UTKAST 2026-05-15 — Ej juristgranskat. Endast som referens. Fullständig mall finns i docs/legal/DPA-template.md.

Personuppgiftsbiträdesavtal (DPA)

Version 1.0 · Publicerad 2026-05-15 · Enligt GDPR Art. 28

Detta avtal upprättas i enlighet med Artikel 28 i Dataskyddsförordningen (EU) 2016/679 ("GDPR") mellan:

1. Behandlingens syfte

Biträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning för att tillhandahålla B2B-leadidentifiering (SCB + Bolagsverket), kontaktverifiering, cold-mail-automation och AI-assisterad textgenerering.

2. Kategorier av personuppgifter

Anställda hos kundens målgrupp: namn, e-postadress, telefonnummer, befattning, arbetsgivare, ort. Mottagare av cold-mail: mailadress, bounce-status, opens/clicks, replies. Kundens egna användare: namn, e-postadress, IP-adress, sessionsdata.

3. Underbiträden (sub-processors)

Personuppgiftsansvarig godkänner härmed följande underbiträden:

UnderbiträdeTjänstPlats
Cloudflare, Inc.Hosting (Pages + Functions) — DPA v6.4 (2026-04-03)EU + US (DPF)
Supabase, Inc.Databas + auth — User DPA 2026-03-12EU (Stockholm)
OpenRouter, Inc.AI-routingUS
Anthropic, PBCClaude AI-modellUS (DPF)
Google LLCGemini AI-modellEU (Ireland)
Loopia ABSMTP/IMAP-utskick — Allmänna villkor (GDPR ingår)Sverige
Stripe Payments Europe Ltd.BetalningarEU (Ireland)
Resend (Plus Five Five, Inc.)Transactional email — DPA 2025-12-31US (DPF)
Anthropic, PBCClaude Max (intern AI) — Business TermsUS (DPF)
Vercel Inc.Hosting för GeoMonitor — DPA 2026-03-31US (Delaware)
Functional Software, Inc. (Sentry)Error tracking (GeoMonitor) — DPA v5.1.0US (San Francisco)
OpenAI OpCo, LLCChatGPT (intern AI) — DPA v.010126 signerad 2026-05-16US (DPF)
DataForSEOSERP/SEO-data (GeoMonitor m.fl.) — DPAEstonia (EU) + US (DPF)
Google Cloud PlatformCloud-infrastruktur — Google Cloud DPA (CDPA)EU + US (DPF)
Sold through Link, LLC (LemonSqueezy)Betalningar (Merchant of Record) — DPA 2026-05-16US (DPF)

Biträdet informerar Personuppgiftsansvarig minst 30 dagar i förväg vid byte eller tillägg av underbiträde.

Datakällor (ej sub-processors)

Följande är publika datakällor där vi gör outbound queries med org.nr. Inga personuppgifter skickas till dessa tjänster — de omfattas därför inte av Art. 28 sub-processor-regimen:

4. Lagringsperioder

DatatypRetention
AI-genererat innehåll12 mån → redaktas automatiskt
Outreach-mail-innehåll12 mån → redaktas automatiskt
Audit-log (Art. 30)24 mån → raderas
Bounce-events6 mån → raderas
Email-verifikationscache90 dagar rolling
Faktureringsdata7 år (BFL)

5. Säkerhetsåtgärder (Art. 32)

Certifierings-roadmap

Biträdet är inte ISO 27001- eller SOC 2-certifierat i nuvarande skala. Roadmap: 2026 ISO 27002-ramverk · 2027 pre-audit · 2027-2028 ISO 27001-certifiering vid ~50 betalkunder. Tills certifiering finns: skriftlig efterlevnadsförklaring + penetrationstest- rapport på begäran. Transparens > fake-credibility.

6. Registrerades rättigheter

Biträdet bistår Personuppgiftsansvarig att uppfylla skyldigheter enligt Art. 15-22: åtkomst, rättelse, radering, begränsning, portabilitet, invändning. Unsubscribe-länk i varje cold-mail honoreras inom 5 arbetsdagar.

6.5 Audit-rättigheter

Personuppgiftsansvarig har rätt att, max 1 ggr per 12 månader, granska Biträdets efterlevnad via ackrediterad tredjepart efter 30 dgr skriftlig förvarning. Kunden bär kostnaden. Revisorn signerar NDA. Som alternativ tillhandahåller Biträdet SOC 2/ISO 27001-rapport (när tillgänglig) eller skriftlig efterlevnadsförklaring. Vid incident eller IMY-krav överrider årsbegränsningen.

Biträdet behåller compliance-relevant dokumentation i minst 3 år.

6.6 Konsekvensbedömning (DPIA, Art. 35-36)

Biträdet bistår Personuppgiftsansvarig med teknisk information för DPIA enligt Art. 35 och förhandssamråd med IMY enligt Art. 36 — inklusive dataflödesdiagram, threat-model och säkerhets-sammanfattning. Personuppgiftsansvarig ansvarar för själva DPIA:n.

7. Internationella överföringar

EU-US Data Privacy Framework (Cloudflare, Anthropic, Stripe, Google, OpenAI, Sentry m.fl.) eller EU:s standardavtalsklausuler 2021/914 för icke-DPF-certifierade underbiträden.

8. Personuppgiftsincident (Art. 33-34)

Vid säkerhetsincident anmäler Biträdet till Personuppgiftsansvarig utan onödigt dröjsmål och senast inom 72 timmar från upptäckt (i linje med GDPR Art. 33). Notifikationen innehåller: incidentens art, ungefärligt antal påverkade registrerade, sannolika konsekvenser och åtgärder vidtagna. Intern operationell standard hos Alserda: 24h, för marginal mot 72h-fönstret.

Notifikations-kanal: registrerad kontaktadress + kopia till richard@alserda.se.

9. Uppsägning

DPA gäller så länge huvudavtalet är aktivt. Vid uppsägning raderas all personuppgiftsdata inom 30 dagar. Audit-log + fakturering behålls enligt BFL-krav (7 år).

10. Tillämplig lag

Svensk rätt. Tvister: Stockholms tingsrätt.

Fullständig mall: docs/legal/DPA-template.md.
Kontakt om DPA: richard@alserda.se