GDPR & Personuppgiftsbiträdesavtal (DPA)
Detta dokument utgör ett juridiskt bindande personuppgiftsbiträdesavtal (Data Processing Agreement, DPA) mellan dig som kund ("Personuppgiftsansvarig") och Datarens.se ("Personuppgiftsbiträde") för behandling av personuppgifter via vår digitala tjänst.
1. Föremål och syfte
Datarens.se behandlar de personuppgifter och register som du laddar upp i Tjänsten uteslutande för att utföra automatiserad datarensning, strukturering och fuzzy matching enligt dina instruktioner via plattformen. Personuppgiftsbiträdet äger under inga omständigheter rätt att använda personuppgifterna för egna ändamål, vidareförsäljning eller kommersiell analys.
2. Behandlingens art och varaktighet
- Art: Automatiserad inläsning, normalisering och städning av data i serverns temporära arbetsminne (RAM), följt av omedelbar generering och retur av den rensade filen.
- Omfattning: Tjänsten stödjer filformaten Excel, CSV, TSV, JSON, XML, DOCX, PDF, Parquet, ODS och TXT samt ZIP-arkiv med flera filer.
- Varaktighet: Behandlingen och transient lagring sker enbart i RAM under den aktiva API-förfrågan (normalt understigande 60 sekunder).
- Lagring: Inga filer, tabeller eller personuppgifter från uppladdade filer lagras permanent på disk, databaser eller fysiska lagringsmedier hos Personuppgiftsbiträdet. Data rensas fullständigt ur arbetsminnet så fort filen har levererats tillbaka till användaren.
3. Typ av personuppgifter och kategorier av registrerade
Eftersom Tjänsten är ett automatiserat verktyg kontrollerar Personuppgiftsbiträdet inte vilken data du väljer att ladda upp. Det är Personuppgiftsansvarigs skyldighet att tillse att känsliga personuppgifter (enligt Artikel 9 GDPR) inte laddas upp i Tjänsten. Typiska uppgifter som behandlas innefattar namn, adresser, e-postadresser, telefonnummer och företagsinformation i kund- eller marknadsföringsregister.
4. Tekniska och organisatoriska säkerhetsåtgärder
Personuppgiftsbiträdet har implementerat följande branschledande säkerhetsåtgärder för att skydda personuppgifterna:
- Fullständig kryptering i rörelse via TLS 1.3 för all datatrafik till och från Tjänsten.
- RAM-only processing: Ingen persistent disk-skrivning sker under rensningsprocessen.
- Strikt Rate-limiting och IP-baserad skyddslogik för att förhindra obehörig åtkomst och missbruk.
- Begränsad och strikt CORS-policy (Cross-Origin Resource Sharing) låst till Datarens.se.
- Ingen loggning av filinnehåll, rådata eller behandlade personuppgifter i systemets applikationsloggar.
- Pseudonymiserade och minimerade åtkomstdagböcker (endast maskerad IP samt endpoint) med maximalt 24 timmars lagring för felsökningssyften.
5. Godkända underbiträden
Personuppgiftsansvarig ger härmed ett generellt godkännande till att Personuppgiftsbiträdet använder följande underbiträden för att tillhandahålla Tjänsten:
- Railway (USA/EU): Drift och hosting av backend-applikationens infrastruktur. All data passerar enbart i serverns arbetsminne (RAM) inom godkända datacenterområden.
- Supabase (USA/EU): Hantering av krypterad användarautentisering, JWT-sessioner och kontostatistik. Behandlar inga personuppgifter från användarens uppladdade filer.
- Anthropic (USA): Tillhandahållande av Claude AI-modeller för semantisk normalisering och textstädning. Data skickas krypterat via API i realtid och används enligt avtal aldrig för att träna kommersiella modeller. Anthropic är certifierat under EU-US Data Privacy Framework.
- Stripe (Irland/USA): Hantering av betalningar, kortuppgifter och fakturering för Business-prenumerationer.
6. Den registrerades rättigheter
Eftersom Personuppgiftsbiträdet inte sparar eller lagrar personuppgifterna från de uppladdade filerna efter avslutad förfrågan, har Personuppgiftsbiträdet ingen teknisk möjlighet att läsa ut, korrigera, portera eller radera data på begäran av en registrerad. Personuppgiftsansvarig ansvarar självständigt för att besvara och hantera sådana förfrågningar direkt i sina egna källsystem.
7. Säkerhetsincidenter och notifiering
Vid en bekräftad personuppgiftsincident i någon av Tjänstens underliggande systemmiljöer som påverkar Personuppgiftsansvarigs data, förbinder sig Personuppgiftsbiträdet att utan onödigt dröjsmål, och senast inom 72 timmar efter upptäckt, notifiera Personuppgiftsansvarig via den e-postadress som registrerats på kontot.
8. Audit och granskning
Personuppgiftsansvarig äger rätt att en gång per kalenderår begära ut tillgänglig säkerhetsdokumentation och systemarkitektur från Personuppgiftsbiträdet för att verifiera att kraven i detta avtal uppfylls.
9. Återlämning och radering av data
I och med att all data behandlas flyktigt i serverns arbetsminne och raderas omedelbart efter avslutad rensning, finns inga personuppgifter kvar att återlämna eller radera vid Tjänstens eller avtalets upphörande. Kontoinformation (e-post och betalningshistorik) raderas permanent på begäran inom 30 dagar efter att kontot avslutats.
10. Tillämplig lag och tvist
Detta avtal ska tolkas i enlighet med svensk lag och GDPR. Tvister som uppstår i samband med detta avtal ska slutgiltigt avgöras av Stockholms tingsrätt som första instans.
Behöver ditt företag ett formellt signerat DPA-avtal? Maila oss på datarens@outlook.com så skickar vi ett undertecknat exemplar i PDF-format för din organisation.