Personuppgiftsbiträdesavtal (PUB-avtal)

Detta personuppgiftsbiträdesavtal (”PUB-avtal”) gäller mellan dig som kund (”Personuppgiftsansvarig”) och Evansia AB (”Personuppgiftsbiträde”). Det reglerar vår behandling av personuppgifter för din räkning när du använder Tjänsten, i enlighet med art. 28 i dataskyddsförordningen (GDPR).

Vi behandlar personuppgifter endast för att tillhandahålla Tjänsten: att skicka, samla in och försegla elektroniska signaturer samt föra ett bevisregister. Behandlingen sker enligt dina dokumenterade instruktioner (genom din användning av Tjänsten).

• Undertecknare och mottagare: namn, e-postadress, IP-adress, användaragent.
• Personnummer: när BankID används behandlas personnummer för identitetskontroll.
• Signaturbevis: tidsstämplar, signaturbild (vid e-signering) och hashvärden.
• Innehåll: de dokument du laddar upp och skickar för signering.

Vi anlitar följande underbiträden för att leverera Tjänsten. Du godkänner dessa och meddelas i förväg om förändringar:

• Supabase (databas, autentisering och fillagring) — EU-region.
• E-postleverantör (t.ex. Resend) — för transaktionsmejl.
• BankID-leverantör — för identifiering och underskrift.
• Tidsstämplingstjänst (RFC 3161 TSA) — för betrodda tidsstämplar.

Vi vidtar lämpliga tekniska och organisatoriska åtgärder: kryptering under överföring och i vila, åtkomstkontroll (RLS) per konto, ett manipuleringssäkert register (hashkedja), tjänstekonton med minsta behörighet och loggning av åtkomst.

Vi bistår dig i skälig omfattning med att besvara förfrågningar från registrerade och att uppfylla dina skyldigheter enligt GDPR. Observera att signerade dokument är låsta och oföränderliga av bevisskäl; radering kan därför påverka registrets bevisvärde.

Vi underrättar dig utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som rör uppgifter vi behandlar för din räkning, och bistår dig med relevant information.

Personuppgifter behandlas inom EU/EES. Vid avtalets upphörande raderar eller återlämnar vi personuppgifter enligt dina instruktioner, om inte lagstadgade lagringskrav kräver fortsatt lagring (t.ex. bokförings- eller bevislagring av signerade avtal).

Vi tillhandahåller den information som rimligen behövs för att visa att skyldigheterna i art. 28 GDPR uppfylls och möjliggör granskning enligt överenskommelse.