Personuppgiftsbiträdesavtal

Det här är Bobs Companys standardmall för personuppgiftsbiträdesavtal ("PUB-avtalet"). Det styr hur vi hanterar personuppgifter när vi levererar driftad agent-infrastruktur till våra kunder, och inkorporeras i varje uppdragsavtal där vi agerar som personuppgiftsbiträde.

Bakgrund

Vår tjänst kan köras i två sammanhang:

1. På infrastruktur som Bobs Company tillhandahåller och driftar — alltid igång, underhållen av oss, agenten arbetar under egna service-konton (eget källkods-konto, egna API-nycklar, egna bot-tokens). Det här är "produktions"-deploy. Det här PUB-avtalet gäller här.
2. På Klientens egen infrastruktur — Klienten kör mjukvaran lokalt under sin egen identitet och sina egna konton. Vi har ingen åtkomst till den miljön. Det här PUB-avtalet gäller inte för lokala deploys.

Agenten på VPS:en har full lokal autonomi (inga permission prompts, körs obevakad) men begränsad extern auktoritet — den kan bara göra det Klienten uttryckligen har delegerat till agentens egna service-konton (t.ex. källkodsrättigheter, API-scopes). Klienten som kör lokalt använder sin egen identitet med full verksamhetsauktoritet.

Klienten tar med sig sitt eget inferens-konto (sitt val av leverantör, inklusive lokala modeller). Vi underhåller VPS-infrastrukturen. All data på Instansen tillhör Klienten.

Vår position: vi är ett personuppgiftsbiträde enligt GDPR Art. 28. Klienten är personuppgiftsansvarig. Vi väljer inte vilken data som ska behandlas, vi använder inte klientdata för egna syften, och vi kontrollerar inte relationen till inferens-leverantören.

1. Definitioner

• "Tjänsten" — den driftade Instansen, mjukvaran som är deployad på den, samt tillhörande provisionering, underhåll, säkerhetsuppdateringar, övervakning och support från Bobs Company.
• "Mjukvaran" — den mjukvara Bobs Company bygger och underhåller och som körs på Instansen.
• "Klienten" / "Personuppgiftsansvarig" — den juridiska person som ingår avtal med Bobs Company om Tjänsten och som bestämmer ändamål och medel för behandlingen av personuppgifter på Instansen.
• "Personuppgiftsbiträde" — Bobs Company (Berget Industries AB, org.nr 559025-2564), som agerar enligt Personuppgiftsansvariges instruktioner.
• "Instansen" — den VPS som tilldelats Klienten, inklusive all data, alla filer, loggar och agent-state på den.
• "Agent-identitet" — de dedikerade service-konton (källkod, API-nycklar, bot-tokens m.m.) som agenten arbetar under på Instansen, separat från Klientens personliga konton.
• "Personuppgifter" — enligt GDPR Art. 4(1).
• "Behandling" — enligt GDPR Art. 4(2).

2. Behandlingens omfattning

2.1 Vad vi behandlar och varför

Syfte	Datatyper	Laglig grund (vår som biträde)
Provisionering av Instansen	Klientens kontoinformation, SSH-nycklar	Personuppgiftsansvariges instruktioner (Art. 28)
Underhåll och säkerhetsuppdateringar	Systemloggar, processtillstånd	Personuppgiftsansvariges instruktioner (Art. 28)
Övervakning och drift	Systemmått, hälsokontroller	Personuppgiftsansvariges instruktioner (Art. 28)
Support och felsökning	Det som syns vid support-åtkomst	Personuppgiftsansvariges instruktioner (Art. 28)

2.2 Vad vi INTE behandlar

• Inferensdata — flödar direkt mellan Instansen och Klientens valda inferens-leverantör. Vi är inte part i den relationen.
• Klient-applikationsdata — filer, skript, konversationsloggar, agent-state som skapats av Klienten eller deras AI-agenter. Det här är Klientens data. Vi öppnar, läser, kopierar eller extraherar den inte annat än vad som krävs för syftena i 2.1.
• API-nycklar eller credentials som Klienten lagrar på Instansen.
• Data som behandlas av Klienten när Mjukvaran körs på deras egen infrastruktur — den miljön ligger helt utanför det här PUB-avtalets omfattning.

2.3 Registrerade

Beror helt på Klientens användning. Kan inkludera Klientens anställda, kunder, leads, slutanvändare eller andra kategorier. Klienten bestämmer detta som personuppgiftsansvarig. Specifika kategorier dokumenteras per uppdrag i Tillägg A.

2.4 Plattformar som Klienten kontrollerar

Där Tjänsten arbetar inom plattformar som Klienten kontrollerar (t.ex. Klientens meddelandeservrar, kommunikationsverktyg eller tredjepartstjänster) ansvarar Klienten ensam för dataskyddsförhållandet med dessa plattformar. Vår behandling i dessa sammanhang begränsas till att utföra agentens funktioner enligt Klientens instruktioner.

3. Våra skyldigheter som personuppgiftsbiträde

Enligt GDPR Art. 28(3):

3.1 Instruktioner

Vi behandlar Personuppgifter endast på Klientens dokumenterade instruktioner, inklusive vid överföring av Personuppgifter till tredje land eller internationell organisation. Om EU- eller medlemsstats-rätt kräver att vi behandlar Personuppgifter utöver Personuppgiftsansvariges instruktioner informerar vi Klienten innan sådan behandling sker, om inte den lagen förbjuder notifiering med hänsyn till allmänintresset. Om vi anser att en instruktion strider mot GDPR eller annan EU/medlemsstats dataskyddsrätt informerar vi Klienten innan vi handlar på den.

3.2 Sekretess

All personal hos Bobs Company med åtkomst till Klientens Instans är bundna av sekretess.

3.3 Säkerhet (Art. 32)

Vi vidtar lämpliga tekniska och organisatoriska åtgärder, däribland:

• Krypterad lagring (full diskkryptering på alla instanser)
• Endast SSH-nyckel-baserad åtkomst (ingen lösenordsautentisering)
• Infrastruktur driftad på dedikerade servrar inom EES (specifik plats dokumenterad i Tillägg B per uppdrag)
• Åtkomst begränsad till personal som behöver den för driftsändamål
• System- och åtkomstloggning
• Agenten arbetar under egna dedikerade service-konton (Agent-identitet), separerat från Klientens personliga credentials — Klienten kontrollerar vilken auktoritet som delegeras till Agent-identiteten via externa tjänsters behörigheter (t.ex. org-roller, API-scopes)

3.4 Underbiträden

Klienten ger generell skriftlig auktorisation för underbiträden enligt Art. 28(2). Aktuella underbiträden anges i Tillägg C. Innan vi lägger till eller byter underbiträde meddelar vi Klienten minst 30 dagar i förväg. Klienten kan invända under den perioden; om invändningen inte löses kan Klienten säga upp den berörda Tjänsten.

Alla underbiträden binds av dataskyddsåtaganden som inte är mindre skyddande än de i det här PUB-avtalet.

Klientens inferens-leverantör är inte vårt underbiträde — Klienten avtalar direkt med dem.

3.5 Den registrerades rättigheter

Vi bistår personuppgiftsansvarig med tekniska och organisatoriska åtgärder som krävs för att uppfylla framställningar från registrerade enligt artiklarna 15–22, inklusive åtkomst, rättelse, radering, begränsning, dataportabilitet och invändning. Det inkluderar att tillhandahålla dataexporter i maskinläsbart format på begäran.

3.6 Konsekvensbedömning och förhandssamråd

Vi bistår personuppgiftsansvarig med konsekvensbedömningar (Art. 35) och förhandssamråd med tillsynsmyndigheter (Art. 36) på personuppgiftsansvariges begäran, så långt det är rimligt möjligt givet vår roll och den information vi har tillgänglig.

3.7 Personuppgiftsincident

Om vi får kännedom om en personuppgiftsincident som påverkar Klientens Instans meddelar vi Klienten inom 24 timmar från det att vi fick kännedom. Vi tillhandahåller:

• Beskrivning av incidenten
• Vilken data som påverkades (i den mån vi kan fastställa det)
• Vilka åtgärder vi vidtagit för att begränsa skadan

Klienten ansvarar som personuppgiftsansvarig för att anmäla till tillsynsmyndigheten (IMY) inom 72 timmar enligt Art. 33 och till de registrerade enligt Art. 34 där det krävs.

3.8 Radering / återlämnande vid uppsägning

När Tjänsten upphör:

• Klienten har 14 dagar på sig att hämta ut sin data från Instansen
• Efter hämtningsperioden raderar vi Instansen (full diskradering)
• Klienten väljer: hämta ut, radera eller båda
• På personuppgiftsansvariges begäran utfärdar vi ett skriftligt raderingsintyg

3.9 Granskning

Klienten kan granska vår efterlevnad av det här PUB-avtalet. Vi tillhandahåller all information som behövs för att visa efterlevnad och tillåter granskningar/inspektioner. Rimligt förhandsbesked krävs.

4. Klientens skyldigheter som personuppgiftsansvarig

4.1 Laglig grund

Klienten garanterar att all behandling av Personuppgifter på Instansen har en giltig laglig grund enligt GDPR Art. 6 (och Art. 9 där tillämpligt).

4.2 Information till registrerade

Klienten ansvarar för att tillhandahålla lämplig integritetsinformation till de registrerade vars data behandlas på Instansen.

4.3 Inferens-leverantörsrelationen

Klienten ansvarar ensam för sin relation till sin valda inferens-leverantör, inklusive eventuella databehandlingsvillkor, dataresidens och efterlevnadsskyldigheter som följer av den relationen.

4.4 Efterlevnad

Klienten garanterar att dess användning av Tjänsten följer all tillämplig dataskyddsrätt, inklusive GDPR.

5. Tillåten användning

Klienten får inte använda Tjänsten för att:

• Behandla Personuppgifter utan laglig grund
• Bedriva verksamhet som strider mot tillämplig lag (EU, svensk eller Klientens jurisdiktion)
• Behandla särskilda kategorier av personuppgifter (Art. 9) eller uppgifter om brottmålsdomar (Art. 10) utan lämpliga rättsliga skyddsåtgärder
• Bedriva verksamhet som skulle göra Bobs Company medskyldig till olovlig behandling

6. Avstängning och uppsägning på grund av avtalsbrott

6.1 Avstängning

Vi kan stänga av åtkomst till Instansen omedelbart om vi får kännedom om brott mot avsnitt 5. Vi meddelar Klienten och ger möjlighet att svara.

6.2 Uppsägning

Om brottet bekräftas och inte rättas inom rimlig tid kan vi säga upp Tjänsten. Uppsägning på grund av avtalsbrott innebär ingen återbetalning för återstående tjänsteperiod.

6.3 Bevarande av data

Vid avstängning eller uppsägning på grund av avtalsbrott bevarar (raderar inte) vi data på Instansen i 14 dagar, om inte brottsbekämpning föreskriver annat. Klienten kan hämta ut sin data under den perioden.

6.4 Samverkan med myndigheter

När det krävs enligt lag samverkar vi med behöriga myndigheter. Vi informerar Klienten om varje sådan begäran, om vi inte är förbjudna att göra det enligt lag.

7. Ansvar

7.1 Biträdets ansvar

Bobs Company ansvarar endast för skada orsakad av behandling som strider mot våra specifika skyldigheter enligt det här PUB-avtalet eller GDPR Art. 28, enligt GDPR Art. 82(2).

7.2 Ansvarigs ansvar

Klienten ansvarar för skada orsakad av behandling som strider mot GDPR eller Klientens skyldigheter enligt det här PUB-avtalet.

7.3 Ansvarstak

Bobs Companys totala sammanlagda ansvar enligt det här PUB-avtalet ska inte överstiga de avgifter Klienten betalat för Tjänsten under de 12 månader som föregått händelsen som ger upphov till anspråket.

7.4 Skadeslöshet

Klienten håller Bobs Company skadeslös mot anspråk, skador och kostnader som uppstår genom Klientens behandlingsverksamhet på Instansen, inklusive men inte begränsat till anspråk från registrerade eller tillsynsmyndigheter till följd av Klientens beslut om behandling.

8. Jurisdiktion och tillämplig lag

Det här PUB-avtalet styrs av svensk lag. Behörig tillsynsmyndighet är Integritetsskyddsmyndigheten (IMY). Tvister avgörs av svensk allmän domstol.

9. Varaktighet

Det här PUB-avtalet gäller för tjänsteavtalets löptid. Avsnitt 3.7 (incidentnotifiering), 3.8 (radering/återlämnande) och 7 (ansvar) fortsätter att gälla efter uppsägning.

Tillägg

Tilläggen fylls i för varje uppdrag och utgör en integrerad del av det här PUB-avtalet:

• Tillägg A — Beskrivning av behandlingen. Klientens namn, behandlingens ändamål, kategorier av registrerade, kategorier av personuppgifter och varaktighet.
• Tillägg B — Tekniska och organisatoriska åtgärder. Utöver de generella åtgärderna i 3.3, t.ex. specifik datacenterplacering inom EES för uppdraget.
• Tillägg C — Underbiträden. Aktuell lista över underbiträden för uppdraget, deras ändamål och placering. Klienten meddelas 30 dagar i förväg om ändringar.

Kontakt

Bobs Company
Hör av dig via bokningssidan.