Personuppgiftsbiträdesavtal (DPA)
Bilagan som reglerar behandlingen av personuppgifter i Sutja-tjänsten enligt GDPR artikel 28.
Uppdaterad 17 juli 2026
1. Syfte och parter
Detta personuppgiftsbiträdesavtal (DPA) utgör en del av Sutjas tjänstevillkor och tillämpas när Sutja behandlar personuppgifter för kundens räkning vid tillhandahållandet av tjänsten.
Kunden är personuppgiftsansvarig och plops Oy (organisationsnummer 3596026-3) agerar personuppgiftsbiträde. Vid konflikt har detta avtal företräde framför övriga villkor vad gäller behandling av personuppgifter.
2. Definitioner
I detta avtal har personuppgiftsansvarig, personuppgiftsbiträde, personuppgift, behandling, registrerad och underbiträde samma betydelse som i EU:s allmänna dataskyddsförordning (GDPR, 2016/679).
3. Föremål, varaktighet, art och syfte
Sutja behandlar personuppgifter enbart för att tillhandahålla tjänsten: schemaläggning och personaladministration.
- Föremål: de personuppgifter kunden lagrar i tjänsten
- Varaktighet: under tjänsteavtalets löptid
- Art och syfte: lagring, organisering, användning och annan behandling för att leverera tjänstens funktioner
- Registrerade: kundens anställda och användare
- Uppgiftskategorier: namn och kontaktuppgifter, anställnings- och skiftuppgifter, arbetstider och frånvaro, kompetensuppgifter samt tekniska uppgifter kopplade till användningen av tjänsten
4. Behandling enligt dokumenterade instruktioner
Sutja behandlar personuppgifter endast enligt kundens dokumenterade instruktioner, inklusive detta avtal och användningen av tjänsten, och använder inte uppgifterna för egna ändamål. Sutja informerar kunden om Sutja anser att en instruktion strider mot dataskyddslagstiftningen.
Kunden ansvarar för att det finns en laglig grund för behandlingen och att dess instruktioner följer dataskyddslagstiftningen.
5. Sekretess
Sutja säkerställer att personer som behandlar personuppgifter är bundna av sekretess och att åtkomsten till uppgifterna är begränsad till dem som behöver den för sina uppgifter.
6. Säkerhet
Sutja vidtar lämpliga tekniska och organisatoriska åtgärder enligt GDPR artikel 32, däribland:
- kryptering av personuppgifter under överföring och i vila
- säkerställande av behandlingssystemens konfidentialitet, integritet, tillgänglighet och motståndskraft
- förmåga att återställa tillgången till uppgifter efter en incident
- rollbaserad åtkomstkontroll enligt principen om lägsta behörighet samt loggning av åtkomst
- regelbunden testning och utvärdering av åtgärderna
För särskilda kategorier av uppgifter tillämpas vid behov kompletterande skyddsåtgärder. Säkerheten beskrivs mer i detalj på GDPR-sidan.
7. Underbiträden
Kunden ger Sutja en allmän auktorisation att anlita underbiträden. Sutja har ingått avtal med dataskyddsskyldigheter med varje underbiträde och ansvarar för deras verksamhet som för sin egen.
En aktuell lista över underbiträden finns på GDPR-sidan. Sutja meddelar planerade ändringar i förväg, och kunden har rätt att invända mot en ändring på saklig grund.
8. Överföringar utanför EU och EES
Personuppgifter överförs inte utanför EU eller EES. Uppgifterna lagras och behandlas i Finland och EU.
9. Bistånd och registrerades rättigheter
Sutja bistår kunden med lämpliga tekniska och organisatoriska åtgärder så att kunden kan besvara registrerades begäranden (tillgång, rättelse, radering, portabilitet, begränsning och invändning). Tjänsten innehåller verktyg för att exportera och radera uppgifter.
Om en registrerad kontaktar Sutja direkt besvarar Sutja inte begäran själv utan vidarebefordrar den till kunden. Sutja informerar också kunden utan onödigt dröjsmål om förfrågningar från tillsynsmyndigheten som rör kundens personuppgifter.
Sutja bistår dessutom kunden med skyldigheterna i GDPR artikel 32–36, såsom säkerhet, konsekvensbedömning (DPIA) och förhandssamråd.
10. Personuppgiftsincidenter
Sutja underrättar kunden om en personuppgiftsincident utan onödigt dröjsmål, senast inom 72 timmar efter att Sutja fått kännedom om den. Underrättelsen innehåller den väsentliga information som finns tillgänglig, såsom:
- incidentens art samt kategorierna och det ungefärliga antalet berörda registrerade
- en kontaktpunkt för mer information
- incidentens sannolika konsekvenser
- de åtgärder som vidtagits eller föreslagits för att åtgärda incidenten och mildra dess effekter
Sutja agerar utan dröjsmål för att begränsa incidenten, dokumenterar incidenter och bistår kunden med att uppfylla sina anmälningsskyldigheter.
11. Revision
Sutja ger kunden den information som behövs för att visa att dessa skyldigheter uppfylls och tillåter revisioner som utförs av kunden eller en revisor som kunden utsett och som är bunden av sekretess. Revisioner genomförs på rimliga villkor med förhandsanmälan, i regel högst en gång om året om inte dataskyddslagstiftningen eller en myndighet kräver oftare. Vardera parten bär sina egna kostnader för en revision.
12. Behandlingens upphörande
När tjänsteavtalet upphör återlämnar eller raderar Sutja, enligt kundens val, personuppgifterna inom den överenskomna tiden och raderar befintliga kopior, om inte lagen kräver att uppgifterna sparas.
13. Ansvar och tillämplig lag
Detta avtal regleras av finsk lag. Parternas ansvar bestäms av tjänsteavtalet. Tvister löses i första hand genom förhandling.