Personuppgiftsbiträdesavtal (DPA)
Senast uppdaterad: 2026-05-22 · Version 1.0
Detta utkast bygger på EU-kommissionens standardavtalsklausuler (modul 2,
controller-to-processor). Det måste granskas av juridisk rådgivare och
anpassas till din verksamhet innan undertecknande.
Detta personuppgiftsbiträdesavtal ("Avtalet") ingås mellan
- Kunden ("Personuppgiftsansvarig"), företaget som
registrerat ett konto i tjänsten Min Salong, och
- 1/1 Digital AI Solutions Sverige AB ("Chatterly"), org.nr 559518-0661,
med säte på Celsings Väg 65, 192 79 Sollentuna
("Personuppgiftsbiträde").
Avtalet utgör en integrerad del av användarvillkoren och gäller så länge
Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning.
1. Föremål och varaktighet
Behandlingens syfte: tillhandahållande av tjänsten Min Salong i enlighet
med användarvillkoren. Varaktighet: så länge avtalsförhållandet består.
2. Behandlade kategorier av uppgifter
- Identifieringsuppgifter: namn, telefonnummer, e-postadress.
- Bokningsdata: tjänst, tid, behandlare, status, eventuellt pris.
- Fri text som Personuppgiftsansvarig själv lägger till.
3. Kategorier av registrerade
- Personuppgiftsansvarigs klienter (klinikens kunder).
- Personuppgiftsansvarigs anställda/teammedlemmar som använder tjänsten.
4. Personuppgiftsbiträdets skyldigheter
Personuppgiftsbiträdet ska:
- Behandla uppgifter endast enligt dokumenterade instruktioner från
Personuppgiftsansvarig. Användarvillkoren och produktens funktioner
utgör sådana instruktioner.
- Säkerställa att personer med åtkomst är bundna av sekretess.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt
artikel 32 GDPR (se bilaga A).
- Bistå Personuppgiftsansvarig i att svara på begäran från registrerade
och uppfylla skyldigheter enligt artiklarna 32–36 GDPR.
- Anmäla personuppgiftsincidenter till Personuppgiftsansvarig utan onödigt
dröjsmål, normalt inom 48 timmar.
- Radera eller återlämna alla uppgifter vid avtalets upphörande, om inte
EU-rätt eller svensk lag kräver fortsatt lagring.
- Tillhandahålla all information som krävs för att visa efterlevnad,
inklusive att möjliggöra revisioner med rimliga intervall.
5. Underbiträden
Personuppgiftsansvarig ger Personuppgiftsbiträdet ett generellt godkännande
att anlita underbiträden, förutsatt att dessa är bundna av motsvarande
skyldigheter och anges i integritetspolicyn. Vid
byte eller tillägg av underbiträde informeras Personuppgiftsansvarig med
minst 30 dagars varsel och har då rätt att invända.
6. Tredjelandsöverföring
Om uppgifter överförs utanför EU/EES sker det till mottagare certifierade
enligt EU-US Data Privacy Framework, eller med stöd av EU-kommissionens
standardavtalsklausuler (2021/914).
7. Säkerhetsåtgärder (bilaga A)
- Kryptering i vila (AES-256) och i transit (TLS 1.2+).
- Hashade lösenord med bcrypt (Supabase Auth).
- Rollbaserad åtkomstkontroll och loggning av åtkomst.
- Brute-force-skydd och rate limiting.
- Daglig backup av produktionsdatabasen.
- Säker mjukvaruutveckling, kodgranskning och beroendekontroll.
- Incidentplan och kontinuitetsplanering.
8. Ansvar och försäkring
Ansvar regleras enligt användarvillkoren. Vardera part ansvarar för sina
egna överträdelser av GDPR.
9. Tillämplig lag och tvist
Svensk lag gäller. Tvister avgörs av svensk allmän domstol med Stockholms
tingsrätt som första instans.
10. Hur du tecknar detta avtal
Genom att klicka i rutan om GDPR vid registrering accepterar du detta DPA
i dess senaste version. Behöver du en undertecknad version för revision eller
internt arkiv, mejla info@chatterly.se
så skickar vi en PDF.