Detta personuppgiftsbiträdesavtal (“DPA”) ingår mellan Kunden (personuppgiftsansvarig) och Fewa AB (personuppgiftsbiträde) som bilaga till Fewas användarvillkor när Kunden använder app.fewa.se för att behandla personuppgifter om anställda, gäster eller andra registrerade.

1. Ändamål och varaktighet

Biträdet behandlar personuppgifter endast för att tillhandahålla Tjänsten enligt Kundens dokumenterade instruktioner och dessa Villkor. Behandlingen pågår under abonnemangsperioden och upphör när data raderas eller returneras enligt §8.

2. Typ av uppgifter och registrerade

Beroende på aktiverade moduler kan följande behandlas: kontakt- och konto-uppgifter, boknings- och orderdata, gästprofiler, personal- och stämpeldata, platsdata vid geofence-stämpling, compliance-loggar, foton och tekniska loggar. Registrerade kan omfatta Kundens anställda, gäster, leverantörer och andra som Kunden matar in.

3. Biträdets åtaganden

• Behandla data endast enligt instruktion från Kunden och tillämplig lag.
• Säkerställa att personal med åtkomst är bunden av sekretess.
• Implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder (se Säkerhet).
• Bistå Kunden med registerförteckning, konsekvensbedömningar och förfrågningar från registrerade i den utsträckning det är möjligt.
• Meddela Kunden utan onödigt dröjsmål vid personuppgiftsincident som kan påverka Kundens data.
• Radera eller returnera data efter avtalets slut enligt Kundens val, om inte lag kräver fortsatt lagring.

4. Underbiträden

Kunden godkänner att Fewa anlitar underbiträden (t.ex. molnhosting, e-post, SMS). Fewa ansvarar för underbiträden genom skriftliga avtal enligt art. 28 GDPR. Lista över underbiträden tillhandahålls på begäran till hello@fewa.se. Fewa informerar om väsentliga nya underbiträden med möjlighet att invända av berättigade skäl.

5. Överföring utanför EU/EES

Personuppgifter behandlas primärt inom EU/EES. Om överföring till tredje land skulle bli aktuell sker det endast med giltiga skyddsåtgärder (t.ex. EU-kommissionens standardavtalsklausuler) och i enlighet med Kundens instruktioner.

6. Revision

Fewa tillhandahåller skriftlig information som rimligen behövs för att visa efterlevnad. On-site revision kan ske högst en gång per år efter överenskommelse och Kundens bekostnad, om inte tillsynsmyndighet kräver annat.

7. Ansvar

Partens ansvar regleras i Fewas användarvillkor. Varje part ansvarar för sina egna skyldigheter enligt GDPR.

8. Avslut och export

Vid avtalets slut tillhandahåller Fewa export av Kundens verksamhetsdata inom trettio (30) dagar i maskinläsbart format. Därefter raderas data från produktionssystem inom nittio (90) dagar, om inte lag kräver längre lagring.

9. Undertecknat avtal

Enterprise-kunder kan begära separat undertecknat DPA. Kontakta hello@fewa.se.

This Data Processing Agreement (“DPA”) is entered into between the Customer (data controller) and Fewa AB (data processor) as an appendix to Fewa’s Terms of Service when the Customer uses app.fewa.se to process personal data about employees, guests or other data subjects.

1. Purpose and duration

The processor processes personal data solely to provide the Service per the Customer’s documented instructions and these Terms. Processing continues for the subscription period and ends when data is deleted or returned per §8.

2. Types of data and data subjects

Depending on enabled modules, processing may include contact and account data, booking and order data, guest profiles, workforce and punch data, geofence location at punch-in, compliance logs, photos and technical logs. Data subjects may include the Customer’s employees, guests, suppliers and others entered by the Customer.

3. Processor obligations

• Process data only on the Customer’s instructions and applicable law.
• Ensure personnel with access are bound by confidentiality.
• Implement appropriate technical and organisational measures (see Security).
• Assist the Customer with records, impact assessments and data subject requests where feasible.
• Notify the Customer without undue delay of personal data breaches affecting Customer data.
• Delete or return data after termination per the Customer’s choice, unless law requires retention.

4. Sub-processors

The Customer authorises Fewa to engage sub-processors (e.g. cloud hosting, email, SMS). Fewa ensures sub-processors are bound by Art. 28 GDPR agreements. A list is available on request at hello@fewa.se. Fewa will inform the Customer of material new sub-processors with an opportunity to object on legitimate grounds.

5. Transfers outside the EU/EEA

Personal data is processed primarily within the EU/EEA. Any transfer to a third country would only occur with valid safeguards (e.g. EU Standard Contractual Clauses) and per the Customer’s instructions.

6. Audit

Fewa provides written information reasonably required to demonstrate compliance. On-site audits may occur once per year by appointment at the Customer’s expense, unless a supervisory authority requires otherwise.

7. Liability

Liability is governed by Fewa’s Terms of Service. Each party is responsible for its own obligations under the GDPR.

8. Termination and export

On termination Fewa provides export of Customer business data within thirty (30) days in a machine-readable format. Data is then deleted from production systems within ninety (90) days unless law requires longer retention.

9. Signed agreement

Enterprise customers may request a separately signed DPA. Contact hello@fewa.se.