Detta personuppgiftsbiträdesavtal (Personuppgiftsbiträdesavtal) utgör en del av avtalet mellan Kunden och Ampthilly AB, organisationsnummer 559588-0724, med säte på Bjännberg 121, 905 72 Hörnefors, Sverige (Biträdet eller AMPthilly), där AMPthilly behandlar Personuppgifter för Kundens räkning i samband med AMPthilly-tjänsterna på https://ampthilly.com, https://app.ampthilly.com och relaterade underdomäner.
Termer med stor begynnelsebokstav som inte definieras här har den innebörd som anges i Användarvillkoren eller huvudavtalet mellan parterna (Avtalet). Om Avtalet och detta Personuppgiftsbiträdesavtal strider mot varandra i dataskyddsfrågor, gäller detta Personuppgiftsbiträdesavtal i den del de står i konflikt.
Standardkunder: Detta Personuppgiftsbiträdesavtal införlivas genom hänvisning i Villkoren; ingen separat signatur krävs när du använder Tjänsterna enligt Villkoren.
Enterprise-kunder kan begära en ömsesidigt undertecknad kopia via hello@ampthilly.com.
1. Roller och tillämpningsområde
Kunden är personuppgiftsansvarig (eller personuppgiftsbiträde som agerar för en annan personuppgiftsansvarigs räkning) för Personuppgifter som skickas in till Tjänsterna. AMPthilly behandlar Personuppgifter som personuppgiftsbiträde enbart enligt Kundens dokumenterade instruktioner, inklusive genom Avtalet, detta Personuppgiftsbiträdesavtal, Kundens användning av produktfunktioner och lagliga skriftliga instruktioner.
AMPthilly kan behandla begränsade Personuppgifter som självständig personuppgiftsansvarig för kontoadministration, fakturering, säkerhet och regelefterlevnad, enligt beskrivningen i Integritetspolicyn.
2. Instruktioner
AMPthilly behandlar Personuppgifter endast enligt Kundens instruktioner om inte EU-, EES-, brittisk eller svensk lag kräver annat - i vilket fall AMPthilly informerar Kunden om det kravet om det inte är förbjudet. Kunden instruerar AMPthilly att behandla Personuppgifter för att tillhandahålla, underhålla, säkra och stödja Tjänsterna, inklusive hosting, säkerhetskopior, loggning, AI-funktioner och godkända underbiträden.
3. AI-funktioner och modellträning
AMPthilly tillhandahåller AI-funktioner som drivs av Google (Gemini API), anlitat som underbiträde. AMPthilly använder inte, och kräver avtalsenligt att Google inte använder, Kundens Personuppgifter eller AI-interaktioner för att träna, finjustera eller förbättra någon AI- eller maskininlärningsmodell. Kundens Personuppgifter behandlas av AI-funktioner endast för att generera och returnera svar till Kundens behöriga användare.
4. Konfidentialitet
AMPthilly säkerställer att personer som är behöriga att behandla Personuppgifter är bundna av konfidentialitetsskyldigheter (avtalsenliga eller lagstadgade).
5. Säkerhetsåtgärder
AMPthilly implementerar lämpliga tekniska och organisatoriska åtgärder med hänsyn till teknikens utveckling, kostnader och risker, inklusive:
| Område | Åtgärder (sammanfattning) |
|---|---|
| Åtkomstkontroll | Rollbaserad åtkomst, principen om lägsta behörighet, autentisering för produktionssystem |
| Kryptering | Kryptering under transport (TLS); kryptering i vila för produktionsdatabaser där infrastrukturen stödjer det |
| Loggning och övervakning | Granskningsloggar för administrativ åtkomst; övervakning av tillgänglighet och säkerhetshändelser |
| Utveckling | Säkra utvecklingsmetoder, beroendegranskning, separation av miljöer |
| Leverantörshantering | Underbiträden bundna av skriftliga dataskyddsvillkor |
| Verksamhetskontinuitet | Säkerhetskopior och återställningsrutiner lämpliga för Tjänsterna |
| Incidenthantering | Dokumenterad process för att identifiera, begränsa och meddela intrång |
Ytterligare information finns på begäran för enterprise-säkerhetsgranskningar via hello@ampthilly.com.
6. Underbiträden
Kunden godkänner att AMPthilly engagerar underbiträden, som måste vara bundna av skriftliga villkor som ålägger dataskyddsskyldigheter som i huvudsak motsvarar detta Personuppgiftsbiträdesavtal.
Nuvarande underbiträden
| Underbiträde | Aktivitet | Plats |
|---|---|---|
| Vercel | Applikations- och webbplatshosting, CDN | EU/US med skyddsåtgärder |
| Supabase | Databas, autentisering, lagring, säkerhetskopior | EU/EES |
| Cloudflare | CDN, säkerhet, edge-skydd | Globalt (med SCC vid behov) |
| Stripe | Prenumerationsfakturering | EU/US med skyddsåtgärder |
| Google (Gemini API) | Driva AI-funktioner | Globalt; EU/US med skyddsåtgärder |
| Resend | Transaktions- och produkt-e-post | EU/US med skyddsåtgärder |
AMPthilly meddelar Kunden om avsedda tillägg eller ersättningar av underbiträden, med minst 30 dagars varsel där det är praktiskt möjligt. Kunden kan invända på skäliga dataskyddsgrunder inom 14 dagar från meddelandet. Om parterna inte kan lösa invändningen kan Kunden avsluta de berörda Tjänsterna som enda påföljd.
7. Internationella överföringar
När Personuppgifter överförs utanför EES/UK implementerar AMPthilly lämpliga skyddsåtgärder, inklusive:
- EU:s standardavtalsklausuler (2021/914) Modul två (personuppgiftsansvarig till personuppgiftsbiträde) eller Modul tre (personuppgiftsbiträde till personuppgiftsbiträde), införlivade genom hänvisning;
- UK International Data Transfer Addendum där UK GDPR gäller; och/eller
- överföringar till länder med beslut om adekvat skyddsnivå.
Kunden kan begära kopior av tillämpliga överföringsmekanismer via hello@ampthilly.com.
8. Bistånd till Kunden
Med hänsyn till behandlingens art bistår AMPthilly Kunden med att svara på registrerades begäranden; säkerheten vid behandlingen och meddelanden om personuppgiftsincidenter; samt konsekvensbedömningar och förhandssamråd med tillsynsmyndigheter där lag kräver det. Skäliga avgifter kan tillämpas för bistånd utöver standardsupport om Avtalet tillåter det.
9. Personuppgiftsincident
AMPthilly meddelar Kunden utan onödigt dröjsmål efter att ha fått kännedom om en Personuppgiftsincident som påverkar Kundens Personuppgifter, och tillhandahåller rimligt tillgänglig information för att hjälpa Kunden att uppfylla sina skyldigheter som personuppgiftsansvarig.
10. Återlämnande och radering
Vid uppsägning av Tjänsterna eller på Kundens skriftliga begäran raderar eller återlämnar AMPthilly Personuppgifter inom 90 dagar, utom där lagring krävs enligt lag eller där krypterade säkerhetskopior rensas enligt normal cykel (vanligtvis inom 90 dagar). Kunden ansvarar för att exportera Innehåll före uppsägning där exportfunktioner finns tillgängliga.
11. Revisioner och information
AMPthilly tillhandahåller information som rimligen behövs för att visa efterlevnad av detta Personuppgiftsbiträdesavtal, inklusive säkerhetssammanfattningar och listor över underbiträden. Kunden får genomföra revisioner högst en gång per år med 30 dagars skriftligt varsel, under kontorstid, utan att oskäligt störa verksamheten, med förbehåll för konfidentialitet och säkerhetskrav. Kunden bär sina egna revisionskostnader om inte en revision avslöjar väsentlig bristande efterlevnad som kan hänföras till AMPthilly. AMPthilly kan tillhandahålla tredjepartscertifieringar eller rapporter i stället för revisioner på plats där parterna är överens.
12. Kundens skyldigheter
Kunden ska:
- Ha laglig grund enligt tillämplig dataskyddslagstiftning för alla Personuppgifter och instruktioner;
- Inte instruera AMPthilly att behandla olagliga uppgifter eller för olagliga ändamål;
- Konfigurera roller och åtkomst lämpligt i produkten;
- Informera registrerade och tillhandahålla integritetsmeddelanden enligt krav;
- Säkerställa att särskilda kategorier av uppgifter endast skickas in där det är lagligt och nödvändigt, med lämpliga skyddsåtgärder;
- Svara på registrerades begäranden där Kunden är personuppgiftsansvarig.
Kunden ersätter AMPthilly för anspråk som uppstår från Kundens olagliga instruktioner eller brist på laglig grund, i den utsträckning Avtalet tillåter.
13. Ansvar
Ansvar enligt detta Personuppgiftsbiträdesavtal omfattas av begränsningarna och undantagen i Avtalet, utom där tillämplig dataskyddslagstiftning förbjuder det.
14. Rangordning
Detta Personuppgiftsbiträdesavtal kompletterar Avtalet. Vid konflikt i dataskyddsfrågor gäller detta Personuppgiftsbiträdesavtal.
Bilaga A - Beskrivning av behandlingen
| Fält | Detaljer |
|---|---|
| Föremål | Tillhandahållande av AMPthilly SaaS för tillgångshantering |
| Varaktighet | Avtalets löptid plus raderingsperioden i avsnitt 10 |
| Art och ändamål | Hosting, lagring, hämtning, organisering, visning, överföring, säkerhetskopiering, support, säkerhet och AI-assisterad sökning i Kundens Innehåll som innehåller Personuppgifter |
| Kategorier av registrerade | Kundens anställda, entreprenörer och andra behöriga användare; individer identifierade i tillgångsregister (mottagare, godkännare, kontakter) |
| Typer av Personuppgifter | Namn, arbets-e-post, roller, identifierare, tilldelnings- och granskningsmetadata, AI-frågor, supportkommunikation, ungefärlig plats (stad/land) härledd från IP vid inloggning där aktiverat, och andra fält Kunden väljer att lagra |
| Särskilda kategorier | Ej avsedd; Kunden får inte skicka in särskilda kategorier av uppgifter om inte skriftligen överenskommet |
| Frekvens | Kontinuerligt under användning av Tjänsterna |
| Lagring | Enligt beskrivningen i avsnitt 10 och Integritetspolicyn |
Bilaga B - Tekniska och organisatoriska åtgärder
Se avsnitt 5. Kunden ansvarar för att konfigurera roller, åtkomst och integrationer i produkten enligt sina policyer.
Bilaga C - Underbiträden
Se avsnitt 6. Uppdaterade listor tillhandahålls på begäran via hello@ampthilly.com.
Bilaga D - Standardavtalsklausuler
Där det krävs för överföringar från EES, enas parterna om att EU-kommissionens standardavtalsklausuler (2021/914) införlivas genom hänvisning, med:
- Modul två (personuppgiftsansvarig till personuppgiftsbiträde) för överföringar från Kunden till AMPthilly;
- Modul tre (personuppgiftsbiträde till personuppgiftsbiträde) för vidare överföringar till underbiträden där tillämpligt;
- Kunden som dataexportör och AMPthilly som dataimportör;
- valfria klausuler och bilagor ifyllda med uppgifterna i bilagorna A-C;
- tillämplig lag och domstolsbehörighet enligt Avtalet (Sverige), utan att begränsa registrerades rättigheter enligt GDPR.
För överföringar från Storbritannien gäller UK Addendum till EU:s standardavtalsklausuler, i den lydelse som utfärdats av ICO.
Kontakt
Frågor om personuppgiftsbiträdesavtalet, underbiträden eller säkerhetsdokumentation: hello@ampthilly.com.