Databiträdesavtal (DPA)
Version 1.0 — 15 februari 2026
Detta databiträdesavtal gäller automatiskt för alla företagskunder som använder AIbott.se. Genom att använda tjänsten godkänner du villkoren nedan. Om du behöver en anpassad version eller påskrift, kontakta oss.
1. Parter och definitioner
Detta databiträdesavtal ("DPA") ingås mellan:
Personuppgiftsansvarig ("Kunden"): Det företag eller den organisation som registrerar sig för och använder AIbott.se.
Personuppgiftsbiträde ("Leverantören"): Optimalo AB, org.nr 559405-1368, Göteborg, Sverige, som tillhandahåller AIbott.se.
Avtalet utgör en del av och bildar tillägg till de allmänna användarvillkoren för AIbott.se och träder i kraft när Kunden börjar använda tjänsten.
2. Föremål och varaktighet
Leverantören behandlar personuppgifter på uppdrag av Kunden i syfte att tillhandahålla AI-baserade tjänster (chatt, bildgenerering, dokumentanalys, rekryteringsverktyg m.m.) enligt vad som beskrivs i tjänsteavtalet. Behandlingen pågår under hela avtalstiden och upphör 30 dagar efter att Kundens konto avslutas, då all data raderas permanent.
3. Kategorier av personuppgifter och registrerade
Registrerade: Kundens medarbetare/användare, samt tredjeparter vars uppgifter kan förekomma i uppladdade dokument (t.ex. CV-kandidater).
Kategorier av personuppgifter: E-postadress, namn, chattinnehåll, uppladdade dokument, genererade bilder/videor, användningsstatistik, prenumerationsdata.
Särskilda kategorier: Leverantören behandlar normalt inga särskilda kategorier av personuppgifter (hälsodata, fackföreningstillhörighet, etniskt ursprung etc.). Om Kunden laddar upp dokument som innehåller sådana uppgifter ansvarar Kunden för att ha rättslig grund för denna behandling.
4. Leverantörens skyldigheter
Leverantören förbinder sig att:
(a) Behandla personuppgifter enbart enligt Kundens dokumenterade instruktioner och inte för egna ändamål. Om EU- eller svensk lag kräver annan behandling informerar Leverantören Kunden i förväg, såvida inte lag förbjuder det.
(b) Säkerställa att personal som behandlar personuppgifter har åtagit sig tystnadsplikt eller omfattas av lagstadgad tystnadsplikt.
(c) Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt GDPR artikel 32, inklusive kryptering vid överföring (TLS) och lagring, tillgångskontroll, regelbundna säkerhetsgranskningar, samt incidenthanteringsberedskap.
(d) Inte anlita underbiträden utan Kundens förhandsgodkännande (se punkt 5).
(e) Bistå Kunden med att besvara begäranden från registrerade gällande deras rättigheter enligt GDPR kapitel III (tillgång, rättelse, radering, portabilitet m.m.).
(f) Bistå Kunden vid konsekvensbedömningar (DPIA) och förhandssamråd med tillsynsmyndigheten vid behov.
(g) Meddela Kunden utan onödigt dröjsmål (senast 48 timmar) vid konstaterad personuppgiftsincident, med information om incidentens art, omfattning, sannolika konsekvenser och vidtagna åtgärder.
(h) Vid avtalets upphörande radera alla personuppgifter inom 30 dagar, eller återlämna dem i maskinläsbart format om Kunden begär det.
5. Underbiträden
Kunden godkänner härmed att Leverantören anlitar följande underbiträden. Leverantören informerar Kunden minst 30 dagar i förväg vid byte eller tillägg av underbiträde. Kunden har rätt att invända; vid oenighet kan avtalet sägas upp utan kostnad.
| Underbiträde | Ändamål | Land | Överföringsmekanism |
|---|---|---|---|
| Supabase Inc. | Databas, autentisering | EU (Frankfurt) | EU-lagring |
| Vercel Inc. | Hosting, CDN | EU / USA | DPF |
| OpenAI LLC | AI-modeller | USA | DPF + ZDR API |
| Anthropic PBC | AI-modell | USA | DPF + ZDR API |
| Replicate Inc. | Bildgenerering, video | USA | DPF |
| Stripe Inc. | Betalning | USA / Irland | DPF + EU-lagring |
| Brevo (Sendinblue) | E-post | EU (Frankrike) | EU-lagring |
DPF = EU–US Data Privacy Framework. ZDR = Zero Data Retention (API-data sparas inte för modellträning).
6. Kundens skyldigheter
Kunden ansvarar för att:
(a) Säkerställa att det finns rättslig grund (art. 6 GDPR) för den behandling som sker via tjänsten. (b) Inte ladda upp särskilda kategorier av personuppgifter utan att ha vidtagit adekvata skyddsåtgärder. (c) Informera sina registrerade om behandlingen (art. 13/14 GDPR). (d) Ge Leverantören tydliga, dokumenterade instruktioner för behandlingen.
7. Revision och granskning
Kunden har rätt att genomföra eller låta en oberoende tredje part genomföra revision av Leverantörens efterlevnad av detta DPA. Revisioner ska aviseras minst 30 dagar i förväg och genomföras under normal arbetstid utan att störa tjänsten. Leverantören tillhandahåller relevant dokumentation på begäran.
8. Ansvar och skadestånd
Vardera parts ansvar under detta DPA begränsas i enlighet med ansvarsbegränsningarna i de allmänna användarvillkoren, såvida inte tvingande lag föreskriver annat. Part som bryter mot GDPR bär ansvaret gentemot registrerade i enlighet med GDPR artikel 82.
9. Avtalets varaktighet och uppsägning
Detta DPA gäller så länge Kunden har ett aktivt konto eller prenumeration hos AIbott.se. Vid uppsägning raderas alla personuppgifter inom 30 dagar. Kunden kan begära datautdrag innan kontot stängs.
10. Tillämplig lag och tvistlösning
Detta avtal lyder under svensk lag. Tvister ska i första hand lösas genom förhandling. Om parterna inte når en lösning inom 30 dagar hänskjuts tvisten till Göteborgs tingsrätt.
11. Kontakt
Optimalo AB
Org.nr: 559405-1368
E-post: kontakt@aibott.se
DPA-frågor: kontakt@aibott.se (ämnesrad: "DPA")