Personuppgiftsbiträdesavtal
Enligt artikel 28 i EU:s dataskyddsförordning (GDPR)
Senast uppdaterad: 23 februari 2026
1. Parter
Personuppgiftsansvarig ("Kunden")
Företagsnamn
Org.nr
Adress
Kontaktperson
E-post
Telefon
Personuppgiftsbiträde
Firma Nenad Milicevic
E-post: hej@svarly.se
2. Bakgrund och syfte
Detta personuppgiftsbiträdesavtal ("PUB-avtalet") reglerar Firma Nenad Milicevic:s ("Biträdet") behandling av personuppgifter för Kundens räkning i samband med tillhandahållande av AI-telefonisttjänsten ("Tjänsten"). PUB-avtalet utgör en integrerad del av Tjänsteavtalet mellan parterna.
3. Behandlingens omfattning
- Ändamål: Behandling av personuppgifter för att tillhandahålla AI-telefonisttjänst, inklusive samtalsmottagning, orderhantering och SMS-bekräftelser.
- Kategorier av registrerade: Kundens kunder/gäster som ringer till Kundens telefonnummer.
- Typer av personuppgifter: Namn, telefonnummer, samtalsinnehåll (röstdata), beställningsinformation, SMS-meddelanden.
- Behandlingens varaktighet: Under avtalstiden samt 30 dagar därefter för radering.
4. Biträdets skyldigheter
- Behandla personuppgifter endast enligt Kundens dokumenterade instruktioner (Art. 28.3a).
- Säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig tystnadsplikt (Art. 28.3b).
- Vidta alla åtgärder som krävs enligt artikel 32 (säkerhet) (Art. 28.3c).
- Bistå Kunden med att fullgöra skyldigheten att svara på begäranden om utövande av registrerades rättigheter (Art. 28.3e).
- Bistå Kunden med att säkerställa efterlevnad av artiklarna 32–36 (Art. 28.3f).
- Radera eller återlämna samtliga personuppgifter efter avslutad behandling (Art. 28.3g).
- Ge Kunden tillgång till all information som krävs för att påvisa efterlevnad (Art. 28.3h).
5. Underbiträden
Kunden godkänner härmed att Biträdet anlitar följande underbiträden (Art. 28.2). Biträdet ska informera Kunden om planerade förändringar avseende underbiträden minst 30 dagar i förväg.
| Underbiträde | Ändamål | Land |
|---|---|---|
| Supabase Inc. | Databas, autentisering, filelagring | EU (Frankfurt) |
| Vonage (Ericsson) | Telefoni (SIP), SMS, nummerförvaltning | EU/USA* |
| ElevenLabs Inc. | AI-röstsyntes (TTS), talanalys (STT) | USA* |
| Anthropic PBC | LLM-bearbetning (Claude) | USA* |
| Stripe, Inc. / Stripe Payments Europe Ltd | Betalningshantering, fakturering | EU (Irland) + USA* |
| Netlify, Inc. | Webbhosting, edge functions, CDN | USA* |
| Resend | Transaktionell e-post | EU/USA* |
| Sentry (Functional Software, Inc.) | Felspårning, prestandamonitorering | EU (Frankfurt) |
| Google LLC (Google Analytics 4) | Webbstatistik, användningsanalys | USA* |
| Expo (650 Industries, Inc.) | Build/OTA för mobilapp | USA* |
| Apple Inc. (APNs) | Push-notiser iOS | USA* |
| Google LLC (Firebase FCM) | Push-notiser Android | USA* |
* Överföring till tredjeland (USA) sker med stöd av EU-U.S. Data Privacy Framework (DPF) och/eller EU-kommissionens standardavtalsklausuler (SCC 2021/914, modul 2 eller 3). Transfer Impact Assessment (TIA) har genomförts för leverantörer som behandlar samtalsinnehåll (ElevenLabs, Anthropic). Fullständig lista med DPA-status finns ilegal/SUBPROCESSORS.mdoch kan begäras via hej@svarly.se.
6. Säkerhetsåtgärder (Art. 32)
- Kryptering av personuppgifter vid överföring (TLS 1.2+) och lagring (AES-256).
- Åtkomstkontroll med rollbaserad behörighet.
- Regelbundna säkerhetstester och sårbarhetsskanningar.
- Incidenthanteringsplan med rapportering inom 24 timmar.
- Automatisk radering av samtalsdata efter avtalad period.
7. Personuppgiftsincident (Art. 33)
Biträdet ska utan onödigt dröjsmål, och senast inom 24 timmar, informera Kunden om en personuppgiftsincident som rör Kundens data. Meddelandet ska innehålla incidentens art, troliga konsekvenser och vidtagna åtgärder.
8. Avtalstid och upphörande
PUB-avtalet gäller så länge Tjänsteavtalet är aktivt. Vid upphörande ska Biträdet, efter Kundens val, radera eller återlämna samtliga personuppgifter inom 30 dagar och skriftligen bekräfta att detta har skett.
9. Tillämplig lag och tvister
PUB-avtalet lyder under svensk rätt. Tvister avgörs av Stockholms tingsrätt.
Kunden (Personuppgiftsansvarig)
Ort och datum
Underskrift
Namnförtydligande
Firma Nenad Milicevic (Personuppgiftsbiträde)
Ort och datum
Underskrift
Namnförtydligande