Databehandlaravtal (DPA)

Senast uppdaterad 8 maj 2026

Pilotversion. Detta databehandlaravtal (DPA) är ett pilotminimum. Större kunder och den juristgranskade slutversionen kan begäras separat via e-post: smoothbooking.app@gmail.com.

Detta databehandlaravtal ("DPA") kompletterar användarvillkoren och integritetspolicynavseende personuppgifter som SmoothBooking behandlar för Pro-användarens ("personuppgiftsansvarig") räkning enligt artikel 28 GDPR.

1. Parter

  • Personuppgiftsbiträde: SmoothBooking (FO-nummer Y-tunnus rekisteröidään pian), Osoite ilmoitetaan rekisteröinnin jälkeen.
  • Personuppgiftsansvarig: det företag som registrerat sig som Pro-användare och använder SmoothBooking för att hantera sin egen kundkrets.

2. Behandlingens föremål, varaktighet, art och syfte

  • Föremål: behandling av Pro-användarens egna kunders personuppgifter i SmoothBooking-tjänsten.
  • Varaktighet: avtalet gäller så länge Pro-användarens konto är aktivt och avslutas inom 30 dagar efter borttagning av kontot, med undantag för lagstadgade lagringsskyldigheter.
  • Art och syfte: hantering av tidsbokningar och köer, kundkommunikation, marknadsföringsautomation samt rabatt- och stamkundshantering.

3. Personuppgifter och registrerade

Kategorier av personuppgifter:

  • Identifierare (namn, e-post, telefonnummer)
  • Boknings- och köhistorik
  • Marknadsföringssamtycke och avregistreringshistorik
  • Fritextanteckningar som Pro-användaren skriver om en kund

Registrerade: Pro-användarens slutkunder.

Vi behandlar inte särskilda kategorier av uppgifter enligt artikel 9 GDPR om inte Pro-användaren själv anger sådana i en fritextanteckning. Vi avråder från att lägga in sådana uppgifter i fritextfält.

4. Personuppgiftsbiträdets skyldigheter

SmoothBooking ska:

  • behandla personuppgifter endast enligt dokumenterade instruktioner från personuppgiftsansvarig — i praktiken enligt tjänstens funktionalitet;
  • säkerställa att personal som behandlar personuppgifter är bunden av sekretess;
  • vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (artikel 32 GDPR; se avsnitt 7);
  • bistå personuppgiftsansvarig vid förfrågningar från registrerade (åtkomst, rättelse, radering, begränsning);
  • underrätta personuppgiftsansvarig utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident (se avsnitt 8);
  • inte överföra personuppgifter utanför EU/EES utan en sådan skyddsåtgärd som krävs enligt artiklarna 44–49 GDPR.

5. Personuppgiftsansvarigs skyldigheter

Pro-användaren ska:

  • säkerställa att det finns en laglig grund för behandlingen (avtal, samtycke, berättigat intresse osv.);
  • informera registrerade enligt artiklarna 13/14 GDPR om sin egen behandling;
  • endast föra in personuppgifter som är nödvändiga för det avsedda syftet.

6. Underbiträden

Personuppgiftsansvarig ger ett generellt godkännande att använda underbiträden enligt listan nedan. Aktuell lista finns i integritetspolicyn; vi meddelar nya eller utbytta underbiträden minst 30 dagar i förväg via tjänsten eller e-post. Personuppgiftsansvarig får invända på saklig grund — parterna söker då en lösning, och om en sådan inte hittas får personuppgiftsansvarig säga upp avtalet med omedelbar verkan.

De viktigaste underbiträdena listas i integritetspolicyn.

7. Säkerhet

  • Anslutningar krypteras med TLS 1.2 eller högre.
  • Lösenord lagras som hashvärden, inte i klartext.
  • Produktionsåtkomst är rollbaserad och loggas.
  • Data lagras inom EU/EES när molnplattformen tillåter det; eventuella överföringar till tredjeland baseras på EU:s standardavtalsklausuler.
  • Miljöer (dev/staging/produktion) är separerade och produktionsdata används inte vid testning.

8. Anmälan av personuppgiftsincident

Efter att vi fått kännedom om en personuppgiftsincident underrättar vi personuppgiftsansvarig utan onödigt dröjsmål, senast inom 72 timmar, via e-post till den adress som finns kopplad till Pro-användarens konto. Anmälan innehåller tillgänglig information om incidentens art, effekter och åtgärder.

9. Granskningsrätt

På begäran tillhandahåller vi personuppgiftsansvarig en rimlig mängd skriftlig dokumentation om vår säkerhet och våra processer för att påvisa efterlevnad. Granskning på plats kräver separat avtal om omfattning och kostnadsfördelning.

10. Återlämnande eller radering av data

På personuppgiftsansvarigs begäran eller vid avtalets upphörande:

  • tillhandahåller vi en exportfil med personuppgiftsansvarigs data i maskinläsbart format, och
  • raderar vi data från våra system inom 30 dagar, med undantag för uppgifter där lagring är lagstadgad (t.ex. bokföring).

11. Ansvar

Ansvar mellan personuppgiftsbiträde och personuppgiftsansvarig regleras enligt ansvarsbegränsningarna i avsnitt 16 i användarvillkoren, om inte tvingande lagstiftning (inklusive artikel 82 GDPR) säger annat.

12. Kontakt och ändringar

Frågor om DPA: smoothbooking.app@gmail.com. Väsentliga ändringar meddelas minst 30 dagar i förväg.