Personuppgiftsbirädesavtal (DPA)
Databehandlingsavtal enligt GDPR Art. 28
1. Bakgrund och syfte
Detta personuppgiftsbirädesavtal (”DPA”) reglerar behandlingen av personuppgifter som Personuppgiftsbirädet utför på uppdrag av den Personuppgiftsansvarige i samband med användning av Crewless-plattformen. Avtalet utgör en integrerad del av tjänsteavtalet mellan parterna och säkerställer att behandlingen sker i enlighet med EU:s dataskyddsförordning (GDPR) och tillämplig svensk dataskyddslagstiftning. Avtalet träder i kraft när Kunden registrerar sig för tjänsten.
2. Personuppgiftsbiräde
Personuppgiftsbirädet är:
Den Personuppgiftsansvarige är den juridiska person (Kunden) som använder Crewless-plattformen och därmed instruerar Personuppgiftsbirädet att behandla personuppgifter för sin räkning.
3. Ändamål
Personuppgiftsbirädet behandlar personuppgifter uteslutande för att tillhandahålla tjänsterna i Crewless-plattformen, vilket innefattar bearbetning av projektdokumentation via AI-agenter:
DokumentAgenten — samordnad provning, drift- och underhållsinstruktioner, automatisk dokumentgenerering
StyrAgenten — systemanalys, produktrådgivning, åtgärdsförslag, materialunderlag
EnergiAgenten — energikartläggning, SFP-beräkning, BBR-kontroll, åtgärdsförslag
Lagring och leverans — lagring av genererade dokument och leverans via Google Drive eller direktnedladdning
Behandlingen sker enbart enligt den Personuppgiftsansvariges dokumenterade instruktioner. Birädet får inte behandla personuppgifter för något annat ändamål än vad som anges i detta avtal.
4. Kategorier av personuppgifter
Följande kategorier av personuppgifter kan förekomma i behandlingen:
Kontaktuppgifter — namn, e-postadress, telefonnummer till projektdeltagare och kontaktpersoner
Projektnamn — projektbeteckningar, adresser och tekniska specifikationer kopplade till namngivna projekt
Driftbilder — fotografier av tekniska installationer som kan innehålla identifierbar information
Inga känsliga personuppgifter (särskilda kategorier enligt Art. 9 GDPR) behandlas avsiktligt inom tjänsten.
5. Kategorier av registrerade
De registrerade vars personuppgifter kan behandlas inom ramen för tjänsten är:
• Kundens anställda som använder plattformen
• Kontaktpersoner hos kundens uppdragsgivare, beställare och samarbetspartners
• Personer vars uppgifter förekommer i uppladdade driftbilder eller projektdokumentation
6. Säkerhetsåtgärder
Personuppgiftsbirädet vidtar följande tekniska och organisatoriska åtgärder för att säkerställa en lämplig skyddsnivå enligt Art. 32 GDPR:
Krypterad transport (TLS)
All datatrafik skyddas med TLS 1.2/1.3-kryptering. API-kommunikation sker över HTTPS med automatiska SSL-certifikat.
EU-servrar (DigitalOcean)
Primär infrastruktur hos DigitalOcean inom EU (FRA1/AMS3). Databas och applikationsserver i samma datacenter.
Åtkomstkontroll
API-nyckelbaserad autentisering med SHA-256 hashning. AES-256-GCM-kryptering för lagrade känsliga uppgifter. Rollbaserad åtkomst.
Dagliga backuper
Automatisk daglig säkerhetskopiering av databasen med SHA-256-verifiering. 14 dagars retention. Testad återställningsrutin.
Brandvägg
DigitalOcean Cloud Firewall med begränsade inkommande portar. Enbart nödvändiga tjänster exponeras.
Loggning och övervakning
Strukturerad säkerhetsloggning, automatisk systemmonitorering och incidentdetektering dygnet runt.
7. Underbiträden
Personuppgiftsbirädet använder följande underbiträden för att tillhandahålla tjänsten. Den Personuppgiftsansvarige godkänner användningen av dessa underbiträden genom att ingå detta avtal.
| Underbiträde | Ändamål | Plats | Skydd |
|---|---|---|---|
| DigitalOcean LLC | Servervärd, databaslagring | EU (FRA1/AMS3) | DPA |
| OpenRouter Inc. | AI-bearbetning av text och bilder | USA | SCC + DPA |
| Google LLC (Workspace) | Dokumentlagring via Google Drive | EU | DPA |
| Telegram FZ-LLC | Meddelandehantering | Globalt | SCC |
Personuppgiftsbirädet ska informera den Personuppgiftsansvarige skriftligen minst 30 dagar innan ett nytt underbiträde anläts eller ett befintligt byts ut. Den Personuppgiftsansvarige har rätt att invända mot förändringen.
8. Återlämning och radering
Vid avtalets upphörande ska Personuppgiftsbirädet, enligt den Personuppgiftsansvariges val, återlämna eller radera samtliga personuppgifter som behandlats inom ramen för tjänsten. Radering genomförs inom 30 dagar från avtalets upphörande. Personuppgiftsbirädet ska på begäran skriftligen bekräfta att radering har skett. Uppgifter som krävs för att uppfylla lagstadgade krav (exempelvis bokföringsskyldighet) kan behållas under den tid lagen kräver.
9. Revision och granskning
Personuppgiftsbirädet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att påvisa efterlevnad av skyldigheterna i Art. 28 GDPR. Birädet ska möjliggöra och bidra till granskningar och inspektioner som utförs av den Personuppgiftsansvarige eller en av denne utsedd revisor. Granskning ska aviseras minst 14 dagar i förväg och genomföras på ett sätt som minimerar störningar i den löpande verksamheten.
10. Incidenthantering
Vid en personuppgiftsincident ska Personuppgiftsbirädet utan onödigt dröjsmål, och senast inom 48 timmar från det att incidenten upptäckts, meddela den Personuppgiftsansvarige. Meddelandet ska innehålla:
• Beskrivning av incidentens art och omfattning
• Kategorier och ungefärligt antal berörda registrerade
• Sannolika konsekvenser av incidenten
• Åtgärder som vidtagits eller föreslås för att hantera incidenten
Birädet ska bistå den Personuppgiftsansvarige med att fullgöra sin anmälningsskyldighet till Integritetsskyddsmyndigheten (IMY) och med kommunikation till berörda registrerade.
11. Överföring till tredjeland
Överföring av personuppgifter till länder utanför EU/EES sker enbart när lämpliga skyddsåtgärder är på plats. För underbiträden i USA (OpenRouter) och globalt (Telegram) tillämpas EU:s standardavtalsklausuler (SCC) enligt EU-kommissionens beslut 2021/914, Art. 46.2(c) GDPR. Personuppgiftsbirädet ska säkerställa att samtliga underbiträden som behandlar personuppgifter utanför EU/EES är bundna av motsvarande skyddsåtgärder.
12. Avtalstid
Detta personuppgiftsbirädesavtal gäller så länge tjänsteavtalet mellan parterna är aktivt och Personuppgiftsbirädet behandlar personuppgifter för den Personuppgiftsansvariges räkning. Avtalets förpliktelser avseende sekretess, radering och revision gäller även efter avtalets upphörande.
13. Kontakt
Frågor om detta personuppgiftsbirädesavtal eller behandlingen av personuppgifter kan riktas till:
Senast uppdaterad: mars 2026
Se även vår integritetspolicy och allmänna villkor