Personuppgiftsbiträdesavtal (DPA)
Gäller från 17 juni 2026
Detta personuppgiftsbiträdesavtal ("DPA") gäller mellan er organisation ("personuppgiftsansvarig") och QLANKR AB ("personuppgiftsbiträde") när QLANKR behandlar personuppgifter inom tjänsten QLANKR Certify. Avtalet utgör en bilaga till huvudavtalet och är bindande från det att ni börjar använda tjänsten. Behöver ni en signerad version, mejla certify@qlankr.com.
1. Föremål och varaktighet
QLANKR behandlar personuppgifter på er instruktion för att leverera QLANKR Certify. Behandlingen pågår så länge avtalet löper och under den lagringstid som anges nedan.
2. Behandlingens art och syfte
Tillhandahållande av utbildning, kunskapsprov, utfärdande av intyg och förvaring av ett spårbart utbildningsregister enligt EU AI Act Artikel 4.
3. Kategorier av personuppgifter
Identifierare (namn, e-post), organisationstillhörighet och befattningsnivå, status, utbildningsbevis (modul, version, datum, resultat), intygsdata (innehavarens namn, giltighetstid, verifieringstoken) samt tekniska loggar (signerade webhook-händelser, e-postutskick, granskningslogg).
4. Kategorier av registrerade
Er organisations medarbetare som genomför utbildning samt administratörer som hanterar er organisations konto.
5. QLANKR:s skyldigheter
Behandla uppgifter endast enligt era dokumenterade instruktioner (där tjänsten i sig utgör instruktionen), säkerställa att personal som hanterar uppgifterna är bunden av sekretess, vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (se /security), bistå er med att uppfylla begäranden från registrerade samt anmäla personuppgiftsincidenter inom 72 timmar.
6. Era skyldigheter
Säkerställa att ni har laglig grund för att lämna över personuppgifter till tjänsten, informera era medarbetare om behandlingen samt utan dröjsmål meddela QLANKR om ni anser att en instruktion strider mot dataskyddslagstiftningen.
7. Säkerhetsåtgärder
Kryptering i transit och i vila, radnivåsäkerhet (RLS) per organisation, rollbaserad åtkomstkontroll, append-only beviskedja, signerade webhooks, åtskilda nycklar för sandbox och produktion samt en dokumenterad pseudonymiseringsmekanism för rätten att bli glömd. Fullständig beskrivning på /security.
8. Underbiträden
QLANKR anlitar de underbiträden som anges på /subprocessors. Ni godkänner dessa genom att teckna avtalet. Vi meddelar er minst 30 dagar i förväg innan ett nytt underbiträde tas i bruk, så att ni kan invända. Samtliga underbiträden är bundna av motsvarande dataskyddsåtaganden.
9. Internationella överföringar
Inga personuppgifter överförs utanför EU/EES. All databehandling sker hos leverantörer i EU-region. Skulle en framtida ändring innebära en överföring till tredje land kommer vi i förväg att informera er och säkerställa att lämpliga skyddsåtgärder (t.ex. standardavtalsklausuler) finns på plats.
10. Bistånd med registrerades rättigheter
QLANKR bistår er — i den mån det är möjligt — att svara på begäranden från registrerade om tillgång, rättelse, radering, begränsning, portabilitet och invändning. Tjänsten innehåller en inbyggd pseudonymiseringsfunktion som administratörer kan använda direkt.
11. Personuppgiftsincidenter
QLANKR underrättar er utan onödigt dröjsmål, senast inom 72 timmar, om vi får kännedom om en personuppgiftsincident som rör er data. Underrättelsen innehåller beskrivning av incidenten, sannolika konsekvenser och vidtagna åtgärder.
12. Granskning
Vi tillhandahåller på begäran den information som behövs för att visa att åtagandena uppfylls. För revisioner som går utöver detta gäller en rimlig framförhållning och att granskningen sker på ett sätt som inte stör driften.
13. Återlämnande och radering
Vid avtalets upphörande exporterar vi era data på begäran (CSV-format) och raderar eller pseudonymiserar därefter personuppgifterna enligt lagringspolicyn i Integritetspolicyn. Beviskedjan kan behållas i pseudonymiserad form upp till fem år för att möjliggöra granskning enligt EU AI Act.
14. Ansvar
Ansvar för brott mot detta DPA följer ansvarsbegränsningen i huvudavtalet, om inte tvingande dataskyddslagstiftning föreskriver annat.
15. Tillämplig lag
Detta DPA tolkas och tillämpas enligt svensk rätt och GDPR. Tvister avgörs på samma sätt som anges i huvudavtalets villkor.
Kontakt
Frågor om detta DPA eller begäran om en signerad version: certify@qlankr.com.