Personuppgiftsbiträdesavtal

Version 1.0 | Ikraftträdandedatum: 14 april 2026

Personuppgiftsbiträdesavtal

Version 1.0 | Ikraftträdandedatum: 14 april 2026

1 Parter i avtalet

1.1 Personuppgiftsansvarig:

Kunden som har ingått Tjänsteavtalet. Den person som har ingått Tjänsteavtalet på Kundens vägnar anses vara kontaktperson.

1.2 Personuppgiftsbiträde:

CARL HQ AS, Adress: Bogstadveien 54 0366 OSLO Norge, Organisationsnummer: 934440323

Kontaktperson: Petter Samuelsen, Titel: CTO, Telefon: 4745266868, E-post: petter@carlhq.com

Personuppgiftsansvarig och Personuppgiftsbiträde benämns var för sig som en ”Part” och tillsammans som ”Parterna”.

2 Bakgrund och syfte med avtalet

Personuppgiftsbiträdet har åtagit sig att leverera de tjänster som beskrivs i CARL HQ AS standardvillkor (”Tjänsteavtalet”). Genomförandet av detta arbete innebär att Personuppgiftsbiträdet kommer att behandla personuppgifter på uppdrag av Personuppgiftsansvarig.

Som kund bestämmer Personuppgiftsansvarig syftet med behandlingen av personuppgifter och vilka medel som ska användas.

Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) fastställer ramen för Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvariges räkning.

Syftet med detta personuppgiftsbiträdesavtal är att:

reglera Parternas rättigheter och skyldigheter vid behandling av personuppgifter,

säkerställa att kraven i dataskyddslagstiftningen och GDPR följs vid utförandet av Tjänsteavtalet, och

säkerställa att personuppgifter inte behandlas olagligt, kommer i händerna på obehöriga personer eller behandlas för andra syften än de som anges i detta personuppgiftsbiträdesavtal.

Vid konflikt mellan bestämmelserna i detta personuppgiftsbiträdesavtal och andra avtal mellan Parterna, inklusive Tjänsteavtalet, ska bestämmelserna i personuppgiftsbiträdesavtalet ha företräde.

3 Definitioner

Följande definitioner gäller för detta personuppgiftsbiträdesavtal:

”Personuppgiftsbiträdesavtal” avser de bestämmelser som anges i detta personuppgiftsbiträdesavtal med bilagor.

”Personuppgifter” avser all typ av information eller data som anses vara personuppgifter enligt dataskyddslagstiftningen och GDPR. Detta omfattar, men är inte begränsat till, den information som anges i Bilaga 1.

”Behandling” (av personuppgifter) avser all användning av personuppgifter, till exempel insamling, lagring, organisering, ändring eller anpassning, utlämnande och/eller överföring.

”GDPR” avser EU-förordning 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, och om upphävande av direktiv 95/46/EG (såsom genomfört i norsk lag).

”Dataskyddslagstiftning” avser lagen om behandling av personuppgifter av den 15 juni 2018 nr 38 med tillhörande föreskrifter som genomför GDPR samt all annan relevant lagstiftning som reglerar Parternas behandling av personuppgifter.

”Lag” avser annan tillämplig lagstiftning som Parterna omfattas av.

”Underbiträde” avser andra personuppgiftsbiträden som Personuppgiftsbiträdet använder för att behandla personuppgifterna.

”Registrerade” avser varje identifierad eller identifierbar person som personuppgifterna avser.

4 Allmänt

Parterna ska behandla personuppgifter i enlighet med dataskyddslagstiftningen, GDPR och detta personuppgiftsbiträdesavtal.

Personuppgiftsbiträdet ska endast samla in, registrera, sammanställa, lagra och på annat sätt behandla personuppgifter i den utsträckning som är nödvändig för att uppfylla Tjänsteavtalet och personuppgiftsbiträdesavtalet.

Personuppgiftsansvarig ska säkerställa att det finns en laglig grund för behandlingen av personuppgifterna.

5 Personuppgiftsansvariges rätt att utfärda instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig.

Personuppgiftsbiträdet får också behandla personuppgifter om detta krävs enligt Lag som Personuppgiftsbiträdet omfattas av. I sådant fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om den rättsliga skyldigheten innan behandlingen påbörjas, om inte tillämplig Lag förbjuder att sådan information lämnas av hänsyn till allmänintresset.

Personuppgiftsansvariges instruktioner till Personuppgiftsbiträdet anges i detta personuppgiftsbiträdesavtal med bilagor.

Bilaga 1 till personuppgiftsbiträdesavtalet beskriver vilka kategorier av personuppgifter Personuppgiftsbiträdet får behandla och ändamålet med behandlingen. Personuppgiftsbiträdet får inte behandla personuppgifter för andra ändamål än de som anges här.

Personuppgiftsansvarig får ge Personuppgiftsbiträdet efterföljande instruktioner så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning. Sådana efterföljande instruktioner ska lämnas till Personuppgiftsbiträdet skriftligen och måste dokumenteras.

Parterna ska omedelbart underrätta varandra om en Part anser att instruktioner eller krav från den andra Parten strider mot dataskyddslagstiftningen eller GDPR.

6 Personuppgiftsbiträdets skyldighet att bistå Personuppgiftsansvarig

Med hänsyn till behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet ska Personuppgiftsbiträdet bistå Personuppgiftsansvarig med att säkerställa efterlevnad av Personuppgiftsansvariges skyldigheter enligt GDPR artiklarna 32–36.

Detta innebär att Personuppgiftsbiträdet behöver kunna bistå i samband med konsekvensbedömningar avseende dataskydd och förhandsrådfrågningar.

7 Säkerhet för personuppgifter

Personuppgiftsbiträdet ska uppfylla de krav på informationssäkerhet som följer av dataskyddslagstiftningen och GDPR, samt införa lämpliga tekniska och organisatoriska säkerhetsåtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med GDPR artikel 32.

De tekniska och organisatoriska åtgärder som ska införas beskrivs i Bilaga 2.

Personuppgiftsbiträdet ska också bistå Personuppgiftsansvarig med att säkerställa efterlevnad av Personuppgiftsansvariges skyldigheter avseende tillräcklig informationssäkerhet enligt GDPR artikel 32.

8 Personuppgiftsbiträdets användning av underbiträden

Om Personuppgiftsbiträdet anlitar ett underbiträde för att utföra specifika behandlingsaktiviteter för Personuppgiftsansvariges räkning, ska det relevanta underbiträdet genom avtal eller annan rättslig handling omfattas av samma skyldigheter som anges i detta personuppgiftsbiträdesavtal.

Personuppgiftsbiträdet ska säkerställa att underbiträdet känner till Personuppgiftsbiträdets avtalsenliga och rättsliga skyldigheter och följer dessa krav.

Personuppgiftsbiträdet ska fullt ut ansvara gentemot Personuppgiftsansvarig för underbiträdets efterlevnad av sina skyldigheter.

De underbiträden som Personuppgiftsbiträdet använder i samband med Tjänsteavtalet anges i Bilaga 3. Personuppgiftsansvarig godkänner att Personuppgiftsbiträdet använder dessa underbiträden.

Personuppgiftsansvarig godkänner att Personuppgiftsbiträdet använder andra underbiträden än de som beskrivs i Bilaga 3. Om Personuppgiftsbiträdet vill använda nya underbiträden ska Personuppgiftsbiträdet i förväg meddela Personuppgiftsansvarig namnet på och kontaktuppgifter till underbiträden. Personuppgiftsansvarig har rätt att invända mot Personuppgiftsbiträdets användning av underbiträden. Om Personuppgiftsansvarig invänder mot användningen av ett nytt underbiträde ska Personuppgiftsansvarig informera Personuppgiftsbiträdet utan onödigt dröjsmål.

9 Personuppgiftsbiträdets överföring av personuppgifter utomlands

Personuppgiftsbiträdet får överföra de personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvariges räkning till de länder där Personuppgiftsbiträdet och underbiträdena bedriver sin verksamhet och lagrar dem där. Dessa länder anges i Bilaga 3. Personuppgiftsansvarig är medveten om detta och godkänner denna överföring så länge den är nödvändig för att genomföra de avtalade leveranserna.

Personuppgiftsansvarig godkänner att personuppgifterna behandlas utanför Norge. Personuppgiftsbiträdet får dock inte överföra personuppgifter till länder utanför EU/EES-området eller till en internationell organisation utan skriftligt förhandsgodkännande från Personuppgiftsansvarig, om inte EU-kommissionen har fastställt att landet eller den internationella organisationen säkerställer en adekvat skyddsnivå.

Om Personuppgiftsansvarig godkänner sådan överföring av personuppgifter till ett land utanför EU/EES-området eller till en internationell organisation ska Personuppgiftsbiträdet säkerställa att överföringen sker i enlighet med reglerna i GDPR kapitel V.

Personuppgiftsbiträdet åtar sig också att bedöma skyddsnivån i det eller de tredjeländer till vilka personuppgifter ska överföras, och säkerställa att kompletterande åtgärder av teknisk, organisatorisk eller avtalsmässig karaktär genomförs för att säkerställa en i allt väsentligt likvärdig skyddsnivå som inom EU/EES.

10 Hantering av registrerades rättigheter

Personuppgiftsansvarig ska vara kontaktpunkt för Registrerade och lämna nödvändig information om behandlingen.

Personuppgiftsansvarig ansvarar för att hantera Registrerades begäran om tillgång, rättelse, radering, begränsning, dataportabilitet m.m. och för att säkerställa att sådana begäranden tillgodoses.

Personuppgiftsbiträdet ska, med hänsyn till behandlingens art och i den utsträckning det är möjligt genom lämpliga tekniska och organisatoriska åtgärder, bistå Personuppgiftsansvarig med att uppfylla Personuppgiftsansvariges skyldighet att besvara begäranden som lämnas av Registrerade i syfte att utöva deras rättigheter enligt GDPR kapitel III.

Om Personuppgiftsbiträdet tar emot en begäran från en Registrerad ska Personuppgiftsbiträdet meddela Personuppgiftsansvarig så snart som möjligt.

11 Incidenthantering och anmälan

All användning av informationssystem som strider mot Personuppgiftsbiträdets fastställda rutiner, Personuppgiftsansvariges instruktioner, dataskyddslagstiftningen eller GDPR, liksom varje annan säkerhetsincident, ska hanteras som en incident.

Parterna ska fastställa och upprätthålla rutiner och systematiska åtgärder för uppföljning av incidenter, inklusive åtgärder för återställning till normalläge, avlägsnande av orsaken till incidenten och förebyggande av återupprepning.

Parterna ska, så snart de blir medvetna om en incident, utan onödigt dröjsmål och senast inom 36 timmar, informera varandra om eventuella säkerhetsincidenter och omedelbart genomföra alla nödvändiga och lämpliga åtgärder för att återställa normalläget.

Personuppgiftsansvarig ansvarar för att skicka incidentanmälningar till dataskyddsmyndigheten och Registrerade enligt GDPR artiklarna 33 och 34. Personuppgiftsbiträdet ska, om det behövs, bistå Personuppgiftsansvarig med att säkerställa att GDPR artiklarna 33 och 34 efterlevs.

12 Revision och inspektion

Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig all information som är nödvändig för att visa att Personuppgiftsbiträdets skyldigheter enligt dataskyddslagstiftningen, GDPR och detta personuppgiftsbiträdesavtal efterlevs.

Personuppgiftsbiträdet ska möjliggöra och bidra till revisioner, inklusive inspektioner, som genomförs av Personuppgiftsansvarig eller annan revisor som auktoriserats av Personuppgiftsansvarig, av Personuppgiftsbiträdets efterlevnad av GDPR, dataskyddslagstiftningen och detta personuppgiftsbiträdesavtal. Personuppgiftsansvarig har rätt att genomföra sådana revisioner på egen bekostnad, högst en gång per år med fyra veckors förvarning.

13 Sekretess och tystnadsplikt

Personuppgiftsbiträdet har tystnadsplikt avseende de personuppgifter och den dokumentation som Personuppgiftsbiträdet får tillgång till genom personuppgiftsbiträdesavtalet. Tystnadsplikten gäller även efter det att personuppgiftsbiträdesavtalet har upphört att gälla.

Personuppgiftsbiträdet får inte lämna ut eller ge tillgång till personuppgifterna till någon annan än sina egna anställda, underbiträden eller anställda hos Personuppgiftsansvarig, såvida inte detta har avtalats skriftligen med Personuppgiftsansvarig eller följer av lag, förordning eller beslut av offentlig myndighet.

Personuppgiftsbiträdet ska säkerställa att personer som har behörighet att behandla personuppgifterna har åtagit sig att behandla uppgifterna konfidentiellt genom ett sekretessavtal eller omfattas av en lämplig lagstadgad tystnadsplikt.

14 Avtalets löptid

Avtalet gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning.

15 Uppsägning

När personuppgiftsbiträdesavtalet upphör ska Personuppgiftsbiträdet återlämna alla personuppgifter som omfattas av personuppgiftsbiträdesavtalet i ett format som lämpar sig för fortsatt behandling av Personuppgiftsansvarig eller en tredje part som utsetts av Personuppgiftsansvarig.

Alternativt får Personuppgiftsansvarig kräva att personuppgifterna raderas och/eller förstörs i enlighet med Personuppgiftsansvariges skriftliga instruktioner.

Parterna kommer närmare överens om hur överföring eller radering och/eller förstöring specifikt ska genomföras.

Personuppgiftsbiträdet ska skriftligen dokumentera att radering och/eller förstöring har genomförts i enlighet med avtalet inom skälig tid efter att personuppgiftsbiträdesavtalet har upphört.

Ett undantag gäller om dataskyddslagstiftningen, GDPR eller Lag kräver att personuppgifterna ska bevaras vidare.

16 Tillämplig lag och forum

Avtalet regleras av norsk lag. Parterna enas om Oslo distriktsdomstol som forum.

Bilagor till avtalet

Bilaga 1 Beskrivning av personuppgifterna och ändamålet med behandlingen

Bilaga 2 Tekniska och organisatoriska åtgärder för informationssäkerhet

Bilaga 3 Översikt över Personuppgiftsbiträdets underbiträden

Bilaga 1: Beskrivning av personuppgifterna och ändamålet med behandlingen

Kontaktuppgifter (t.ex. telefonnummer), kommunikationsinnehåll (t.ex. SMS-meddelanden, ljudinspelningar, transkriptioner), konversationsmetadata (t.ex. tidsstämplar, meddelandestatus, konversationshistorik). Beteendedata (t.ex. sentimentanalys, taggar för leadkvalificering).

Bilaga 2: Beskrivning av tekniska och organisatoriska säkerhetsåtgärder Tillgänglighet

Produktionsarbetslaster körs på hanterad molninfrastruktur med inbyggd redundans över plattformarna Vercel, Render och Supabase. Databasoperationer använder Supabases automatiska failover och återställning till en viss tidpunkt. Applikationsservrar använder autoskalning och hälsomonitorering för att hantera trafiktoppar och upprätthålla tjänstens tillgänglighet. Temporal Cloud samordnar kritiska arbetsflöden med inbyggda omförsöksmekanismer och hållbara körningsgarantier. Realtidsövervakning via SigNoz och hälsokontroller på applikationsnivå följer upptid, latens och felfrekvenser. Automatiska varningar meddelar driftteamet om försämrad prestanda eller driftstopp. Underbiträden väljs utifrån deras upptids-SLA:er och infrastrukturens tillförlitlighet, med periodiska granskningar av deras status-sidor och incidentrapporter.

Integritet

Rollbaserad åtkomstkontroll begränsar datamodifieringar till endast behörig personal. Alla databasoperationer loggas med tidsstämplar, användaridentitet och åtgärdsdetaljer via Supabases granskningsloggar. Validering på applikationsnivå och databasrestriktioner förhindrar skadlig eller oavsiktlig datakorruption vid inmatningspunkterna. Versionshantering och granskade distributioner säkerställer att kodändringar är spårbara och kan återställas. Temporal-arbetsflödeshistorik ger oföränderliga granskningsspår för all automatiserad behandlingsaktivitet. Loggar bevaras i 90 dagar och granskas vid incidentutredningar. Underbiträden måste upprätthålla motsvarande loggningskapacitet och meddela Carl om eventuella integritetsincidenter utan onödigt dröjsmål.

Konfidentialitet

All dataöverföring använder TLS 1.3-kryptering. Data i vila i Supabase krypteras med AES-256-kryptering med hanterade krypteringsnycklar. API-nycklar, autentiseringsuppgifter och känsliga konfigurationer lagras i säkra system för hantering av miljövariabler med åtkomst begränsad till behöriga tjänstekonton. Anställda och konsulter undertecknar sekretessavtal och genomgår säkerhetsmedvetenhetsutbildning vid onboarding. Åtkomst till produktionssystem kräver multifaktorsautentisering och beviljas enligt principen om minsta möjliga behörighet. Åtkomstbehörigheter granskas kvartalsvis och återkallas omedelbart vid rollförändringar eller avslut. Underbiträden genomgår säkerhetsbedömningar innan de onboardas och måste visa robusta krypterings- och åtkomstkontroller.

Transparens

Carl upprätthåller ett uppdaterat register över underbiträden som beskriver varje enhets roll, plats och behandlingsaktiviteter. Personuppgiftsansvariga får minst 30 dagars förvarning om väsentliga ändringar av underbiträden, vilket ger dem möjlighet att invända eller begära förtydliganden. Dokumentation av behandlingsaktiviteter och säkerhetspolicyer finns tillgänglig på begäran. Vid en personuppgiftsincident kommer Carl att meddela Personuppgiftsansvarig utan onödigt dröjsmål och tillhandahålla incidentdetaljer, berörda datakategorier, potentiell påverkan och åtgärder för avhjälpande. Loggar över säkerhetsincidenter bevaras för revisionsändamål och ansvarsskyldighet.

Möjlighet till ingripande

Personuppgiftsansvariga kan komma åt, hämta, rätta, exportera eller radera personuppgifter via Carls webbplattform och API:er. Begäranden från registrerade behandlas inom fem arbetsdagar, och åtgärderna sprids till alla relevanta underbiträden. Bekräftelse på genomförda åtgärder lämnas till Personuppgiftsansvarig. AI-genererat innehåll genomgår mänsklig granskning och godkännandearbetsflöden som hanteras via Temporal. Personuppgiftsansvariga kan när som helst ingripa för att ändra, avslå eller pausa automatiserad behandling. Data kan markeras som begränsad för att förhindra ytterligare automatiserade beslut i väntan på att invändningar löses.

Säkerhetsrevisioner

Carl genomför årliga egna säkerhetsbedömningar och sårbarhetsskanningar efter större releaser. Brister prioriteras, tilldelas ansvariga parter och följs upp till avslut. Sammanfattningar av säkerhetsbedömningar kan delas med Personuppgiftsansvariga under lämpliga sekretessavtal. Personuppgiftsansvariga får genomföra en revision per avtalsår med 30

dagars förvarning, med förbehåll för rimliga begränsningar av kontorstider. Carl kommer att tillhandahålla bevis på säkerhetskontroller och, där det är lagligt tillåtet, underbiträdesefterlevnad eller revisionsrapporter.

Portabilitet

På begäran exporterar Carl alla personuppgifter i strukturerade format, inklusive JSON och CSV. Exporter inkluderar konversationshistorik, transkriptioner, kundprofiler, meddelanden och tillhörande metadata. Data kan överföras direkt till ett annat personuppgiftsbiträde via säkra kanaler om det är tekniskt möjligt. Exportfunktionen testas kvartalsvis för att säkerställa fullständighet och noggrannhet. API-dokumentation hålls uppdaterad för att göra det möjligt för Personuppgiftsansvariga att utföra stegvisa dataexporter när som helst under avtalsperioden. Inga proprietära format används som skulle skapa inlåsning till leverantör.

Ansvarsskyldighet

En utsedd dataskyddsombud övervakar efterlevnad av GDPR, hantering av säkerhetsincidenter och uppdatering av policyer. Carl upprätthåller dokumenterade informationssäkerhetspolicyer i linje med kraven i GDPR artikel 32 och håller registret över behandlingsaktiviteter aktuellt. Omfattande granskningsloggar fångar administrativa åtgärder i alla system och bevaras i minst ett år. Personuppgiftsbiträdesavtal med underbiträden innehåller GDPR-nivåskyldigheter, och Carl förblir ansvarigt gentemot Personuppgiftsansvarig för underbiträdenas prestation. Kvartalsvisa ledningsgenomgångar bedömer kontrollernas effektivitet och godkänner åtgärdsplaner.

Bevarande och radering av uppgifter

Personuppgifter bevaras endast så länge som det är nödvändigt för att fullgöra avtalade tjänster och rättsliga skyldigheter. Automatiserade bevaranderegler säkerställer att utkastmeddelanden upphör att gälla efter konfigurerade timeout-perioder. Konversationsdata och tillhörande register bevaras enligt dokumenterade scheman. Vid instruktion från Personuppgiftsansvarig eller vid avtalets upphörande raderar Carl på ett säkert sätt alla personuppgifter inom 30 dagar, även från säkerhetskopiesystem när bevarandeperioderna har löpt ut. Raderingsinstruktioner vidarebefordras till alla underbiträden med skriftlig bekräftelse som erhålls för revisionsändamål.

Fysisk säkerhet Carl använder molninfrastrukturleverantörer med certifieringarna SOC 2 Type II och ISO 27001. Fysisk säkerhet i datacenter hanteras av Vercel, Render, Supabase och andra underbiträden, som upprätthåller övervakning dygnet runt, biometriska åtkomstkontroller och miljöövervakning i sina anläggningar. Carls personal arbetar från säkra platser. Förlorade eller stulna enheter måste rapporteras omedelbart och raderas på distans. Hantering av fysiska dokument följer principen om rent skrivbord och säker destruktion av material som innehåller personuppgifter.

Bilaga 3: Översikt över Personuppgiftsbiträdets underbiträden

Alla behandlingsplatser finns inom EU / EES.

Microsoft Corporation

Adress: One Microsoft Way, Redmond, WA 98052-6399, USA
Funktion: AI-transkriptionsmodeller, LLM-modeller, orkestrering av AI-agenter, tal-till-text-transkribering
Etableringsland: USA
Behandlingsplatser: Sverige

LiveKit Incorporated