← restaurangai.se
RestaurangAI

Personuppgiftsbiträdesavtal

Mall version 1.0 · Datum: 2026-05-17 · Lagrum: GDPR Art. 28, Dataskyddslagen (2018:218)
Detta är en avtalsmall. Blå text (platshållare) kräver ifyllnad. Granska med kvalificerad jurist innan undertecknande. Kontakta [email protected] för att initiera ett DPA.

Parter

Personuppgiftsansvarig (Kunden):
Företag: [RESTAURANGENS FÖRETAGSNAMN]
Org.nr: [ORGANISATIONSNUMMER]
Adress: [ADRESS]
Kontaktperson: [NAMN OCH E-POST]
(härefter "den Personuppgiftsansvarige")

Personuppgiftsbiträde (Leverantören):
Företag: Rickard Wilhelmsson / RestaurangAI (Enskild firma)
Org.nr: 860329-3451
E-post: [email protected]
(härefter "Biträdet")

1. Bakgrund och syfte

Parterna har ingått avtal om tjänsten RestaurangAI ("Huvudavtalet"). I samband med leveransen av tjänsten behandlar Biträdet personuppgifter för den Personuppgiftsansvariges räkning.

Detta personuppgiftsbiträdesavtal ("DPA") reglerar Biträdets behandling av personuppgifter på den Personuppgiftsansvariges vägnar och kompletterar Huvudavtalet. Vid konflikt mellan detta DPA och Huvudavtalet har DPA:t företräde avseende personuppgiftsbehandling.

2. Föremål för behandling

2.1 Behandlingens art och syfte

ParameterVärde
FöremålLeverans av RestaurangAI:s tjänster (chatbot, röstassistent, recensionshantering, bokningsassistent)
Behandlingens artLagring, bearbetning, AI-analys och transmittering inom tjänsteleveransen
ÄndamålAutomatisera kundservice, hantera bokningar, analysera gästfeedback och sköta marknadsföring för restaurangverksamheten
VaraktighetUnder Huvudavtalets löptid och i enlighet med avsnitt 11
LandSverige (EU/EES)

2.2 Kategorier av registrerade

2.3 Kategorier av personuppgifter

3. Biträdets skyldigheter (GDPR Art. 28.3)

Biträdet åtar sig att:

  1. Behandla enbart på instruktion (Art. 28.3(a)): Behandla personuppgifter uteslutande på den Personuppgiftsansvariges dokumenterade instruktioner.
  2. Sekretess (Art. 28.3(b)): Säkerställa att all personal med åtkomst till personuppgifter iakttar konfidentialitet.
  3. Säkerhetsåtgärder (Art. 28.3(c) och Art. 32):
    • Kryptering av data i transit (TLS 1.3) och i vila (AES-256)
    • Serverinfrastruktur inom EU (Hetzner DE)
    • Åtkomstkontroll och loggning
    • Regelbunden säkerhetstestning
  4. Underbiträdeskontroll (Art. 28.3(d)): Se avsnitt 4 och sub-processor-listan.
  5. Biträde vid registrerades rättigheter (Art. 28.3(e)): Bistå den Personuppgiftsansvarige med att svara på begäran enligt Art. 15–22.
  6. DPIA-stöd (Art. 28.3(f)): Bistå vid konsekvensbedömningar och förhandssamråd.
  7. Radering/återlämning (Art. 28.3(g)): Se avsnitt 11.
  8. Dokumentation och granskning (Art. 28.3(h)): Tillhandahålla information som visar efterlevnad av Art. 28.

4. Underbiträden (sub-processors)

4.1 Godkännande av underbiträden

Den Personuppgiftsansvarige ger härmed generellt godkännande för Biträdet att anlita underbiträden listade på restaurangai.se/sub-processors/.

4.2 Notifiering vid tillägg

Biträdet notifierar den Personuppgiftsansvarige om tillägg eller byte av underbiträde senast 30 dagar i förväg via e-post.

4.3 Underbiträdets skyldigheter

Biträdet ålägger varje underbiträde motsvarande dataskyddsskyldigheter via skriftligt avtal och ansvarar för deras fullgörande (Art. 28.4).

5. Tredjelandsöverföringar

Behandling utanför EU/EES sker enbart om minst ett av följande skyddsåtgärder föreligger:

Aktuell lista: restaurangai.se/sub-processors/.

6. Säkerhetsincidenter

Biträdet underrättar den Personuppgiftsansvarige om en konstaterad personuppgiftsincident utan onödigt dröjsmål, och senast 48 timmar efter att Biträdet blivit medveten om incidenten (den Personuppgiftsansvarige har vidare 72 timmar per Art. 33 att anmäla till IMY).

7. Konfidentialitet och instruktion

Biträdet behandlar personuppgifter enbart på dokumenterade instruktioner. All personal med åtkomst till personuppgifter är bunden av konfidentialitetsskyldighet.

Biträdet informerar omedelbart den Personuppgiftsansvarige om en instruktion innebär brott mot GDPR eller annan tillämplig lagstiftning.

8. Granskning och revision

Den Personuppgiftsansvarige har rätt att genomföra revision av Biträdets behandling, med minst 30 dagars förhandsmeddelande, maximalt en gång per 12-månadersperiod, på den Personuppgiftsansvariges bekostnad.

9. Rättigheter för registrerade

Biträdet vidarebefordrar direkta begäran från registrerade till den Personuppgiftsansvarige senast inom 5 arbetsdagar.

10. DPIA och förhandssamråd

Biträdet bistår vid DPIA (Art. 35) och förhandssamråd (Art. 36) i den utsträckning uppgifter om behandlingen är nödvändiga och tillgängliga hos Biträdet.

11. Radering och återlämning vid avtalets upphörande

Vid Huvudavtalets upphörande ska Biträdet, på den Personuppgiftsansvariges val:

  1. Återlämna alla personuppgifter i maskinläsbart format (CSV/JSON) och radera befintliga kopior, eller
  2. Radera samtliga personuppgifter och skriftligen bekräfta raderingen.

Radering ska genomföras senast 30 dagar efter avtalets upphörande, om inte bokföringslagen eller annan lagstiftning föreskriver längre lagringsskyldighet.

12. Ansvarsbegränsning

Biträdets ansvar är underordnat och begränsat i enlighet med Huvudavtalets ansvarsbegränsningar, om inte tillämplig lag föreskriver strängare ansvar.

13. Tillämplig lag och tvistlösning

Detta DPA regleras av svensk lag. Tvister avgörs i första hand genom förhandling. Vid utebliven enighet inom 30 dagar: allmän domstol med Stockholms tingsrätt som första instans.

14. Underskrifter

Parterna har undertecknat detta personuppgiftsbiträdesavtal elektroniskt eller i två likalydande exemplar.

Personuppgiftsansvarig (Kunden)

Ort och datum: _______________

Namn: [NAMN]

Titel: [TITEL]

För: [RESTAURANGNAMN]

Personuppgiftsbiträde (RestaurangAI)

Ort och datum: _______________

Namn: Rickard Wilhelmsson

Titel: Grundare

För: RestaurangAI / Rickard Wilhelmsson EF

E-signering: Detta avtal kan undertecknas med Advanced Electronic Signature (AES) enligt eIDAS Art. 26, t.ex. via BankID. Kontakta [email protected] för att initiera signering.