Personuppgiftsbiträdesavtal

Ingått enligt Art. 28.3 GDPR. Det utgör en integrerad del av Användarvillkoren och gäller automatiskt för varje WorkAist Cloud-kund.

Gäller från: 2026-07-10

Detta dokument publiceras på flera språk. Vid eventuella avvikelser är den engelska versionen bindande.

1. Parter och roller

Detta personuppgiftsbiträdesavtal (”PUB”) ingås mellan den kund som anges i WorkAist-kontot (”den Personuppgiftsansvarige”) och ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (”Personuppgiftsbiträdet”).

Vad gäller Kunddata som behandlas i WorkAist Cloud bestämmer den Personuppgiftsansvarige ändamålen med och medlen för behandlingen, och Personuppgiftsbiträdet behandlar på den Personuppgiftsansvariges vägnar. Om den Personuppgiftsansvarige själv är personuppgiftsbiträde åt en tredje part garanterar den Personuppgiftsansvarige att denne har befogenhet att ingå detta PUB och att de instruktioner denne lämnar återspeglar den tredje partens instruktioner.

Detta PUB gäller inte för WorkAist Self-Hosted, där Kunddata inte når Personuppgiftsbiträdets system, och inte heller för data som Personuppgiftsbiträdet självt är personuppgiftsansvarig för, vilka regleras av Integritetspolicyn.

2. Rangordning

Om detta PUB strider mot Användarvillkoren har detta PUB företräde i dataskyddsfrågor. Om det strider mot ett individuellt förhandlat orderformulär eller ett undertecknat personuppgiftsbiträdesavtal har det dokumentet företräde.

3. Föremål, varaktighet, art och syfte

Föremålet är tillhandahållandet av WorkAist Cloud. Behandlingens art och syfte är hosting, lagring, överföring och automatiserad behandling av Kunddata så att den Personuppgiftsansvariges konfigurerade agenter, connectors och processer kan köras, tillsammans med de support-, säkerhets-, mätnings- och faktureringsaktiviteter som krävs för att leverera Tjänsten.

Behandlingen pågår så länge den Personuppgiftsansvariges avtal för WorkAist Cloud är i kraft, plus de raderingsperioder som anges i punkt 11.

4. Kategorier av registrerade och personuppgifter

Den Personuppgiftsansvarige bestämmer vad som laddas upp. Behandlingen avser normalt:

Kategorier av registreradeKategorier av personuppgifter
Den Personuppgiftsansvariges anställda och auktoriserade användareNamn, arbets-e-postadress, roll, autentiseringsdata, poster i granskningsloggen
Den Personuppgiftsansvariges kunder, leads och kontakterNamn, e-post, telefonnummer, företag, korrespondens, CRM-poster, samtliga identifierare som den Personuppgiftsansvarige väljer att synkronisera
Den Personuppgiftsansvariges leverantörer och partnerKontaktuppgifter, avtals- och fakturadata
Registrerade som förekommer i dokument eller meddelanden som den Personuppgiftsansvarige behandlarAlla personuppgifter i filer, e-postmeddelanden, transkriptioner, bilder eller meddelanden som den Personuppgiftsansvarige skickar till Tjänsten

Särskilda kategorier av personuppgifter enligt Art. 9 GDPR och personuppgifter om fällande domar i brottmål och överträdelser enligt Art. 10 GDPR får inte behandlas i Tjänsten om inte parterna i förväg skriftligen kommit överens om ytterligare skyddsåtgärder.

Datans ursprung

Kunddata når Tjänsten genom att den Personuppgiftsansvarige ansluter externa system, laddar upp filer eller instruerar sina agenter att hämta dem. Endast den Personuppgiftsansvarige väljer dessa källor och bestämmer vad som importeras.

Den Personuppgiftsansvarige garanterar att denne har en rättslig grund enligt Art. 6 GDPR — och, där tillämpligt, Art. 9 — för att samla in dessa personuppgifter och för att överföra dem till Personuppgiftsbiträdet, och att den informationsanvisning eller det samtycke som krävs i källsystemet finns på plats. Personuppgiftsbiträdet har ingen åtkomst till den Personuppgiftsansvariges källsystem, väljer dem inte och varken kontrollerar eller kan kontrollera om de följer dataskyddslagstiftningen. Att fastställa detta är den Personuppgiftsansvariges skyldighet i egenskap av personuppgiftsansvarig.

5. Behandling enligt dokumenterade instruktioner

Personuppgiftsbiträdet behandlar Kunddata endast enligt den Personuppgiftsansvariges dokumenterade instruktioner, inklusive vad gäller överföringar till tredjeländer, om inte annat krävs enligt unionsrätt eller nationell rätt i en medlemsstat som Personuppgiftsbiträdet omfattas av. I sådant fall informerar Personuppgiftsbiträdet den Personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte lagen förbjuder detta av viktiga skäl med hänsyn till allmänintresset.

Användarvillkoren, detta PUB samt den Personuppgiftsansvariges konfiguration och användning av Tjänsten utgör den Personuppgiftsansvariges fullständiga dokumenterade instruktioner. Varje ytterligare instruktion ska lämnas skriftligen och kan, om den kräver insatser utöver Tjänstens standardfunktionalitet, bli föremål för en rimlig avgift som avtalas i förväg.

Personuppgiftsbiträdet underrättar den Personuppgiftsansvarige utan onödigt dröjsmål om Personuppgiftsbiträdet anser att en instruktion strider mot GDPR eller annan unionsrättslig eller nationell dataskyddslagstiftning.

6. Konfidentialitet

Personuppgiftsbiträdet säkerställer att personer som är auktoriserade att behandla Kunddata har åtagit sig konfidentialitet eller omfattas av en lämplig författningsreglerad tystnadsplikt, och att åtkomsten är begränsad till dem som behöver den för att fullgöra avtalet.

7. Säkerhet i behandlingen

Med beaktande av den senaste utvecklingen, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål, liksom riskerna för fysiska personers rättigheter och friheter, vidtar Personuppgiftsbiträdet följande tekniska och organisatoriska åtgärder enligt Art. 32 GDPR.

Bilaga II — Tekniska och organisatoriska åtgärder

ÅtgärdGenomförande
Kryptering vid överföringAll trafik till och från Tjänsten sker över TLS med automatiskt förnyade certifikat. Intern trafik mellan tjänster lämnar inte värdnätverket.
Kryptering av hemligheterKundens inloggningsuppgifter och connector-hemligheter krypteras i vila med AES-256-GCM under en nyckel som förvaras utanför applikationsdatabasen.
PseudonymiseringTelemetri- och mätdata refererar till kunder och agenter med hjälp av en identifierare snarare än namn eller e-post, där identifieraren är tillräcklig.
Konfidentialitet — åtkomstkontrollRollbaserad åtkomstkontroll per arbetsyta. Varje agent är begränsad till sitt eget lagringsprefix och sitt eget databasschema; åtkomst mellan kunder nekas på dataskiktet, inte bara i användargränssnittet.
Konfidentialitet — personalAdministrativ åtkomst enligt principen om lägsta privilegium, beviljad individuellt och omprövad vid rollbyte. Alla administrativa åtgärder skrivs till en granskningslogg som endast går att lägga till i.
Integritet (dataintegritet)Genomgående indatavalidering och parametriserade databasfrågor. Varje ändring via drifts-API:et registrerar en post i granskningsloggen som identifierar den som utfört ändringen.
Tillgänglighet och motståndskraftHanterad hosting i ett datacenter av Tier III-klass i Tyskland. Automatiserade dagliga säkerhetskopior av databasen, krypterade och förvarade separat från produktionsmiljön.
ÅterställningDokumenterad återställningsprocedur från den senaste säkerhetskopian; återställning övas i samband med infrastrukturförändringar.
Testning och utvärderingSårbarhetsskanning av beroenden i kontinuerlig integration, kodgranskning före sammanslagning, samt periodisk översyn av dessa åtgärder minst årligen och vid väsentliga förändringar av Tjänsten.
Inbyggd dataminimeringConnectors synkroniserar endast de fält som den Personuppgiftsansvarige aktiverar. Den Personuppgiftsansvarige kan när som helst radera varje synkroniserad tabell.

Personuppgiftsbiträdet får uppdatera dessa åtgärder i takt med den tekniska utvecklingen, förutsatt att skyddsnivån inte försämras. Den aktuella versionen är alltid den som publiceras på denna sida.

8. Underbiträden

Den Personuppgiftsansvarige ger Personuppgiftsbiträdet ett allmänt skriftligt tillstånd att anlita underbiträden. Personuppgiftsbiträdet ålägger varje underbiträde, genom avtal, dataskyddsförpliktelser som inte är mindre skyddande än dem som anges i detta PUB, och förblir fullt ansvarigt gentemot den Personuppgiftsansvarige för underbiträdets prestationer.

Bilaga III — Godkända underbiträden

Följande underbiträden anlitas för varje WorkAist Cloud-kund, eftersom de utgör en del av den infrastruktur som Tjänsten körs på.

UnderbiträdeÄndamålPlatsÖverföringsskydd
Hetzner Online GmbHHosting av applikationsservrar, databas och säkerhetskopiorTyskland (EU)Ej tillämpligt
Cloudflare, Inc.DNS, reverse proxy, TLS-terminering, DDoS-skyddGlobalt edge-nätverk, inklusive EUSCC:er; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Betalnings- och abonnemangshanteringIrland (EU)SCC:er för vidare koncernöverföringar; EU-US Data Privacy Framework
Resend, Inc.Leverans av transaktionella e-postmeddelandenUSASCC:er

Modellleverantörer

Leverantörer av stora språkmodeller behandlas annorlunda, eftersom den Personuppgiftsansvarige själv väljer dem.

  • Om den Personuppgiftsansvarige tillhandahåller egna inloggningsuppgifter till en leverantör, anlitas den leverantören av den Personuppgiftsansvarige, enligt den Personuppgiftsansvariges instruktioner och inom ramen för dennes egna avtal med leverantören. Leverantören är inte ett underbiträde till Personuppgiftsbiträdet. Personuppgiftsbiträdet vidarebefordrar endast förfrågan med hjälp av de tillhandahållna inloggningsuppgifterna och lämnar ingen garanti avseende den leverantörens säkerhet, plats för behandling, träningsmetoder eller regelefterlevnad.
  • Om den Personuppgiftsansvarige använder Personuppgiftsbiträdets hanterade tokenfakturering väljer Personuppgiftsbiträdet leverantören, och denna är ett underbiträde till Personuppgiftsbiträdet. Den leverantör som för närvarande anlitas i den egenskapen är Anthropic PBC (USA), för inferens av stora språkmodeller, inom ramen för standardavtalsklausuler och avtalsmässigt förhindrad att träna på de data som skickas till den.

Den Personuppgiftsansvarige kan när som helst inuti Tjänsten se vilken modellleverantör var och en av dennes agenter använder, och kan ändra den.

Ändringar av underbiträden

Personuppgiftsbiträdet meddelar den Personuppgiftsansvarige via e-post minst 30 dagar innan ett underbiträde läggs till eller byts ut. Den Personuppgiftsansvarige kan invända av rimliga dataskyddsrelaterade skäl inom dessa 30 dagar. Om parterna inte kan lösa invändningen kan den Personuppgiftsansvarige säga upp den berörda delen av Tjänsten utan påföljd och få en proportionell återbetalning av förskottsbetalda avgifter.

9. Stöd avseende registrerades rättigheter

Med beaktande av behandlingens art bistår Personuppgiftsbiträdet den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, med att uppfylla den Personuppgiftsansvariges skyldighet att besvara förfrågningar om utövande av registrerades rättigheter enligt kapitel III GDPR.

Tjänsten ger den Personuppgiftsansvarige direkt åtkomst till Kunddata så att denne själv kan lokalisera, exportera, rätta och radera personuppgifter. Om en förfrågan ändå kräver Personuppgiftsbiträdets medverkan svarar Personuppgiftsbiträdet utan onödigt dröjsmål och under alla omständigheter inom 10 arbetsdagar. Om en registrerad kontaktar Personuppgiftsbiträdet direkt angående Kunddata besvarar Personuppgiftsbiträdet inte förfrågan i sak, utan vidarebefordrar den till den Personuppgiftsansvarige utan onödigt dröjsmål.

10. Stöd avseende Art. 32–36

Personuppgiftsbiträdet bistår den Personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna i Art. 32–36 GDPR, med beaktande av behandlingens art och den information som Personuppgiftsbiträdet har tillgång till — i synnerhet vad gäller säkerhet i behandlingen, anmälan av personuppgiftsincidenter, information till registrerade, konsekvensbedömningar avseende dataskydd samt förhandssamråd.

Personuppgiftsincident

Personuppgiftsbiträdet underrättar den Personuppgiftsansvarige utan onödigt dröjsmål, och under alla omständigheter inom 48 timmar, efter att ha fått kännedom om en personuppgiftsincident som berör Kunddata. Underrättelsen beskriver incidentens art, kategorierna och det ungefärliga antalet berörda registrerade och poster, de sannolika konsekvenserna, de åtgärder som vidtagits eller föreslagits samt en kontaktpunkt. Om inte all information finns tillgänglig samtidigt lämnas den i omgångar utan ytterligare onödigt dröjsmål. Personuppgiftsbiträdet underrättar inte någon tillsynsmyndighet eller registrerade för den Personuppgiftsansvariges räkning, om inte Personuppgiftsbiträdet instrueras att göra det.

11. Radering och återlämnande av Kunddata

Efter den Personuppgiftsansvariges val raderar eller återlämnar Personuppgiftsbiträdet alla Kunddata efter att tillhandahållandet av de tjänster som avser behandlingen upphört, och raderar befintliga kopior, om inte unionsrätt eller nationell rätt i en medlemsstat kräver att personuppgifterna lagras.

  • Under 30 dagar efter att avtalet upphört kan den Personuppgiftsansvarige exportera Kunddata från Tjänsten, eller begära att de återlämnas i ett strukturerat, allmänt använt och maskinläsbart format.
  • Personuppgiftsbiträdet raderar Kunddata från driftsatta system inom 30 dagar efter att exportfönstret stängts.
  • Krypterade säkerhetskopior som innehåller Kunddata skrivs över enligt sin normala rotation och under alla omständigheter inom 90 dagar efter raderingen från driftsatta system.
  • På skriftlig begäran bekräftar Personuppgiftsbiträdet raderingen skriftligen.

12. Granskningar och information

Personuppgiftsbiträdet ställer till den Personuppgiftsansvariges förfogande all information som krävs för att visa efterlevnad av Art. 28 GDPR, och möjliggör och medverkar i granskningar, inklusive inspektioner, som utförs av den Personuppgiftsansvarige eller av en annan granskare med den Personuppgiftsansvariges uppdrag.

I praktiken tillhandahåller Personuppgiftsbiträdet först sin aktuella dokumentation av tekniska och organisatoriska åtgärder, sin förteckning över underbiträden samt skriftliga svar på ett säkerhetsfrågeformulär. Om detta inte är tillräckligt för att visa efterlevnad kan den Personuppgiftsansvarige, efter 30 dagars skriftlig förhandsanmälan, genomföra en granskning på plats eller på distans, högst en gång per kalenderår, om inte en personuppgiftsincident har inträffat eller en tillsynsmyndighet kräver det. Granskningar sker under kontorstid, får inte otillbörligt störa Personuppgiftsbiträdets verksamhet och omfattas av konfidentialitet. Den Personuppgiftsansvarige står för sina egna granskningskostnader; Personuppgiftsbiträdet står för sina, om inte granskningen avslöjar ett väsentligt brott mot detta PUB.

13. Internationella överföringar

Personuppgiftsbiträdet lagrar Kunddata i vila i Tyskland. Överföringar till underbiträden utanför Europeiska ekonomiska samarbetsområdet, i enlighet med förteckningen i Bilaga III, sker inom ramen för Europeiska kommissionens standardavtalsklausuler (genomförandebeslut (EU) 2021/914), Modul tre, där Personuppgiftsbiträdet agerar som personuppgiftsbiträde som anlitar ett underbiträde, kompletterade vid behov med ytterligare skyddsåtgärder, och — där mottagaren är certifierad — inom ramen för beslutet om adekvat skyddsnivå för EU-US Data Privacy Framework.

Genom att ingå detta PUB ger den Personuppgiftsansvarige Personuppgiftsbiträdet i uppdrag att ingå dessa standardavtalsklausuler med varje underbiträde i den Personuppgiftsansvariges namn och för dennes räkning.

14. Ansvar

Ansvar enligt detta PUB regleras av ansvarsbegränsningen i Användarvillkoren, med undantag för att inget begränsar någon av parternas ansvar gentemot en registrerad enligt Art. 82 GDPR eller gentemot en tillsynsmyndighet.

15. Löptid, tillämplig lag och kontakt

Detta PUB träder i kraft när den Personuppgiftsansvariges avtal för WorkAist Cloud börjar gälla och förblir i kraft så länge Personuppgiftsbiträdet behandlar Kunddata. Det regleras av portugisisk lag, och domstolarna i Lissabon har exklusiv behörighet, utan att det påverkar tillämpningen av Art. 79 GDPR.

Kontakt för alla frågor enligt detta PUB: [email protected].