Personuppgiftsbiträdesavtal
Senast uppdaterad: 5 mars 2026
Avtal om behandling av personuppgifter enligt artikel 28 i EU:s dataskyddsförordning (GDPR)
1. Parter
Personuppgiftsansvarig ("den Ansvarige"):
Den kund som registrerat ett konto i Tjänsten gnubok och accepterat Användarvillkoren.
Personuppgiftsbiträde ("Biträdet"):
Arcim Technology AB, org.nr 559538-6219.
E-post: dataskydd@gnubok.se
Detta avtal ("Biträdesavtalet") utgör Bilaga 1 till Användarvillkoren och träder i kraft vid den Ansvariges registrering av konto i Tjänsten.
2. Bakgrund och syfte
2.1. Biträdet tillhandahåller en molnbaserad bokföringstjänst ("Tjänsten") enligt separat Användarvillkor. Vid tillhandahållandet av Tjänsten behandlar Biträdet personuppgifter för den Ansvariges räkning.
2.2. Detta Biträdesavtal reglerar Biträdets behandling av personuppgifter i enlighet med artikel 28 i Europaparlamentets och Rådets förordning (EU) 2016/679 ("GDPR") samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ("Dataskyddslagen").
3. Instruktioner och ändamål
3.1. Biträdet ska behandla personuppgifter uteslutande i enlighet med den Ansvariges dokumenterade instruktioner. Behandling utöver instruktionerna får endast ske om det krävs enligt EU-rätt eller svensk lag. I sådant fall ska Biträdet informera den Ansvarige om det rättsliga kravet före behandlingen, om inte lagen förbjuder sådan information.
3.2. Den Ansvariges instruktioner vid avtalets ingående är att Biträdet ska behandla personuppgifter för följande ändamål:
- Lagring och bearbetning av bokföringsdata inklusive verifikationer, journalposter, fakturor, kund- och leverantörsregister.
- Automatiserad kategorisering och kontering av banktransaktioner.
- Generering av rapporter (huvudbok, resultaträkning, balansräkning, momsdeklaration, SIE-export).
- Synkronisering av bankdata via PSD2-integrationer (Enable Banking).
- OCR-bearbetning av kvitton och leverantörsfakturor via AI-tjänster.
- Utskick av fakturor och påminnelser via e-post.
3.3. Om Biträdet bedömer att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning ska Biträdet omedelbart informera den Ansvarige.
4. Kategorier av personuppgifter
Biträdet behandlar följande kategorier av personuppgifter för den Ansvariges räkning:
| Kategori | Exempel på uppgifter | Rättslig grund (den Ansvariges) |
|---|---|---|
| Kundinformation | Namn, adress, org.nr, kontaktperson, e-post, telefon, VAT-nummer | Rättslig förpliktelse (BFL), avtal |
| Leverantörsinformation | Namn, adress, org.nr, bankgiro/plusgiro, e-post, kontaktperson | Rättslig förpliktelse (BFL), avtal |
| Fakturainformation | Fakturanummer, belopp, moms, betalningsvillkor, fakturamottagarens uppgifter | Rättslig förpliktelse (BFL, ML) |
| Banktransaktionsdata | Belopp, datum, motpart, referens, kontonummer (maskerat) | Rättslig förpliktelse (BFL), samtycke (PSD2) |
| Kvitton och underlag | Fotograferade/skannade dokument som kan innehålla personnamn, belopp, platser | Rättslig förpliktelse (BFL) |
4.2. Biträdet behandlar inte särskilda kategorier av personuppgifter (artikel 9 GDPR) eller uppgifter om brottsförövanden (artikel 10 GDPR) för den Ansvariges räkning, om inte den Ansvarige registrerar sådana uppgifter i fritextfält. Den Ansvarige instrueras att inte registrera sådana uppgifter i Tjänsten.
5. Kategorier av registrerade
De registrerade vars personuppgifter kan komma att behandlas är:
- Den Ansvariges kunder (fysiska personer eller kontaktpersoner hos juridiska personer).
- Den Ansvariges leverantörer (fysiska personer eller kontaktpersoner hos juridiska personer).
- Den Ansvariges anställda eller uppdragstagare (om uppgifter förekommer i bokföringsmaterial).
- Den Ansvariges ägare eller företrädare.
6. Underbiträden
6.1. Den Ansvarige ger härmed Biträdet ett allmänt förhandsgodkännande att anlita underbiträden för behandling av personuppgifter. Biträdet ska upprätthålla en förteckning över underbiträden som görs tillgänglig för den Ansvarige.
6.2. Förteckning över underbiträden vid avtalets ingående:
| Underbiträde | Ändamål | Plats för behandling |
|---|---|---|
| Supabase Inc. | Databaslagring, autentisering | EU (AWS eu-central / eu-west) |
| Vercel Inc. | Hosting av applikation | EU (edge network) |
| Anthropic PBC | AI-bearbetning (OCR, kategorisering, chat) | USA* |
| OpenAI Inc. | Embeddingar för transaktionskategorisering | USA* |
| Enable Banking Oy | PSD2 bankdatasynkronisering | Finland (EU) |
| Resend Inc. | E-postutskick av fakturor och påminnelser | USA* |
*Behandling i USA sker i enlighet med EU-U.S. Data Privacy Framework. Biträdet säkerställer att lämpliga skyddsåtgärder enligt artikel 46 GDPR vidtas, inklusive standardavtalsklausuler (SCC) där Data Privacy Framework inte är tillämpligt.
6.3. Biträdet ska informera den Ansvarige om planerade ändringar avseende tillägg eller byte av underbiträden minst trettio (30) dagar i förväg. Den Ansvarige har rätt att invända mot ändringen. Om parterna inte når enighet har den Ansvarige rätt att säga upp avtalet i enlighet med Användarvillkoren.
6.4. Biträdet ska säkerställa att varje underbiträde genom avtal åläggs samma skyldigheter avseende dataskydd som anges i detta Biträdesavtal.
7. Säkerhetsåtgärder
7.1. Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 GDPR. Åtgärderna inkluderar:
Tekniska åtgärder
- Kryptering av data vid överföring (TLS 1.2+) och i vila (AES-256).
- Row Level Security (RLS) i databasen, som säkerställer att varje Kund enbart kan se sin egen data.
- Autentisering via magic link (lösenordsfri), med sessionshantering via Supabase Auth.
- Automatisk säkerhetskopiering av databasen.
- Sekventiell verifikationsnumrering och oförstörbarhet av bokförda poster via databastriggrar.
Organisatoriska åtgärder
- Åtkomst till produktionsdata begränsas till behörig personal.
- Regelbunden granskning av åtkomsträttigheter.
- Incidenthanteringsprocess för personuppgiftsincidenter.
8. Konfidentialitet
8.1. Biträdet ska säkerställa att personer som har behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt.
9. Registrerades rättigheter
9.1. Biträdet ska, med hänsyn till behandlingens art, bistå den Ansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att den Ansvarige kan fullgöra sin skyldighet att svara på begäranden om utövande av de registrerades rättigheter enligt GDPR kapitel III, inklusive:
- rätten till tillgång (artikel 15),
- rätten till rättelse (artikel 16),
- rätten till radering (artikel 17), med beaktande av att radering kan vara begränsad av den sjuåriga arkiveringsskyldigheten i bokföringslagen,
- rätten till begränsning av behandling (artikel 18),
- rätten till dataportabilitet (artikel 20).
9.2. Om en registrerad riktar en begäran direkt till Biträdet ska Biträdet utan onödigt dröjsmål vidarebefordra begäran till den Ansvarige.
10. Personuppgiftsincidenter
10.1. Biträdet ska utan onödigt dröjsmål, och senast inom tjugofyra (24) timmar efter upptäckt, underrätta den Ansvarige om en personuppgiftsincident.
10.2. Underrättelsen ska innehålla:
- beskrivning av incidentens art, inklusive, om möjligt, kategorierna och det ungefärliga antalet registrerade som berörs,
- namn och kontaktuppgifter till Biträdets kontaktpunkt,
- beskrivning av de sannolika konsekvenserna av incidenten,
- beskrivning av de åtgärder som vidtagits eller föreslås för att hantera incidenten.
10.3. Biträdet ska bistå den Ansvarige med att fullgöra sin anmälningsskyldighet till Integritetsskyddsmyndigheten (IMY) enligt artikel 33 GDPR och att informera registrerade enligt artikel 34 GDPR.
11. Konsekvensbedömning och förhandssamråd
11.1. Biträdet ska bistå den Ansvarige vid genomförande av konsekvensbedömningar avseende dataskydd (artikel 35 GDPR) och vid förhandssamråd med tillsynsmyndigheten (artikel 36 GDPR), i den mån det avser Biträdets behandling.
12. Revisionsrätt
12.1. Biträdet ska ge den Ansvarige tillgång till all information som krävs för att visa att skyldigheterna i artikel 28 GDPR uppfylls, samt möjliggöra och bidra till revisioner, inbegripet inspektioner, som genomförs av den Ansvarige eller en revisor som utsetts av den Ansvarige.
12.2. Revision ska aviseras minst trettio (30) dagar i förväg och genomföras under ordinarie arbetstid utan att oskäligt störa Biträdets verksamhet. Kostnader för revision bärs av den Ansvarige.
12.3. Biträdet har rätt att tillhandahålla en tredjepartsrevision eller certifiering (t.ex. SOC 2 eller ISO 27001) som alternativ till individuell revision, om den Ansvarige godkänner det.
13. Radering och återlämnande
13.1. Vid upphörande av Biträdesavtalet ska Biträdet, efter den Ansvariges val:
- radera samtliga personuppgifter och radera befintliga kopior, eller
- återlämna samtliga personuppgifter till den Ansvarige i maskinläsbart format (SIE4 och/eller JSON-export) och radera befintliga kopior.
13.2. Radering eller återlämnande ska ske inom nittio (90) dagar från avtalets upphörande, med undantag för personuppgifter som Biträdet är skyldig att bevara enligt lag (se avsnitt 13.3).
13.3. I den mån Räkenskapsinformation innehåller personuppgifter och omfattas av den sjuåriga arkiveringsskyldigheten i 7 kap. 2 § BFL, ska Biträdet bevara sådana uppgifter i skrivskyddat läge under arkiveringsperioden. Behandlingen under denna period begränsas till lagring och tillgängliggörande vid behov. Uppgifterna raderas senast trettio (30) dagar efter arkiveringsperiodens utgång.
14. Överföring till tredje land
14.1. Behandling av personuppgifter ska i första hand ske inom EU/EES.
14.2. I den mån behandling sker i tredje land (se avsnitt 6.2) ska Biträdet säkerställa att det finns en giltig överföringsmekanism enligt GDPR kapitel V, såsom:
- ett beslut om adekvat skyddsnivå (artikel 45),
- standardavtalsklausuler antagna av EU-kommissionen (artikel 46.2 c), eller
- EU-U.S. Data Privacy Framework (för amerikanska underbiträden som är certifierade).
14.3. Biträdet ska på begäran tillhandahålla dokumentation om vilka skyddsåtgärder som tillämpas för varje överföring till tredje land.
15. Avtalstid
15.1. Detta Biträdesavtal gäller så länge Biträdet behandlar personuppgifter för den Ansvariges räkning, dvs. under avtalstiden för Användarvillkoren samt under den efterföljande period som Biträdet bevarar Räkenskapsinformation enligt avsnitt 13.3.
16. Ansvar
16.1. Biträdets ansvar för brott mot detta Biträdesavtal regleras av ansvarsbegränsningarna i Användarvillkoren, med undantag för sanktionsavgifter som Integritetsskyddsmyndigheten (IMY) ålägger respektive part, vilka vardera parten bär själv.
17. Kontaktuppgifter
Biträdets kontaktperson för dataskyddsfrågor:
E-post: dataskydd@gnubok.se
Bilaga A: Behandlingens specifikation
| Parameter | Beskrivning |
|---|---|
| Ändamål | Tillhandahållande av molnbaserad bokföringstjänst |
| Behandlingens art | Lagring, bearbetning, överföring, radering av bokföringsdata |
| Typ av personuppgifter | Namn, adress, org.nr, kontaktuppgifter, bankuppgifter (maskerade), fakturadata |
| Kategorier av registrerade | Kundens kunder, leverantörer, anställda, ägare |
| Behandlingens varaktighet | Under avtalsperioden samt arkiveringsperioden (7 år) |
| Geografisk placering | EU/EES (primärt), USA (underbiträden med DPF/SCC) |
Bilaga B: Tekniska och organisatoriska åtgärder (artikel 32 GDPR)
Åtkomstkontroll
- Lösenordsfri autentisering (magic link) via Supabase Auth.
- Row Level Security (RLS) med policy som filtrerar på användar-ID på samtliga tabeller.
- API-rutter verifierar användarens identitet via server-side Supabase-klient.
Dataintegritet
- Databastriggrar förhindrar ändring eller radering av bokförda poster.
- SHA-256 checksummor för arkiverade dokument.
- Sekvensiell verifikationsnumrering via databas-RPC (concurrent-safe).
Kryptering
- TLS 1.2+ för all datatrafik.
- AES-256 kryptering i vila (Supabase/AWS-infrastruktur).
Säkerhetskopiering
- Automatisk daglig säkerhetskopiering av databasen via Supabase.
- Point-in-time recovery.
Incidenthantering
- Loggning av autentiserings- och auktoriseringsfel.
- Audit trail för bokföringshändelser.
Personalsäkerhet
- Åtkomst till produktionsmiljö begränsad till auktoriserad personal.
- Sekretessåtaganden för personal som hanterar personuppgifter.