SV
Databehandlingsavtal
Parter
Personuppgiftsansvarig (Kund): Den enhet som har godkänt Suunta.ai användarvillkor och använder Tjänsterna.
Personuppgiftsbiträde (Suunta.ai): Y4 Works Oy, Organisationsnummer: 2978296-6, Adress: Finland, E-post: privacy@suunta.ai
1. Definitioner
- Personuppgifter betyder all information som rör en identifierad eller identifierbar fysisk person enligt definitionen i GDPR artikel 4(1).
- Behandling betyder alla operationer eller uppsättningar av operationer som utförs på personuppgifter, enligt definitionen i GDPR artikel 4(2).
- Registrerad betyder den identifierade eller identifierbara fysiska personen som personuppgifterna rör.
- Underbehandlare betyder tredje part som engageras av Suunta.ai för att behandla personuppgifter på uppdrag av Kunden.
- Tjänsterna betyder Suunta.ai-plattformen och relaterade tjänster enligt beskrivningen i användarvillkoren.
- GDPR betyder förordning (EU) 2016/679 från Europaparlamentet och rådet (allmän dataskyddsförordning).
- Standardavtalsklausuler betyder standardavtalsklausulerna för överföring av personuppgifter till tredjeländer som antagits av Europeiska kommissionen.
- Personuppgiftsincident betyder oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig avslöjande av eller åtkomst till personuppgifter.
2. Omfattning och syfte
2.1 Omfattning Detta DPA gäller för all behandling av personuppgifter av Suunta.ai på uppdrag av Kunden i samband med Tjänsterna.
2.2 Roller Kunden fungerar som personuppgiftsansvarig. Suunta.ai fungerar som personuppgiftsbiträde. Där Suunta.ai bestämmer syften och medel för behandling (t.ex. för tjänsteförbättringsanalys), fungerar Suunta.ai som oberoende ansvarig och kommer att behandla sådana data i enlighet med sin integritetspolicy.
2.3 Behandlingssyfte Suunta.ai behandlar personuppgifter endast i syfte att tillhandahålla Tjänsterna enligt beskrivningen i användarvillkoren, inklusive:
- Användarkontohantering och autentisering
- Tillhandahålla AI-drivna strategiska planeringsfunktioner
- Behandla och lagra affärsdata som skickas in av användare
- Generera AI-assisterad analys och rekommendationer
- Fakturering och prenumerationshantering
- Kundsupport
- Tjänstesäkerhet och missbruksförebyggande
3. Kategorier av data och registrerade
3.1 Kategorier av registrerade
- Kundens anställda och entreprenörer som använder Tjänsterna
- Andra personer vars personuppgifter skickas till Tjänsterna av Kunden
3.2 Kategorier av personuppgifter
| Kategori | Dataelement | Syfte |
|---|---|---|
| Kontodata | Namn, e-post, telefon (valfritt), jobbtitel, roll | Användaridentifiering och åtkomst |
| Autentiseringsdata | Lösenordshash, SSO-identifierare, sessionsdata | Säker åtkomst |
| Organisationsdata | Organisationsnamn, land, stad, bransch, storlek | Tjänstanpassning |
| Användningsdata | IP-adress, user agent, inloggningstidsstämplar, aktivitetsloggar | Säkerhet och revision |
| Affärsdata | Strategidokument, OKRs, KPIs, projekt, uppgifter | Kärntjänstleverans |
| Kommunikationsdata | Chattmeddelanden, AI-interaktioner | Tjänstefunktioner |
| Faktureringsdata | Stripe Customer ID, prenumerationsdetaljer | Betalningsbehandling |
3.3 Särskilda kategorier av data Kunden godkänner att inte skicka in särskilda kategorier av personuppgifter (enligt definitionen i GDPR artikel 9) till Tjänsterna utan Suunta.ai:s föregående skriftliga samtycke.
4. Biträdets förpliktelser
4.1 Behandlingsinstruktioner Suunta.ai ska behandla personuppgifter endast enligt dokumenterade instruktioner från Kunden, informera Kunden om en instruktion kränker GDPR, och säkerställa att auktoriserade personer är bundna av konfidentialitet.
4.2 Säkerhetsåtgärder
| Åtgärd | Implementering |
|---|---|
| Kryptering i vila | AES-256 (AWS RDS) |
| Kryptering under överföring | TLS 1.2+ |
| Åtkomstkontroll | Rollbaserad åtkomst, organisationsisolering |
| Autentisering | Lösenordshashing (PBKDF2-SHA256), sessionshantering |
| Revisionsloggning | Omfattande aktivitetsloggning med lagringspolicyer |
| Säkerhetskopiering | Automatiserade dagliga säkerhetskopior med återställning vid specifik tidpunkt |
| Infrastruktur | AWS EU (Stockholm, eu-north-1) |
4.3 Underbehandling Suunta.ai kan engagera underbehandlare under förutsättning av villkoren i avsnitt 6.
4.4 Bistånd till ansvarig Suunta.ai ska bistå Kunden med att svara på registrerades begäranden, säkerställa efterlevnad av GDPR artiklar 32-36, och tillhandahålla information som är nödvändig för att demonstrera efterlevnad.
4.5 Radering och återlämnande Vid upphörande av Tjänsterna eller på Kundens begäran: (a) kan Kunden begära export av Kunddata inom 30 dagar efter upphörande; (b) ska Suunta.ai radera personuppgifter inom 90 dagar efter upphörande, om inte lagring krävs enligt lag; (c) tillhandahålls dataexport i JSON- och CSV-format via Tjänsterna.
5. AI-specifik datahantering
5.1 AI-behandling När Kunddata behandlas genom AI-funktioner: (a) skickas prompts och svar till tredjeparts AI-leverantörer för behandling; (b) lagrar Suunta.ai INTE AI-prompts eller svar i sin databas; (c) loggas endast användningsmetadata (tokens, latens, modell, kostnad) för fakturering och analys; (d) lagras chattsamtalshistorik för att möjliggöra samtalets kontinuitet.
5.2 Ingen träning på Kunddata Suunta.ai kommer INTE att använda Kunddata för att träna, finjustera eller förbättra AI-modeller utan uttryckligt skriftligt samtycke. Suunta.ai konfigurerar tredjeparts AI-leverantörer för att inaktivera datalagring där tillgänglig, välja bort användning av träningsdata, och tillämpa nolldatalagringspolicyer där det stöds.
5.3 RAG-dokumentbehandling Uppladdade dokument behandlas för att extrahera text, konverteras till vektorembeddings, och rå dokumenttext rensas inom 24 timmar efter indexering. Chunk-innehåll och embeddings behålls för tjänstefunktionalitet; vid källradering tas alla associerade chunks och embeddings bort.
6. Underbehandlare
6.1 Auktoriserade underbehandlare Kunden ger allmän auktorisation för Suunta.ai att engagera de underbehandlare som listas i bilaga A.
6.2 Underbehandlarkrav Suunta.ai ska ingå skriftliga avtal med underbehandlare som pålägger dataskyddsförpliktelser som inte är mindre skyddande än detta DPA, förbli ansvarig för underbehandlarens efterlevnad, och utföra lämplig due diligence.
6.3 Ändringar i underbehandlare Suunta.ai ska upprätthålla en uppdaterad lista över underbehandlare på https://suunta.ai/legal/subprocessors, meddela Kunden minst 30 dagar innan en ny underbehandlare engageras, och ge Kunden möjlighet att invända på rimliga dataskyddsgrunder.
6.4 Invändningsprocess Om ingen lösning nås inom 30 dagar kan Kunden säga upp de berörda Tjänsterna utan straff. Sådan uppsägning är Kundens enda rättsmedel för invändningar mot underbehandlare.
7. Registrerades rättigheter
7.1 Bistånd Suunta.ai ska bistå Kunden med att svara på registrerades begäranden om att utöva sina rättigheter enligt GDPR kapitel III, inklusive tillgång, rättelse, radering, begränsning, dataportabilitet och invändning.
7.2 Registrerades begäranden Om Suunta.ai får en begäran direkt från en registrerad ska Suunta.ai omedelbart meddela Kunden, inte svara direkt om inte auktoriserad eller krävd enligt lag, och tillhandahålla rimligt bistånd.
7.3 Självbetjäningsfunktioner Tjänsterna inkluderar självbetjäningsfunktioner som gör det möjligt för användare att:
- Visa och exportera sina personuppgifter
- Korrigera kontoinformation
- Radera sitt användarkonto
- Begära organisationsdataexport
- Begära organisationssletning
8. Personuppgiftsincidenter
8.1 Meddelande Suunta.ai ska meddela Kunden om alla personuppgiftsincidenter utan ogrundad fördröjning och i varje fall inom 72 timmar efter att ha blivit medveten om det, och tillhandahålla en beskrivning av incidenten, berörda registrerade och register, kontaktpunkt, sannolika konsekvenser och vidtagna åtgärder.
8.2 Samarbete Suunta.ai ska samarbeta med Kundens utredning, vidta rimliga åtgärder för att mildra effekter, tillhandahålla uppdateringar och bistå med meddelanden till tillsynsmyndigheter och registrerade.
8.3 Register Suunta.ai upprätthåller en oföränderlig efterlevnadsrevisionslogg för säkerhetsrelaterade händelser med förlängd lagring.
9. Internationella överföringar
9.1 Behandlingsplatser Primär databehandling sker i EU (AWS eu-north-1, Stockholm). Viss behandling kan ske i USA genom tredjeparts AI-leverantörer.
9.2 Överföringsmekanismer För överföringar till länder utan ett EU-adekvansbeslut förlitar sig Suunta.ai på standardavtalsklausuler (modul 2: Ansvarig till biträde, modul 3: Biträde till biträde), kompletterande åtgärder och underbehandlarcertifieringar där tillämpligt.
9.3 Överföringspåverkanbedömning Suunta.ai har genomfört överföringspåverkanbedömningar för överföringar till USA, med hänsyn till:
- Typ av data som överförs (främst prompts/frågor, inte bulk personuppgifter)
- Tekniska åtgärder (kryptering, nolldatalagringskonfigurationer)
- Rättsramverk i destinationslandet
- Kontraktuella skydd med underbehandlare
10. Revisionsrättigheter
10.1 Revisionsinformation På Kundens skriftliga begäran (högst en gång per år) ska Suunta.ai tillhandahålla en sammanfattning av säkerhetsåtgärder, tredjepartsrevisionsresultat (under förbehåll för konfidentialitet), bekräftelse av underbehandlarens efterlevnad och register över personuppgiftsincidenter som påverkar Kunddata.
10.2 Revisioner på plats Revisioner på plats kräver 30 dagars förhandsmeddelande, utförs under kontorstid med minimal störning, på Kundens bekostnad, under konfidentialitet och begränsade till DPA-efterlevnad.
10.3 Certifieringar Suunta.ai arbetar mot SOC 2 Type II- och ISO 27001-certifieringar. Vid uppnående kommer revisionsrapporter att göras tillgängliga för Kunder under sekretessavtal.
11. Datalagring
11.1 Lagringsperioder
| Datakategori | Lagringsperiod | Anteckningar |
|---|---|---|
| Aktiva kontodata | Tjänsternas varaktighet | Raderas vid kontosletning |
| Raderade användarkonton | Anonymiseras omedelbart | 90-dagars säkerhetskopieringslagring |
| AI-användningsmetadata | 365 dagar | Tokenantal, kostnader |
| Revisionsloggar (standard) | 24 månader | CRUD-operationer |
| Revisionsloggar (kritiska) | 36 månader | Raderingsåtgärder, säkerhetshändelser |
| Efterlevnadsrevisionsloggar | 7 år | Oföränderlig, regelbunden lagring |
| Faktureringsregister | 6 år | Finsk redovisningslag |
| Säkerhetskopior | 30 dagar | Automatiserad rotation |
11.2 Raderingprocess Organisationssletning följer en strukturerad process: raderingsbegäran med lösenordsbekräftelse; 30-dagars respitperiod (kan avbrytas); Stripe-prenumerationsavbokning; systematisk radering av all organisationsdata; oföränderlig efterlevnadsrevisionsloggpost.
12. Ansvar
Varje parts ansvar enligt detta DPA är föremål för begränsningarna som anges i användarvillkoren. Varje part ska ersätta den andra för förluster som uppstår från den ersättningsgivande partens brott mot detta DPA eller tillämpliga dataskyddslagar.
13. Tidsperiod och upphörande
Detta DPA förblir i kraft under användarvillkorens varaktighet. Avsnitt 5 (AI-specifik datahantering), 8 (Personuppgiftsincidenter), 11 (Datalagring) och 12 (Ansvar) överlever upphörande.
14. Tillämplig lag
Detta DPA regleras av finsk lag. Tvister ska lösas i enlighet med tvistlösningsbestämmelserna i användarvillkoren.
15. Kontakt
För dataskyddsförfrågningar: Y4 Works Oy (Suunta.ai), E-post: privacy@suunta.ai
Bilaga A: Auktoriserade underbehandlare
Senast uppdaterad: 2025-01-27. Se den fullständiga listan på https://suunta.ai/legal/subprocessors.
Bilaga B: Tekniska och organisatoriska åtgärder
1. Åtkomstkontroll
- Rollbaserad åtkomstkontroll (RBAC)
- Organisationsnivå datisolering (multi-tenant-arkitektur)
- Unika användarkonton med säker autentisering
- Sessionshantering med konfigurerbara timeout
- Brute-force-skydd med kontolåsning
2. Kryptering
- Data i vila: AES-256-kryptering (AWS RDS)
- Data under överföring: TLS 1.2+ för alla anslutningar
- Lösenordslagring: PBKDF2-SHA256 hashing
3. Tillgänglighet och återhämtning
- AWS-infrastruktur med hög tillgänglighet
- Automatiserade dagliga säkerhetskopior med återställning vid specifik tidpunkt
- Katastrofåterställningsprocedurer
4. Övervakning och loggning
- Omfattande revisionsloggning av användaraktiviteter
- AI-användningsspårning (endast metadata)
- Säkerhetshändelseövervakning
- Logglagring enligt avsnitt 11
5. Incidenthantering
- Dokumenterade incidenthanteringsprocedurer
- 72-timmars incidentmeddelandeförpliktelse
- Oföränderlig efterlevnadsrevisionsspår
6. Personal
- Konfidentialitetsförpliktelser för all personal
- Säkerhetsmedvetenhetsträning
- Principen om minsta behörighet
7. Leverantörshantering
- Due diligence på underbehandlare
- Kontraktuella dataskyddskrav
- Regelbunden granskning av underbehandlarens efterlevnad