Wilhelmsson Labs

Personuppgiftsbiträdesavtal

Mall version 1.0 | Datum: 2026-05-11 | Lagrum: GDPR Art. 28, Dataskyddslagen (2018:218)

Detta är en avtalsmall. Blå text (platshållare) kräver ifyllnad. Granska med kvalificerad jurist innan undertecknande, i synnerhet för AdvokatAI och TandläkarAI.

Parter

Personuppgiftsansvarig (Kunden):
Företag: [KUNDENS FÖRETAGSNAMN]
Org.nr: [KUNDENS ORGANISATIONSNUMMER]
Adress: [KUNDENS ADRESS]
Kontaktperson: [NAMN OCH E-POST]
(härefter "den Personuppgiftsansvarige")

Personuppgiftsbiträde (Leverantören):
Företag: Rickard Wilhelmsson / Wilhelmsson Labs
Org.nr: [TBD: organisationsnummer]
Adress: [TBD: adress]
E-post: [email protected]
(härefter "Biträdet")

1. Bakgrund och syfte

Parterna har ingått avtal om tjänsten [TJÄNSTENS NAMN, t.ex. RestaurangAI] ("Huvudavtalet"). I samband med leveransen av tjänsten behandlar Biträdet personuppgifter för den Personuppgiftsansvariges räkning.

Detta personuppgiftsbiträdesavtal ("DPA") reglerar Biträdets behandling av personuppgifter på den Personuppgiftsansvariges vägnar och kompletterar Huvudavtalet. Vid konflikt mellan detta DPA och Huvudavtalet har DPA:t företräde avseende personuppgiftsbehandling.

2. Definitioner och föremål för behandling

2.1 Definitioner

Termer som inte definieras här har den innebörd de ges i GDPR (EU) 2016/679.

2.2 Föremål, art och syfte

Parameter	Värde
Föremål för behandlingen	Leverans av tjänsten [TJÄNSTENS NAMN]
Behandlingens art	Lagring, bearbetning, AI-analys, transmittering inom tjänsteleveransen
Ändamål	[BESKRIV SPECIFIKT ÄNDAMÅL, t.ex. "Analysera gästbeteende för restaurangoptimering"]
Behandlingens varaktighet	Under Huvudavtalets löptid och i enlighet med avsnitt 11
Personuppgiftsansvariges verksamhetsland	Sverige

2.3 Kategorier av registrerade

[ANGE BERÖRDA KATEGORIER, t.ex.]

Kunder och gäster till den Personuppgiftsansvariges verksamhet
Anställda och personal
Leverantörer och affärskontakter

2.4 Kategorier av personuppgifter

[ANGE SPECIFIKA KATEGORIER, t.ex.]

Namn och kontaktuppgifter
Boknings- och transaktionshistorik
Kommunikationshistorik
Känsliga personuppgifter: [SPECIFICERA ELLER ANGE "Inga känsliga personuppgifter behandlas"]

3. Biträdets skyldigheter (GDPR Art. 28.3)

Biträdet åtar sig att:

Behandla enbart på instruktion (Art. 28.3(a)): Behandla personuppgifter uteslutande på dokumenterade instruktioner från den Personuppgiftsansvarige, inklusive om överföring till tredjeland, om inte EU- eller nationell rätt föreskriver annat.
Sekretess (Art. 28.3(b)): Säkerställa att personal som behandlar personuppgifter har åtagit sig att iaktta konfidentialitet eller är underkastad lämplig lagstadgad tystnadsplikt.
Säkerhetsåtgärder (Art. 28.3(c) och Art. 32): Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder, inklusive:
- Kryptering av personuppgifter i transit och i vila
- Fortlöpande konfidentialitet, integritet, tillgänglighet och resiliens
- Förmåga att återställa tillgänglighet efter incident (BCP)
- Förfarande för regelbunden testning och utvärdering av säkerhetsåtgärder
Underbiträdeskontroll (Art. 28.3(d)): Se avsnitt 4.
Biträde vid utövande av rättigheter (Art. 28.3(e)): Bistå den Personuppgiftsansvarige med att uppfylla skyldigheten att svara på begäran om utövande av de registrerades rättigheter (Art. 15-22).
Biträde vid säkerhetsåtgärder och DPIA (Art. 28.3(f)): Bistå den Personuppgiftsansvarige med att uppfylla skyldigheterna i Art. 32-36, med beaktande av behandlingens art och Biträdets tillgängliga information.
Radering eller återlämning (Art. 28.3(g)): Se avsnitt 11.
Dokumentation och granskning (Art. 28.3(h)): Tillhandahålla all information som krävs för att den Personuppgiftsansvarige ska kunna visa att skyldigheterna i Art. 28 uppfylls. Se avsnitt 8.

4. Underbiträden (sub-processors)

4.1 Godkännande av underbiträden

Den Personuppgiftsansvarige ger härmed generellt godkännande för Biträdet att anlita underbiträden listade på Biträdets sub-processor-sida ("Sub-processor-listan"), som uppdateras kontinuerligt.

4.2 Notifiering vid tillägg

Biträdet notifierar den Personuppgiftsansvarige om tillägg eller byte av underbiträde senast 30 dagar i förväg via e-post. Den Personuppgiftsansvarige har rätt att invända mot tillägget inom notifieringsperioden med skriftlig motivering.

4.3 Underbiträdets skyldigheter

Biträdet ålägger varje underbiträde motsvarande dataskyddsskyldigheter via skriftligt avtal. Biträdet ansvarar gentemot den Personuppgiftsansvarige för underbiträdets fullgörande av dessa skyldigheter (Art. 28.4).

5. Tredjelandsöverföringar

Behandling utanför EU/EES sker enbart om minst ett av följande skyddsåtgärder föreligger:

Europeiska kommissionens adequacy-beslut för det aktuella landet
EU-US Data Privacy Framework (DPF) för USA-baserade mottagare
Standardavtalsklausuler (SCC) enligt EU-kommissionens beslut 2021/914
Bindande företagsregler (BCR) godkända av tillsynsmyndighet

Aktuell lista över underbiträden och respektive skyddsåtgärder finns på Sub-processor-sidan.

Branschnot för AdvokatAI och TandläkarAI: Data med högt konfidentialitetsskydd bör inte överföras till tredjeland utanför EU/EES utan starka kompletterande skyddsåtgärder utöver DPF. Kontakta Biträdet för en specifik riskbedömning.

6. Säkerhetsincidenter

6.1 Underrättelse

Biträdet underrättar den Personuppgiftsansvarige om en konstaterad eller misstänkt personuppgiftsincident utan onödigt dröjsmål, och senast 48 timmar efter att Biträdet blivit medveten om incidenten. (Den Personuppgiftsansvarige har vidare 72 timmar per Art. 33 att anmäla till IMY.)

6.2 Innehåll i underrättelsen

Underrättelsen ska, i den mån uppgifter är tillgängliga, innehålla:

Beskrivning av incidentens art, berörda kategorier och ungefärligt antal registrerade
Kontaktuppgifter till dataskyddsombud eller kontaktperson
Sannolika konsekvenser av incidenten
Vidtagna eller planerade åtgärder

7. Konfidentialitet och instruktion

Biträdet behandlar personuppgifter enbart på dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte EU- eller nationell rätt förpliktar till behandling utan sådan instruktion.

Biträdet informerar omedelbart den Personuppgiftsansvarige om en instruktion enligt Biträdets bedömning innebär brott mot GDPR eller annan tillämplig dataskyddslagstiftning.

All personal hos Biträdet med åtkomst till personuppgifter under detta DPA är bunden av konfidentialitetsskyldighet.

8. Granskning och revision

Biträdet tillhandahåller den Personuppgiftsansvarige all information som krävs för att visa att skyldigheterna i Art. 28 uppfylls.

Den Personuppgiftsansvarige har rätt att genomföra, eller låta tredje part genomföra, revision av Biträdets behandling under detta DPA. Revision genomförs med rimligt förhandsmeddelande om minst 30 dagar, maximalt en gång per 12-månadersperiod, och på den Personuppgiftsansvariges bekostnad.

Biträdet har rätt att neka revisionsåtgärder som riskerar att avslöja konfidentiell information tillhörande andra kunder.

9. Rättigheter för registrerade

Biträdet bistår den Personuppgiftsansvarige med att uppfylla skyldigheter vid begäran om utövande av registrerades rättigheter (Art. 15-22). Biträdet vidarebefordrar omedelbart, och senast inom 5 arbetsdagar, alla direkta begäran till den Personuppgiftsansvarige.

10. DPIA och förhandssamråd

Biträdet bistår den Personuppgiftsansvarige vid genomförande av konsekvensbedömningar (DPIA, Art. 35) och vid förhandssamråd med tillsynsmyndighet (Art. 36) i den utsträckning uppgifter om behandlingen är nödvändiga och tillgängliga hos Biträdet.

11. Radering och återlämning vid avtalets upphörande

Vid Huvudavtalets upphörande, oavsett orsak, ska Biträdet på den Personuppgiftsansvariges val:

Återlämna alla personuppgifter i maskinläsbart format (CSV/JSON) och därefter radera befintliga kopior, eller
Radera samtliga personuppgifter och skriftligen bekräfta raderingen.

Radering ska genomföras senast 30 dagar efter avtalets upphörande, om inte EU- eller nationell rätt föreskriver längre lagringsskyldighet (t.ex. bokföringslagen).

Biträdet är inte skyldigt att radera data som Biträdet är rättsligt förpliktat att bevara, och ska i sådant fall informera den Personuppgiftsansvarige skriftligen.

12. Ansvarsbegränsning

Biträdets ansvar under detta DPA är underordnat och begränsat i enlighet med de ansvarsbegränsningar som anges i Huvudavtalet, om inte tillämplig lag föreskriver strängare ansvar.

Biträdet ansvarar inte för skada som uppstår till följd av den Personuppgiftsansvariges instruktioner, förutsatt att Biträdet uppfyllt sina skyldigheter under detta DPA.

13. Tillämplig lag och tvistlösning

Detta DPA regleras av svensk lag. Tvister avgörs i första hand genom förhandling. Kan enighet inte nås inom 30 dagar hänvisas tvisten till allmän domstol med Stockholms tingsrätt som första instans.

14. Underskrifter

Parterna har undertecknat detta personuppgiftsbiträdesavtal elektroniskt eller i två likalydande exemplar.

Personuppgiftsansvarig (Kunden)

Ort och datum: _______________

Namn: [NAMN]

Titel: [TITEL]

För: [FÖRETAGSNAMN]

Personuppgiftsbiträde (Wilhelmsson Labs)

Ort och datum: _______________

Namn: Rickard Wilhelmsson

Titel: Grundare

För: Wilhelmsson Labs

Not om e-signering: Detta avtal kan undertecknas med Advanced Electronic Signature (AES) enligt eIDAS Art. 26, t.ex. via BankID. AES har högt bevisvärde och rekommenderas framför Simple Electronic Signature (SES) för DPA-avtal med känsliga vertikaler (AdvokatAI, TandläkarAI, SiffrAI).