Personuppgiftsbiträdesavtal (DPA)
Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") reglerar Nordic Fenex Labss behandling av personuppgifter för Restaurangens räkning i samband med tillhandahållandet av tjänsten G-zen (även kallad MIMA). Biträdesavtalet ingås i enlighet med artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 (allmänna dataskyddsförordningen, "GDPR").
Biträdesavtalet utgör en integrerad del av det huvudavtal (abonnemangsavtal/användarvillkor) som Parterna har ingått avseende tjänsten G-zen ("Huvudavtalet"). Vid motstridighet mellan Huvudavtalet och detta Biträdesavtal i frågor som rör behandling av personuppgifter ska detta Biträdesavtal ha företräde.
1. Parter
Personuppgiftsansvarig ("Den Ansvarige" / Restaurangen):
- Företagsnamn: [ATT FYLLAS I: restaurangens juridiska namn]
- Organisationsnummer: [ATT FYLLAS I: restaurangens org.nr]
- Adress: [ATT FYLLAS I: restaurangens adress]
- Kontaktperson/e-post: [ATT FYLLAS I: restaurangens kontaktuppgifter]
Personuppgiftsbiträde ("Biträdet"):
- Nordic Fenex Labs (enskild firma)
- Organisationsnummer: SE8703233596
- Säte: Domsjö, Sverige
- Adress: Tjärnmyrvägen 33, 892 42 Örnsköldsvik, Sverige
- Godkänd för F-skatt
- Kontakt: contact@nordicfennec.se
Var och en benämns nedan "Part" och gemensamt "Parterna".
2. Bakgrund och rollfördelning
Biträdet tillhandahåller tjänsten G-zen – en AI-baserad röstbeställningstjänst för restauranger. När en gäst ringer till Restaurangen besvaras samtalet av en svensktalande röst-AI som tar upp beställningen, beräknar pris och tillagningstid samt skickar beställningen till Restaurangens köksdisplay.
Parterna är överens om följande rollfördelning enligt GDPR:
- Restaurangens gäster (uppringare) är de registrerade.
- Restaurangen är personuppgiftsansvarig för behandlingen av sina gästers/uppringares personuppgifter och bestämmer ändamålen med och medlen för behandlingen.
- Nordic Fenex Labs/G-zen är personuppgiftsbiträde och behandlar gästernas personuppgifter uteslutande för Restaurangens räkning och enligt Restaurangens dokumenterade instruktioner. Biträdet bestämmer inte självständigt ändamålen med eller medlen för behandlingen.
Detta Biträdesavtal omfattar endast behandlingen av uppringarnas/gästernas personuppgifter, där Restaurangen är personuppgiftsansvarig. För behandling av Restaurangägarens egna kontouppgifter (t.ex. namn, e-post, restaurangnamn, adress, organisationsnummer, telefonnummer och menydata) är Nordic Fenex Labs själv personuppgiftsansvarig; den behandlingen regleras i stället av tjänstens integritetspolicy och omfattas inte av detta Biträdesavtal.
3. Föremål för behandlingen, varaktighet, art och ändamål
Föremål för behandlingen: Behandling av personuppgifter som är nödvändig för att Biträdet ska kunna tillhandahålla tjänsten G-zen, dvs. ta emot och hantera telefonbeställningar för Restaurangens räkning.
Varaktighet: Behandlingen pågår så länge Huvudavtalet mellan Parterna är i kraft. Vid Huvudavtalets upphörande gäller bestämmelserna i avsnitt 11 (Radering och återlämnande).
Behandlingens art: Insamling, mottagande, registrering, strukturering, lagring, användning, analys (för kvalitets- och driftssäkerhet), anonymisering och radering av personuppgifter samt överföring till de underbiträden som anges i avsnitt 8.
Ändamål med behandlingen:
- Att ta emot och fullgöra telefonbeställningar för Restaurangens räkning.
- Att förbättra tjänstens kvalitet och tillförlitlighet.
- Att vid behov hantera allergiuppgifter som uppringaren självmant lämnar, för att säkerställa livsmedelssäkerhet.
Vid samtalets början läses en inspelningsavisering upp, ordagrant: "Samtalet spelas in för beställningssäkerhet och utveckling av tjänsten".
4. Kategorier av registrerade och personuppgifter
Kategorier av registrerade:
- Restaurangens gäster/uppringare som ringer för att lägga en beställning.
Kategorier av personuppgifter:
- Telefonnummer (via inkommande nummerpresentation).
- Beställningens innehåll.
- Transkription av samtalet. För kundsamtal lagras ingen ljudinspelning; ljud behandlas endast transient för transkribering.
- I förekommande fall allergiuppgifter som uppringaren självmant lämnar.
Särskilda kategorier av personuppgifter (artikel 9 GDPR):
Allergiuppgifter kan utgöra hälsorelaterade uppgifter enligt artikel 9 GDPR. Sådana uppgifter samlas in endast när uppringaren självmant lämnar dem, i syfte att säkerställa livsmedelssäkerhet, och behandlas enligt principen om uppgiftsminimering. De används inte för något annat ändamål.
Ej omfattade uppgifter: Inga betalkortsuppgifter lagras av G-zen. Beställningar betalas på plats i restaurangen ("betala på plats").
5. Den Ansvariges instruktioner och skyldigheter
Biträdet får endast behandla personuppgifter enligt Restaurangens dokumenterade instruktioner, inklusive vad gäller överföring av personuppgifter till tredjeland eller en internationell organisation, om inte unionsrätten eller svensk rätt kräver annat. I sådant fall ska Biträdet informera Restaurangen om det rättsliga kravet innan behandlingen sker, såvida inte sådan information är förbjuden enligt lag med hänvisning till ett viktigt allmänintresse.
Detta Biträdesavtal, Huvudavtalet samt den dokumentation och de inställningar som tjänsten G-zen tillhandahåller utgör Restaurangens fullständiga dokumenterade instruktioner till Biträdet vid tidpunkten för avtalets ingående. Eventuella ytterligare eller ändrade instruktioner ska lämnas skriftligen.
Biträdet ska utan onödigt dröjsmål informera Restaurangen om Biträdet anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning.
Restaurangen ansvarar för att det finns en laglig grund för behandlingen samt för att uppringarna informeras på lämpligt sätt. Restaurangen är införstådd med att tjänsten tillämpar följande lagliga grunder för respektive ändamål, vilka Restaurangen i egenskap av personuppgiftsansvarig bekräftar:
- Mottagande och fullgörande av telefonbeställningar: fullgörande av avtal respektive berättigat intresse (GDPR art. 6.1.b / 6.1.f).
- Förbättring av tjänstens kvalitet och tillförlitlighet: berättigat intresse (GDPR art. 6.1.f).
- Allergiuppgifter (art. 9): behandlas endast när uppringaren självmant lämnar uppgifterna, för livsmedelssäkerhet.
6. Konfidentialitet
Biträdet ska säkerställa att de personer som är behöriga att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. Åtkomst till personuppgifterna begränsas till de personer som behöver tillgång för att fullgöra Biträdets skyldigheter enligt detta Biträdesavtal.
Biträdet bedrivs som enskild firma och utgör i praktiken en enpersonsverksamhet. Konfidentialitetsåtagandet enligt denna punkt omfattar innehavaren och varje eventuell ytterligare person som ges åtkomst till personuppgifterna.
7. Säkerhetsåtgärder (artikel 32 GDPR)
Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Biträdet vidtar bland annat följande åtgärder:
- Kryptering vid överföring (HTTPS/TLS).
- Åtkomstkontroll, inklusive autentisering och separation av administrativa behörigheter.
- Maskering av personuppgifter (PII) i loggar.
- Ändringsloggning (audit log) av administrativa åtgärder.
- Logisk separation av uppgifter per restaurang (tenant-isolering).
- Primär lagring av order- och kontouppgifter inom EU.
För kundsamtal lagras ingen ljudinspelning; endast transkription behandlas och raderas inom 30 dagar. Biträdet ansvarar för att ljudlagring är avaktiverad i den ElevenLabs-arbetsyta som används för den Personuppgiftsansvariges samtal.
8. Underbiträden (underleverantörer)
8.1 Allmänt skriftligt godkännande
Restaurangen lämnar härmed sitt allmänna skriftliga godkännande till att Biträdet anlitar underbiträden för behandlingen. Biträdet ska genom avtal eller annan rättsakt enligt unionsrätten eller svensk rätt ålägga varje underbiträde samma dataskyddsskyldigheter som anges i detta Biträdesavtal, särskilt vad gäller skyldigheten att ge tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder. Biträdet förblir fullt ansvarigt gentemot Restaurangen för att underbiträdena fullgör sina skyldigheter.
8.2 Förteckning över underbiträden
Vid tidpunkten för detta Biträdesavtals ingående anlitar Biträdet följande underbiträden:
| Underbiträde | Funktion | Plats / tredjelandsöverföring |
|---|---|---|
| ElevenLabs | Röst-AI: tal-till-text, text-till-tal, transkription och ev. ljud | USA – tredjelandsöverföring (EU→USA) under EU-US Data Privacy Framework / standardavtalsklausuler (SCC) |
| Telnyx | Telefoni / SIP-trunk | USA – tredjelandsöverföring under standardavtalsklausuler (SCC) |
| Stripe | Betalningar avseende Restaurangens abonnemang | Irland/USA – standardavtalsklausuler (SCC) / Data Privacy Framework (DPF) |
| Gemini-språkmodell (LLM) samt ev. OAuth-inloggning | Irland/USA – tredjelandsöverföring under standardavtalsklausuler (SCC) / Data Privacy Framework (DPF) | |
| Supabase | PostgreSQL-databas – lagring av order och konto | EU-region eu-north-1 (Stockholm) |
| Hostinger | VPS – applikationshosting | EU |
Förtydligande om datalokalisering: Primär applikation och databas (Supabase, Hostinger) är EU-baserade. Behandling av samtalsljud/röst-AI (ElevenLabs), telefoni (Telnyx), språkmodell (Google) och betalning av abonnemanget (Stripe) sker dock helt eller delvis utanför EU/EES och innebär överföring av personuppgifter till tredjeland (huvudsakligen USA), enligt de överföringsmekanismer som anges i tabellen ovan. Eventuella marknadsföringsuttryck om att tjänsten är "EU-baserad" eller har "servrar i Sverige/EU" avser den primära applikationen och databasen och ska läsas tillsammans med detta förtydligande.
8.3 Underrättelse om ändringar
Biträdet ska underrätta Restaurangen i förväg om planerade ändringar avseende tillägg eller utbyte av underbiträden, och därigenom ge Restaurangen möjlighet att göra invändningar mot sådana ändringar. Underrättelse lämnas via e-post till Restaurangens kontaktadress med 30 dagars varsel innan ändringen träder i kraft. Om Restaurangen har sakliga invändningar ska Parterna i god tro söka finna en lösning. Om ingen lösning uppnås har Restaurangen rätt att säga upp tjänsten enligt Huvudavtalets uppsägningsbestämmelser.
8.4 Tredjelandsöverföring
För överföring av personuppgifter till tredjeland säkerställer Biträdet att en giltig överföringsmekanism enligt kapitel V i GDPR föreligger, dvs. EU-US Data Privacy Framework eller Europeiska kommissionens standardavtalsklausuler (SCC), i enlighet med vad som anges i avsnitt 8.2. Biträdet ska på Restaurangens begäran tillhandahålla skälig dokumentation som styrker att en sådan mekanism är på plats för respektive underbiträde.
9. Bistånd till den Ansvarige
9.1 De registrerades rättigheter
Med beaktande av behandlingens art ska Biträdet, i den mån det är möjligt, genom lämpliga tekniska och organisatoriska åtgärder bistå Restaurangen så att Restaurangen kan fullgöra sin skyldighet att svara på begäranden om utövande av de registrerades rättigheter, däribland rätten till:
- tillgång (art. 15),
- rättelse (art. 16),
- radering (art. 17),
- begränsning av behandling (art. 18),
- dataportabilitet (art. 20),
- invändning (art. 21).
Om en registrerad vänder sig direkt till Biträdet med en sådan begäran ska Biträdet utan onödigt dröjsmål vidarebefordra begäran till Restaurangen och får inte själv besvara den, om inte Restaurangen instruerat annat.
Tjänsten stödjer radering på begäran (art. 17) genom manuell radering per telefonnummer.
9.2 Bistånd avseende artiklarna 32–36
Biträdet ska, med beaktande av behandlingens art och den information som Biträdet har tillgång till, bistå Restaurangen med att säkerställa att skyldigheterna enligt artiklarna 32–36 i GDPR fullgörs, däribland säkerhetsåtgärder, anmälan av personuppgiftsincidenter, information till registrerade samt konsekvensbedömningar avseende dataskydd och förhandssamråd.
10. Personuppgiftsincidenter
Biträdet ska underrätta Restaurangen utan onödigt dröjsmål, och under alla omständigheter inom rimlig tid, efter att ha fått kännedom om en personuppgiftsincident som rör de uppgifter som behandlas för Restaurangens räkning. Underrättelsen ska innehålla den information som är skäligen tillgänglig och som Restaurangen behöver för att kunna fullgöra sina egna skyldigheter att vid behov anmäla incidenten till tillsynsmyndigheten inom 72 timmar enligt artikel 33 GDPR och, i förekommande fall, informera de registrerade enligt artikel 34 GDPR. Underrättelse sker till [ATT FYLLAS I: Restaurangens kontaktadress för incidenter].
11. Radering och återlämnande
Biträdet tillämpar följande lagringstider och raderingscykler:
- Beställningar: Personuppgifter i beställningar (telefonnummer och ev. anteckningar) anonymiseras automatiskt efter 30 dagar (telefonnummer ersätts med "[anonymized]" och anteckningar raderas). Aggregerad orderdata utan personuppgifter (datum, pris, rätter) behålls för bokföringsändamål i 7 år enligt bokföringslagen.
- ElevenLabs-konversationer: Transkription, härledda PII-fält samt ev. ljudinspelning raderas efter 30 dagar (inställt i ElevenLabs).
Vid Huvudavtalets upphörande ska Biträdet, enligt Restaurangens val, radera eller återlämna samtliga personuppgifter som behandlats för Restaurangens räkning samt radera befintliga kopior, om inte unionsrätten eller svensk rätt kräver fortsatt lagring. Uppgifter som måste bevaras enligt lag (t.ex. aggregerad orderdata enligt bokföringslagen) får dock bevaras under den lagstadgade tiden och endast för det ändamålet.
12. Granskning och revision (audit)
Biträdet ska ge Restaurangen tillgång till all information som krävs för att visa att skyldigheterna enligt artikel 28 i GDPR fullgörs samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Restaurangen eller av en annan revisor som Restaurangen bemyndigat.
Granskning ska föregås av skälig framförhållning, genomföras under normal arbetstid och på ett sätt som inte oskäligt stör Biträdets verksamhet samt under iakttagande av sekretess. Granskning aviseras minst 30 dagar i förväg, sker högst en gång per tolvmånadersperiod (om inte tillsynsmyndighet kräver annat) och varje Part bär sina egna kostnader.
13. Tillsynsmyndighet
Behörig tillsynsmyndighet är Integritetsskyddsmyndigheten (IMY), imy.se. Registrerade har rätt att lämna in klagomål till IMY.
14. Avtalstid, ändringar och tillämplig lag
Detta Biträdesavtal gäller så länge Biträdet behandlar personuppgifter för Restaurangens räkning. Ändringar och tillägg ska göras skriftligen och undertecknas av båda Parter, med undantag för ändringar av underbiträden enligt avsnitt 8.3.
Detta Biträdesavtal regleras av svensk rätt. Tvist med anledning av Biträdesavtalet ska avgöras av svensk allmän domstol.
15. Underskrifter
För Personuppgiftsansvarig (Restaurangen):
- Namn: [ATT FYLLAS I: namn]
- Befattning: [ATT FYLLAS I: befattning]
- Ort och datum: [ATT FYLLAS I: ort och datum]
- Underskrift: ______
För Personuppgiftsbiträdet (Nordic Fenex Labs):
- Namn: [ATT FYLLAS I: namn]
- Befattning: [ATT FYLLAS I: befattning]
- Ort och datum: [ATT FYLLAS I: ort och datum]
- Underskrift: ______
Denna DPA tillhandahålls som mall och färdigställs per kund vid avtalets tecknande.