Personuppgiftsbiträdesavtal (DPA)
Bilagan som reglerar behandlingen av personuppgifter i Smove-tjänsten enligt GDPR artikel 28.
Uppdaterad 9 juni 2026
1. Syfte och parter
Detta personuppgiftsbiträdesavtal (DPA) utgör en del av Smoves tjänstevillkor och tillämpas när Smove behandlar personuppgifter för kundens räkning vid tillhandahållandet av tjänsten.
Kunden är personuppgiftsansvarig och Smove Oy (organisationsnummer 3596026-3) agerar personuppgiftsbiträde. Vid konflikt har detta avtal företräde framför övriga villkor vad gäller behandling av personuppgifter.
2. Definitioner
I detta avtal har personuppgiftsansvarig, personuppgiftsbiträde, personuppgift, behandling, registrerad och underbiträde samma betydelse som i EU:s allmänna dataskyddsförordning (GDPR, 2016/679).
3. Föremål, varaktighet, art och syfte
Smove behandlar personuppgifter enbart för att tillhandahålla tjänsten: schemaläggning och personaladministration.
- Föremål: de personuppgifter kunden lagrar i tjänsten
- Varaktighet: under tjänsteavtalets löptid
- Art och syfte: lagring, organisering, användning och annan behandling för att leverera tjänstens funktioner
- Registrerade: kundens anställda och användare
- Uppgiftskategorier: namn och kontaktuppgifter, anställnings- och skiftuppgifter, arbetstider och frånvaro, kompetensuppgifter samt tekniska uppgifter kopplade till användningen av tjänsten
4. Behandling enligt dokumenterade instruktioner
Smove behandlar personuppgifter endast enligt kundens dokumenterade instruktioner, inklusive detta avtal och användningen av tjänsten, och använder inte uppgifterna för egna ändamål. Smove informerar kunden om Smove anser att en instruktion strider mot dataskyddslagstiftningen.
Kunden ansvarar för att det finns en laglig grund för behandlingen och att dess instruktioner följer dataskyddslagstiftningen.
5. Sekretess
Smove säkerställer att personer som behandlar personuppgifter är bundna av sekretess och att åtkomsten till uppgifterna är begränsad till dem som behöver den för sina uppgifter.
6. Säkerhet
Smove vidtar lämpliga tekniska och organisatoriska åtgärder enligt GDPR artikel 32, däribland:
- kryptering av personuppgifter under överföring och i vila
- säkerställande av behandlingssystemens konfidentialitet, integritet, tillgänglighet och motståndskraft
- förmåga att återställa tillgången till uppgifter efter en incident
- rollbaserad åtkomstkontroll enligt principen om lägsta behörighet samt loggning av åtkomst
- regelbunden testning och utvärdering av åtgärderna
För särskilda kategorier av uppgifter tillämpas vid behov kompletterande skyddsåtgärder. Säkerheten beskrivs mer i detalj på GDPR-sidan.
7. Underbiträden
Kunden ger Smove en allmän auktorisation att anlita underbiträden. Smove har ingått avtal med dataskyddsskyldigheter med varje underbiträde och ansvarar för deras verksamhet som för sin egen.
En aktuell lista över underbiträden finns på GDPR-sidan. Smove meddelar planerade ändringar i förväg, och kunden har rätt att invända mot en ändring på saklig grund.
8. Överföringar utanför EU och EES
Personuppgifter överförs inte utanför EU eller EES. Uppgifterna lagras och behandlas i Finland och EU.
9. Bistånd och registrerades rättigheter
Smove bistår kunden med lämpliga tekniska och organisatoriska åtgärder så att kunden kan besvara registrerades begäranden (tillgång, rättelse, radering, portabilitet, begränsning och invändning). Tjänsten innehåller verktyg för att exportera och radera uppgifter.
Om en registrerad kontaktar Smove direkt besvarar Smove inte begäran själv utan vidarebefordrar den till kunden. Smove informerar också kunden utan onödigt dröjsmål om förfrågningar från tillsynsmyndigheten som rör kundens personuppgifter.
Smove bistår dessutom kunden med skyldigheterna i GDPR artikel 32–36, såsom säkerhet, konsekvensbedömning (DPIA) och förhandssamråd.
10. Personuppgiftsincidenter
Smove underrättar kunden om en personuppgiftsincident utan onödigt dröjsmål, senast inom 72 timmar efter att Smove fått kännedom om den. Underrättelsen innehåller den väsentliga information som finns tillgänglig, såsom:
- incidentens art samt kategorierna och det ungefärliga antalet berörda registrerade
- en kontaktpunkt för mer information
- incidentens sannolika konsekvenser
- de åtgärder som vidtagits eller föreslagits för att åtgärda incidenten och mildra dess effekter
Smove agerar utan dröjsmål för att begränsa incidenten, dokumenterar incidenter och bistår kunden med att uppfylla sina anmälningsskyldigheter.
11. Revision
Smove ger kunden den information som behövs för att visa att dessa skyldigheter uppfylls och tillåter revisioner som utförs av kunden eller en revisor som kunden utsett och som är bunden av sekretess. Revisioner genomförs på rimliga villkor med förhandsanmälan, i regel högst en gång om året om inte dataskyddslagstiftningen eller en myndighet kräver oftare. Vardera parten bär sina egna kostnader för en revision.
12. Behandlingens upphörande
När tjänsteavtalet upphör återlämnar eller raderar Smove, enligt kundens val, personuppgifterna inom den överenskomna tiden och raderar befintliga kopior, om inte lagen kräver att uppgifterna sparas.
13. Ansvar och tillämplig lag
Detta avtal regleras av finsk lag. Parternas ansvar bestäms av tjänsteavtalet. Tvister löses i första hand genom förhandling.