Personuppgiftsbiträdesavtal (DPA)

Detta personuppgiftsbiträdesavtal (“Avtalet”) reglerar behandlingen av personuppgifter när Kunden använder Validora. Avtalet gäller mellan Kunden och Validora AB (“Validora”) och kompletterar Användarvillkoren. Avtalet gäller endast när Validora behandlar personuppgifter som personuppgiftsbiträde för Kundens räkning. Senast uppdaterad 2026-01-25.

1. Parter och roller

Kunden är personuppgiftsansvarig för de personuppgifter som Kunden laddar upp eller matar in i Tjänsten och som behandlas på Kundens uppdrag. Validora AB är personuppgiftsbiträde och behandlar personuppgifter endast enligt Kundens dokumenterade instruktioner. I den mån Validora behandlar personuppgifter som personuppgiftsansvarig (t.ex. för kontoadministration, fakturering och säkerhetsloggning) regleras detta i Integritetspolicyn och omfattas inte av detta Avtal.

2. Behandlingens art och ändamål

Föremålet för behandlingen är att tillhandahålla Tjänsten till Kunden. Behandlingen pågår under tiden Kunden använder Tjänsten och i den utsträckning som krävs för support, felsökning och uppfyllande av detta Avtal. Validora behandlar personuppgifter som ingår i de filer och uppgifter Kunden laddar upp eller matar in i Tjänsten, till exempel kontonummer, personnummer och andra lönerelaterade uppgifter. Ändamålet är att möjliggöra kontonummervalidering, filhantering, rapportering av valideringsresultat samt relaterade funktioner enligt Användarvillkoren. Behandlingens art kan omfatta insamling/mottagande, strukturering, lagring, analys/validering, sammanställning, överföring (t.ex. visning för Kundens användare) samt radering. Kategorier av registrerade kan omfatta Kundens anställda, uppdragstagare, leverantörer eller andra personer vars uppgifter förekommer i Kundens filer.

3. Instruktioner från Kunden

Validora får endast behandla personuppgifter i enlighet med detta Avtal, Användarvillkoren och Kundens dokumenterade instruktioner. Instruktioner kan lämnas genom Kundens användning av Tjänsten och dess funktioner, samt genom skriftliga instruktioner till support. Validora får inte använda uppgifterna för egna ändamål och ska säkerställa att personer som behandlar personuppgifter omfattas av lämpliga sekretessåtaganden. Om Validora bedömer att en instruktion strider mot tillämplig dataskyddslagstiftning ska Validora utan onödigt dröjsmål informera Kunden. Validora ska, i skälig omfattning och med beaktande av Tjänstens natur, bistå Kunden med att uppfylla sina skyldigheter enligt GDPR, exempelvis avseende registrerades rättigheter och incidenthantering. Om biståndet kräver väsentliga arbetsinsatser utöver normal support har Validora rätt att ta ut skälig ersättning.

4. Säkerhet

Validora ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter, med beaktande av behandlingens art, risker och den tekniska utvecklingen, bland annat:

  • kryptering och skydd av data i transit (HTTPS) samt andra lämpliga skyddsåtgärder för kommunikation,
  • åtkomstkontroll och behörighetsstyrning enligt principen om minsta privilegium samt autentisering,
  • loggning och övervakning för drift och säkerhet, inklusive detektion av misstänkt aktivitet och utformning av loggar för att minimera exponering av personuppgifter,
  • regelbundna säkerhetsuppdateringar, sårbarhetshantering och rutiner för att åtgärda identifierade risker.

5. Underbiträden

Kunden lämnar härmed ett generellt godkännande till att Validora anlitar underbiträden för behandlingen. För närvarande används följande underbiträden:

  • Supabase – databas och autentisering.
  • Vercel – hosting av frontend.
  • Render – hosting av backend.
  • Brevo – transaktionella e-postutskick (EU-baserat personuppgiftsbiträde).

Validora ansvarar för att personuppgiftsbiträdesavtal finns med samtliga underbiträden och att dessa uppfyller kraven i GDPR. Vid väsentliga ändringar i listan över underbiträden informerar Validora Kunden genom uppdatering av denna sida eller via e-post. Kunden har rätt att invända mot ett nytt underbiträde på saklig grund inom skälig tid från sådan information.

För betalningshantering använder Validora Stripe. Stripe är en självständigt personuppgiftsansvarig part och behandlar personuppgifter enligt sina egna villkor och personuppgiftspolicy. Stripe omfattas därför inte av detta personuppgiftsbiträdesavtal.

6. Överföring till tredje land

Validora behandlar personuppgifter i första hand inom EU/EES. För vissa underbiträden med global infrastruktur eller etablering utanför EU/EES sker behandling av personuppgifter med stöd av EU:s standardavtalsklausuler (SCC) och, när det krävs, kompletterande skyddsåtgärder i enlighet med GDPR. På begäran kan Validora lämna information om tillämplig överföringsmekanism.

7. Incidenter

Vid personuppgiftsincident ska Validora utan onödigt dröjsmål och så snart som praktiskt möjligt efter att incidenten konstaterats informera Kunden och tillhandahålla tillgänglig information som krävs för att Kunden ska kunna uppfylla sina skyldigheter enligt GDPR. Informationen kan omfatta incidentens art, berörda kategorier av personuppgifter och registrerade, sannolika konsekvenser samt vidtagna eller planerade åtgärder för att hantera incidenten och minska dess negativa effekter.

8. Radering och återlämnande

När Avtalet upphör ska Validora, efter Kundens val, radera eller återlämna personuppgifter samt radera befintliga kopior från aktiv miljö inom skälig tid, såvida inte lag kräver fortsatt lagring (t.ex. bokföringsunderlag). Personuppgifter som ingår i säkerhetskopior kan kvarstå till dess att backupcykler roterats, men kommer inte att användas för andra ändamål.

9. Revision

Kunden har rätt att på begäran få information om de tekniska och organisatoriska åtgärder som Validora vidtar för att uppfylla detta Avtal och GDPR. Sådan information ska i första hand tillhandahållas genom skriftlig dokumentation eller andra fjärrbaserade kontroller. Om ytterligare revision krävs ska den planeras i samråd och genomföras med rimligt varsel, under normal kontorstid och på ett sätt som inte oskäligt stör Validoras verksamhet eller äventyrar andra kunders säkerhet. Revision får inte omfatta åtkomst till andra kunders data och får genomföras högst en gång per tolvmånadersperiod, om inte tvingande lag kräver annat. Kunden står för egna kostnader och, om revisionen kräver väsentliga arbetsinsatser från Validora, även skäliga kostnader för Validoras medverkan. Parterna ska iaktta sekretess kring säkerhetsrelaterad information.

Validora – Stoppa felaktiga utbetalningar innan de når banken