Avtal & DPA
Nedanstående villkor och DPA gäller som standard. Har din verksamhet specifika krav finns möjlighet till anpassningar - hör av dig till oss så löser vi det.
Nyckelvillkor
Avtalstid
Avtalet löper tills vidare utan bindningstid.
Bindningstid & uppsägning
Uppsägning kan ske när som helst med en (1) månads uppsägningstid. Vid uppsägning löper avtalet vidare under uppsägningstiden och avslutas därefter.
Dolda avgifter
Inga dolda avgifter finns.
Saldo-återbetalning
Betalning sker månadsvis i efterskott. Eftersom inga förbetalda saldon förekommer uppstår ingen återbetalningsskyldighet. Detta medför även att om vår leverans mot förmodan ej motsvarar avtalad funktionalitet kan fakturan enkelt bestridas.
Egress
Ingen personuppgifts- eller processdata lagras efter genomfört anrop (se §4 nedan). Det finns därmed inga data att begära ut eller exportera.
Certifieringar
ISO/IEC 27001:2022
Certificate: C842079
Garantier för er data
Vi tränar inga AI-modeller på era data
Kunddata som behandlas används uteslutande för att leverera den avtalade tjänsten och används aldrig för att träna, finjustera eller på annat sätt förbättra AI-modeller eller andra system.
Ingen Cloud Act-exponering
GDM Konsult AB (Aderian GDM) lyder uteslutande under svensk och europeisk lagstiftning. Eftersom vi inte är ett amerikanskt bolag eller dotterbolag till ett sådant kan US CLOUD Act inte tillämpas på era data, oavsett vad som begärs av utländska myndigheter.
Instruktioner och beskrivning av personuppgiftsbehandlingen
Detta utgör Personuppgiftsansvariges instruktion för behandling av personuppgifter inom ramen för AI-tjänsten som tillhandahålls via Inferens & MCP genom API-anrop och som regleras i det övergripande personuppgiftsbiträdesavtalet mellan Personuppgiftsansvarig – Kunden AB, 012345-6789 och Personuppgiftsbiträde – GDM Konsult AB, 556550-2894.
Reglerar behandlingen av personuppgifter för tjänsten GDM AI (Inferens & MCP) mellan Kunden AB, 012345-6789 (Personuppgiftsansvarig) och GDM Konsult AB, 556550-2894 (Personuppgiftsbiträde).
1. Föremålet, ändamålet och arten med behandlingen
1.1 Föremål och ändamål
Personuppgiftsbiträdets behandling av personuppgifter med anledning av Huvudavtalet sker för det övergripande ändamålet att tillhandahålla AI-tjänsten på uppdrag av Personuppgiftsansvarig, vilket inkluderar följande ändamål:
- Tillhandahålla AI-tjänster – behandling av personuppgifter som är nödvändig för att tillhandahålla AI-tjänsten enligt Huvudavtalet, innefattande bearbetning och analys, samt generering av språk, text, ljud, bild och film.
- Tillhandahålla teknisk support och konsultation – behandling av personuppgifter som är nödvändig för att tillhandahålla teknisk support och rådgivning avseende AI-tjänsten.
- Övrig behandling – behandling av personuppgifter som är nödvändig för att fullgöra Personuppgiftsbiträdets åtaganden enligt Huvudavtalet och Avtalet.
1.2 Behandlingens art
Behandlingen innebär behandling och inferens av personuppgifter som skickas till de AI-modeller som tillhandahålls via AI-tjänsten. Det innefattar:
- Mottagande – mottagande av personuppgifter från Personuppgiftsansvarig.
- Bearbetning och inferens – behandling av mottagna personuppgifter genom inferensanrop till tillämpliga AI-modeller i syfte att generera de resultat och utdata som Personuppgiftsansvarig efterfrågar vid användning av AI-tjänsten.
- Lagring – tillfällig lagring av personuppgifter i den utsträckning det är nödvändigt för att genomföra behandlingen enligt punkterna ovan.
- Radering och återlämning – radering eller återlämning av personuppgifter i enlighet med vad som anges i punkt 4 i detta Avtal.
- Träning – Behandlingen omfattar inte träning, finjustering eller utvärdering av AI-modeller. Personuppgifter eller annat kundinnehåll som behandlas inom ramen för detta avtal används aldrig som träningsdata eller på annat sätt för att förbättra AI-modeller eller algoritmer.
Följande berör enbart MCP-biblioteket (ej Inferens):
- Insamling och delning – Ingående MCP-servrar är när det är möjligt utformade så att personuppgifter inte behandlas och, i de fall detta inte helt kan undvikas, utformade för att förhindra att sådana uppgifter vidarebefordras till extern aktör. Parterna är överens om att alla rimliga tekniska och organisatoriska åtgärder är vidtagna för att säkerställa detta. Det kan dock inte helt uteslutas att personuppgifter i enstaka undantagsfall oavsiktligt vidarebefordras till en extern mottagare. Parterna är överens om att en sådan vidarebefordran sker av Personuppgiftsbiträdet på instruktion av den Personuppgiftsansvarige i enlighet med Personuppgiftsbiträdesavtalet. Mottagaren är självständigt personuppgiftsansvarig för sin efterföljande behandling.
2. Personuppgifter som behandlas
2.1 Personuppgiftsbiträdet får behandla följande typer av personuppgifter
De personuppgifter som omfattas av behandlingen utgörs av sådana personuppgifter som användare hos Personuppgiftsansvarig tillgängliggör vid användning av AI-tjänsten, samt personuppgifter som skapas som ett resultat av användningen av AI-tjänsten. Detta inkluderar följande personuppgifter:
- Kontaktuppgifter – såsom namn, e-postadress, adress och telefonnummer.
- Kommunikations- och interaktionsdata – såsom kommunikationshistorik och data om användarinteraktioner med AI-tjänsten, innefattande inmatningar, frågor och instruktioner som användaren tillhandahåller.
- Tekniska uppgifter – tekniska identifierare och enhetsdata, såsom IP-adress och enhetsidentifierare.
- AI-genererat innehåll – innehåll som genereras av AI-tjänsten som ett resultat av användarens inmatningar, såsom svar, sammanfattningar, dokument och analyser.
2.2 Kundansvar
Personuppgiftsansvarig ansvarar för att säkerställa att personuppgifter som tillgängliggörs via AI-tjänsten är förenliga med tillämplig dataskyddslagstiftning. Personuppgiftsansvarig åtar sig särskilt att vid användning av AI-tjänsten inte tillgängliggöra särskilda kategorier av personuppgifter enligt artikel 9 GDPR, uppgifter om lagöverträdelser enligt artikel 10 GDPR, eller övriga uppgifter av känslig karaktär, såsom uppgifter inom hälso- och sjukvård, utbildning, nationell säkerhet eller samhällsviktig verksamhet, om det inte uttryckligen är tillåtet enligt Huvudavtalet eller Avtalet.
3. Kategorier av registrerade
Personuppgiftsbiträdet får behandla personuppgifter som avser följande kategorier av registrerade hos eller i relation till Personuppgiftsansvarig:
- Anställda, uppdragstagare och konsulter hos Personuppgiftsansvarig, inbegripet sådana som utgör slutanvändare av AI-tjänsten.
- Kontaktpersoner hos Personuppgiftsansvariges kunder, leverantörer och övriga affärspartners.
- Övriga fysiska personer vars personuppgifter förekommer i det material som Personuppgiftsansvarig eller dess användare tillgängliggör via AI-tjänsten.
Personuppgiftsansvarig ansvarar för att behandling via AI-tjänsten begränsas till de kategorier av registrerade som anges ovan och som är tillåtna enligt Huvudavtalet, Avtalet och tillämplig dataskyddslagstiftning.
4. Radering och retention
4.1 Radering efter anrop
Personuppgiftsbiträdet ska säkerställa att:
- Personuppgifter som används vid inferens (dvs. vid anrop till AI-tjänsten) raderas eller återlämnas så snart som möjligt efter att anropet har genomförts.
- Inga personuppgifter lagras i AI-modellerna eller i cachen efter att anropet har genomförts.
4.2 Loggning
Loggning av anrop till AI-tjänsten:
- Får endast innehålla tekniska data, såsom API-anrops-ID, tidpunkt, enhetsdata och IP-adress.
- Får inte innehålla personuppgifter som namn, e-postadress, kund-ID eller annat innehåll som direkt eller indirekt identifierar en fysisk person.
- Ska anonymiseras så långt som möjligt.
- Får endast användas för teknisk support, felsökning och säkerhetsändamål.
4.3 Kundansvar
Personuppgiftsansvarig ansvarar för att:
- granska och begränsa det innehåll som tillgängliggörs via AI-tjänsten i syfte att minimera förekomsten av personuppgifter i loggar, och
- säkerställa att uppgifter som avses i punkt 2.2 inte förekommer i loggar, om inte annat uttryckligen följer av Huvudavtalet eller Avtalet.
5. Tekniska och organisatoriska säkerhetsåtgärder
Personuppgiftsbiträdet ska vidta följande åtgärder vid behandlingen av personuppgifter:
- Kryptering av data i överföring (TLS 1.2).
- Åtkomstkontroller för personal och eventuella underbiträden (t.ex. behörighetsstyrning, MFA).
- Loggning och revision för att kunna spåra och analysera åtkomst.
- Incident- och återhämtningsprocedurer enligt IMY och ISO 27001.
Personuppgiftsbiträdet är ISO 27001-certifierat, vilket innebär att säkerhets- och riskhanteringsprocesser följer internationella standarder för informations- och datasäkerhet.
6. Lokalisering och överföring till tredje land
6.1 Personuppgiftsbiträdet behandlar personuppgifter i Sverige.
6.2 Inga personuppgifter överförs till tredje land eller internationella organisationer, såvida det inte är:
- Angivet i Huvudavtalet, Avtalet eller Bilagan.
- Och skriftligt godkänt av Personuppgiftsansvarig, inklusive lämplig juridisk grund (t.ex. Standard Contractual Clauses).
6.3 Personuppgiftsbiträdet är ett svenskt aktiebolag som är under svensk lag, och inga delar av verksamheten är under utländsk kontroll eller ägande.
7. Övriga instruktioner
Personuppgiftsansvarig får:
- Begära kopia av eller rapportering om behandlingen enligt GDPR och detta avtal.
- Begära radering eller avslut av behandlingen vid behov.
- Begära inspektion eller granskning av behandlingen enligt PUB-avtalet.
Personuppgiftsbiträdet ska:
- Omedelbart informera Personuppgiftsansvarig om personuppgiftsincidenter eller kända risker.
- Bistå vid hantering av efterfrågor från registrerade eller tillsynsmyndigheter.
8. Underbiträdesinformation
Personuppgiftsbiträdet använder inga underbiträden för att tillhandahålla AI-tjänsten.
Personuppgiftsansvarig ska informeras innan nya underbiträden läggs till, och kan invända mot nya underbiträden innan de används.
Underbiträden ska inneha samma dataskyddsåtaganden som framgår av detta personuppgiftsbiträdesavtal, enligt GDPR artikel 28.