Personuppgiftsbiträdesavtal

1. Bakgrund och syfte

Detta personuppgiftsbiträdesavtal ("DPA") utgör en integrerad del av det huvudavtal ("Huvudavtalet") som reglerar Kundens användning av BrainBids tjänst. DPA reglerar BrainBids behandling av personuppgifter för Kundens räkning i enlighet med artikel 28 i dataskyddsförordningen (EU) 2016/679 ("GDPR").

Kunden är personuppgiftsansvarig och BrainBid är personuppgiftsbiträde avseende de personuppgifter som behandlas inom ramen för tjänsten.

2. Behandlingens föremål och varaktighet

Föremål: Behandling av personuppgifter som Kunden eller dess användare laddar upp eller genererar genom tjänsten, i syfte att leverera AI-baserad analys, matchning och anbudsgenerering.

Varaktighet: Behandlingen pågår så länge Huvudavtalet är i kraft. Vid avtalets upphörande raderas eller återlämnas personuppgifterna enligt punkt 9.

3. Typ av personuppgifter och kategorier av registrerade

Kategorier av registrerade:

• Kundens anställda och användare av tjänsten
• Fysiska personer som förekommer i dokument Kunden laddar upp (t.ex. referenspersoner, kontaktpersoner i tidigare anbud)

Typ av personuppgifter:

• Namn, e-post, titel, företagstillhörighet
• Inloggnings- och användningsdata (IP, tidsstämplar)
• Innehåll i uppladdade dokument (anbud, referenser, CV:n, företagsbeskrivningar)

Kunden ska inte avsiktligt ladda upp särskilda kategorier av personuppgifter (känsliga uppgifter enligt art. 9 GDPR) utan att först skriftligen överenskomma med BrainBid om lämpliga skyddsåtgärder.

4. BrainBids skyldigheter

BrainBid ska:

• Endast behandla personuppgifter i enlighet med Kundens dokumenterade instruktioner, inklusive vad gäller överföring till tredje land. Huvudavtalet och detta DPA utgör Kundens instruktioner.
• Säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt.
• Vidta alla säkerhetsåtgärder som krävs enligt artikel 32 GDPR (se punkt 5 nedan).
• Bistå Kunden med att uppfylla sina skyldigheter att besvara begäran från registrerade (art. 12-22 GDPR) och med konsekvensbedömningar (art. 35-36 GDPR).
• På Kundens begäran göra tillgänglig all information som krävs för att visa att skyldigheterna i artikel 28 GDPR uppfylls.

5. Tekniska och organisatoriska säkerhetsåtgärder

BrainBid vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken, inklusive:

• Kryptering av data i vila (AES-256) och under överföring (TLS 1.2+)
• Logisk dataisolering per kund i databas och vektorlager (separata namnrymder)
• Åtkomstkontroll baserad på principen om minsta behörighet, med tvåfaktorsautentisering för administrativ åtkomst
• Regelbundna säkerhetskopior med point-in-time recovery
• Loggning av säkerhetsrelevanta händelser samt processer för incidenthantering
• Användning av AI-leverantörer (OpenAI, Anthropic) under API-villkor som utesluter modellträning på kunddata. AI-leverantörer kan lagra prompter i upp till 30 dagar för missbruksövervakning innan radering.

6. Underbiträden

Kunden ger BrainBid ett allmänt godkännande att anlita underbiträden för behandlingen. BrainBid ska säkerställa att motsvarande dataskyddsskyldigheter åläggs underbiträdena genom avtal.

En aktuell förteckning över underbiträden finns i integritetspolicyn. BrainBid ska informera Kunden om planerade förändringar med minst 30 dagars varsel. Kunden har rätt att invända mot sådana förändringar; om parterna inte kan enas får Kunden säga upp Huvudavtalet utan ytterligare kostnad.

7. Överföring till tredje land

Vissa underbiträden är etablerade utanför EU/EES (främst i USA). För sådana överföringar tillämpar BrainBid EU-kommissionens standardavtalsklausuler (SCC, 2021/914) som skyddsmekanism enligt artikel 46 GDPR, tillsammans med eventuella kompletterande åtgärder enligt EDPB:s rekommendationer.

Kunder som kräver datalagring uteslutande inom EU/EES kan kontakta oss för ett separat upplägg.

8. Personuppgiftsincident

BrainBid ska utan onödigt dröjsmål, och senast inom 48 timmar från det att BrainBid fått kännedom om incidenten, underrätta Kunden om en personuppgiftsincident. Underrättelsen ska innehålla:

• En beskrivning av incidentens art
• Sannolika konsekvenser av incidenten
• Vidtagna eller föreslagna åtgärder för att hantera incidenten

BrainBid ska bistå Kunden med information som krävs för Kundens anmälan till tillsynsmyndighet och registrerade.

9. Radering och återlämnande

Vid Huvudavtalets upphörande ska BrainBid, enligt Kundens val, radera eller återlämna samtliga personuppgifter som behandlats för Kundens räkning, samt radera befintliga kopior, såvida inte unionsrätt eller nationell rätt kräver fortsatt lagring.

Radering sker inom 30 dagar från avtalets upphörande. Säkerhetskopior raderas vid nästa rullande backup-cykel (senast 90 dagar).

10. Revision och inspektion

BrainBid ska på Kundens skriftliga begäran, och med minst 30 dagars varsel, ge Kunden eller en av Kunden utsedd oberoende tredje part möjlighet att genomföra revisioner för att verifiera efterlevnaden av detta DPA. Revisionen ska ske under normal kontorstid, inte mer än en gång per år (utöver vid personuppgiftsincident), och ska inte oskäligt störa BrainBids verksamhet.

BrainBid kan välja att istället tillhandahålla oberoende tredjepartsrapporter (t.ex. SOC 2 från underbiträden) för att påvisa efterlevnad.

11. Ansvar och tillämplig lag

Ansvarsbegränsningar i Huvudavtalet gäller även för detta DPA. Vid motstridighet mellan DPA och Huvudavtalet avseende personuppgiftsbehandling har DPA företräde.

Detta DPA regleras av svensk lag. Tvister avgörs av svensk allmän domstol.

12. Ikraftträdande

Detta DPA träder i kraft när Kunden accepterar Huvudavtalet och gäller så länge BrainBid behandlar personuppgifter för Kundens räkning. Kunder som behöver ett undertecknat exemplar kan begära det via privacy@brainbid.se.