Personuppgiftsbiträdesavtal (DPA) — Aodity
Detta personuppgiftsbiträdesavtal (”Avtalet”) reglerar Biträdets behandling av personuppgifter för Den Personuppgiftsansvariges räkning inom ramen för tjänsten Aodity, i enlighet med artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 (”GDPR”).
Avtalet godkänns av Den Personuppgiftsansvarige i samband med tecknande av abonnemang via Stripe Checkout, där godkännande av aodity.se/villkor inkluderar godkännande av detta personuppgiftsbiträdesavtal i dess vid var tid gällande version.
1. Parter
Detta Avtal har ingåtts mellan:
GartIT AB, org.nr 559025-7951, med adress Valhallavägen 98, 114 27 Stockholm, (”Biträdet”), som tillhandahåller tjänsten Aodity, och
Kunden, som anges i huvudavtalet (se avsnitt 2), (”Den Personuppgiftsansvarige”).
Biträdet och Den Personuppgiftsansvarige benämns nedan var för sig som ”Part” och gemensamt som ”Parterna”.
2. Bakgrund och syfte
2.1 Den Personuppgiftsansvarige har ingått ett huvudavtal med Biträdet om tillgång till och användning av Aodity (”Huvudavtalet”), baserat på de allmänna villkoren som finns publicerade på https://aodity.se/villkor.
2.2 Inom ramen för Huvudavtalet kommer Biträdet att behandla personuppgifter för Den Personuppgiftsansvariges räkning.
2.3 Syftet med Avtalet är att uppfylla kraven i artikel 28 i GDPR och därtill kopplad svensk dataskyddslagstiftning.
2.4 Vid motstridiga bestämmelser mellan Huvudavtalet och detta Avtal har detta Avtal företräde i frågor som rör behandling av personuppgifter.
3. Definitioner
Begrepp som används i detta Avtal har den innebörd som framgår av GDPR, om inte annat uttryckligen anges. Nedan listas särskilt viktiga begrepp:
| Begrepp | Innebörd |
|---|---|
| Personuppgift | Varje upplysning som avser en identifierad eller identifierbar fysisk person. |
| Behandling | Varje åtgärd som vidtas med personuppgifter, t.ex. insamling, lagring, bearbetning, användning, överföring eller radering. |
| Registrerad | Den fysiska person vars personuppgifter behandlas. |
| Underbiträde | Tredje part som anlitas av Biträdet för att utföra behandling av personuppgifter för Den Personuppgiftsansvariges räkning. |
| Personuppgiftsincident | Säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst till personuppgifter. |
4. Behandlingens föremål, art, varaktighet och ändamål
4.1 Biträdet behandlar personuppgifter för Den Personuppgiftsansvariges räkning i syfte att tillhandahålla Aodity-tjänsten — en SaaS-plattform för masterdatahantering som möjliggör strukturerad lagring, validering, versionshantering och tillgängliggörande av affärsdata via webbgränssnitt, API och Excel-tillägg.
4.2 Behandlingen omfattar lagring, överföring, tillhandahållande, strukturering och rensning av personuppgifter i enlighet med Den Personuppgiftsansvariges instruktioner.
4.3 Avtalet gäller så länge Huvudavtalet är i kraft och upphör samtidigt med detta, med förbehåll för bestämmelserna i avsnitt 12 om åtgärder vid Avtalets upphörande.
5. Kategorier av registrerade och personuppgifter
5.1 Behandlingen omfattar följande kategorier av registrerade:
- Den Personuppgiftsansvariges anställda och konsulter som är användare av Aodity-tjänsten.
- Personer vars uppgifter förekommer i Den Personuppgiftsansvariges affärsdata (masterdata) och som har laddats upp till tjänsten — exempelvis kontaktpersoner hos kunder och leverantörer.
- Personer vars uppgifter läses från tjänsten via API-nycklar kopplade till konsumenter.
5.2 Behandlingen kan omfatta följande kategorier av personuppgifter:
- Identifikationsuppgifter: namn, användar-ID.
- Kontaktuppgifter: e-postadress, eventuellt telefonnummer och postadress.
- Organisatoriska uppgifter: arbetsgivare, avdelning, roll, befattning.
- Tekniska uppgifter: inloggningsloggar, IP-adresser vid autentisering, API-nyckelanvändning, revisionsloggar.
- Övriga affärsdata som Den Personuppgiftsansvarige väljer att lagra i tjänsten och som kan innehålla personuppgifter.
5.3 Särskilda kategorier av personuppgifter enligt artikel 9 GDPR (t.ex. uppgifter om hälsa, etniskt ursprung, politiska åsikter) samt uppgifter om lagöverträdelser enligt artikel 10 GDPR ska som huvudregel inte behandlas i tjänsten. Om Den Personuppgiftsansvarige avser att behandla sådana uppgifter krävs separat skriftlig överenskommelse med Biträdet.
6. Den Personuppgiftsansvariges instruktioner
6.1 Biträdet får endast behandla personuppgifter i enlighet med dokumenterade instruktioner från Den Personuppgiftsansvarige. Huvudavtalet, detta Avtal och Den Personuppgiftsansvariges faktiska användning av tjänsten utgör sådana instruktioner.
6.2 Biträdet ska utan dröjsmål informera Den Personuppgiftsansvarige om Biträdet anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning.
6.3 Om Biträdet enligt unionsrätt eller medlemsstats nationella rätt är skyldigt att behandla personuppgifter utöver vad som följer av Den Personuppgiftsansvariges instruktioner, ska Biträdet informera Den Personuppgiftsansvarige om detta rättsliga krav innan behandlingen sker, såvida inte sådan information är förbjuden enligt samma rätt.
7. Biträdets skyldigheter
7.1 Biträdet ska:
- a) Behandla personuppgifter endast enligt Den Personuppgiftsansvariges instruktioner.
- b) Säkerställa att personer som är behöriga att behandla personuppgifter har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt.
- c) Vidta de tekniska och organisatoriska åtgärder som krävs enligt artikel 32 GDPR, se närmare i Bilaga A.
- d) Respektera villkoren för anlitande av underbiträden enligt avsnitt 8.
- e) Med hänsyn till behandlingens art, i den mån det är möjligt, hjälpa Den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder att fullgöra sin skyldighet att svara på begäran från registrerade om utövande av deras rättigheter enligt kapitel III i GDPR.
- f) Bistå Den Personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna enligt artiklarna 32–36 GDPR, med beaktande av typen av behandling och den information som är tillgänglig för Biträdet.
- g) Vid Avtalets upphörande, beroende på vad Den Personuppgiftsansvarige väljer, radera eller återlämna alla personuppgifter enligt avsnitt 12.
- h) Ge Den Personuppgiftsansvarige tillgång till all information som behövs för att visa att skyldigheterna enligt artikel 28 GDPR har fullgjorts.
8. Underbiträden
8.1 Den Personuppgiftsansvarige ger genom detta Avtal Biträdet ett allmänt förhandsgodkännande att anlita de underbiträden som är listade i Bilaga B för att fullgöra sina åtaganden enligt Huvudavtalet.
8.2 Biträdet ska underrätta Den Personuppgiftsansvarige om planerade ändringar vad gäller tillägg eller ersättning av underbiträden minst 30 dagar innan ändringen träder i kraft. Underrättelse sker via e-post till den kontaktperson som Den Personuppgiftsansvarige angett, eller genom publicering på https://aodity.se/dpa med notifiering i Aodity-gränssnittet.
8.3 Den Personuppgiftsansvarige har rätt att invända mot sådana ändringar. Vid invändning ska Parterna i första hand söka en lösning i samförstånd. Om ingen lösning nås har Den Personuppgiftsansvarige rätt att säga upp Huvudavtalet med omedelbar verkan.
8.4 Biträdet ska ingå ett skriftligt avtal med varje underbiträde som ålägger underbiträdet motsvarande skyldigheter i fråga om dataskydd som framgår av detta Avtal, särskilt vad gäller krav på lämpliga tekniska och organisatoriska åtgärder.
8.5 Biträdet förblir fullt ansvarigt gentemot Den Personuppgiftsansvarige för underbiträdets fullgörande av sina skyldigheter.
9. Överföring till tredje land
9.1 Biträdet och dess underbiträden ska som utgångspunkt behandla personuppgifter inom EU/EES.
9.2 Om överföring av personuppgifter till ett land utanför EU/EES blir nödvändig ska sådan överföring ske endast på grundval av:
- Ett beslut om adekvat skyddsnivå enligt artikel 45 GDPR, eller
- Lämpliga skyddsåtgärder enligt artikel 46 GDPR, såsom EU-kommissionens standardavtalsklausuler (SCC), samt efter genomförd bedömning av överföringskonsekvenser (Transfer Impact Assessment) i enlighet med Schrems II-domen.
9.3 En uppdaterad lista över underbiträden och deras behandlingsplatser finns i Bilaga B.
10. Säkerhet och personuppgiftsincidenter
10.1 Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, enligt vad som närmare framgår av Bilaga A.
10.2 Vid personuppgiftsincident ska Biträdet utan onödigt dröjsmål, och senast inom 48 timmar från det att Biträdet fått kännedom om incidenten, skriftligen underrätta Den Personuppgiftsansvarige.
10.3 Underrättelsen ska innehålla följande information, i den utsträckning sådan information är tillgänglig:
- En beskrivning av personuppgiftsincidentens art.
- Kategorier och ungefärligt antal berörda registrerade samt berörda personuppgifter.
- De sannolika konsekvenserna av personuppgiftsincidenten.
- De åtgärder som Biträdet har vidtagit eller föreslår ska vidtas för att åtgärda eller begränsa incidentens eventuella negativa effekter.
11. Granskning och revision
11.1 Biträdet ska på Den Personuppgiftsansvariges skriftliga begäran tillhandahålla all information som behövs för att visa att skyldigheterna i detta Avtal och artikel 28 GDPR fullgörs.
11.2 Den Personuppgiftsansvarige har rätt att själv eller genom en av Parterna godkänd tredje part granska Biträdets behandling av personuppgifter, högst en gång per kalenderår under förutsättning att:
- Revisionen aviseras skriftligen minst 30 dagar i förväg.
- Revisionen sker under normal kontorstid och på ett sätt som inte oskäligt stör Biträdets verksamhet.
- Den som utför revisionen är bunden av sekretess.
- Den Personuppgiftsansvarige står för samtliga kostnader som revisionen medför hos Biträdet, såvida inte revisionen påvisar väsentlig överträdelse av detta Avtal.
11.3 Biträdet kan uppfylla informationskravet i punkt 11.1 genom att tillhandahålla relevanta delar av underbiträdenas certifieringar, revisionsrapporter eller motsvarande dokumentation.
12. Åtgärder vid Avtalets upphörande
12.1 Vid Avtalets upphörande ska Biträdet, enligt Den Personuppgiftsansvariges val, antingen:
- Återlämna samtliga personuppgifter till Den Personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format, eller
- Radera samtliga personuppgifter och befintliga kopior, om inte lagring krävs enligt unionsrätt eller svensk rätt.
12.2 Om Den Personuppgiftsansvarige inte meddelat sitt val inom 30 dagar efter Avtalets upphörande, ska Biträdet radera personuppgifterna.
12.3 Radering ska ske inom 90 dagar efter Avtalets upphörande. Biträdet ska på begäran skriftligen bekräfta att radering genomförts.
12.4 Säkerhetskopior (backups) ska raderas senast när respektive backuprotation löpt ut, dock senast 180 dagar efter Avtalets upphörande.
13. Lagringstid och radering under avtalstiden
13.1 När Den Personuppgiftsansvarige raderar ett projekt, ett datasschema eller en publicerad version i Aodity sker raderingen som en så kallad mjuk radering (”soft delete”): resursen markeras som borttagen och göms från alla användare och API-konsumenter omedelbart, men kvarstår i Biträdets databas under en återhämtningsperiod om nittio (90) dagar. Under perioden kan resursen återställas på begäran via Biträdets support, vilket skyddar mot oavsiktlig dataförlust.
13.2 Efter återhämtningsperiodens utgång hard-raderas resursen automatiskt av en schemalagd städningsprocess och kan inte längre återskapas av Biträdet. Säkerhetskopior (backups) följer separata gallringsregler enligt avsnitt 12.4 även under avtalstiden.
13.3 På begäran från Den Personuppgiftsansvarige eller en registrerad som utövar sin rätt till radering enligt artikel 17 GDPR (”rätten att bli bortglömd”) ska Biträdet utföra en omedelbar permanent radering (”force delete”) som tar bort resursen ur databasen utan att invänta 90-dagarsperioden. Sådan radering ska ske utan oskäligt dröjsmål och senast inom trettio (30) dagar från Den Personuppgiftsansvariges instruktion. Biträdet ska på begäran skriftligen bekräfta att radering genomförts.
13.4 Cascade-logik: när ett projekt raderas raderas även dess datasscheman och publicerade versioner som en sammanhållen grupp. Vid återställning återställs hela gruppen som en enhet, så att referensintegritet och versionshistorik bevaras.
13.5 Auditloggar (revisionsspår över ändringar i tjänsten) omfattas inte av soft-delete-mekanismen. Auditloggar bevaras som immutabla poster för efterlevnadssyften under den retentionstid som beskrivs i Bilaga A.
14. Ansvar
14.1 Parternas ansvar enligt detta Avtal regleras av de ansvarsbegränsningar som framgår av Huvudavtalet, i den utsträckning sådana begränsningar är förenliga med tvingande dataskyddslagstiftning.
14.2 Varje Part ansvarar för skadeståndsanspråk från registrerade och för sanktionsavgifter som tillsynsmyndighet riktar mot Parten i den utsträckning skadan eller överträdelsen beror på Partens åsidosättande av sina skyldigheter.
15. Tillämplig lag och tvistelösning
15.1 Detta Avtal ska tolkas och tillämpas enligt svensk rätt.
15.2 Tvister som uppstår i anledning av Avtalet ska avgöras i enlighet med den tvistelösningsmekanism som framgår av Huvudavtalet.
16. Ändringar
16.1 Ändringar av detta Avtal ska vara skriftliga och godkända av båda Parter för att vara giltiga, med undantag för uppdateringar av Bilaga B (underbiträden) som hanteras enligt avsnitt 8.
16.2 Biträdet har rätt att göra ensidiga ändringar i detta Avtal om det krävs enligt tvingande lagstiftning eller beslut från tillsynsmyndighet. Sådana ändringar ska meddelas Den Personuppgiftsansvarige skriftligen minst 30 dagar innan de träder i kraft.
17. Ikraftträdande
Detta Avtal träder i kraft samma dag som Huvudavtalet ingås och bekräftas genom Den Personuppgiftsansvariges godkännande av de allmänna villkoren vid tecknande av abonnemang.
Bilaga A — Tekniska och organisatoriska säkerhetsåtgärder
Biträdet vidtar följande tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken (artikel 32 GDPR).
A.1 Åtkomstkontroll
- Rollbaserad åtkomstkontroll (RBAC) i Aodity med nivåerna superadmin, manager, project_manager, editor och viewer.
- Åtkomst till personuppgifter är begränsad till användare som Den Personuppgiftsansvarige själv tilldelat behörighet.
- Biträdets personal har åtkomst till produktionsdata endast när det krävs för support, felsökning eller underhåll, och då med loggad och begränsad åtkomst.
- All åtkomst till Biträdets infrastruktur (Railway, Netlify, källkodsrepositorier) skyddas med tvåfaktorautentisering.
- Lösenord lagras med bcrypt eller motsvarande modern hash-algoritm. Klartextlösenord lagras aldrig.
A.2 Kryptering
- All datatrafik till och från Aodity sker över TLS 1.2 eller senare (kryptering i transit).
- Databasen (MySQL 8 på Railway) lagras på krypterade volymer (kryptering i vila) enligt leverantörens standardkonfiguration.
- API-nycklar och sessionstokens hanteras enligt etablerad praxis (Laravel Sanctum).
A.3 Loggning och spårbarhet
- Revisionslogg (audit log) per tenant som registrerar väsentliga händelser: schemaändringar, publicering av data, användarhantering, inloggningsförsök.
- Konsumentaktivitet (läsning via API-nycklar) loggas aggregerat för att möjliggöra spårning av datauttag.
- Revisionsloggar är tillgängliga för Den Personuppgiftsansvariges administratörer via Aodity-gränssnittet.
A.4 Dataseparation (multi-tenancy)
- All data är tenant-scopad via applikationens middleware. En tenant kan aldrig läsa eller modifiera en annan tenants data.
- API-nycklar är antingen tenant-breda eller projektscopade och kan inte ge åtkomst utanför sin tenant.
A.5 Säkerhetskopiering
- Automatisk daglig backup av produktionsdatabasen hos Railway enligt leverantörens backuprutiner.
- Backuper är krypterade och lagras åtskilt från primärdatabasen.
- Säkerhetskopior roteras enligt Railways standardrutin och raderas senast 30 dagar efter att de skapats.
A.6 Incidenthantering
- Dokumenterad rutin för hantering av personuppgiftsincidenter, inklusive anmälan till Den Personuppgiftsansvarige inom 48 timmar.
- Kontaktväg för säkerhetsincidenter: security@aodity.se.
A.7 Personalhantering
- All personal som har åtkomst till personuppgifter är bundna av sekretessavtal (NDA) eller motsvarande.
- Personalens åtkomst avslutas omedelbart när anställningen eller uppdraget upphör.
A.8 Utvecklings- och driftrutiner
- Kontinuerlig integration (CI) kör automatiserade tester vid varje kodändring innan driftsättning.
- Driftsättning till produktion sker automatiserat och endast efter godkänd testkörning.
- Källkod versionshanteras i Git och förvaras i privata repositorier med åtkomstkontroll.
A.9 Fysisk säkerhet
- Biträdet driver ingen egen fysisk infrastruktur. All databehandling sker hos etablerade molnleverantörer (se Bilaga B) som upprätthåller erkända standarder för fysisk säkerhet i sina datacenter.
Bilaga B — Godkända underbiträden
Följande underbiträden är godkända per april 2026 för behandling av personuppgifter inom ramen för Aodity-tjänsten:
| Underbiträde | Tjänst / syfte | Typ av behandling | Behandlingsplats |
|---|---|---|---|
| Railway Corp (USA) | Hosting av backend (Laravel) och databas (MySQL 8). | Lagring och bearbetning av all användar- och kunddata. | EU (primärt) — verifiera aktuell region i Railway-dashboard. |
| Netlify Inc (USA) | Hosting av frontend-applikationer (aodity-web, aodity-marketing, aodity-excel-addin). | Leverans av statiska filer. Ingen lagring av personuppgifter utöver loggar för webbtrafik. | Globalt CDN. |
| Stripe Payments Europe Ltd (Irland) | Betalningshantering, fakturering, momshantering (Stripe Tax). | Kontaktuppgifter och betalningsinformation för abonnemangshantering. | EU/EES. |
| Resend Inc (USA) | Utskick av transaktionsmail (välkomstmail, inbjudningar, lösenordsåterställning). | E-postadresser och mailinnehåll. | EU/USA — se Resend-konfiguration. |
| GitHub Inc (USA) | Källkodshantering och CI/CD (GitHub Actions). | Ingen behandling av produktionsdata. Utvecklarkonton och loggar. | USA. |
| Microsoft Corp (USA) | Microsoft 365 för distribution av Excel-tillägget. | Ingen behandling av kundens persondata. Manifest och installationskonton. | Global. |
| Loopia AB (Sverige) | DNS-hantering för aodity.se. | Ingen behandling av kundens personuppgifter. | Sverige. |
Anmärkning: Vid överföring till underbiträden i tredje land tillämpas EU-kommissionens standardavtalsklausuler (SCC) samt en dokumenterad bedömning av överföringskonsekvenser enligt avsnitt 9 i detta Avtal.
Aktuell lista: En uppdaterad lista över underbiträden publiceras på https://aodity.se/dpa och uppdateras enligt avsnitt 8.
Undertecknande
Detta Avtal godkänns av Den Personuppgiftsansvarige i samband med tecknande av abonnemang via Stripe Checkout, där godkännande av aodity.se/villkor inkluderar godkännande av detta personuppgiftsbiträdesavtal i dess vid var tid gällande version.
Vid behov av separat undertecknande (t.ex. för större kunder eller upphandlingar) kan följande undertecknandeblock användas:
Org.nr 559025-7951
Valhallavägen 98, 114 27 Stockholm
Org.nr [XXXXXX-XXXX]
Kontakt
Org.nr: 559025-7951
Adress: Valhallavägen 98, 114 27 Stockholm
E-post: support@aodity.se
Säkerhetsincidenter: security@aodity.se
Webbplats: https://aodity.se