Personuppgiftsbiträdesavtal (PUB-avtal)

1. Parter

Personuppgiftsbiträde: NotAStartup AB, org.nr 559566-4250 ("Biträdet").

Personuppgiftsansvarig: Den verksamhet som registrerar konto i Omsio och som beslutar om ändamål och medel för behandlingen ("Verksamheten").

Verksamheten är personuppgiftsansvarig för uppgifter som registreras om placerade individer, anställda, familjehem och övriga registrerade. Biträdet behandlar uppgifterna enbart för Verksamhetens räkning.

2. Föremål, varaktighet och syfte

• Föremål: Behandling av personuppgifter inom plattformen Omsio (journalföring, placeringshantering, rapportering, avtalshantering, dokumenthantering, kommunikation och administration inom social omsorg).
• Varaktighet: Avtalet gäller så länge Verksamheten har ett aktivt konto i Omsio och därefter för den tid som krävs för att fullgöra åtaganden enligt punkt 10 (Återlämning och radering).
• Syfte: Tillhandahållande av tjänsten enligt användarvillkoren och Verksamhetens dokumenterade instruktioner.

3. Typ av personuppgifter och kategorier av registrerade

Kategorier av uppgifter:

• Identitetsuppgifter (namn, personnummer, kontaktuppgifter)
• Placeringsrelaterade uppgifter (journaler, rapporter, bedömningar, mål)
• Känsliga uppgifter enligt GDPR Art. 9 (uppgifter om hälsa, etniskt ursprung och liknande, i den utsträckning Verksamheten registrerar dem)
• Uppgifter om lagöverträdelser enligt GDPR Art. 10 (i förekommande fall)
• Avtals- och signeringsuppgifter
• Tekniska uppgifter (IP-adress, sessionsdata, revisionsloggar)

Kategorier av registrerade:

• Placerade individer och deras närstående
• Familjehem, jourhem och konsulenter
• Anställda och förtroendevalda inom Verksamheten
• Övriga personer som förekommer i dokumentationen

4. Verksamhetens instruktioner

Biträdet får endast behandla personuppgifter enligt Verksamhetens dokumenterade instruktioner. Användarvillkoren, dokumentationen för plattformen och Verksamhetens konfiguration i Omsio utgör de huvudsakliga instruktionerna. Ytterligare instruktioner kan lämnas skriftligen till support@omsio.se.

Om Biträdet bedömer att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning informerar Biträdet Verksamheten utan dröjsmål.

5. Säkerhetsåtgärder

Biträdet genomför lämpliga tekniska och organisatoriska åtgärder enligt GDPR Art. 32, anpassade efter behandlingens art och risker för registrerade. Åtgärderna innefattar bland annat:

• AES-256-kryptering vid lagring och TLS 1.2+ vid överföring
• BankID-autentisering — inga lösenord lagras
• Row Level Security på samtliga databastabeller
• Mandantisolering mellan verksamheter på databasnivå
• Rollbaserad åtkomstkontroll med fem fördefinierade roller
• Revisionsloggar med fullständig ändringshistorik (vem, vad, när)
• Rutiner för incidenthantering, behörighetstilldelning och löpande riskbedömning enligt ISO 27001-principer

Detaljerad teknisk beskrivning finns på omsio.se/sakerhet.

6. Sekretess

Biträdet säkerställer att personer som är behöriga att behandla personuppgifter har förbundit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt. Sekretessåtagandet gäller även efter anställningens upphörande.

7. Underbiträden

Verksamheten ger Biträdet generellt godkännande att anlita de underbiträden som vid var tid framgår av den auktoritativa listan på omsio.se/underleverantorer. Listan anger för varje underbiträde funktion, lokalisering och överföringsmekanism. Samtliga underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande dataskyddsåtaganden som detta Avtal.

Det valbara AI-tillägget innebär behandling hos Anthropic PBC i USA under EU-kommissionens standardavtalsklausuler (SCC). Tillägget är inaktiverat som standard och aktiveras endast på Verksamhetens uttryckliga begäran. Anthropic använder inte data för att träna sina modeller, vilket är kontraktuellt fastställt i Anthropics kommersiella villkor.

Biträdet meddelar Verksamheten via plattformen eller e-post minst 30 dagar i förväg innan ett nytt underbiträde anlitas eller ersätts. Verksamheten har under denna period rätt att göra invändningar. Vid berättigad invändning som inte kan lösas tekniskt eller avtalsmässigt har Verksamheten rätt att säga upp tjänsten utan kostnad.

8. Överföring till tredje land

Den övergripande behandlingen sker inom EU/EES. Det enda undantaget är det valbara AI-tillägget, vilket innebär behandling hos Anthropic PBC i USA under EU-kommissionens standardavtalsklausuler (SCC) enligt GDPR kapitel V. AI-tillägget är inaktiverat som standard och aktiveras endast på Verksamhetens begäran. Verksamheten kan när som helst stänga av tillägget per användare eller för hela verksamheten.

Biträdet överför inte personuppgifter till andra tredje länder utan att först säkerställa laglig grund enligt GDPR kapitel V och informera Verksamheten i förväg.

8a. AI-funktioner och AI-förordningen

Plattformens AI-funktioner omfattas av EU:s AI-förordning (Förordning (EU) 2024/1689) och behandlas enligt följande principer, som kompletterar Verksamhetens roll som personuppgiftsansvarig och, om tillämpligt, deployer enligt AI-förordningen:

• Opt-in: AI-funktioner är inaktiverade som standard. De aktiveras endast på Verksamhetens uttryckliga begäran och kan avaktiveras per användare eller för hela Verksamheten när som helst.
• Transparens (Art. 50): Biträdet markerar tydligt i gränssnittet när innehåll har genererats eller bearbetats av AI, så att slutanvändaren vet att hen interagerar med AI.
• Mänsklig övervakning: AI-utdata är beslutsstöd, inte beslutsfattande. Plattformen fattar inga automatiserade beslut om enskilda i den mening som avses i GDPR Art. 22 eller AI-förordningens högrisk-bestämmelser.
• Riskklassificering: Nuvarande AI-funktioner är klassificerade som begränsad risk. Biträdet omprövar klassificeringen löpande och informerar Verksamheten i förväg om en funktion riskerar att klassificeras som högrisk enligt AI-förordningens Annex III.
• Stöd för FRIA: Om en AI-funktion klassificeras som högrisk och Verksamheten måste genomföra en konsekvensbedömning för grundläggande rättigheter enligt AI-förordningens Art. 27, bistår Biträdet med tekniskt och organisatoriskt underlag.
• Underleverantörer: AI-tillägget körs mot Anthropic PBC i USA under SCC enligt punkt 8. Biträdet meddelar Verksamheten 30 dagar i förväg innan ny AI-leverantör anlitas eller ersätts.

9. Stöd till Verksamheten

Biträdet bistår Verksamheten — i den utsträckning det är möjligt med hänsyn till behandlingens art — med:

• Att uppfylla registrerades rättigheter enligt GDPR kap. III (Art. 12–22), bland annat genom funktioner i plattformen för åtkomst, rättelse, radering och dataportabilitet
• Säkerhet i behandlingen enligt Art. 32
• Anmälan av personuppgiftsincidenter till tillsynsmyndighet (Art. 33) och kommunikation med registrerade (Art. 34)
• Konsekvensbedömningar avseende dataskydd (Art. 35) och förhandssamråd (Art. 36)

10. Personuppgiftsincident

Biträdet underrättar Verksamheten utan onödigt dröjsmål, och senast inom 72 timmar, efter att ha fått kännedom om en personuppgiftsincident. Underrättelsen innehåller den information som krävs enligt GDPR Art. 33.3 i den utsträckning Biträdet har tillgång till informationen.

11. Granskning och revision

Biträdet tillhandahåller Verksamheten den information som krävs för att visa att skyldigheterna i GDPR Art. 28 efterlevs. Verksamheten har rätt att genomföra revision, antingen genom granskning av tillgänglig dokumentation (t.ex. säkerhetsrapporter och underleverantörscertifikat) eller, om det krävs, på plats efter skriftlig framställan med rimlig framförhållning. Revisioner sker under ordinarie arbetstid och med iakttagande av Biträdets sekretess- och säkerhetsregler. Verksamheten bär sina egna kostnader för revisionen.

12. Återlämning och radering vid avslut

Vid Avtalets upphörande, eller på Verksamhetens begäran, väljer Verksamheten om personuppgifterna ska återlämnas eller raderas. Om inget val görs raderas uppgifterna senast 90 dagar efter avslut. Befintliga lagstadgade krav på lagring (t.ex. enligt bokföringslagen eller socialtjänstlagen) går före raderingen.

13. Ansvar

Parternas ansvar regleras av GDPR Art. 82. I förhållandet mellan parterna gäller därutöver ansvarsbegränsningen i Omsios användarvillkor, dock med undantag för skador som uppkommit till följd av brott mot tvingande dataskyddsregler.

14. Ändringar

Biträdet kan uppdatera Avtalet för att återspegla nya lagkrav eller förändringar i tjänsten. Väsentliga ändringar meddelas minst 30 dagar i förväg via e-post eller i plattformen. Om Verksamheten inte godtar en väsentlig ändring har Verksamheten rätt att säga upp tjänsten utan kostnad innan ändringen träder i kraft.

15. Tillämplig lag och tvister

Avtalet regleras av svensk lag. Tvister avgörs av allmän svensk domstol med Stockholms tingsrätt som första instans, om inte annat följer av tvingande lag.