Personuppgiftsbiträdesavtal (DPA)

1. Parter

Detta Avtal har ingåtts mellan:

• Personuppgiftsansvarig: Kunden som registrerat ett konto i BotJahl.
• Personuppgiftsbiträde: Westjahl Creative AB 559548-7249.

2. Syfte och omfattning

Biträdet behandlar personuppgifter endast i syfte att leverera, drifta och supportera Tjänsten BotJahl enligt Kundens instruktioner. Biträdet får inte behandla personuppgifterna för egna ändamål.

Behandlingen kan omfatta lagring, indexering, analys och tillhandahållande av AI-genererade svar via OpenAI:s API baserat på Kundens uppladdade material och användarfrågor.

3. Personuppgifter som kan behandlas

Typen av personuppgifter varierar beroende på vad Kunden laddar upp eller indexerar. Exempel:

• namn, e-postadress, kontaktuppgifter i dokument,
• personuppgifter som kan ingå i kundregister, intern information eller kommunikation,
• metadata kopplad till filer (t.ex. filnamn, användarnamn, tidsstämplar).

Kategorier av registrerade kan omfatta Kundens anställda, kunder, leverantörer eller andra personer som nämns i Kundens material.

4. Biträdets skyldigheter

Westjahl Creative AB åtar sig att:

• behandla personuppgifter endast enligt Kundens dokumenterade instruktioner,
• säkra att personal med åtkomst omfattas av sekretess,
• vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder,
• utan dröjsmål informera Kunden om upptäckt personuppgiftsincident,
• bistå Kunden med information för att uppfylla skyldigheter enligt GDPR (artiklar 32–36),
• radera eller återlämna personuppgifter efter avslutat uppdrag, om inte lag kräver fortsatt lagring.

5. Underbiträden

För att kunna tillhandahålla Tjänsten använder Biträdet följande underbiträden:

• Microsoft Azure – lagring av data (EU-region, t.ex. ”westeurope”).
• OpenAI, LLC – bearbetning av text och generering av AI-svar (USA, via API med SCC-skydd).
• Stripe, Inc. – betalningshantering (EU/USA, självständig personuppgiftsansvarig för betalningar).
• Resend, Inc. – utskick av e-post (USA).

Kunden godkänner användningen av dessa underbiträden. Biträdet ansvarar för att alla underbiträden omfattas av skriftliga avtal som säkerställer samma skyddsnivå för personuppgifter som detta Avtal.

6. Säkerhet

Biträdet implementerar lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR, såsom:

• åtkomstkontroll och autentisering (JWT, API-nycklar),
• kryptering av kommunikation (HTTPS/TLS),
• lagring i skyddade Azure-resurser,
• loggning och övervakning av åtkomst,
• begränsning av personuppgiftsmängd vid OpenAI-anrop.

7. Incidenthantering

Vid misstänkt eller konstaterad personuppgiftsincident ska Biträdet utan onödigt dröjsmål meddela Kunden med relevant information så att Kunden kan uppfylla sina skyldigheter gentemot tillsynsmyndighet och registrerade.

8. Radering av data

Efter avslutat kundkonto raderas eller anonymiseras alla uppladdade dokument och indexeringsdata inom 30 dagar, såvida inte lag kräver längre bevarande (t.ex. bokföringsdata).

9. Revision och tillsyn

Kunden har rätt att, efter rimlig föranmälan, begära information om Biträdets säkerhetsåtgärder eller revisioner utförda av oberoende part. Direkt fysisk inspektion kan ske endast om det krävs enligt lag eller särskilt avtalats.

10. Giltighet och upphörande

Detta Avtal gäller så länge Biträdet behandlar personuppgifter för Kundens räkning. Vid upphörande ska Biträdet radera eller återlämna alla personuppgifter enligt punkt 8.

11. Tillämplig lag

Svensk lag gäller. Tvister avgörs av svensk domstol, med Stockholm tingsrätt som första instans.