1. Parter
Detta databehandlaravtal ("DPA") ingås mellan Kunden (personuppgiftsansvarig) och Spårlös.se Sverige (personuppgiftsbiträde). Avtalet kompletterar parternas huvudavtal om Spårlös-tjänsten och reglerar Biträdets behandling av personuppgifter för Kundens räkning enligt GDPR Art. 28.
2. Föremål och varaktighet
Biträdet behandlar personuppgifter för att tillhandahålla Spårlös webbanalystjänst enligt huvudavtalet. Behandlingen pågår så länge huvudavtalet är i kraft, plus 30 dagar för raderingsprocess.
3. Typ av personuppgifter
Biträdet behandlar följande pseudonymiserade kategorier för Kundens webbplatsbesökare:
- Sid-URL, referrer, UTM-parametrar
- Daglig hash (IP + User-Agent + site-ID + salt) som inte kan kopplas mellan dagar eller sajter
- Land härlett från IP-adress (IP lagras aldrig)
- Browser, OS, enhetstyp (från User-Agent server-side)
- Skärmstorlek, språk
Inga direkta identifierare (namn, e-post, personnummer) hanteras. Ingen IP-adress lagras någonsin.
4. Var data lagras
All data lagras inom EU i ISO 27001-certifierade datacenter. Inga US-subprocessorer finns i datavägen. Vår managerade kontodata-leverantör är SOC 2 Type II-certifierad och baserad inom EU.
5. Biträdets skyldigheter
Biträdet förbinder sig att:
- Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden.
- Säkerställa konfidentialitet hos personer som behandlar uppgifter.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt Art. 32.
- Hjälpa Kunden att uppfylla begäranden från registrerade enligt Art. 12–22.
- Anmäla personuppgiftsincidenter inom 24 timmar.
- Vid huvudavtalets slut radera eller återlämna all personuppgift efter Kundens val.
6. Underbiträden
Biträdet använder följande godkända underbiträden:
- ISO 27001-certifierad EU-baserad infrastrukturleverantör (compute, lagring)
- SOC 2 Type II-certifierad EU-baserad managerad kontodata-leverantör
- EU-baserad e-postleverantör (transaktionella e-postutskick)
- EU-baserad betalningsleverantör (Stripe Sweden AB, för fakturering)
Kunden godkänner i förväg dessa underbiträden. Biträdet meddelar 30 dagar i förväg om tillägg av nya underbiträden. Kunden har då rätt att invända.
7. Datasubjektens rättigheter
Biträdet hjälper Kunden att uppfylla begäranden om rättigheter enligt Art. 15–22. Standard SLA: 7 arbetsdagar för åtkomst- och raderingsbegäranden.
8. Incidenter
Biträdet anmäler personuppgiftsincidenter till Kunden inom 24 timmar från upptäckt. Anmälan innehåller: vad som hänt, vilka kategorier av uppgifter och registrerade som berörs, sannolika konsekvenser, och åtgärder som vidtagits.
9. Granskning
Kunden har rätt att granska Biträdets efterlevnad av detta DPA en gång per år på arbetsdagar med 30 dagars varsel. Granskning sker remote med dokumentationspaket (security questionnaire, ISO-certifikat, penetrationstestrapporter). Fysisk granskning på begäran och i mån av tid.
10. Tillämplig lag
Svensk lag gäller. Tvister avgörs i Stockholms tingsrätt om annat inte skriftligt avtalas.