Biträdesavtal (DPA)
Senast uppdaterad: 26 maj 2026
AUTOMATISKT INTEGRERAT AVTAL
Detta **Data Processing Agreement (DPA)** är en integrerad del av Orwix Studios användarvillkor. När din organisation registrerar sig för Tjänsten och godkänner användarvillkoren träder detta Biträdesavtal automatiskt i kraft mellan din organisation (”Personuppgiftsansvarig”) och oss (”Personuppgiftsbiträde”). Ingen manuell signering på papper krävs.
1. Syfte, Definitioner & Parter
Detta Biträdesavtal (”DPA” eller ”Avtalet”) reglerar den behandling av personuppgifter som **BytVanor** (enskild firma / Peter Wikström, härefter benämnt ”Personuppgiftsbiträdet” eller ”Orwix Studio”) utför för din organisations (härefter benämnt ”Personuppgiftsansvarig” eller ”Kunden”) räkning i samband med tillhandahållandet av plattformen Orwix Studio.
Begrepp som ”personuppgifter”, ”behandling”, ”registrerad”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” och ”personuppgiftsincident” ska ha samma betydelse som i EU:s allmänna dataskyddsförordning (GDPR).
2. Omfattning, Instruktioner & Varaktighet
Personuppgiftsbiträdet ska endast behandla personuppgifter i enlighet med detta Avtal och Kundens dokumenterade instruktioner. Kunden bekräftar att detta Avtal, tillsammans med Kundens inställningar och konfigureringar i plattformens gränssnitt, utgör Kundens fullständiga instruktioner till Biträdet.
Behandlingens art och syfte: Tillhandahållande av molnbaserad video-funnel, videoregistrering, video-ugc, lead-insamling samt kalenderbokning integrerad via API/widgets på Kundens webbplatser.
Kategorier av registrerade: Kundens besökare, webbplatsanvändare, potentiella leads, samt bokare av möten.
Kategorier av personuppgifter: Namn, e-postadress, telefonnummer, IP-adress, webbläsardata, röst- och bildinspelningar (för videomeddelanden/video-UGC) samt andra personuppgifter registrerade av besökaren i widgeten.
Avtalets varaktighet: Avtalet gäller så länge Kunden innehar ett aktivt konto eller en giltig prenumeration på Orwix Studio.
3. Biträdets skyldigheter & Tystnadsplikt
Personuppgiftsbiträdet ska uppfylla de skyldigheter som åligger biträden enligt GDPR. Biträdet ska säkerställa att anställda, underleverantörer och andra personer som är behöriga att behandla personuppgifter har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
4. Tekniska & Organisatoriska Säkerhetsåtgärder (TOMs)
Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska åtgärder enligt Artikel 32 i GDPR för att skydda personuppgifterna mot förlust, missbruk, obehörig åtkomst eller röjande. Biträdet har implementerat följande specifika säkerhetsfunktioner:
- Edge-kryptering (WebCrypto AES-GCM-256): All inkommande lead- och bokningsdata krypteras omedelbart i Cloudflares Edge Workers med AES-GCM 256-bit kryptering innan datan når och lagras i databasen. Biträdets personal eller underleverantörer kan inte läsa personuppgifterna i klartext utan en separat krypteringsnyckel under en aktiv session.
- Isolerad Nyckelhantering & RLS: Dekrypteringsnycklar lagras i en separat tabell skyddad av strikt behörighetskontroll i PostgreSQL (Row Level Security).
- Kryptografisk Radering (Crypto-Shredding): Vid begäran om radering av data (t.ex. vid en DSAR-förfrågan) raderas krypteringsnyckeln från tabellen `lead_encryption_keys`. Genom databaskaskad (`ON DELETE CASCADE`) raderas tillhörande rader i `public.leads` och `public.bookings` omedelbart och permanent.
- Automatiserad R2 Media Städning: Vid radering av en lead eller bokning städas och raderas alla tillhörande UGC-videor och ljudfiler automatiskt från lagringshinken (Cloudflare R2) genom en bakgrunds-garbage collector, så att ingen restdata kvarstår i viloläge.
- Signerade Raderingskvitton: Systemet genererar automatiskt ett HMAC-SHA256-signerat raderingskvitto som verifierar att datan har blivit oåterkalleligt raderad och förstörd.
- CMP-synkroniserat Ghost Mode: Widgeten stödjer synkronisering med Kundens CMP-samtyckeshanterare. Om en besökare nekar samtycke stängs lokal persistens (cookies och localStorage) av och inga känsliga personuppgifter skickas utan ett explicit mikro-samtycke.
5. Underbiträden (Sub-processors)
Kunden lämnar härmed ett generellt förhandsgodkännande för Biträdet att anlita underbiträden för att tillhandahålla Tjänsten. Biträdet ansvarar för att underbiträdena omfattas av skriftliga avtal som ålägger dem motsvarande skyldigheter som Biträdet har enligt detta Avtal.
De underbiträden som är godkända vid Avtalets ingående är:
| Mottagare | Syfte | Plats & Skyddsåtgärder |
|---|---|---|
| Supabase Inc. | Databasdrift (PostgreSQL), sessioner och behörighetslagring. | EU (Frankfurt, Tyskland) / Kryptering i vila. |
| Cloudflare Inc. | DNS, CDN, Edge Workers (kantskydd), R2-medielagring. | EU-noder / Kryptering under överföring och i vila. |
| Stripe Inc. | Prenumerations- och faktureringshantering. | USA / EU (Standardavtalsklausuler tillämpas). |
| Resend Inc. | E-postdistribution (transaktionsmejl för bokningar och lead-notifieringar). | USA (Säkrat via EU-US Data Privacy Framework och standardavtalsklausuler). |
Biträdet ska skriftligen notifiera Kunden senast fjorton (14) dagar före byte eller tillägg av underbiträde. Kunden har rätt att invända mot ändringen inom fjorton (14) dagar från notifieringen. Om parterna inte enas har Biträdet rätt att säga upp avtalet med omedelbar verkan utan skadestståndsskyldighet.
6. Incidentrapportering & Bistånd
Vid en konstaterad personuppgiftsincident i Biträdets infrastruktur ska Biträdet underrätta Kunden via e-post utan onödigt dröjsmål och senast inom **72 timmar** efter upptäckt.
Biträdet ska bistå Kunden med lämplig information för att Kunden ska kunna fullgöra sin skyldighet att anmäla incidenten till Integritetsskyddsmyndigheten (IMY) samt informera de registrerade. Biträdet ska även bistå Kunden vid konsekvensbedömningar (DPIA) och samråd med tillsynsmyndigheten i den mån det är relevant för Tjänsten.
7. Revision & Granskning
Biträdet ska ge Kunden tillgång till den information som krävs för att visa att skyldigheterna enligt detta Avtal och Artikel 28 i GDPR är uppfyllda. Kunden har rätt att på egen bekostnad utföra granskning eller revision en gång per kalenderår under normal arbetstid. Revisioner ska föranmälas skriftligen minst 30 dagar i förväg och utföras av en oberoende revisor bunden av sekretess.
8. Radering av data efter upphörande
Vid avtalets upphörande ska Biträdet radera samtliga personuppgifter som behandlats under avtalstiden inom 30 dagar, om inte tillämplig svensk eller europeisk lagstiftning kräver fortsatt lagring. Radering av personuppgifter sker permanent och oåterkalleligt genom Biträdets Crypto-Shredding och databassortering.