Hoppa till huvudinnehåll
← Tillbaka

Personuppgiftsbiträdesavtal (DPA)

Bilaga till Användarvillkoren

Detta avtal utgör en integrerad del av Användarvillkoren mellan dig som Personuppgiftsansvarig ("Kunden") och Mjuk Påminnelse AB, org.nr XXXXXX-XXXX som Personuppgiftsbiträde ("Biträdet"). Avtalet uppfyller kraven i artikel 28 i EU:s Dataskyddsförordning (GDPR).

1. Syfte och Behandlingens Art

Biträdet behandlar personuppgifter å Kundens vägnar uteslutande för att tillhandahålla tjänsten Mjuk Påminnelse. Behandlingen består av att hämta data via Fortnox API, analysera den och generera påminnelseutkast.

2. Kategorier av Personuppgifter

  • Kund- och företagsnamn
  • Kontaktpersoners namn
  • E-postadresser
  • Fakturainformation (belopp, förfallodatum)
  • Betalningshistorik och dröjsmål

3. Registrerade

Behandlingen avser Kundens kunder (gäldenärer) och dessas kontaktpersoner.

4. Biträdets skyldigheter

  • Vi behandlar endast data enligt dina dokumenterade instruktioner (vilket utgörs av Användarvillkoren och inställningarna i appen).
  • Vi säkerställer att vår personal är bunden av sekretess.
  • Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda datan, inklusive AES-256 kryptering i databasen och isolering av data (Row Level Security).

5. Underbiträden och AI-leverantörer

Kunden godkänner att Biträdet anlitar följande underbiträden:

  • Supabase (EU): Databas (EU-north-1).
  • Vercel (EU/USA): Hosting av applikation.
  • Anthropic (USA): AI-infrastruktur via deras kommersiella API. Överföring till USA sker med stöd av ramverket EU-US Data Privacy Framework (DPF).
  • Resend (USA): Tjänst för transaktionella e-postutskick (systemnotiser och sammanfattningar som kan innehålla gäldenärers företagsnamn). Överföring till USA sker med stöd av EU-kommissionens adekvansbeslut EU-US Data Privacy Framework (DPF) och kompletterande Standardavtalsklausuler (SCC).

Särskild garanti rörande AI: Biträdet garanterar genom avtal med Anthropic att inga personuppgifter som skickas för utkastgenerering används för att träna AI-modeller, och att all data hos underbiträdet raderas automatiskt inom maximalt 7 dagar efter anropet.

6. Incidenthantering

Vid en personuppgiftsincident ska Biträdet utan onödigt dröjsmål, och senast inom 36 timmar från upptäckt, skriftligen informera Kunden, så att Kunden kan uppfylla sin anmälningsplikt till Integritetsskyddsmyndigheten (IMY).

7. Radering av data vid avtalets upphörande

När Kunden inaktiverar tjänsten via Fortnox upphör detta DPA att gälla. Biträdet ska då omedelbart sluta hämta data och inom skälig tid radera (eller anonymisera) all faktura- och kunddata tillhörande Kunden, såvida inte lagstiftning kräver att datan sparas.