Personuppgiftsbiträdesavtal (DPA)
Version 1, gällande från 2026-04-17.
1. Parter
Personuppgiftsansvarig ("Kunden"): Den juridiska person som tecknat abonnemang på Paidin Analytics enligt Allmänna villkor (LEGAL-ANALYTICS-001).
Personuppgiftsbiträde ("Leverantören"): DBO AB, org.nr 559397-3075, med säte i Järfälla kommun, Stockholms län, Sverige.
2. Bakgrund och syfte
Kunden använder Paidin Analytics ("Tjänsten") för webbanalys och marknadsföringsinsikter. Inom ramen för Tjänsten behandlar Leverantören personuppgifter på uppdrag av Kunden. Detta avtal reglerar den behandlingen och uppfyller kraven i artikel 28 i EU:s dataskyddsförordning (GDPR).
Avtalet har företräde framför eventuella motstridiga villkor i övriga dokument mellan parterna vad gäller behandling av personuppgifter.
3. Kundens roll och ansvar
Kunden är personuppgiftsansvarig för alla personuppgifter som behandlas i Tjänsten och ansvarar för:
- Att ha laglig grund för behandlingen (GDPR art. 6 och i förekommande fall art. 9)
- Att informera de registrerade (t.ex. besökare på Kundens webbplats) enligt GDPR art. 13
- Att inhämta samtycke när sådant krävs
- Att hantera förfrågningar från registrerade om deras rättigheter
- Att Kundens eget integritetsskyddsarbete (DPIA, registerförteckning) täcker behandlingen i Tjänsten
4. Leverantörens roll och ansvar
Leverantören är personuppgiftsbiträde och behandlar personuppgifter:
- Endast på dokumenterade instruktioner från Kunden (dessa instruktioner utgörs av Villkoren, Tjänstens konfigurationsalternativ och Kundens konkreta val i Portalen)
- Endast för de ändamål som krävs för att leverera Tjänsten
- Aldrig för egna ändamål, marknadsföring eller vidareförsäljning
Om Leverantören anser att en instruktion bryter mot GDPR eller annan tillämplig dataskyddslagstiftning, informerar Leverantören Kunden utan onödigt dröjsmål.
5. Behandlingens art och omfattning
5.1 Föremål för behandlingen
Leverantören behandlar personuppgifter som samlas in via Tracking-script och Integrationer samt personuppgifter som Kunden själv lägger in i Portalen.
5.2 Behandlingens varaktighet
Behandlingen pågår under avtalstiden enligt LEGAL-ANALYTICS-001 och raderas enligt punkt 11 nedan.
5.3 Art av behandling
Insamling, lagring, strukturering, aggregering, visning i rapporter, tillhandahållande av aggregerad text via Claude API, samt radering.
5.4 Ändamål
Leverera webbanalys, visa rapporter, generera fynd och insikter, skicka veckorapporter och möjliggöra programmatisk åtkomst via MCP.
5.5 Kategorier av registrerade
| Kategori | Beskrivning |
|---|---|
| Besökare på Kundens Sites | Personer som besöker en webbplats där Kundens Tracking-script är installerat |
| Kundens anställda och kontakter | Personer som figurerar i data från Kundens Integrationer (t.ex. användarnamn, e-post i Google Ads-konto) |
| Annonsbetraktare | Personer vars anonyma aggregerade data finns i Google Ads/Meta Ads-rapporter kopplade via Integration |
5.6 Kategorier av personuppgifter
| Kategori | Typ | Källa |
|---|---|---|
| Anonyma besöksdata | Hashad klient-ID (SHA256 + pepper), sidvisningar, UTM-parametrar, tidpunkt | Tracking-script |
| Användaruppgifter från Integrationer | Konto-ID, display-namn, roller, behörigheter | OAuth-integration mot tredjepartstjänst |
| Aggregerad annonsstatistik | Visningar, klick, konverteringar per kampanj eller sökord | Google Ads / Meta Ads API |
| GA4-rapportdata | Sessioner, användare, händelser | Google Analytics 4 API |
| OAuth-tokens | Access-token, refresh-token (AES-256 krypterat i vila) | Tredjepartstjänst vid auktorisering |
Känsliga personuppgifter enligt art. 9 GDPR behandlas inte inom ramen för Tjänsten.
6. Säkerhetsåtgärder
Leverantören vidtar tekniska och organisatoriska säkerhetsåtgärder enligt GDPR art. 32:
6.1 Tekniska åtgärder
- TLS 1.2+ för all kommunikation
- AES-256-kryptering av OAuth-tokens i vila
- SHA256-hashning (med hemlig pepper) av klient-ID för besökare
- BCrypt (workFactor 12) för lösenordshashar
- Rate limiting och CORS-whitelist per Site
- Hosting i EU (Microsoft Azure, Västeuropa)
- Separata miljöer för utveckling, test och produktion
- Krypterade backups
- Regelbundna säkerhetsuppdateringar och beroendegranskning
6.2 Organisatoriska åtgärder
- Åtkomst till produktionsmiljön enbart för ett begränsat antal personer
- Loggning av administrativa åtgärder i produktion
- Incidenthanteringsprocess med 72-timmarsnotifiering till Kund
- Avtal om sekretess med samtliga underleverantörer
- Årlig intern granskning av säkerhetsrutiner
7. Konfidentialitet
Leverantören säkerställer att personer som behandlar personuppgifter i Tjänsten är bundna av sekretessförpliktelser eller har lämplig lagstadgad tystnadsplikt.
8. Underbiträden
8.1 Nuvarande underbiträden
Kunden ger härmed generellt förhandsgodkännande till följande underbiträden:
| Underbiträde | Roll | Plats | Överföringsgrund |
|---|---|---|---|
| Microsoft Ireland Operations Ltd | Hosting (Azure), databas | EU | Intern behandling |
| Stripe Payments Europe Ltd | Betalningshantering | Irland | Intern behandling |
| Twilio Inc. (SendGrid) | Transaktionell e-post | USA | SCC (Modulo 2) |
| Anthropic PBC | Claude API för textgenerering | USA | SCC (Modulo 2) |
8.2 Nya underbiträden
Leverantören informerar Kunden minst 30 dagar i förväg om avsikten att anlita nya underbiträden eller ersätta befintliga. Information sker via e-post till Kundens registrerade kontaktadress och publicering i Portalen.
Kunden kan under denna tid invända skriftligt mot det föreslagna underbiträdet. Om en invändning inte kan lösas i dialog har Kunden rätt att säga upp avtalet med verkan från den dag då det nya underbiträdet börjar anlitas.
8.3 Ansvar för underbiträden
Leverantören ålägger varje underbiträde samma dataskyddsförpliktelser som följer av detta avtal genom skriftligt avtal. Leverantören ansvarar för underbiträdets fullgörande gentemot Kunden enligt GDPR art. 28.4.
9. Överföring till tredje land
Överföring av personuppgifter till land utanför EU/EES sker endast när:
- Land är föremål för beslut om adekvat skyddsnivå av EU-kommissionen, eller
- Lämpliga skyddsåtgärder finns på plats enligt GDPR art. 46 (vanligen Standard Contractual Clauses)
För överföring till USA-baserade underbiträden (SendGrid, Anthropic) används SCC Modulo 2 (ansvarig till biträde) och, där relevant, kompletterande tekniska åtgärder enligt EDPB:s rekommendationer.
10. Bistand till Kunden
Leverantören biträder Kunden, med hänsyn till behandlingens art, med lämpliga tekniska och organisatoriska åtgärder för att Kunden ska kunna:
- Besvara förfrågningar från registrerade om deras rättigheter (art. 15 till 22 GDPR)
- Uppfylla sina skyldigheter enligt art. 32 till 36 GDPR (säkerhet, incidentanmälan, DPIA)
Bistand sker via:
- Export av Kunddata i maskinläsbart format (dataportabilitet)
- Radering av specifik Site eller registrerads uppgifter vid Kundens begäran
- Anpassade rapporter vid förfrågningar om registerutdrag
- Dokumentation om säkerhetsåtgärder vid DPIA
Bistand ingår i abonnemangsavgiften upp till skälig omfattning. Omfattande eller återkommande bistånd kan debiteras enligt Leverantörens gällande timpris.
11. Radering och återlämnande
Vid avtalets upphörande eller på Kundens begäran raderar eller återlämnar Leverantören samtliga personuppgifter enligt följande:
- 30 dagars grace period: Kunden kan exportera data via Portalen
- OAuth-tokens: revokeras och raderas omedelbart vid uppsägning
- Raw events, rapporter, fynd: raderas inom 7 dagar efter grace period
- Logg- och backupdata: raderas enligt rotationsschema inom 90 dagar
Undantag gäller för uppgifter som Leverantören enligt lag är skyldig att bevara (t.ex. bokföringsunderlag i 7 år enligt bokföringslagen). Sådana uppgifter hålls skrivskyddade och behandlas inte för andra ändamål.
12. Personuppgiftsincident
Vid personuppgiftsincident som påverkar Kundens data:
- Leverantören underrättar Kunden utan onödigt dröjsmål och senast 72 timmar efter att incidenten upptäcktes
- Underrättelsen innehåller beskrivning av incidenten, kategorier och ungefärligt antal berörda registrerade, sannolika konsekvenser och vidtagna åtgärder
- Leverantören bistår Kunden med den ytterligare information som Kunden behöver för att uppfylla sin anmälningsskyldighet till Integritetsskyddsmyndigheten och eventuellt till de registrerade
13. Revision
Kunden har rätt att en gång per år, eller i anslutning till en bekräftad incident, granska Leverantörens efterlevnad av detta avtal. Revision sker:
- Genom Leverantörens interna dokumentation och granskningsrapporter som tillhandahålls på begäran
- Alternativt via oberoende tredjepartsrevisor på Kundens bekostnad, med minst 30 dagars varsel och under skälig sekretessförpliktelse
Revision får inte genomföras på sätt som stör Leverantörens verksamhet eller riskerar säkerheten för andra kunders data.
14. Ansvar
Parternas ansvar regleras av Allmänna villkor (LEGAL-ANALYTICS-001) punkt 12 (Ansvarsbegränsning: 0,5 prisbasbelopp). Eventuella administrativa sanktionsavgifter som åläggs parten enligt GDPR bärs av den part som orsakat överträdelsen.
15. Ändringar
Leverantören kan uppdatera detta avtal när tjänsten utvecklas eller när regelverk förändras. Ändringar aviseras med minst 30 dagars varsel via e-post till Kundens registrerade kontaktadress. Om Kunden inte godkänner ändringarna har Kunden rätt att säga upp abonnemanget med verkan från den dag ändringarna träder i kraft.
16. Tillämplig lag
Svensk rätt är tillämplig på detta avtal. Tvist avgörs enligt LEGAL-ANALYTICS-001 punkt 17.
17. Kontaktuppgifter
DBO AB (Personuppgiftsbiträde) Org.nr: 559397-3075 E-post: support@paidin.se
Ändringslogg
| Version | Datum | Ändring |
|---|---|---|
| v1 | 2026-04-17 | Ursprungsversion skapad |