Juridik & dataskydd - Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal ("DPA") reglerar Siteflows behandling av personuppgifter för Kundens räkning enligt artikel 28 i dataskyddsförordningen (GDPR). DPA:t utgör en bilaga till de allmänna villkoren och anses ingånget vid acceptansen av dessa.

Senast uppdaterad: maj 2026 · Version 1.0

Detta DPA är utformat i enlighet med artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Det är bindande vid acceptansen av Siteflows allmänna villkor och kräver ingen separat signering. Vid eventuell konflikt med huvudavtalet har detta DPA företräde i frågor om personuppgiftsbehandling.

1. Definitioner

I detta DPA används följande termer:

  • Personuppgiftsansvarig — Kunden, som avgör ändamål och medel för behandlingen.
  • Personuppgiftsbiträde — Siteflow Stockholm AB (org.nr 559420-8752), som behandlar personuppgifter på den Personuppgiftsansvariges vägnar.
  • Underbiträde — leverantör som Siteflow anlitar för att utföra delar av behandlingen (Vercel, GitHub, e-postleverantör etc.).
  • Registrerad — den fysiska person vars personuppgifter behandlas.

2. Föremål och varaktighet

Siteflow behandlar personuppgifter för att leverera hemsida-, chat-, telefon-, boknings- och CRM-tjänsterna enligt huvudavtalet. Behandlingen pågår under hela avtalstiden samt under den retention-period som anges i avsnitt 11.

3. Typer av personuppgifter

Följande kategorier av personuppgifter behandlas:

  • Identitet (för- och efternamn, befattning).
  • Kontakt (e-post, telefon, postadress).
  • Tekniska data (IP-adress, webbläsare, enhet) vid besök på Kundens hemsida.
  • Innehåll i meddelanden som Kundens slutkunder skickar via kontakt-, chat- eller bokningsformulär.
  • Eventuella uppgifter Kunden själv lägger in i CRM-systemet om sina kontakter och leads.

4. Kategorier av registrerade

Behandlingen omfattar följande kategorier av registrerade:

  • Kundens slutkunder och prospects.
  • Kundens anställda som administrerar sitt konto hos Siteflow.
  • Besökare på Kundens hemsida.

5. Biträdets skyldigheter

Siteflow åtar sig att:

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden — huvudavtalet och detta DPA utgör grundläggande instruktion.
  • Säkerställa att personer med åtkomst till personuppgifterna är bundna av sekretess (anställningsavtal eller motsvarande NDA).
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (TOMs) — se bilaga i avsnitt 12.
  • Bistå Kunden vid hantering av registrerades rättigheter och konsekvensbedömningar (DPIA).

6. Underbiträden

Kunden lämnar härmed sitt allmänna förhandsgodkännande för att Siteflow anlitar följande underbiträden:

LeverantörSyfteJurisdiktion · överföringsmekanism
Vercel Inc.Hosting och CDN för publika landningssidor, region fra1 (Frankfurt, EU)EU · moderbolag USA · SCC + EU-US DPF
GitHub Inc.Versionshantering av kod och innehållUSA · SCC + EU-US DPF
Fly.io Inc.Applikations- och databashosting (PostgreSQL) för CRM, leads och kontonEU-region (arn — Stockholm) · SCC + EU-US DPF
Stripe Payments Europe Ltd.Betalningar och abonnemangIrland (EU) · självständigt ansvarig för betalningsdata
Klarna Bank ABDelbetalning vid e-handel (paket Sälja)Sverige (EU) · självständigt ansvarig
Anthropic PBCLLM-modell för Greet AI-chat (konversation, lead-bokning)USA · SCC · Zero Data Retention (API)
OpenAI, L.L.C.Realtime API för AI-telefonist (tal, transkribering, svar)USA · SCC · Zero Data Retention (Enterprise)
LiveKit Inc.Realtidstransport (WebRTC) för AI-telefonistUSA · SCC + EU-US DPF
Microsoft Azure Communication ServicesVideo- och röstmöten (kund-till-kund), SMS-utskickEU/EES (West Europe)
Resend Inc.Transaktionsmail (magic-link, kvitton, bekräftelser)USA · SCC + EU-US DPF
Cloudflare Inc.Turnstile bot-skydd för kontaktformulärUSA · SCC + EU-US DPF
Functional Software Inc. (Sentry)Felrapportering och övervakningUSA · SCC + EU-US DPF · IP scrubbed
Google LLC (PageSpeed Insights API)Mätning av webbprestandaUSA · SCC + EU-US DPF

Aktuell underbiträdes-lista publiceras alltid på denna sida. För leverantörer i USA stödjer sig Siteflow på en kombination av EU-kommissionens standardavtalsklausuler (Beslut 2021/914), EU-US Data Privacy Framework där leverantören är certifierad, samt kompletterande tekniska skyddsåtgärder enligt EDPB:s rekommendation 01/2020 (TIA).

Siteflow informerar Kunden om planerade byten av eller tillägg av underbiträden minst 30 dagar i förväg via e-post. Kunden har rätt att invända — om invändning inte kan lösas har Kunden rätt att säga upp avtalet.

7. Internationella överföringar

Vid överföring av personuppgifter till länder utanför EU/EES används en kombination av:

  • EU-kommissionens standardavtalsklausuler (SCC).
  • EU-US Data Privacy Framework (DPF) för certifierade amerikanska mottagare.
  • Kompletterande tekniska åtgärder (kryptering i transit och vid lagring) där så krävs enligt Schrems II.

8. Personuppgiftsincident

Siteflow ska utan onödigt dröjsmål, och senast inom 72 timmar från upptäckt, meddela Kunden om personuppgiftsincident. Meddelandet ska minst innehålla:

  • Beskrivning av incidentens art.
  • Sannolika konsekvenser för registrerade.
  • Vidtagna och planerade åtgärder.
  • Kontaktuppgifter för uppföljning.

9. Bistånd vid registrerades rättigheter

Siteflow ska bistå Kunden med att uppfylla skyldigheter gentemot registrerade enligt GDPR kapitel III, inklusive rätt till tillgång, rättelse, radering, begränsning, dataportabilitet och invändning. Bistånd lämnas inom rimlig tid och utan extra kostnad i normalfallet.

Tekniska funktioner finns redan i tjänsten: inloggad kund kan i portalen exportera all sin egen data som JSON och begära radering av sitt konto.

10. Granskningsrätt och revision

Kunden har rätt att en gång per kalenderår, efter 30 dagars skriftlig framförhållning, granska Siteflows efterlevnad av detta DPA. Granskningen ska ske på sätt som inte orimligt stör Siteflows verksamhet. Siteflow tillhandahåller dokumentation av TOMs (avsnitt 12) som primärt granskningsunderlag.

11. Återlämnande/radering vid avtals slut

Vid avtalets upphörande raderar Siteflow alla personuppgifter som behandlats för Kundens räkning senast 30 dagar efter avtalsslut, om inte annat följer av tvingande lagstiftning (t.ex. bokföringslagen).

Kunden kan begära kopia av sina personuppgifter i strukturerat maskinläsbart format (JSON) inom samma 30-dagarsperiod via kundportalens export-funktion.

12. Bilaga: Tekniska och organisatoriska säkerhetsåtgärder (TOMs)

Siteflow tillämpar bland annat följande säkerhetsåtgärder:

  • Kryptering — TLS 1.2+ för all trafik. Lösenord bcrypt-hashas. Säkerhetskopior krypteras vid lagring.
  • Åtkomstkontroll — roll-baserad åtkomst (RBAC) med admin / team_member / customer-roller. Multi-tenant-isolering på applikationsnivå.
  • Audit-loggning — inloggningar loggas. Raderingar lagras i separat audit-trail. Impersonations-token är spårbara.
  • Backup — daglig backup av produktionsdatabasen, retention 30 dagar.
  • Patch-hantering — kritiska säkerhetspatchar appliceras inom 7 dagar.
  • Personalsäkerhet — anställda bundna av sekretess. Åtkomst rensas vid avslutad anställning.
  • Incident-respons — Sentry error-tracking + on-call-rutin för produktionsincidenter.

Berätta om ert projekt

30 minuter. Ingen säljpitch. En av grundarna ringer er och vi pratar igenom er marknad, era kunder och rätt paket.

Besöksadress
Varuvägen 9
125 34 Älvsjö, Stockholm
Svarstid
Inom 24 h, vardagar oftast snabbare