Personuppgiftsbiträdesavtal

Senast uppdaterad: 2026-06-04

Detta personuppgiftsbiträdesavtal ("Avtalet") har ingåtts mellan:

PersonuppgiftsansvarigKunden ("Kunden", "Personuppgiftsansvarig"); och

PersonuppgiftsbiträdeRoughly Right AB, org.nr 556912-2871 ("Roughly Right", "Personuppgiftsbiträdet")

Tillsammans "Parterna" och individuellt en "Part".

Detta Avtal utgör en del av de allmänna villkoren mellan Parterna och är inkorporerat genom hänvisning. Vid eventuella motstridigheter har detta Avtal företräde framför de allmänna villkoren.

1. Bakgrund

Avtalet reglerar den behandling av personuppgifter som Roughly Right utför för Kundens räkning, i enlighet med de allmänna villkoren. Roughly Right behandlar personuppgifter uteslutande enligt Kundens instruktioner och i enlighet med gällande rätt.

2. Definitioner

De begrepp som används i Avtalet har samma betydelse som anges i artikel 4 i dataskyddsförordningen (GDPR).

"Gällande rätt" avser den lagstiftning som är tillämplig på behandlingen av personuppgifter enligt detta Avtal, inklusive dataskyddsförordningen, kompletterande nationell lagstiftning samt praxis, vägledningar och rekommendationer utfärdade av en tillsynsmyndighet.

"Behandling" avser varje åtgärd som vidtas med personuppgifter, t.ex. lagring, ändring, läsning, överlämning m.m.

"Personuppgifter" avser all information som kan härledas till en identifierbar levande person.

"Personuppgiftsansvarig" är det företag/organisation som bestämmer för vilka ändamål och på vilket sätt personuppgifterna ska behandlas och som ansvarar för att behandlingen sker i enlighet med gällande rätt.

"Personuppgiftsbiträde" är det företag/organisation som behandlar personuppgifter för den personuppgiftsansvariges räkning och därmed endast får behandla personuppgifterna enligt den personuppgiftsansvariges instruktioner och gällande rätt.

"Registrerad" avser den levande person vars personuppgifter behandlas.

"Tillsynsmyndighet" avser svensk eller EU-myndighet med ansvar för tillsyn av efterlevnaden av dataskyddslagstiftningen, inklusive Integritetsskyddsmyndigheten (IMY).

3. Beskrivning av behandlingen

Kategorier av registrerade

Roughly Right instrueras att behandla uppgifter som identifierar Kundens:

  • Anställda
  • Kunder
  • Leverantörer
  • Konsulter

Kategorier av personuppgifter

  • Kontaktuppgifter
  • Stillbilder och/eller rörliga bilder
  • Alla kategorier av personuppgifter som Kunden väljer att registrera i Tjänsten
  • Löneuppgifter för anställda

Källa

Personuppgifter som behandlas enligt detta Avtal härrör från:

  • Kundens anställda som registrerar uppgifter i Tjänsten
  • Uppgifter som Kunden samlar in direkt från de registrerade

Ändamål

Att möjliggöra för Kunden att hantera sin tid och ekonomi via Roughly Rights tjänst.

Behandlingens art

Lagring och bearbetning.

4. Roughly Rights åtaganden

Roughly Right åtar sig att:

  • Endast behandla personuppgifter i enlighet med detta Avtal, för de ändamål som anges i de allmänna villkoren, enligt Kundens dokumenterade instruktioner och vid var tid gällande rätt.
  • Iaktta och tillämpa principerna för behandling av personuppgifter som framgår av artikel 5 i dataskyddsförordningen.
  • Bistå Kunden, genom lämpliga tekniska och organisatoriska åtgärder, med att besvara begäranden från registrerade som utövar sina rättigheter, samt med att genomföra konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheter där så krävs.
  • Omedelbart meddela Kunden om Roughly Right bedömer att någon instruktion från Kunden är ofullständig, bristfällig eller strider mot gällande rätt. Roughly Right förbehåller sig rätten att avstå från att följa instruktioner som strider mot gällande rätt.
  • Om Roughly Right självständigt fastställer ändamål och medel för behandlingen utöver vad som anges i detta Avtal, ska Roughly Right anses vara personuppgiftsansvarig för den nya behandlingen.

5. Kundens åtaganden

Kunden:

  • Bestämmer ändamål och medel för behandlingen och behåller äganderätten till och den formella kontrollen över de personuppgifter som behandlas av Roughly Right.
  • Är ansvarig gentemot de registrerade för behandlingen av deras personuppgifter.
  • Ansvarar för att personuppgifterna är korrekta och uppdaterade.

6. Personuppgiftsincidenter

Vid oavsiktlig eller otillåten förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter ("Personuppgiftsincident") ska Roughly Right utan onödigt dröjsmål och senast inom åtta (8) timmar från att incidenten upptäcktes skriftligen informera Kunden på de kontaktuppgifter som framgår av bilaga 3.

Informationen ska, i den mån den är tillgänglig, åtminstone innehålla:

a. En beskrivning av omständigheterna kring incidentenb. Incidentens art, inklusive kategorier av och det ungefärliga antalet registrerade och personuppgifter som berörsc. De sannolika konsekvenserna av incidentend. Vidtagna eller föreslagna åtgärder för att hantera incidenten och begränsa dess effektere. Kontaktuppgifter för ytterligare information

Om det inte är möjligt att lämna all information vid ett tillfälle får den lämnas i omgångar utan onödigt ytterligare dröjsmål.

7. Revision och granskning

Roughly Right ska på Kundens begäran ge denne tillgång till all information som krävs för att visa att Roughly Rights skyldigheter enligt gällande rätt och detta Avtal har fullgjorts.

Om sådan information inte rimligen kan anses tillräcklig har Kunden rätt att genomföra fysiska granskningar. Roughly Right ska möjliggöra och bidra till granskningar och inspektioner som genomförs av Kunden eller av Kunden utsedd opartisk tredje part.

Kunden ska skriftligen meddela Roughly Right om planerad granskning minst tio (10) arbetsdagar i förväg.

Granskning får endast genomföras:

  • Under normal kontorstid
  • Efter att Kunden har säkerställt att de som utför granskningen lyder under lämpliga sekretessåtaganden
  • I enlighet med Roughly Rights interna policyer och säkerhetsrutiner

Vardera Part står för sina egna kostnader i samband med granskning. Om ytterligare granskning begärs inom ett (1) år från avslutad granskning ska Kunden stå för samtliga kostnader.

8. Underbiträden

Roughly Rights godkända underbiträden framgår av bilaga 1. Om Roughly Right planerar att anlita ett nytt underbiträde eller byta ut ett befintligt ska Kunden informeras minst fem (5) arbetsdagar i förväg.

Om Kunden har rimliga skäl att invända mot ett underbiträde ska Parterna i första hand söka ett lämpligt alternativ. Om inget alternativ hittas har Kunden rätt att säga upp detta Avtal och (i förekommande fall) de allmänna villkoren.

Roughly Right ska säkerställa att varje underbiträde är bundet av skyldigheter motsvarande de i detta Avtal. Roughly Right är fullt ansvarigt gentemot Kunden för underbiträdenas åtgärder eller underlåtenhet att vidta åtgärder.

Roughly Right ska hålla en uppdaterad förteckning över underbiträden, tillgänglig för Kunden på begäran.

9. Register och dataskyddsombud

Roughly Right ska föra ett skriftligt register över behandlingsaktiviteter i enlighet med artikel 30.2 i dataskyddsförordningen. Registret ska göras tillgängligt för Kunden på begäran.

I förekommande fall framgår kontaktuppgifter till Roughly Rights dataskyddsombud av bilaga 3.

10. Kontakt med tillsynsmyndighet och registrerade

Roughly Right ska utan dröjsmål informera Kunden om all kontakt från en registrerad, tillsynsmyndighet eller annan tredje part avseende behandlingen av personuppgifter enligt detta Avtal.

Om en registrerad framställer en begäran till Roughly Right om sina rättigheter ska Roughly Right hänvisa denne till Kunden.

Roughly Right har inte rätt att företräda Kunden eller på annat sätt agera för Kundens räkning gentemot registrerade, tillsynsmyndigheter eller andra tredje parter.

11. Tekniska och organisatoriska säkerhetsåtgärder

Roughly Right ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot obehörig eller otillåten åtkomst, i enlighet med bilaga 2.

Åtgärdernas lämplighet ska bedömas med beaktande av den senaste tekniska utvecklingen, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål, liksom de risker behandlingen medför för de registrerades rättigheter och friheter.

Roughly Right ska säkerställa att endast anställda och konsulter som behöver tillgång till personuppgifter beviljas sådan, och att de som har tillgång är bundna av lämpliga sekretessåtaganden.

12. Kontroll över personuppgifter

Roughly Right ska säkerställa att personuppgifterna inte oavsiktligt eller otillåtet förstörs, ändras eller förvanskas, och att de skyddas mot obehörig åtkomst vid lagring, överföring och annan behandling.

13. Överföring av personuppgifter utanför EU/EES

Roughly Right behandlar i första hand personuppgifter inom EU/EES. Vid behandling utanför EU/EES ska Roughly Right säkerställa att något av följande krav är uppfyllt:

  • EU-kommissionen har fastställt att landet säkerställer en adekvat skyddsnivå
  • EU-kommissionens standardavtalsklausuler (SCC) för tredjelandsöverföringar tillämpas
  • Andra lämpliga skyddsåtgärder i enlighet med gällande rätt har vidtagits

14. Ansvar och ersättningsskyldighet

Roughly Right ansvarar för direkta skador som uppkommer till följd av att personuppgifter behandlats i strid med Kundens instruktioner enligt detta Avtal och gällande rätt. Ansvaret är begränsat till värdet av Kundens årliga licensavgifter. Ersättning ska inte betalas om kravet avser behandling som godkänts eller utförts enligt Kundens instruktioner.

Roughly Right ansvarar inte för indirekta skador eller följdskador såsom förlorade intäkter, kontrakt, kunder, affärsmöjligheter, goodwill eller förväntade besparingar.

Force majeure: ingen Part är ansvarig för sina åtaganden enligt detta Avtal om fullgörandet hindras av en extraordinär omständighet utanför Partens kontroll som Parten inte skäligen kunde ha förutsett, undvikit eller övervunnit.

15. Sekretess

Roughly Right får inte använda information eller material som erhållits inom ramen för detta Avtal för något annat syfte än att fullgöra sina åtaganden. Roughly Right får inte röja information om behandlingen av personuppgifter eller innehållet i personuppgifterna till någon tredje part, utom när detta krävs enligt lag.

Sekretessåtagandet gäller från och med den dag Avtalet träder i kraft och gäller utan tidsbegränsning därefter. Roughly Right ska säkerställa att åtagandet gäller för alla anställda och övriga som agerar för dess räkning.

16. Giltighetstid och upphörande

Avtalet gäller så länge Roughly Right behandlar personuppgifter för Kundens räkning, eller tills det ersätts av ett nytt personuppgiftsbiträdesavtal.

Roughly Rights åtaganden enligt detta Avtal fortsätter att gälla oavsett uppsägning, så länge Roughly Right behandlar personuppgifter för Kundens räkning.

17. Radering och återlämnande av personuppgifter

Vid Avtalets upphörande ska Roughly Right och eventuella underbiträden antingen radera eller återlämna de personuppgifter som omfattas av Avtalet.

18. Tillämplig lag och tvistelösning

Svensk lag tillämpas på detta Avtal. Den tvistlösningsmekanism som framgår av de allmänna villkoren gäller även för detta Avtal.

Bilaga 1 — Godkända underbiträden

PostmarkTjänst: automatiserade e-postmeddelanden (t.ex. kontoregistrering).Webbplats: postmarkapp.comUppgifter som behandlas: e-post.Skyddsåtgärd: EU-kommissionens standardavtalsklausuler (SCC).

Amazon Web Services (AWS)Tjänst: drift av den publika webbplatsen (roughlyright.com).Webbplats: aws.amazon.comUppgifter som behandlas: IP-adress, webbplatsbesökardata.Skyddsåtgärd: uppgifterna behandlas inom EU/EES.

Digital OceanTjänst: drift av Roughly Rights applikation och all tillhörande användardata.Webbplats: digitalocean.comUppgifter som behandlas: databas, loggar, bilder och alla uppgifter som Kunden registrerar.Skyddsåtgärd: uppgifterna behandlas inom EU/EES.

Google (GSuite)Tjänst: intern e-postleverantör.Webbplats: workspace.google.comUppgifter som behandlas: e-post, namn, uppgifter som uppkommer via kommunikation.Skyddsåtgärd: EU-kommissionens standardavtalsklausuler (SCC).

GScrive
Tjänst: avtalssignering.Webbplats: scrive.comUppgifter som behandlas: e-post, namn.Skyddsåtgärd: uppgifterna behandlas inom EU/EES.

Pipedrive
Tjänst: organisering av Roughly Rights egen kommunikation med potentiella och befintliga kunder. Behandlar inte uppgifter som Kunden registrerar i Roughly Rights applikation.Webbplats: pipedrive.comUppgifter som behandlas: e-post, namn, uppgifter som uppkommer via kommunikation.Skyddsåtgärd: uppgifterna behandlas inom EU/EES.

Datadog
Tjänst: tekniska applikationsloggar.Webbplats: datadoghq.comUppgifter som behandlas: e-post, användar-ID, namn.Skyddsåtgärd: uppgifterna behandlas inom EU/EES.

Google Analytics
Tjänst: analys av webbplats- och apptrafik.Webbplats: analytics.google.comUppgifter som behandlas: IP-adress, operativsystem, webbläsare, geografisk plats.Skyddsåtgärd: EU-kommissionens standardavtalsklausuler (SCC).

Fortnox (valfritt — endast om aktiverat av Kunden)
Tjänst: Kunden kan välja att integrera Roughly Right med Fortnox som bokföringssystem.Webbplats: fortnox.seUppgifter som behandlas: kunder, projekt, leverantörer och fakturor, i den mån Kunden aktiverar integrationen.Skyddsåtgärd: uppgifterna behandlas inom EU/EES.

Marathon (valfritt — endast om aktiverat av Kunden)
Tjänst: Kunden kan välja att integrera Roughly Right med Marathon som bokföringssystem. När integrationen är aktiverad skapar Roughly Right projekt och fakturor i Marathon samt importerar medarbetare och kundinformation från Marathon. Kunden ansvarar för sitt eget avtal med Marathon.Webbplats: marathonservice.seUppgifter som behandlas: medarbetare, kunder, projekt och fakturor, i den mån Kunden aktiverar integrationen.Skyddsåtgärd: uppgifterna behandlas inom EU/EES.

Okta (valfritt — endast om aktiverat av Kunden)
Tjänst: enkel inloggning (SSO). Om Kunden använder Okta som identitetsleverantör skickar Okta identitetsuppgifter (namn, e-post, användar-ID) till Roughly Right för att autentisera användare. Okta agerar som underbiträde till Kunden, inte till Roughly Right. Kunden ansvarar för sitt eget avtal med Okta och för att informera om Oktas roll i sina egna integritetspolicyer.Webbplats: okta.comUppgifter som behandlas: namn, e-post, användar-ID — mottaget från Kundens Okta-instans.Skyddsåtgärd: EU-kommissionens standardavtalsklausuler (SCC).

Google Sign-In (OAuth)
Tjänst: möjliggör för användare att logga in i Roughly Right med sitt Google-konto. Vi använder scopesen openid, userinfo.email och userinfo.profile för att autentisera användare och förifylla deras visningsnamn.Webbplats: developers.google.comUppgifter som behandlas: e-postadress, namn, Google användar-ID.Skyddsåtgärd: EU-kommissionens standardavtalsklausuler (SCC).

Google Kalender API
Tjänst: möjliggör för användare att importera Google Kalender-händelser som tidrapporteringsposter.Webbplats: developers.google.com/calendarUppgifter som behandlas: kalenderhändelsedata (titlar, tider, deltagare) — skrivskyddad, med användarens samtycke.Skyddsåtgärd: EU-kommissionens standardavtalsklausuler (SCC).

Bilaga 2 — Tekniska och organisatoriska säkerhetsåtgärder

Tekniska åtgärder:

  • Säkert nätverk med VPC och brandvägg
  • Kryptering vid överföring och lagring
  • Regelbundna säkerhetskontroller
  • Tvåstegsverifiering
  • Säkerhetskopiering

Organisatoriska åtgärder:

  • Inloggnings- och lösenordshantering
  • Fysisk säkerhet i lokaler
  • Sekretessavtal för anställda och konsulter

Bilaga 3 — Kontaktuppgifter

Roughly Right ABE-post: info@roughlyright.comTelefon: +46 709 42 20 94

It's better to be roughly right than precisely wrong.

BokA demo

© Roughly Right 2025

English
Svenska