Tillbaka

Personuppgiftsbiträdesavtal (DPA)

Version 1.0 · Senast uppdaterad: 12 maj 2026

Detta personuppgiftsbiträdesavtal ("DPA") tillämpas när du som företagskund ("Kunden") använder Qby för att behandla personuppgifter där Kunden är personuppgiftsansvarig och Qby är personuppgiftsbiträde. DPA:n ingår automatiskt som del av användarvillkoren vid företagskonton. Behöver din organisation ett signerat exemplar — kontakta support@qby.se.

1. Parter

  • Personuppgiftsansvarig: Kunden (det företag som tecknat avtal om Qby).
  • Personuppgiftsbiträde: Qby, enskild näringsverksamhet, innehavare Hannes Forseth, org./personnr. [fylls i].

2. Föremål och varaktighet

Qby behandlar personuppgifter åt Kunden i den omfattning som krävs för att leverera Tjänsten enligt användarvillkoren. DPA:n gäller så länge Kunden har ett aktivt konto och upp till 30 dagar efter avslut för rensning av data.

3. Behandlingens art och syfte

  • Lagring och tillgängliggörande av Kundens projektdata (IFC, TB, kommentarer).
  • Bearbetning för mängdavtagning, gruppering och kalkyl.
  • AI-assisterad analys och produktmatchning (se punkt 7).
  • Export av data till format Kunden begär.

4. Typ av personuppgifter och registrerade

Kunden bestämmer vilka personuppgifter som laddas upp. Vanligen kan följande förekomma:

  • Kategorier av uppgifter: Namn, e-post, befattning, kommentarer, fastighetsbeteckningar, samt eventuella personuppgifter i TB- eller IFC-metadata.
  • Kategorier av registrerade: Kundens anställda, konsulter, projektörer, beställare, eventuella fastighetsägare som anges i projektdokument.
  • Känsliga uppgifter: Kunden får inte ladda upp särskilda kategorier av personuppgifter (art. 9) eller uppgifter om lagöverträdelser (art. 10) utan föregående skriftlig överenskommelse.

5. Kundens skyldigheter (personuppgiftsansvarig)

  • Säkerställa lagligheten i den behandling som sker via Tjänsten.
  • Endast lämna instruktioner till Qby som är förenliga med GDPR.
  • Informera registrerade och inhämta nödvändiga samtycken eller annan rättslig grund.
  • Inte ladda upp personuppgifter som Kunden saknar rätt att behandla.

6. Qbys skyldigheter (personuppgiftsbiträde)

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden — dessa instruktioner utgörs av användarvillkoren, denna DPA samt Kundens användning av Tjänstens funktioner.
  • Säkerställa att personer med åtkomst till data omfattas av tystnadsplikt.
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt GDPR art. 32 (se punkt 9).
  • Bistå Kunden vid begäranden från registrerade (åtkomst, rättelse, radering, portabilitet, invändning) i den utsträckning Qby kan.
  • Bistå Kunden med konsekvensbedömningar (DPIA) och förhandssamråd när det är relevant.
  • Anmäla personuppgiftsincidenter till Kunden utan onödigt dröjsmål, senast 48 timmar efter att Qby fått kännedom om incidenten.
  • På Kundens begäran lämna information som behövs för att visa att skyldigheterna uppfylls.

7. AI-behandling

Tjänstens AI-funktioner skickar relevanta delar av Kundens data till externa AI-leverantörer (Anthropic, OpenAI). Kunden godkänner att sådan behandling sker som en del av Tjänsten. Qby skickar endast den data som är nödvändig för det aktuella anropet och har avtalsmässiga skydd mot att data används för träning av grundmodeller. Detaljer finns i integritetspolicyn och i listan över underbiträden.

8. Underbiträden

Kunden godkänner att Qby anlitar de underbiträden som anges på /sub-processors. Qby säkerställer att samtliga underbiträden är bundna av minst lika långtgående dataskyddsåtaganden som denna DPA. Vid tillägg eller byte av väsentligt underbiträde meddelas Kunden minst 30 dagar i förväg via e-post eller i Tjänsten, och Kunden har rätt att invända. Vid välgrundad invändning får Kunden säga upp Tjänsten utan uppsägningstid.

9. Säkerhetsåtgärder

  • TLS-kryptering (HTTPS) för all dataöverföring.
  • Kryptering i vila för databas och fil-storage.
  • Row-Level Security (RLS) som isolerar Kundens data från andra kunder.
  • Stark autentisering, rate limiting och anomalidetektion på API:er.
  • Roll- och behörighetsstyrd åtkomst för Qby-personal.
  • Loggning av administrativa åtgärder och säkerhetshändelser.
  • Regelbundna backuper och återställningstester av databasen.

10. Tredjelandsöverföring

Vid överföring av personuppgifter till tredje land tillämpar Qby skyddsåtgärder enligt GDPR kap. V — i första hand standardavtalsklausuler (SCC), EU-US Data Privacy Framework eller adekvansbeslut. Översikt finns på /sub-processors.

11. Granskning

Qby ska på Kundens skriftliga begäran (max en gång per år, eller efter en incident) tillhandahålla dokumentation som styrker efterlevnaden av denna DPA. Granskningar på plats måste avtalas minst 30 dagar i förväg och bekostas av Kunden, om inte annat överenskommits.

12. Återlämning och radering

Vid avslut av Tjänsten kan Kunden under den sista betalperioden exportera projektdata via Tjänstens exportfunktioner eller på begäran från support. Senast 30 dagar efter avslut raderar Qby Kundens data, om inte annat krävs av lag (t.ex. bokföringskrav). Backuper med Kundens data raderas inom backuprotationens gällande cykel (max 90 dagar).

13. Ansvar

Vardera parts ansvar enligt denna DPA följer ansvarsbegränsningarna i användarvillkoren (punkt 11) i den utsträckning tvingande lag tillåter.

14. Företräde

Vid motstridighet mellan denna DPA och övriga delar av avtalet om Tjänsten har denna DPA företräde i frågor som rör behandling av personuppgifter.

15. Kontakt

Frågor om denna DPA eller begäran om signerat exemplar: support@qby.se