Databehandlingsavtal
Senast uppdaterad: mars 2025
Detta Databehandlingsavtal är baserat på Common Paper Data Processing Agreement Standard Terms Version 1.1, anpassat för Fjellrides plattform för uthyrningshantering.
Licens: Common Paper Data Processing Agreement är licensierat under CC BY 4.0. Detta dokument är ett bearbetat verk anpassat för Fjellride. Originalverk © Common Paper.
Omslagssida
För att använda detta DPA måste parterna slutföra och underteckna eller elektroniskt acceptera denna Omslagssida. Versaler har den betydelse som anges på denna Omslagssida eller i Standardvillkoren nedan.
Parter
| Variabel | Betydelse |
|---|---|
| Leverantör | Fjellride AB, Kronetorpsgatan 64F, 212 26 Malmö, Sverige, org.nr 559573-3089 |
| Kund | Den juridiska person som accepterar Molntjänsteavtalet och detta DPA |
| Avtal | Molntjänsteavtalet mellan Leverantör och Kund |
| Styrande medlemsstat | Sverige |
| Leverantörens säkerhetskontakt | hello@fjellride.se |
| Säkerhetspolicy | Säkerhetsdokumentationen på https://fjellride.se/security |
Bilaga I(B) – Beskrivning av behandlingen
Behandlingens föremål: Tillhandahållande av Fjellride-plattformen inklusive uthyrningshantering, bokningssystem, betalningshantering, lagerhantering och relaterade tjänster.
Behandlingens art och ändamål: Behandling av Kundens personuppgifter såsom nödvändigt för att tillhandahålla och underhålla Tjänsten, inklusive lagring, visning och överföring av data för bokningar, kundhantering, betalningar och plattformsfunktionalitet.
Behandlingens varaktighet: Under Avtalets löptid och tills Kund instruerar radering, plus eventuell kvarhållningsperiod enligt tillämplig lag.
Kategorier av registrerade:
- Kundens slutkunder (uthyrare, bokare)
- Kundens anställda och behöriga användare
- Andra individer vars data Kund lämnar till Tjänsten
Kategorier av personuppgifter:
- Namn, e-post, telefon, adresser
- Signaturer
- Bokningsinformation
- Betalningsinformation (behandlas via Stripe Connect)
- Uthyrningshistorik
- Data lagrad i anpassade fält och anteckningar
- Övrig data som Kund lämnar till Tjänsten
Särskilda kategorier av data: Inga (Kund lämnar inte särskilda kategorier om inte särskilt överenskommet).
Överföringens frekvens: Kontinuerlig, efter behov för Tjänstens tillhandahållande.
Bilaga II – Tekniska och organisatoriska åtgärder
Leverantör implementerar följande åtgärder (enligt beskrivningen i Säkerhetspolicyn):
- Kryptering: TLS 1.2+ för data under överföring; kryptering i vila i databasen
- Åtkomstkontroll: Row Level Security, rollbaserad åtkomstkontroll, säker autentisering (bcrypt, magic links)
- Nätverkssäkerhet: DDoS-skydd, WAF, frekvensbegränsning
- Underentreprenörsövervakning: Skriftliga avtal med underentreprenörer som inkluderar dataskyddsskyldigheter
- Incidenthantering: Procedurer för underrättelse om säkerhetsincidenter inom 72 timmar
- Personalens sekretess: Kontraktuella sekretessskyldigheter för personal
- Säkerhetskopior: Regelbundna krypterade säkerhetskopior
Bilaga III – Godkända underentreprenörer
| Underentreprenör | Plats | Behandlingsaktiviteter |
|---|---|---|
| Stripe | Irland (EU) | Betalningshantering |
| Supabase | EU (Stockholm, Sverige) | Databas hosting |
| AWS | eu-north-1 (Stockholm, Sverige) | Infrastruktur hosting |
| Google Cloud Platform | eu-north1 (Stockholm, Sverige) | Infrastruktur hosting |
| SendGrid | EU | E-postleverans |
| Vercel Analytics | Stockholm, Sverige / EU | Webbplatsanalys |
| Sentry | EU | Felövervakning |
| Uptime-övervakning | Globalt | Tjänsttillgänglighet |
En uppdaterad lista finns på https://fjellride.se/security eller via hello@fjellride.se. Leverantör underrättar Kund minst 10 arbetsdagar i förväg innan tillägg eller ersättning av underentreprenörer.
---
DPA Standardvillkor
Dessa Standardvillkor är baserade på Common Paper Data Processing Agreement Standard Terms Version 1.1 (9 maj 2025). De ursprungliga villkoren finns på https://commonpaper.com/standards/data-processing-agreement/1.1/
1. Förordnad och underentreprenörsrelationer
1.1 Leverantör som förordnad. När Kund är personuppgiftsansvarig för Kundens personuppgifter är Leverantör förordnad som behandlar personuppgifter på uppdrag av Kund.
1.2 Leverantör som underentreprenör. När Kund är förordnad för Kundens personuppgifter är Leverantör underentreprenör för dessa data.
2. Behandling
2.1 Behandlingsdetaljer. Bilaga I(B) på Omslagssidan beskriver behandlingens föremål, art, ändamål och varaktighet samt kategorier av personuppgifter och registrerade.
2.2 Behandlingsinstruktioner. Kund instruerar Leverantör att behandla Kundens personuppgifter: (a) för att tillhandahålla och underhålla Tjänsten; (b) enligt Kundens användning av Tjänsten; (c) enligt Avtalet; och (d) enligt andra skriftliga instruktioner från Kund. Leverantör följer dessa instruktioner om inte förbjudet av tillämplig lag. Leverantör informerar Kund omedelbart om den inte kan följa instruktionerna.
2.3–2.6 Behandling av Leverantör, Kundens behandling, samtycke till behandling och Underentreprenörer – enligt den engelska versionen.
3. Begränsade överföringar
3.1–3.4 Auktorisering, EES-överföringar (EEA SCCs), UK-överföringar (UK Addendum) och andra internationella överföringar – enligt den engelska versionen. Styrande medlemsstat: Sverige.
4. Säkerhetsincidenthantering
Vid medvetenhet om säkerhetsincident underrättar Leverantör Kund utan dröjsmål (senast 72 timmar), tillhandahåller information och vidtar rimliga åtgärder för att begränsa och utreda incidenten.
5. Revision och rapporter
5.1–5.3 Revisionsrätter, säkerhetsrapporter och säkerhetsdue diligence – enligt den engelska versionen. Begäranden ska skickas till hello@fjellride.se, max en gång per år.
6. Samordning och samarbete
6.1–6.2 Svar på förfrågningar, DPIA och DTIA – enligt den engelska versionen.
7. Radering av Kundens personuppgifter
7.1–7.2 Radering av Kund och radering vid DPA:s upphörande – enligt den engelska versionen.
8. Ansvarsbegränsning
8.1–8.3 Ansvarsbegränsningar enligt Avtalet. Krav mot Leverantör får endast framställas av den Kund som är part i Avtalet. Undantag för dataskyddsrättigheter och brott mot EEA SCCs/UK Addendum.
9. Konflikter mellan dokument
Detta DPA utgör del av och kompletterar Avtalet. Vid motsägelse: (1) EEA SCCs eller UK Addendum, (2) detta DPA, (3) Avtalet.
10. Avtalstid
Detta DPA börjar när parterna accepterar denna Omslagssida och Avtalet, och fortsätter tills Avtalet upphör. Parterna förblir bundna av skyldigheterna tills Kund slutar överföra data och Leverantör slutar behandla.
11. Definitioner
Definitioner för Tillämplig lag, Tillämpliga dataskyddslagar, Personuppgiftsansvarig, Kundens personuppgifter, EES, EEA SCCs, GDPR, Personuppgifter, Behandling, Förordnad, Rapport, Begränsad överföring, Säkerhetsincident, Tjänst, Underentreprenör, UK Addendum, UK GDPR – se den engelska versionen.
---
Kontakt
Fjellride AB Kronetorpsgatan 64F 212 26 Malmö Sverige
E-post: hello@fjellride.se Organisationsnummer: 559573-3089