Juridik & dataskydd - Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal ("DPA") reglerar Siteflows behandling av personuppgifter för Kundens räkning enligt artikel 28 i dataskyddsförordningen (GDPR). DPA:t utgör en bilaga till de allmänna villkoren och anses ingånget vid acceptansen av dessa.
Senast uppdaterad: maj 2026 · Version 1.0
Notera: Detta är ett utkast för GDPR-efterlevnad. Slutgiltig version är pågående advokat-review.
1. Definitioner
I detta DPA används följande termer:
- Personuppgiftsansvarig — Kunden, som avgör ändamål och medel för behandlingen.
- Personuppgiftsbiträde — Siteflow Stockholm AB (org.nr 559420-8752), som behandlar personuppgifter på den Personuppgiftsansvariges vägnar.
- Underbiträde — leverantör som Siteflow anlitar för att utföra delar av behandlingen (Vercel, GitHub, e-postleverantör etc.).
- Registrerad — den fysiska person vars personuppgifter behandlas.
2. Föremål och varaktighet
Siteflow behandlar personuppgifter för att leverera hemsida-, chat-, telefon-, boknings- och CRM-tjänsterna enligt huvudavtalet. Behandlingen pågår under hela avtalstiden samt under den retention-period som anges i avsnitt 11.
3. Typer av personuppgifter
Följande kategorier av personuppgifter behandlas:
- Identitet (för- och efternamn, befattning).
- Kontakt (e-post, telefon, postadress).
- Tekniska data (IP-adress, webbläsare, enhet) vid besök på Kundens hemsida.
- Innehåll i meddelanden som Kundens slutkunder skickar via kontakt-, chat- eller bokningsformulär.
- Eventuella uppgifter Kunden själv lägger in i CRM-systemet om sina kontakter och leads.
4. Kategorier av registrerade
Behandlingen omfattar följande kategorier av registrerade:
- Kundens slutkunder och prospects.
- Kundens anställda som administrerar sitt konto hos Siteflow.
- Besökare på Kundens hemsida.
5. Biträdets skyldigheter
Siteflow åtar sig att:
- Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden — huvudavtalet och detta DPA utgör grundläggande instruktion.
- Säkerställa att personer med åtkomst till personuppgifterna är bundna av sekretess (anställningsavtal eller motsvarande NDA).
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (TOMs) — se bilaga i avsnitt 12.
- Bistå Kunden vid hantering av registrerades rättigheter och konsekvensbedömningar (DPIA).
6. Underbiträden
Kunden lämnar härmed sitt allmänna förhandsgodkännande för att Siteflow anlitar följande underbiträden:
| Leverantör | Syfte | Jurisdiktion |
|---|---|---|
| Vercel Inc. | Hosting + CDN för kundens hemsida | USA (SCC + DPF) |
| GitHub Inc. | Versionshantering av kod och innehåll | USA (SCC + DPF) |
| E-postleverantör | Transaktionsmail (bekräftelser, magic-links) | EU/EES |
| Chat-widget-leverantör | AI-chat på kundens hemsida (om aktiverat) | EU/EES |
Siteflow informerar Kunden om planerade byten av eller tillägg av underbiträden minst 30 dagar i förväg via e-post. Kunden har rätt att invända — om invändning inte kan lösas har Kunden rätt att säga upp avtalet.
7. Internationella överföringar
Vid överföring av personuppgifter till länder utanför EU/EES används en kombination av:
- EU-kommissionens standardavtalsklausuler (SCC).
- EU-US Data Privacy Framework (DPF) för certifierade amerikanska mottagare.
- Kompletterande tekniska åtgärder (kryptering i transit och vid lagring) där så krävs enligt Schrems II.
8. Personuppgiftsincident
Siteflow ska utan onödigt dröjsmål, och senast inom 72 timmar från upptäckt, meddela Kunden om personuppgiftsincident. Meddelandet ska minst innehålla:
- Beskrivning av incidentens art.
- Sannolika konsekvenser för registrerade.
- Vidtagna och planerade åtgärder.
- Kontaktuppgifter för uppföljning.
9. Bistånd vid registrerades rättigheter
Siteflow ska bistå Kunden med att uppfylla skyldigheter gentemot registrerade enligt GDPR kapitel III, inklusive rätt till tillgång, rättelse, radering, begränsning, dataportabilitet och invändning. Bistånd lämnas inom rimlig tid och utan extra kostnad i normalfallet.
Tekniska funktioner finns redan i tjänsten: inloggad kund kan i portalen exportera all sin egen data som JSON och begära radering av sitt konto.
10. Granskningsrätt och revision
Kunden har rätt att en gång per kalenderår, efter 30 dagars skriftlig framförhållning, granska Siteflows efterlevnad av detta DPA. Granskningen ska ske på sätt som inte orimligt stör Siteflows verksamhet. Siteflow tillhandahåller dokumentation av TOMs (avsnitt 12) som primärt granskningsunderlag.
11. Återlämnande/radering vid avtals slut
Vid avtalets upphörande raderar Siteflow alla personuppgifter som behandlats för Kundens räkning senast 30 dagar efter avtalsslut, om inte annat följer av tvingande lagstiftning (t.ex. bokföringslagen).
Kunden kan begära kopia av sina personuppgifter i strukturerat maskinläsbart format (JSON) inom samma 30-dagarsperiod via kundportalens export-funktion.
12. Bilaga: Tekniska och organisatoriska säkerhetsåtgärder (TOMs)
Siteflow tillämpar bland annat följande säkerhetsåtgärder:
- Kryptering — TLS 1.2+ för all trafik. Lösenord bcrypt-hashas. Säkerhetskopior krypteras vid lagring.
- Åtkomstkontroll — roll-baserad åtkomst (RBAC) med admin / team_member / customer-roller. Multi-tenant-isolering på applikationsnivå.
- Audit-loggning — inloggningar loggas. Raderingar lagras i separat audit-trail. Impersonations-token är spårbara.
- Backup — daglig backup av produktionsdatabasen, retention 30 dagar.
- Patch-hantering — kritiska säkerhetspatchar appliceras inom 7 dagar.
- Personalsäkerhet — anställda bundna av sekretess. Åtkomst rensas vid avslutad anställning.
- Incident-respons — Sentry error-tracking + on-call-rutin för produktionsincidenter.