bungaflow
Så fungerar detPriserIntegrationer
Logga inKom igång

Personuppgiftsbiträdesavtal

Senast uppdaterad: 25 mars 2026

1. Parter och tillämpningsområde

Detta personuppgiftsbiträdesavtal ("PBA") har ingåtts mellan kunden som använder Bungaflow ("Personuppgiftsansvarig") och Redor AS, organisationsnummer [under registrering], som driver Bungaflow-plattformen ("Personuppgiftsbiträde").

Avtalet reglerar Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den Personuppgiftsansvarige i enlighet med dataskyddsförordningen (GDPR), särskilt artikel 28. Avtalet utgör en integrerad del av tjänsteavtalet mellan parterna och kompletterar integritetspolicyn och användarvillkoren.

2. Definitioner

  • Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person.
  • Behandling: Varje åtgärd som utförs med personuppgifter, inklusive insamling, lagring, ändring, hämtning, utlämning eller radering.
  • Personuppgiftsansvarig: Den part som bestämmer ändamålen och medlen för behandlingen av personuppgifter (kunden — enhetsägare eller organisationsadministratör).
  • Personuppgiftsbiträde: Den part som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige (Redor AS / Bungaflow).
  • Underbiträde: En tredje part som anlitas av Personuppgiftsbiträdet för att utföra specifika behandlingsaktiviteter.
  • Registrerad: Den fysiska person vars personuppgifter behandlas.
  • Tillsynsmyndighet: Den oberoende offentliga myndighet som ansvarar för att övervaka tillämpningen av dataskyddslagstiftningen (i Sverige: Integritetsskyddsmyndigheten, IMY).

3. Föremål och varaktighet

Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige i syfte att tillhandahålla Bungaflow-plattformen, inklusive men inte begränsat till: bokningshantering, kostnadsdelning, uppgiftshantering, meddelanden, underhållslogg, dokumentlagring, gästportal, AI-assistent och relaterade funktioner.

Behandlingen pågår så länge den Personuppgiftsansvarige har ett aktivt konto på Bungaflow-plattformen. Vid uppsägning eller radering av kontot upphör behandlingen och data raderas i enlighet med punkt 12 i detta avtal.

4. Typer av personuppgifter som behandlas

Personuppgiftsbiträdet behandlar följande kategorier av personuppgifter på uppdrag av den Personuppgiftsansvarige:

  • Namn och e-postadresser till enhetsmedlemmar
  • Bokningsdata (datum, typer, medlemskopplingar)
  • Utgiftsdata (belopp, beskrivningar, kvittobilder)
  • Meddelanden och gästboksinlägg
  • Underhållsloggar
  • Uppgiftstilldelningar
  • Gästportaldata (gästnamn, incheckningsinformation)
  • WiFi-lösenord (krypterade med AES-256-GCM)
  • AI-chattkonversationer
  • Push-notifikationsprenumerationer
  • Aktivitetsloggar

5. Kategorier av registrerade

Behandlingen avser följande kategorier av registrerade:

  • Enhetsmedlemmar (administratörer och lite-medlemmar)
  • Gäster (via gästportalen)
  • Organisationsmedlemmar

6. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska:

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige, om inte EU- eller medlemsstatslagstiftning kräver det.
  • Säkerställa att personer som är behöriga att behandla personuppgifter har åtagit sig tystnadsplikt eller omfattas av en lämplig lagstadgad tystnadsplikt.
  • Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken, inklusive:
    • TLS-kryptering för all data under överföring
    • AES-256-GCM-kryptering för känsliga fält (t.ex. WiFi-lösenord)
    • HSTS- och Content Security Policy-headers
    • Rollbaserad åtkomstkontroll (Admin- / Lite-medlemsroller)
    • Automatiserad CI/CD-pipeline med säkerhetsskanning
    • Säkerhet på databasnivå med radsäkerhet och kaskadpolicyer för radering
  • Bistå den Personuppgiftsansvarige med att uppfylla registrerades rättigheter, inklusive rätten till tillgång, rättelse, radering, dataportabilitet och begränsning av behandling.
  • Bistå den Personuppgiftsansvarige med att säkerställa efterlevnad av GDPR artiklarna 32–36 (säkerhet, anmälan av personuppgiftsincidenter, konsekvensbedömningar avseende dataskydd).
  • Efter den Personuppgiftsansvariges val, radera eller returnera alla personuppgifter efter avslutad tjänst, och radera befintliga kopior om inte EU- eller medlemsstatslagstiftning kräver lagring. Kontoradering tar bort alla enhetsdata via kaskadradering.
  • Göra tillgänglig för den Personuppgiftsansvarige all information som krävs för att påvisa efterlevnad av skyldigheterna i GDPR artikel 28.

7. Underbiträden

Den Personuppgiftsansvarige ger generellt tillstånd till Personuppgiftsbiträdet att anlita följande underbiträden:

UnderbiträdeSyftePlatsPBA
Supabase Inc.Databas och autentiseringEU Väst (Irland)Standard PBA
Stripe Inc.BetalningshanteringEU (Irland)Standard PBA
Vercel Inc.Hosting och CDNGlobalt edge, EU ursprungStandard PBA
Resend Inc.E-postleveransUSA (Virginia)Standard PBA
OpenAI Inc.AI-assistentUSAAPI PBA, noll datalagring
Functional Software (Sentry)FelövervakningEU (Frankfurt)Standard PBA
Cookiebot (Cybot A/S)SamtyckehanteringEU (Tyskland)Standard PBA

Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om planerade ändringar avseende tillägg eller byte av underbiträden, och ge den Personuppgiftsansvarige möjlighet att invända mot sådana ändringar inom 14 dagar från underrättelsen.

8. Internationella dataöverföringar

Vissa underbiträden (Resend, OpenAI, Vercels edge-nätverk) kan behandla personuppgifter utanför EU/EES. Sådana överföringar skyddas av EU–US Data Privacy Framework och/eller standardavtalsklausuler (SCCs) antagna av EU-kommissionen, i enlighet med GDPR kapitel V.

9. Anmälan av personuppgiftsincident

Personuppgiftsbiträdet ska underrätta den Personuppgiftsansvarige utan onödigt dröjsmål, och senast inom 48 timmar, efter att ha blivit medvetet om en personuppgiftsincident, i enlighet med GDPR artikel 33. Underrättelsen ska innehålla incidentens art, kategorier och ungefärligt antal berörda registrerade, troliga konsekvenser samt åtgärder som vidtagits eller föreslagits för att hantera incidenten.

10. Revisionsrätt

Den Personuppgiftsansvarige har rätt att granska, eller låta en oberoende tredje part granska, Personuppgiftsbiträdets efterlevnad av detta avtal och tillämplig dataskyddslagstiftning. Personuppgiftsbiträdet ska tillhandahålla all information som krävs för att påvisa efterlevnad och ska samarbeta vid sådana granskningar.

11. Ansvar

Varje part ansvarar för skada orsakad av behandling som strider mot GDPR i enlighet med artikel 82. Personuppgiftsbiträdets sammanlagda ansvar under detta avtal är begränsat till de sammanlagda avgifter som den Personuppgiftsansvarige betalat till Personuppgiftsbiträdet under de 12 månader som föregår den händelse som ger upphov till kravet.

12. Avtalstid och uppsägning

Detta avtal träder i kraft när den Personuppgiftsansvarige skapar ett konto på Bungaflow-plattformen och gäller så länge Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige. Vid uppsägning eller radering av den Personuppgiftsansvariges konto raderas alla personuppgifter inom 30 dagar. Raderingen sker via kaskadradering, som tar bort alla tillhörande enhetsdata (bokningar, utgifter, medlemmar, meddelanden, uppgifter, dokument m.m.).

13. Kontakt

Vid frågor om detta personuppgiftsbiträdesavtal eller behandlingen av personuppgifter, kontakta oss på privacy@bungaflow.com.