Databehandlaravtal

DPA-avtal enligt GDPR Art. 28

Vårt databehandlaravtal (personuppgiftsbiträdesavtal) på svenska, under svensk lag. Genereras automatiskt och förifylls med dina uppgifter vid registrering. Du behöver inte be om det separat, och du kan läsa hela texten här i förväg.

Det här är vår mall. Det egentliga DPA:t som du undertecknar vid registrering förifylls med ditt företagsnamn och organisationsnummer.

1. Parter

Detta databehandlaravtal ("DPA") ingås mellan Kunden (personuppgiftsansvarig) och Spårlös.se Sverige (personuppgiftsbiträde). Avtalet kompletterar parternas huvudavtal om Spårlös-tjänsten och reglerar Biträdets behandling av personuppgifter för Kundens räkning enligt GDPR Art. 28.

2. Föremål och varaktighet

Biträdet behandlar personuppgifter för att tillhandahålla Spårlös webbanalystjänst enligt huvudavtalet. Behandlingen pågår så länge huvudavtalet är i kraft, plus 30 dagar för raderingsprocess.

3. Typ av personuppgifter

Biträdet behandlar följande pseudonymiserade kategorier för Kundens webbplatsbesökare:

  • Sid-URL, referrer, UTM-parametrar
  • Daglig hash (IP + User-Agent + site-ID + salt) som inte kan kopplas mellan dagar eller sajter
  • Land härlett från IP-adress (IP lagras aldrig)
  • Browser, OS, enhetstyp (från User-Agent server-side)
  • Skärmstorlek, språk

Inga direkta identifierare (namn, e-post, personnummer) hanteras. Ingen IP-adress lagras någonsin.

4. Var data lagras

All data lagras inom EU i ISO 27001-certifierade datacenter. Inga US-subprocessorer finns i datavägen. Vår managerade kontodata-leverantör är SOC 2 Type II-certifierad och baserad inom EU.

5. Biträdets skyldigheter

Biträdet förbinder sig att:

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden.
  • Säkerställa konfidentialitet hos personer som behandlar uppgifter.
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt Art. 32.
  • Hjälpa Kunden att uppfylla begäranden från registrerade enligt Art. 12–22.
  • Anmäla personuppgiftsincidenter inom 24 timmar.
  • Vid huvudavtalets slut radera eller återlämna all personuppgift efter Kundens val.

6. Underbiträden

Biträdet använder följande godkända underbiträden:

  • ISO 27001-certifierad EU-baserad infrastrukturleverantör (compute, lagring)
  • SOC 2 Type II-certifierad EU-baserad managerad kontodata-leverantör
  • EU-baserad e-postleverantör (transaktionella e-postutskick)
  • EU-baserad betalningsleverantör (Stripe Sweden AB, för fakturering)

Kunden godkänner i förväg dessa underbiträden. Biträdet meddelar 30 dagar i förväg om tillägg av nya underbiträden. Kunden har då rätt att invända.

7. Datasubjektens rättigheter

Biträdet hjälper Kunden att uppfylla begäranden om rättigheter enligt Art. 15–22. Standard SLA: 7 arbetsdagar för åtkomst- och raderingsbegäranden.

8. Incidenter

Biträdet anmäler personuppgiftsincidenter till Kunden inom 24 timmar från upptäckt. Anmälan innehåller: vad som hänt, vilka kategorier av uppgifter och registrerade som berörs, sannolika konsekvenser, och åtgärder som vidtagits.

9. Granskning

Kunden har rätt att granska Biträdets efterlevnad av detta DPA en gång per år på arbetsdagar med 30 dagars varsel. Granskning sker remote med dokumentationspaket (security questionnaire, ISO-certifikat, penetrationstestrapporter). Fysisk granskning på begäran och i mån av tid.

10. Tillämplig lag

Svensk lag gäller. Tvister avgörs i Stockholms tingsrätt om annat inte skriftligt avtalas.

Vanliga frågor

Vad är ett DPA-avtal?+

DPA står för Data Processing Agreement, på svenska databehandlaravtal eller personuppgiftsbiträdesavtal (ibland PUB-avtal). Det är ett avtal enligt GDPR artikel 28 mellan den som äger personuppgifterna (personuppgiftsansvarig, du) och den som behandlar dem för din räkning (personuppgiftsbiträde, till exempel din analysleverantör). Avtalet reglerar vad biträdet får göra med uppgifterna, säkerhetskrav, underbiträden och vad som händer vid incidenter.

När behöver mitt företag ett DPA?+

Så fort en leverantör behandlar personuppgifter för din räkning, till exempel webbanalys, e-postutskick eller lönesystem. Utan ett påskrivet DPA bryter behandlingen mot GDPR art. 28. Compliance-granskningar och upphandlingar frågar nästan alltid efter det.

Kostar ert DPA något?+

Nej. DPA:t ingår för alla kunder och genereras automatiskt vid registrering, förifyllt med ditt företagsnamn och organisationsnummer. Du kan läsa hela avtalstexten på den här sidan innan du skapar konto.

Är avtalet på svenska och under svensk lag?+

Ja. Hela avtalet är på svenska och svensk lag gäller, med tvistelösning i svensk domstol. Det brukar göra granskningen enklare för svenska DPO:er och upphandlare än engelska avtal under utländsk lag.

Skapa konto och få DPA

14 dagars gratis Pro-prov. Det förifyllda DPA:t är klart för signatur direkt efter registrering.

DPA-avtal på svenska · Databehandlaravtal enligt GDPR | Spårlös