Personuppgiftsbiträdesavtal
Data Processing Agreement (DPA) — GDPR Art. 28
Version 2.0 — april 20261 Parter
Detta personuppgiftsbiträdesavtal (“Avtalet”) ingås mellan:
Personuppgiftsbiträde:
RestaurangAi Tech Sweden — Org.nr 871205-6970
E-post: [email protected] — nedan kallat “RestaurangAI” eller “Biträdet”
Personuppgiftsansvarig:
Den juridiska eller fysiska person som anges vid signering, nedan kallad “Kunden” eller “den Ansvarige”.
2 Definitioner
- GDPR: Europaparlamentets och rådets förordning (EU) 2016/679.
- Dataskyddslagen: Lag (2018:218) med kompletterande bestämmelser till GDPR.
- Personuppgifter: All information som avses i GDPR Art. 4(1).
- Behandling: Åtgärd eller kombination av åtgärder med personuppgifter (GDPR Art. 4(2)).
- Registrerade: Gäster, kunder och personal vars uppgifter behandlas inom Tjänsten.
- Underbiträde: Tredje part som Biträdet anlitar för behandling å den Ansvariges vägnar.
- Tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY) eller annan behörig myndighet.
- SCC: EU-kommissionens standardavtalsklausuler (beslut 2021/914/EU).
3 Behandlingens föremål och syfte
Biträdet behandlar personuppgifter uteslutande för att tillhandahålla avtalade tjänster, inklusive:
- AI-driven chattbot och röstassistent för gästkommunikation
- Automatiserad marknadsföring via e-post och sociala medier
- Bokningshantering och kapacitetsplanering
- Analys och rapportering av driftsdata
- Fakturahantering och kundadministration
3a Kategorier av registrerade
- Restaurangens gäster (bokningskunder, chatgäster, röstsamtalsgäster)
- Restaurangens personal (i den mån uppgifter behandlas via Tjänsten)
- Potentiella kunder (leads) via marknadsföringsmodulen
3b Kategorier av personuppgifter
- Identifikationsuppgifter: namn, e-postadress, telefonnummer
- Kommunikationsdata: chattloggar (text), röstinspelningar och transkript
- Bokningsdata: datum, sällskapsantal, preferenser, allergier
- Tekniska data: IP-adress, enhetsinformation, sessionstid
- Ekonomiska uppgifter: fakturaunderlag (namn, organisationsnummer, adress)
3c Lagringstider
| Datakategori | Lagringstid | Rättslig grund |
|---|---|---|
| Chatloggar (text) | 12 månader | Berättigat intresse (Art. 6.1f) |
| Röstinspelningar (ljud) | 30 dagar | Samtycke (Art. 6.1a) |
| Rösttranskript | 12 månader | Berättigat intresse (Art. 6.1f) |
| Bokningsdata | 36 månader | Avtal (Art. 6.1b) |
| Fakturaunderlag | 7 år | Rättslig förpliktelse — Bokföringslagen (Art. 6.1c) |
| Leads och kontaktuppgifter | 24 månader | Berättigat intresse (Art. 6.1f) |
Data raderas eller anonymiseras automatiskt vid respektive lagringstids utgång, om inte den Ansvarige meddelat annat skriftligen.
4 Biträdets åtaganden (Art. 28.3 GDPR)
a Behandling enbart enligt instruktioner
Biträdet behandlar personuppgifter uteslutande på dokumenterade instruktioner från den Ansvarige, inklusive vid tredjelandsöverföringar. Om annan behandling krävs enligt unionsrätten eller nationell rätt, underrättar Biträdet den Ansvarige om detta rättsliga krav innan behandlingen utförs, om inte lag hindrar underrättelse. Biträdet informerar omedelbart den Ansvarige om en instruktion strider mot GDPR.
b Konfidentialitet
Biträdet säkerställer att behöriga personer har åtagit sig konfidentialitet eller omfattas av lagstadgad tystnadsplikt. Åtkomst ges enbart i den mån det är nödvändigt för att utföra tjänsterna (principen om minsta behörighet — ISO 27001 A.9.2.2).
c Tekniska och organisatoriska säkerhetsåtgärder (Art. 32)
- Kryptering: Data i vila (AES-256) och under överföring (TLS 1.2+).
- Åtkomststyrning: Rollbaserad åtkomst (RBAC), MFA för administrativa gränssnitt, automatisk session-timeout.
- Loggning: Åtkomstloggar med minst 12 månaders retention (vem, vad, när) för alla system som hanterar personuppgifter.
- Backup: 3-2-1-principen — tre kopior, två medier, en offsite. Krypterad lagring. Återställningstester kvartalsvis.
- Pseudonymisering: I analytiska system i den mån det är tekniskt och funktionellt möjligt.
- Incidenthantering: Dokumenterade rutiner (se avsnitt 6).
- Regelbunden utvärdering: Säkerhetsåtgärderna utvärderas minst årligen.
d Underbiträden
Den Ansvarige ger ett generellt tillstånd till godkända underbiträden. Biträdet informerar om planerade förändringar med minst 30 dagars varsel, varvid den Ansvarige ges möjlighet att invända. Biträdet ansvarar för att varje underbiträde är bundet av skriftliga avtal med minst motsvarande skyddsnivå (Art. 28.4 GDPR).
Godkända underbiträden per 2026-04-29:
| Underbiträde | Tjänst | Plats | Skyddsgrund |
|---|---|---|---|
| Hetzner Online GmbH | Serverhosting, databaser (PostgreSQL, Qdrant, Redis) | EU (Finland) | Inom EU/EES |
| Google LLC | Google Drive (fakturaarkiv), Workspace, Gemini AI, Vertex AI | EU/USA | SCCDPF |
| Stripe Payments Europe Ltd. | Betalningsbehandling, fakturahantering | Irland/USA | SCCDPF |
| Anthropic PBC | Claude API (intern analys, kundportalsstöd, AI-utvecklingsverktyg) | USA | SCC |
| OpenAI Ireland Ltd. / OpenAI OpCo, LLC | GPT API (innehållsgenerering, klassificering, automatisering) | Irland/USA | SCC |
| ElevenLabs Inc. | AI-röstsyntes och röstassistent (Voice AI) | USA | SCC |
| Cloudflare Inc. | CDN, DDoS-skydd, WAF, DNS | USA (bearbetning kan ske inom EU) | SCCDPF |
| Meta Platforms Ireland Ltd. | Graph API: Facebook + Instagram + Messenger publishing och chatbot-integration | Irland/USA | SCC |
| LinkedIn Ireland Unlimited Company | Publicering av marknadsföringsinnehåll | Irland (EU) | Inom EU/EES |
| Loopia AB | DNS-hantering och WordPress-hosting för publika domäner | Sverige (EU) | Inom EU/EES |
Aktuell underbiträdeslista: restaurangai.se/integritetspolicy
e Bistånd med registrerades rättigheter (Art. 15–22)
Biträdet bistår den Ansvarige med att fullgöra skyldigheterna avseende:
- Rätt till tillgång (Art. 15): Exportfunktion för registrerades data inom 72 timmar från begäran.
- Rätt till rättelse (Art. 16): Korrigeringar genomförs inom 10 arbetsdagar.
- Rätt till radering (Art. 17): Radering genomförs och bekräftas skriftligen inom 30 dagar.
- Rätt till begränsning av behandling (Art. 18): Behandlingen låses på begäran.
- Rätt till dataportabilitet (Art. 20): Data tillhandahålls i maskinläsbart format (JSON/CSV).
- Rätt att göra invändningar (Art. 21): Behandling av berörd registrerad stoppas vid bekräftad invändning.
Begäranden hanteras via [email protected]. Den Ansvarige ansvarar för att kommunicera rättigheterna till sina registrerade.
f Bistånd med säkerhet, incidentrapportering och DPIA (Art. 32–36)
- Art. 32 — Säkerhet: Information om tekniska och organisatoriska åtgärder tillhandahålls på begäran.
- Art. 33–34 — Incidentrapportering: Biträdet meddelar den Ansvarige senast inom 24 timmar (se avsnitt 6).
- Art. 35–36 — DPIA: Biträdet bistår med nödvändig information för konsekvensbedömning avseende dataskydd.
g Radering och återlämning
Vid Avtalets upphörande ska Biträdet, efter den Ansvariges val, antingen radera eller återlämna alla personuppgifter i maskinläsbart format (JSON/CSV/SQL-dump) inom 30 dagar, och därefter radera kopiorna. Bekräftelse lämnas skriftligen. Undantag gäller för data Biträdet är skyldigt att bevara enligt lag (exempelvis Bokföringslagen), om vilket den Ansvarige informeras.
h Revision och granskning
Biträdet tillhandahåller all information som är nödvändig för att visa att skyldigheterna fullgörs och möjliggör granskningar med minst 30 dagars skriftligt förvarsel. Granskningskostnader bärs av den Ansvarige om inte granskningen påvisar väsentliga brister hänförliga till Biträdet. Kravet kan uppfyllas genom tillhandahållande av aktuella certifieringar eller revisionsrapporter från ackrediterat organ (ex. ISO 27001, SOC 2).
5 Överföring till tredjeland (GDPR Kap. V)
Behandling sker i första hand inom EU/EES (Hetzner-servrar i Finland). Överföringar till tredjeländer (USA) sker för vissa underbiträden enligt tabell i avsnitt 4(d). Som primär skyddsåtgärd tillämpas EU-kommissionens SCC (beslut 2021/914/EU). Som komplement, där tillämpligt, det EU–US Data Privacy Framework (DPF) för certifierade aktörer.
Biträdet genomför Transfer Impact Assessment (TIA) för varje tredjelandsöverföring och gör denna tillgänglig för den Ansvarige på begäran.
6 Incidenthantering (Art. 33–34)
Vid en personuppgiftsincident ska Biträdet:
- Meddela den Ansvarige senast inom 24 timmar via e-post till angiven kontaktperson.
- Lämna: beskrivning av incidentens art, berörda kategorier och antal registrerade, kontaktuppgifter till ansvarig person, sannolika konsekvenser, samt vidtagna och föreslagna åtgärder.
- Bistå den Ansvarige med information för anmälan till IMY och, om tillämpligt, underrättelse till registrerade (Art. 34).
- Dokumentera incidenten och åtgärder enligt Art. 33.5.
Incidentrapportering: [email protected] med ämnesraden “GDPR INCIDENT”.
7 Ansvar och ersättning
Parterna ansvarar i enlighet med GDPR Art. 82 för skada som uppstår till följd av behandling som strider mot Avtalet eller GDPR. Biträdets samlade ansvar under ett kalenderår är begränsat till det belopp den Ansvarige betalat under de tolv föregående månaderna, dock maximalt 100 000 kr, om inte skadan orsakats av grov vårdslöshet eller uppsåt. Ansvarsbegränsningen gäller inte för sanktionsavgifter som IMY ålägger Parterna direkt.
8 Avtalstid och uppsägning
Avtalet träder i kraft vid signering och gäller så länge Biträdet behandlar personuppgifter för den Ansvariges räkning. Avtalet upphör automatiskt när Tjänsteavtalet upphör. Vardera Part kan säga upp Avtalet om den andra Parten väsentligen bryter mot Avtalet och inte avhjälper felet inom 30 dagar från skriftlig reklamation. Åtaganden som till sin natur ska bestå (avsnitt 4(g), avsnitt 6) kvarstår efter upphörande.
9 Tillämplig lag och tvistlösning
Avtalet regleras av svensk rätt. GDPR tillämpas direkt och har företräde. Tvister löses i första hand genom förhandling i god tro; om enighet inte nås avgörs tvisten av allmän domstol med Stockholms tingsrätt som första instans, om inte Parterna skriftligen kommit överens om annat.
Digital signatur
Genom att signera bekräftar den Ansvarige att denne har läst, förstått och godkänner samtliga villkor, och att undertecknaren har behörighet att ingå Avtalet å den Ansvariges vägnar.