När din organisation (kunden) använder Bidragsportalen för att lagra och hantera er interna projektdata, medarbetarinformation och andra organisatoriska uppgifter, agerar Jobla AB som personuppgiftsbiträde – vi behandlar data på din organisations vägnar och enligt era instruktioner. Din organisation är personuppgiftsansvarig för denna data.

1. Inledning – när är Bidragsportalen biträde?

Bidragsportalen agerar personuppgiftsbiträde (GDPR Art. 28) för data som din organisation lagrar i:

• Projekttorg: Projektbeskrivningar, teammedlemmar, filer och kommunikation
• Medarbetarlistor: Om ni lägger in interna kontaktlistor eller projektdeltagare
• Dokumentlagring: Filer och bilagor kopplade till bidragsansökningar
• Projektdokumentation: Milstolpar, anteckningar och uppföljningsdata

Ni som organisation bestämmer vilken data som lagras, för vilket syfte och hur länge. Vi behandlar enbart data enligt era dokumenterade instruktioner.

2. Instruktioner från personuppgiftsansvarig

Vi behandlar er organisations data uteslutande enligt de instruktioner ni ger oss, primärt via er användning av tjänsten och via personuppgiftsbiträdesavtalet (DPA). Vi behandlar inte personuppgifter för egna ändamål. Om vi anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning, meddelar vi er omedelbart.

3. Säkerhet och tekniska åtgärder (Art. 32)

Vi implementerar lämpliga tekniska och organisatoriska säkerhetsåtgärder:

• Kryptering i transit: TLS 1.3 för all datatrafik, HTTPS-tvingat
• Kryptering i vila: Känsliga databasfält krypteras, volymer krypteras med LUKS
• Åtkomstkontroll: Rollbaserad behörighetsstyrning (RBAC), principen om minsta privilegium
• Audit-loggning: All administrativ åtkomst till kunddata loggas via GdprAuditLog
• Separering: Varje kund (organisation) har logisk dataseparering
• Säkerhetskopiering: Dagliga krypterade säkerhetskopior med geografisk spridning

4. Underbiträden

Vi anlitar underbiträden för att leverera tjänsten. En aktuell lista finns på sidan om underbiträden.

Enligt GDPR Art. 28.2 informerar vi er skriftligen (via e-post till kontoadministratören) minst 30 dagar i förväg vid tillägg av nya underbiträden. Ni har rätt att invända mot tillägg av nya underbiträden. Om vi inte kan komma överens har ni rätt att säga upp DPA-avtalet utan extra kostnad.

Alla underbiträden är bundna av avtal som ger minst samma skyddsnivå som detta dokument.

5. Stöd för den ansvariges skyldigheter

Vi hjälper er att uppfylla era skyldigheter som personuppgiftsansvarig:

• Registerutdrag (Art. 15): Vi kan ta fram och exportera all data vi lagrar om en specifik person på er begäran.
• Radering (Art. 17): Vi raderar specifik data på er instruktion, med bekräftelse per e-post.
• Rättelse (Art. 16): Ni kan korrigera data direkt i tjänsten, eller begära hjälp av oss.
• Dataportabilitet (Art. 20): Data kan exporteras i strukturerat format (CSV/JSON) på begäran.
• DPIA-stöd: Vi tillhandahåller teknisk information för er dataskyddskonsekvensbedömning (DPIA) vid behov.

6. Incidenthantering

Vid en personuppgiftsincident som berör er organisationsdata meddelar vi er inom 72 timmar efter att vi fått kännedom om incidenten, i enlighet med GDPR Art. 33. Meddelandet innehåller:

• Incidentens art och ungefärliga omfattning
• Troliga konsekvenser
• Vidtagna och planerade åtgärder
• Kontaktperson hos oss för ytterligare frågor

Incidentkontakt: support@bidragsportalen.se

7. DPA-avtal

För att reglera vår biträdandes roll erbjuder vi ett standardiserat Personuppgiftsbiträdesavtal (DPA) som uppfyller GDPR Art. 28.3. DPA-mallen kan laddas ner och begäran om signerat avtal sker via DPA-sidan.

8. Radering efter avtalets slut

När prenumerationen avslutas eller på er skriftliga begäran raderar vi all er organisations personuppgifter inom 30 dagar, med undantag för data vi är skyldiga att behålla enligt lag (t.ex. bokföringsunderlag). Vi skickar en skriftlig bekräftelse på radering när den är genomförd.

Om ni önskar exportera er data före avslut tillhandahåller vi fullständig dataexport i maskinläsbart format utan extra kostnad, förutsatt att begäran görs innan kontot stängs.

9. Kontakt för DPA-frågor

DPA- och dataskyddsfrågor:
E-post: support@bidragsportalen.se

Vi har ett personuppgiftsombud som ansvarar för att vår behandling av personuppgifter följer gällande lagstiftning och att ert DPA efterlevs.