Personuppgiftsbiträdesavtal (PUB-avtal)
Detta personuppgiftsbiträdesavtal ("Avtalet") reglerar behandlingen av personuppgifter som sker inom ramen för användningen av MaxKYC – en plattform som tillhandahålls av Max Fodérus ("Biträdet").
1. Parter
Personuppgiftsansvarig:
Den fastighetsmäklarbyrå eller det företag som registrerar sig för att använda MaxKYC-tjänsten ("Kunden").
Personuppgiftsbiträde:
Max Fodérus, som tillhandahåller KYC-plattformen MaxKYC (www.maxkyc.se).
2. Syfte och omfattning
Biträdet behandlar personuppgifter för Kundens räkning i syfte att möjliggöra inhämtning, dokumentation och hantering av kundkännedom (KYC) enligt penningtvättslagen (2017:630) och därtill relaterade regelverk.
Behandlingen sker enbart i den utsträckning som är nödvändig för att tillhandahålla tjänsten enligt detta Avtal och Kundens instruktioner.
3. Kategorier av registrerade och personuppgifter
3.1 Registrerade
- Kundens kunder, såsom köpare, säljare, firmatecknare, verkliga huvudmän
3.2 Personuppgifter
- Namn
- Personnummer
- Kontaktuppgifter
- ID-handlingar
- Information om fastighetsaffär
- PEP-status
- Riskbedömningar
- IP-adresser
- Signeringstider och annan användaraktivitet kopplad till formulär
4. Behandlingens varaktighet
Biträdet behandlar personuppgifter så länge Kunden är registrerad användare av MaxKYC, eller så länge det krävs för att uppfylla rättsliga skyldigheter. Vid avslutat avtal tillämpas bestämmelserna i punkt 11.
5. Underbiträden
Biträdet får anlita underbiträden för att tillhandahålla tjänsten. Dessa underbiträden omfattas av avtal med motsvarande krav som detta Avtal.
| Underbiträde | Tjänst | Plats |
|---|---|---|
| Supabase | Databashantering + autentisering | Sverige (Stockholm – eu-north-1) |
| Vercel | Hosting av applikationen | Sverige (Stockholm – eu-north-1) |
| Resend (vid behov) | E-posttjänst för delning/påminnelser | Irland (eu-west-1) |
Notering: Resend används endast om Kunden väljer att skicka formulär eller påminnelser via e-post till sina kunder inom plattformen.
6. Biträdets skyldigheter
Biträdet förbinder sig att:
- Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden
- Säkerställa att personer som behandlar personuppgifter är bundna av tystnadsplikt
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 i GDPR
- Hjälpa Kunden att uppfylla sina skyldigheter gentemot registrerade
- Medverka vid incidenthantering, tillsyn och revision
- Hålla register över behandlingsaktiviteter
- Radera eller återlämna personuppgifter efter avtalets upphörande
7. Säkerhet
Biträdet har implementerat säkerhetsåtgärder, inklusive men inte begränsat till:
- Kryptering av data i vila och under överföring
- Rollbaserad åtkomstkontroll
- Loggning av användaraktiviteter (audit logs)
- Backup och återställningsrutiner
Alla centrala systemkomponenter (databas, auth, serverfunktioner) är konfigurerade att köras inom Sverige.
8. Incidentrapportering
Biträdet åtar sig att utan onödigt dröjsmål informera Kunden om en personuppgiftsincident inträffar, med information som möjliggör för Kunden att uppfylla sina skyldigheter enligt GDPR.
9. Revision och insyn
Kunden har rätt att, efter skälig förvarning, granska Biträdets efterlevnad av detta Avtal, antingen genom egen revision eller genom oberoende granskare. Biträdet ska bistå vid en sådan granskning.
10. Överföring till tredjeland
Behandling sker inom EU/EES. Om någon överföring till tredje land skulle ske (t.ex. vid användning av nya underbiträden) säkerställer Biträdet att detta sker med stöd av giltigt överföringsskydd enligt kapitel V i GDPR.
11. Avtalets giltighet och hantering vid avslut
Detta Avtal gäller så länge Biträdet behandlar personuppgifter för Kundens räkning. Vid uppsägning eller avslutat konto åtar sig Biträdet att inom 30 dagar:
- Radera personuppgifterna permanent, eller
- Återlämna dem i maskinläsbart format om Kunden begär det
12. Godkännande
Genom att registrera ett konto i MaxKYC och godkänna dess användarvillkor godkänner Kunden detta personuppgiftsbiträdesavtal.
Senast uppdaterad: 2025-09-14