandlingens karaktär ger anledning till det.
  3. Vid Huvudavtalets upphörande upphör detta Avtal efter att skyldigheterna i § 10 har uppfyllts.

14. Tillämplig lag och laga domstol

  1. Varje tvist i samband med detta Avtal avgörs av de danska domstolarna och regleras av dansk rätt.

15. Kontaktpersoner

För Personuppgiftsbiträdet (SaberTask LDA)

Sebastian Reipuert Søe-Pedersen, Co-Founder & CTO. E-post: sebastian@sabertask.com

För den Personuppgiftsansvarige

Fylls i av kunden vid avtalets ingående.

16. Underskrifter

Detta Avtal ingås elektroniskt som en del av kundens onboarding och kontrasigneras av SaberTask LDA. En undertecknad kopia tillhandahålls på begäran.

Bilaga A - Uppgifter om behandlingen

Ändamål med behandlingen

Drift och administration av SaberTask-plattformen för hantering av den Personuppgiftsansvariges serviceverksamhet, inklusive uppgiftshantering, tidsregistrering, frånvarohantering, ackordslöneberäkning och löneexport.

Behandlingens karaktär

Insamling, registrering, organisering, lagring, anpassning, sökning, användning och radering av personuppgifter.

Typer av personuppgifter

  • Namn och anställningsnummer
  • Arbetsuppgifter och tidsregistreringar
  • Frånvaro- och sjukanmälningsdata
  • Lönedata (ackordslön, tillägg)
  • GPS-/ruttdata i samband med utförande av uppgifter
  • Eventuella kommentarer och bilder kopplade till uppgifter

Kategorier av registrerade

Den Personuppgiftsansvariges anställda och arbetsledare.

Behandlingens varaktighet

Så länge Huvudavtalet är i kraft. Vid upphörande raderas data i enlighet med § 10.

Plats för behandling

Huvudsakligen inom EU/EES via Microsoft Azure (se Bilaga B).

Bilaga B - Godkända underbiträden

UnderbiträdeÄndamålÖverförda dataLandÖverföringsgrund
Microsoft Azure (Microsoft Ireland Operations Ltd.)Molnhosting och datalagringAlla personuppgifter i plattformen, jfr Bilaga AIrland (EU)Behandling inom EU/EES
Postmark (ActiveCampaign, LLC)Transaktionellt e-postutskickNamn och e-postadress till mottagarenUSAEU-US Data Privacy Framework
Google Maps (Google Ireland Ltd.)Kartvisning och ruttoptimeringAdresser och geografiska koordinater (inte kopplade till person eller ID)Irland (EU)Behandling inom EU/EES
Mapbox (Mapbox Inc.)Kartvisning och ruttoptimeringAdresser och geografiska koordinater (inte kopplade till person eller ID)USAEU-US Data Privacy Framework
inMobile ApSTransaktionellt SMS-utskickMobilnummer och namn på mottagarenDanmark (EU)Behandling inom EU/EES (ISAE 3000-certifierad)
Anthropic, PBCAI-behandling av uppladdade dokument (Claude)Innehåll i dokument som användare laddar upp till plattformens AI-funktioner - inte personuppgifter från övriga systemdataUSAEU-US Data Privacy Framework

Personuppgiftsbiträdet underrättar den Personuppgiftsansvarige skriftligen minst 30 dagar innan nya underbiträden läggs till.