Hur Piraja behandlar data på uppdrag av kunder i enlighet med GDPR och globala integritetslagar.
1. Inledning
Detta personuppgiftsbiträdesavtal ("PUB") utgör en del av användarvillkoren mellan Piraja CRM ("Personuppgiftsbiträde", "vi", "oss") och kunden ("Personuppgiftsansvarig", "du") som använder Piraja CRM-tjänster.
Detta PUB gäller där och i den utsträckning vi behandlar personuppgifter för din räkning i samband med tillhandahållande av våra tjänster. Detta PUB är utformat för att säkerställa efterlevnad av artikel 28 i dataskyddsförordningen (EU) 2016/679 ("GDPR") och motsvarande bestämmelser i tillämplig dataskyddslagstiftning.
2. Definitioner
- Personuppgifter: All information som rör en identifierad eller identifierbar fysisk person enligt tillämplig dataskyddslagstiftning.
- Behandling: Varje åtgärd som utförs med personuppgifter, inklusive insamling, registrering, organisering, strukturering, lagring, anpassning, hämtning, konsultation, användning, utlämning, kombination, begränsning, radering eller förstöring.
- Registrerad: Den identifierade eller identifierbara fysiska person som personuppgifterna avser.
- Underbiträde: Varje tredje part som anlitas av personuppgiftsbiträdet för att behandla personuppgifter för den personuppgiftsansvariges räkning.
3. Omfattning och syfte med behandlingen
Vi behandlar personuppgifter uteslutande i syfte att tillhandahålla Piraja CRM-tjänster till dig, inklusive:
- Kundhantering: Lagring och hantering av kontaktinformation, organisationer och personer.
- Kommunikation: Behandling av e-postdata för e-postintegrationsmodulen (Gmail, Outlook).
- Fakturering: Behandling av betalnings- och faktureringsinformation via Stripe.
- Support och ärendehantering: Hantering av supportärenden och serviceärenden.
- Analytik: Aggregerad, anonymiserad användningsanalytik för att förbättra tjänsten.
4. Kategorier av registrerade och personuppgifter
Registrerade kan inkludera:
- Dina anställda och teammedlemmar (användarkonton)
- Dina kunder och kontakter (CRM-poster)
- Dina affärspartners och leverantörer
Kategorier av personuppgifter som behandlas:
- Kontaktinformation (namn, e-post, telefonnummer, adress)
- Professionell information (befattning, företag, avdelning)
- Kommunikationsposter (e-post, anteckningar, aktivitetsloggar)
- Finansiella data (fakturor, betalningsreferenser — kortdata behandlas uteslutande av Stripe)
- Tekniska data (IP-adresser, webbläsarinformation för autentisering)
5. Personuppgiftsbiträdets skyldigheter
Vi ska:
a) Behandla personuppgifter enbart enligt dina dokumenterade instruktioner, om inte tillämplig lag kräver annat.
b) Säkerställa att personer som är behöriga att behandla personuppgifter har åtagit sig konfidentialitet.
c) Implementera lämpliga tekniska och organisatoriska åtgärder, inklusive:
- Kryptering av data under överföring (TLS/HTTPS) och i vila
- AES-256-GCM-kryptering för OAuth-tokens
- Row Level Security (RLS) på databastabeller
- Regelbundna säkerhetsbedömningar och revisioner
- Åtkomstkontroll och autentisering via Supabase Auth
d) Inte anlita ett annat biträde utan ditt föregående skriftliga godkännande. Vi upprätthåller en lista över godkända underbiträden (se avsnitt 8).
e) Bistå dig med att svara på begäranden från registrerade (tillgång, rättelse, radering, portabilitet, begränsning och invändning).
f) Bistå dig med att säkerställa efterlevnad av dina skyldigheter avseende säkerhet, incidentanmälan, konsekvensbedömningar och förhandssamråd.
g) Efter ditt val radera eller återlämna alla personuppgifter efter upphörande av tjänsterna, och radera befintliga kopior om inte tillämplig lag kräver lagring.
h) Tillhandahålla all information som krävs för att påvisa efterlevnad av detta PUB och tillåta och bidra till revisioner.
6. Den personuppgiftsansvariges skyldigheter
Du ska:
a) Säkerställa att din användning av våra tjänster och dina instruktioner till oss följer tillämplig dataskyddslagstiftning.
b) Ha inhämtat alla nödvändiga samtycken och rättsliga grunder för behandling av personuppgifter som delas med oss.
c) Omedelbart meddela oss om begäranden från registrerade som kräver vår assistans.
7. Anmälan av personuppgiftsincident
Vi ska meddela dig utan onödigt dröjsmål (och under alla omständigheter inom 72 timmar) efter att ha blivit medvetna om en personuppgiftsincident. Anmälan ska innehålla:
- En beskrivning av incidentens art
- Kategorierna och det ungefärliga antalet berörda registrerade och personuppgifter
- De sannolika konsekvenserna av incidenten
- De åtgärder som vidtagits eller föreslagits för att hantera incidenten
8. Underbiträden
Vi använder följande underbiträden för att leverera våra tjänster:
| Underbiträde | Syfte | Plats |
|---|---|---|
| Supabase (Supabase Inc.) | Databashosting, autentisering, fillagring | USA (AWS) |
| Stripe (Stripe Inc.) | Betalningshantering, fakturering | USA |
| Vercel (Vercel Inc.) | Applikationshosting, edge-nätverk, serverless | Globalt |
| Resend (Resend Inc.) | Transaktionell e-postleverans | USA |
| OpenAI (OpenAI LLC) | AI-drivna funktioner (Aiden-assistent) | USA |
| Google (Google LLC) | Gmail-integration, Google Kalender, Analytik | USA |
| Microsoft (Microsoft Corp.) | Outlook/Microsoft 365-integration | USA |
Vi informerar dig om planerade ändringar av underbiträden och ger dig rimlig möjlighet att invända.
9. Internationella dataöverföringar
Där personuppgifter överförs utanför Europeiska ekonomiska samarbetsområdet (EES) säkerställer vi att lämpliga skyddsåtgärder finns på plats, inklusive:
- Standardavtalsklausuler (SCC) godkända av EU-kommissionen
- Adekvansbeslutet där tillämpligt
- Kompletterande åtgärder vid behov
10. Datalagring och radering
- Vi lagrar personuppgifter enbart så länge det är nödvändigt för att tillhandahålla våra tjänster.
- Du kan konfigurera lagringsperioder i applikationsinställningarna.
- Automatisk datarensning körs enligt konfigurerbara scheman.
- Vid upphörande av tjänster raderar vi dina data inom 30 dagar om inte lagen kräver lagring.
- Du kan begära dataexport när som helst genom applikationen.
11. Revisionsrättigheter
Du har rätt att granska vår efterlevnad av detta PUB. Revisioner ska:
- Genomföras med rimligt förhandsmeddelande (minst 30 dagar)
- Begränsas till en gång per år om inte en incident har inträffat
- Genomföras under normal arbetstid
- Bekostas av den personuppgiftsansvarige
12. Ansvar
Varje parts ansvar under detta PUB är underkastat begränsningarna i användarvillkoren.
13. Varaktighet och upphörande
Detta PUB gäller så länge vi behandlar personuppgifter för din räkning. Det upphör automatiskt när vi inte längre behandlar personuppgifter för dig.
14. Tillämplig lag
Detta PUB regleras av samma lag som användarvillkoren, utan att detta påverkar tvingande dataskyddslagstiftning.
15. Kontakt
För frågor om detta PUB eller för att utöva dina rättigheter, kontakta oss på:
E-post: support@piraja.io