Stckisto
PricingDocs
Claim your brandSign inStart free
Juridik · Senast uppdaterad 3 juli 2026
English

Personuppgiftsbiträdesavtal

Mellan kunden (personuppgiftsansvarig) och Stockisto AS (personuppgiftsbiträde), enligt artikel 28 i GDPR. För ett undertecknat exemplar, kontakta privacy@stockisto.com.

Detta personuppgiftsbiträdesavtal (PUB-avtal) utgör en del av användarvillkoren mellan dig (kunden, i egenskap av personuppgiftsansvarig) och Stockisto (i egenskap av personuppgiftsbiträde) och gäller överallt där Stockisto behandlar personuppgifter för din räkning. Det anger hur vi behandlar dessa uppgifter, vilka säkerhetsåtgärder vi vidtar, vilka underbiträden vi använder och hur vi stödjer dina skyldigheter enligt GDPR.

På denna sida
  1. 1. Roller och omfattning
  2. 2. Behandling enligt dokumenterade instruktioner
  3. 3. Sekretess
  4. 4. Säkerhet i behandlingen (art. 32)
  5. 5. Underbiträden
  6. 6. Bistånd med registrerades rättigheter
  7. 7. Bistånd med dina skyldigheter enligt art. 32–36
  8. 8. Anmälan av personuppgiftsincident
  9. 9. Återlämnande och radering av data (art. 28.3 g)
  10. 10. Granskningar (art. 28.3 h)
  11. 11. Internationella överföringar
  12. 12. Ansvar, löptid och tillämplig lag
  13. Bilaga 1 — Uppgifter om behandlingen
  14. Bilaga 2 — Tekniska och organisatoriska åtgärder
  15. Bilaga 3 — Godkända underbiträden

1. Roller och omfattning

Du är personuppgiftsansvarig för de personuppgifter du laddar upp till, eller genererar via, plattformen. Stockisto är personuppgiftsbiträde och behandlar dessa personuppgifter endast för att tillhandahålla tjänsten. Detta PUB-avtal reglerar det förhållandet; om det står i konflikt med övriga villkor i dataskyddsfrågor har detta PUB-avtal företräde.

2. Behandling enligt dokumenterade instruktioner

Vi behandlar personuppgifter endast enligt dina dokumenterade instruktioner, inklusive avseende internationella överföringar, om vi inte enligt EU-rätt eller medlemsstats lag är skyldiga att agera annorlunda (i vilket fall vi informerar dig, om inte lagen förbjuder det). Din användning av plattformens funktioner, tillsammans med villkoren och detta PUB-avtal, utgör dina dokumenterade instruktioner. Vi informerar dig om vi anser att en instruktion strider mot GDPR.

3. Sekretess

Vi säkerställer att personer som är behöriga att behandla personuppgifterna omfattas av en lämplig sekretessförpliktelse och beviljas åtkomst endast utifrån behov.

4. Säkerhet i behandlingen (art. 32)

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, enligt bilaga 2.

5. Underbiträden

Du ger generellt tillstånd för oss att anlita de underbiträden som anges i bilaga 3. Vi ålägger varje underbiträde dataskyddsförpliktelser som inte är mindre skyddande än de i detta PUB-avtal, och vi förblir fullt ansvariga gentemot dig för deras utförande. Vi lämnar minst 30 dagars varsel om avsett tillägg eller byte av underbiträde, och du kan invända på rimliga dataskyddsgrunder.

6. Bistånd med registrerades rättigheter

Med hänsyn till behandlingens art bistår vi dig, genom lämpliga tekniska och organisatoriska åtgärder och i den mån det är möjligt, med att besvara begäranden från registrerade enligt kapitel III i GDPR (tillgång, rättelse, radering, begränsning, portabilitet och invändning). Plattformen tillhandahåller självbetjäningsexport av data (art. 20) och ett flöde för raderingsbegäran (art. 17), och vårt supportteam bistår där en begäran inte kan uppfyllas via självbetjäning. Om en registrerad kontaktar oss direkt om dina uppgifter hänvisar vi dem till dig.

7. Bistånd med dina skyldigheter enligt art. 32–36

Vi bistår dig med att säkerställa efterlevnad av dina skyldigheter avseende säkerhet i behandlingen, anmälan av personuppgiftsincidenter, konsekvensbedömningar avseende dataskydd och förhandssamråd (art. 32–36), med hänsyn till behandlingens art och den information som är tillgänglig för oss.

8. Anmälan av personuppgiftsincident

Vi underrättar dig utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som påverkar dina uppgifter, med den information du rimligen behöver för att uppfylla dina egna anmälningsskyldigheter enligt art. 33–34. Rapportera en misstänkt incident till security@stockisto.com.

9. Återlämnande och radering av data (art. 28.3 g)

När tillhandahållandet av tjänsterna upphör raderar eller återlämnar vi, enligt ditt val, personuppgifterna och raderar befintliga kopior, om inte EU-rätt eller medlemsstats lag kräver lagring. Du kan när som helst exportera dina uppgifter via produktens export; efter kontoavslut raderas data med förbehåll för lagringstiderna i integritetspolicyn (inklusive ett kort fönster medan säkerhetskopior åldras ut).

10. Granskningar (art. 28.3 h)

Vi tillhandahåller den information som krävs för att visa efterlevnad av art. 28 och möjliggör och bidrar till granskningar, inklusive inspektioner, som genomförs av dig eller en revisor du utser. I första hand tillmötesgår vi granskningsbegäranden genom att tillhandahålla vår säkerhetsdokumentation och besvara säkerhetsformulär; inspektioner på plats kan ordnas med rimligt varsel, med förbehåll för sekretess och utan att äventyra andra kunders säkerhet.

11. Internationella överföringar

Den primära behandlingen sker inom EU. När ett underbiträde i bilaga 3 behandlar personuppgifter utanför EES sker överföringen enligt EU-kommissionens standardavtalsklausuler och, i tillämpliga fall, EU–US Data Privacy Framework, tillsammans med eventuella nödvändiga kompletterande åtgärder.

12. Ansvar, löptid och tillämplig lag

Detta PUB-avtal träder i kraft när du godkänner villkoren och gäller så länge vi behandlar personuppgifter för din räkning. Ansvar enligt detta PUB-avtal omfattas av ansvarsbegränsningarna i villkoren. Detta PUB-avtal regleras av svensk lag.

Bilaga 1 — Uppgifter om behandlingen

  • Föremål och varaktighet: behandling av personuppgifter för att tillhandahålla Stockistos plattform för återförsäljarsökning, under avtalets löptid.
  • Art och ändamål: lagring, hämtning, strukturering, analys och överföring av data för att driva Locator, Widget, admin-appar, Installatörsportal och tillhörande kommunikation.
  • Kategorier av registrerade: kundens kontoanvändare; återförsäljares företagskontakter i kundens nätverk; installatörer; samt konsumenter som skickar en ”reservera & hämta”-begäran.
  • Kategorier av personuppgifter: namn, arbetskontaktuppgifter (e-post, telefon), företagsadresser, roller, autentiseringsidentifierare samt konsumentbokningsuppgifter (namn, e-post, telefon, fritextnoteringar).
  • Särskilda kategorier: inga krävs eller avses; plattformen är inte utformad för att behandla känsliga personuppgifter (art. 9).

Bilaga 2 — Tekniska och organisatoriska åtgärder

  • Kryptering under överföring: all trafik levereras över TLS 1.2+ med HSTS; TLS termineras vid kanten (Azure Front Door) med en hanterad brandvägg för webbapplikationer.
  • Kryptering i vila: PostgreSQL-databasen och objektlagringen använder Azure-hanterad lagringskryptering.
  • Kundisolering: genomförs i datalagret via globala frågefilter plus ett skydd vid infogning, och regressionstestas kontinuerligt av en särskild testsvit för korsvis kundåtkomst i CI.
  • Åtkomstkontroll: rollbaserad åtkomstkontroll med avgränsade roller; varje behörighetsbeslut fattas på serversidan.
  • Autentisering: kortlivade JWT-åtkomsttoken med en roterande uppdateringstoken i en HttpOnly-, Secure-cookie (återanvändningsdetektering); Google OAuth och engångslänkar.
  • Granskningsloggning: privilegierade åtgärder per kund registreras i en tilläggsförst granskningslogg som sparas i 7 år.
  • Hemlighetshantering: uppgifter förvaras i Azure Key Vault; applikationen stoppar direkt vid start om säkerhetskritisk konfiguration saknas.
  • Nätverkshärdning: restriktiva säkerhetsrubriker i varje svar, hastighetsbegränsning per kund/klient och automatisk blockering vid missbruk.
  • Uppgiftsminimering i loggar: direkta identifierare (t.ex. e-post) hålls utanför applikationsloggar och telemetri; klient-IP lagras inte i analysdata.
  • Säkerhetskopior och motståndskraft: säkerhetskopior för återställning till tidpunkt sparas upp till 35 dagar, geo-redundant inom EU, med definierade återställningsmål.
  • Sårbarhetshantering: beroendeskanning och statisk analys i CI, samt en kanal för ansvarsfullt avslöjande på security@stockisto.com.

Bilaga 3 — Godkända underbiträden

UnderbiträdeÄndamålPlatsÖverföringsgrund
Microsoft AzureMolndrift och infrastruktur — applikationsdrift, PostgreSQL-databasen, objektlagring, meddelandebuss, övervakning och nyckelhantering. Här lagras alla primära personuppgifter.EU — Sweden CentralInom EU — ingen tredjelandsöverföring
Microsoft Azure OpenAI Service ★Valfri AI-hjälp som utformar utkast till leverantörens kontakttexter mot återförsäljare. Behandlar återförsäljares företagskontaktuppgifter, aldrig konsumenters bokningsuppgifter.EU (inom Azure-miljön)Inom EU — ingen tredjelandsöverföring
Twilio (incl. SendGrid) ★Leverans av transaktions- och livscykel-e-post via SendGrid — inbjudningar, bekräftelser och aviseringar — samt av sms-koder för telefonverifiering via Twilios meddelande-API, som tar emot kontoanvändarens telefonnummer när det verifieras.USAStandardavtalsklausuler (SCC) samt EU–US Data Privacy Framework där mottagaren är certifierad
StripeAbonnemangsfakturering och kortbetalningar för betalande leverantörer. Stripe agerar som självständig personuppgiftsansvarig för de betalningsuppgifter som samlas in, enligt sina egna villkor.EU / USAStandardavtalsklausuler (SCC) samt EU–US Data Privacy Framework där mottagaren är certifierad
Google (Google Ireland Ltd)"Logga in med Google"-autentisering för de kontoanvändare som väljer det. Google agerar som självständig personuppgiftsansvarig för autentiseringsuppgifterna enligt sina egna villkor.EU / USAStandardavtalsklausuler (SCC) samt EU–US Data Privacy Framework där mottagaren är certifierad
MapboxRendering av kartrutor i webbläsaren på konsumentens Locator, den inbäddningsbara Widgeten och Installatörsportalen. Tar emot den grova kartvyn och den begärande IP-adressen som krävs för att leverera kartrutor — aldrig bokningarnas kontaktuppgifter.USAStandardavtalsklausuler (SCC) samt EU–US Data Privacy Framework där mottagaren är certifierad
OpenStreetMap / NominatimServerbaserad geokodning av återförsäljares företagsadresser till kartkoordinater vid katalogimport.EUInom EU — endast företagsadressuppgifter

★ Anlitas endast där motsvarande funktion (AI-utkast / utgående e-post / sms-telefonverifiering) är aktiverad och konfigurerad för din arbetsyta.

Läs vår Integritetspolicy →Läs vår Användarvillkor →Läs vår Cookiepolicy →
Stckisto

Store-locator intelligence for suppliers and their retailers

Built for the Nordic trade · Stockholm

Product

  • Overview
  • Features
  • How it works
  • Pricing
  • Docs

Solutions

  • Suppliers
  • Retailers
  • Installers
  • Data & integrations

Company

  • About
  • How the network works
  • Security
  • Trust & procurement
  • FAQ
  • Contact

Get started

  • Get your free locator
  • Book a demo
  • Claim your brand
  • Sign in

Stay in the loop

Want to hear from us? Leave your email and we'll reach out when there's something worth sharing — new features, launch markets, or a spot on early access. No spam, unsubscribe anytime.

Markets🇸🇪Sweden🇩🇰Denmark🇳🇴Norway🇫🇮FinlandGlobal

The store locator that shows what's in stock — and which retailers shoppers actually pick.

© 2026 Stockisto · Nordic B2B2C

PrivacyTermsCookiesDPA