ChatDocs ChatDocs

Databehandlingsavtal (DPA)

Senast uppdaterad: 3 mars 2026

GDPR-kompatibel • EU-baserat • Krypterat

1. Introduktion

Detta databehandlingsavtal ("DPA") utgör en del av användarvillkoren mellan dig ("Kund", "Personuppgiftsansvarig") och Max Digital Solutions AB (org. nr 5593221046), som driver ChatDocs ("Personuppgiftsbiträde", "vi", "oss").

Detta DPA gäller när Kunden använder ChatDocs för att behandla personuppgifter och reglerar vår databehandling enligt den allmänna dataskyddsförordningen (GDPR).

2. Definitioner

  • Personuppgifter: All information som rör en identifierad eller identifierbar fysisk person i dokument som laddas upp till ChatDocs
  • Behandling: Varje åtgärd som utförs på personuppgifter, inklusive lagring, analys och hämtning
  • Personuppgiftsansvarig: Den enhet som bestämmer ändamålen och medlen för behandling av personuppgifter (du, Kunden)
  • Personuppgiftsbiträde: Den enhet som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige (ChatDocs)
  • Underbiträde: Varje tredje part som anlitas av ChatDocs för att behandla personuppgifter
  • Registrerad: Den individ vars personuppgifter behandlas

3. Omfattning och roller

3.1 Förhållandet personuppgiftsansvarig-personuppgiftsbiträde

När Kunden laddar upp dokument som innehåller personuppgifter till ChatDocs agerar Kunden som personuppgiftsansvarig och ChatDocs agerar som personuppgiftsbiträde.

3.2 Kundens ansvar som personuppgiftsansvarig

Kunden garanterar att de:

  • Har en laglig grund för behandling av personuppgifter enligt GDPR artikel 6
  • Har inhämtat nödvändiga samtycken från registrerade
  • Har informerat registrerade om behandlingen, inklusive användning av underbiträden
  • Följer alla tillämpliga dataskyddslagar
  • Endast laddar upp personuppgifter som är nödvändiga och proportionerliga

3.3 ChatDocs ansvar som personuppgiftsbiträde

ChatDocs kommer att:

  • Behandla personuppgifter endast enligt dokumenterade instruktioner från Kunden (via ChatDocs gränssnitt och API)
  • Lagra och hantera fråge-/svarshistorik för tjänsteleverans och analys
  • Implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder
  • Säkerställa sekretess för personer som är behöriga att behandla personuppgifter
  • Bistå Kunden vid svar på begäranden från registrerade
  • Bistå Kunden med konsekvensbedömningar avseende dataskydd vid behov
  • Radera eller returnera personuppgifter på begäran eller vid avtalsupphörande
  • Tillhandahålla information som är nödvändig för att påvisa efterlevnad

3.4 Uppgiftsminimering

Kunden ansvarar för att säkerställa att uppladdade dokument endast innehåller personuppgifter som är nödvändiga för deras avsedda användning. ChatDocs rekommenderar:

  • Att maskera onödiga personuppgifter före uppladdning
  • Att använda pseudonymisering där det är lämpligt
  • Att regelbundet granska och radera föråldrade dokument

4. Behandlingens art och ändamål

4.1 Föremål

Behandling av personuppgifter som finns i dokument uppladdade av Kunden för AI-driven analys och frågebesvarande.

4.2 Varaktighet

Behandlingen pågår så länge dokument finns kvar i Kundens konto, eller tills Kunden raderar dem.

Provperiod: Dokument uppladdade under provperioden raderas automatiskt efter 14 dagars inaktivitet.

4.3 Ändamål

  • Dokumentlagring och indexering
  • Naturlig språkbehandling och analys
  • Frågebesvarande via AI-modeller
  • Sökning och hämtning av information
  • WhatsApp-meddelandeleverans och bearbetning via tredjepartsinfrastruktur för meddelanden

4.4 Typer av personuppgifter

Beror helt på vad Kunden laddar upp. Kan inkludera:

  • Namn, kontaktuppgifter, identifikationsnummer
  • Anställningsinformation, ekonomiska uppgifter
  • Hälsodata, biometriska uppgifter (om uppladdade av Kunden)
  • Andra personuppgifter som finns i Kundens dokument
  • Telefonnummer och WhatsApp-identifierare (för WhatsApp-kanalanvändare)
  • Meddelandeinnehåll och meddelandemetadata (tidsstämplar, leveransstatus)

4.5 Kategorier av registrerade

Beror på Kundens användningsfall. Kan inkludera:

  • Anställda, kunder, leverantörer
  • Patienter, studenter, sökande
  • Alla individer som nämns i uppladdade dokument

4.6 Fråge- och konversationshistorik

ChatDocs lagrar frågor som ställs av Kundens användare och motsvarande AI-genererade svar för:

  • Tjänsteleverans (konversationskontinuitet)
  • Användningsanalys och fakturering
  • Tjänsteförbättring
  • Kundsupport

Denna data inkluderar:

  • Frågetext, svarstext, tidsstämplar
  • Konversationsmetadata (använda tokens, refererade källor)
  • Användarattribution (vilken adminanvändare som ställde vilken fråga)

Lagring: Lagras under Kundens kontots varaktighet eller tills den raderas av Kunden.

5. Säkerhetsåtgärder

ChatDocs implementerar följande tekniska och organisatoriska åtgärder:

5.1 Tekniska åtgärder

  • Kryptering: TLS 1.2+ under överföring, AES-256 i vila
  • Åtkomstkontroll: Autentisering via Auth0, sessionshantering
  • Infrastruktur: AWS Frankfurt (eu-central-1) med säkerhetsbästa praxis
  • Övervakning: Felspårning och loggning via Sentry
  • Isolering: Kunddata är logiskt separerad per kund-ID

5.2 Organisatoriska åtgärder

  • Sekretessåtaganden från personal
  • Åtkomst begränsad till endast behörig personal
  • Regelbundna säkerhetsuppdateringar och patchar
  • Incidenthanteringsprocedurer

6. Underbiträden

6.1 Auktoriserade underbiträden

Kunden auktoriserar ChatDocs att anlita följande underbiträden:

Underbiträde Tjänst Plats Skyddsåtgärder
Amazon Web Services (AWS) Molninfrastruktur, lagring, databas, meddelandeköer EU (Frankfurt, eu-central-1) GDPR-kompatibelt DPA, EU Data Processing Addendum
Azure OpenAI (Microsoft) AI/ML-modeller för frågebesvarande och inbäddningar EU (Sweden Central) Microsofts EU Data Boundary, DPA, Microsoft Products and Services DPA. Ingen kunddata lämnar EU. Azure OpenAI använder inte kunddata för att träna modeller.
Anthropic (via AWS Bedrock) AI-visionsmodell för visuell innehållsanalys (diagram, tabeller, skannade dokument) EU (Frankfurt, eu-central-1) Bearbetas via AWS Bedrock inom EU. AWS Bedrock använder inte kunddata för att träna modeller. Omfattas av AWS DPA.
Cohere (via AWS Bedrock) AI-omrankningsmodell för relevansbedömning av sökresultat EU (Frankfurt, eu-central-1) Bearbetas via AWS Bedrock inom EU. AWS Bedrock använder inte kunddata för att träna modeller. Omfattas av AWS DPA.
Auth0 (Okta) Autentisering och användarhantering USA Standardavtalsklausuler, DPA
Stripe Betalningsbearbetning USA Standardavtalsklausuler, PCI DSS-certifierad
Sentry Felövervakning USA Standardavtalsklausuler, DPA
360dialog GmbH WhatsApp Business API-leverantör, meddelandeförmedling och leverans EU (Tyskland) GDPR-kompatibelt DPA, EU-baserad bearbetning
Meta Platforms (WhatsApp) End-to-end-infrastruktur för WhatsApp-meddelandeleverans USA / Global EU-U.S. Data Privacy Framework, WhatsApp Business Terms of Service

6.2 Ändringar av underbiträden

ChatDocs meddelar Kunden om planerade ändringar av underbiträden via e-post minst 30 dagar i förväg. Kunden kan invända mot nya underbiträden genom att kontakta oss inom 30 dagar från meddelandet.

6.3 Underbiträdens skyldigheter

ChatDocs säkerställer att underbiträden är bundna av avtalsskyldigheter motsvarande de i detta DPA, inklusive lämpliga säkerhetsåtgärder och GDPR-efterlevnad.

7. Registrerades rättigheter

7.1 Kundens ansvar

Kunden ansvarar för att svara på begäranden från registrerade (åtkomst, rättelse, radering, begränsning, portabilitet, invändning).

7.2 ChatDocs assistans

ChatDocs bistår Kunden genom att:

  • Förse Kunden med verktyg för att komma åt, exportera och radera sin data (inklusive uppladdade dokument och frågehistorik)
  • Svara på Kundens begäranden om assistans inom rimlig tid (vanligtvis 7-14 arbetsdagar)
  • Implementera tekniska åtgärder för att underlätta registrerades rättigheter

8. Meddelande om personuppgiftsincident

Vid en personuppgiftsincident meddelar ChatDocs Kunden utan onödigt dröjsmål och senast 72 timmar efter att ha blivit medveten om incidenten.

Meddelandet kommer att inkludera:

  • Incidentens art och kategorier/volymer av data som påverkats
  • Sannolika konsekvenser av incidenten
  • Åtgärder som vidtagits eller föreslås för att åtgärda incidenten
  • Kontaktpunkt för ytterligare information

9. Radering och återlämnande av data

9.1 På begäran

Kunden kan radera sina dokument när som helst via ChatDocs gränssnitt.

9.2 Vid avtalsupphörande

Vid avtalets upphörande raderar ChatDocs alla personuppgifter inom 30 dagar om inte lagstadgad skyldighet att behålla dem föreligger.

9.3 Dataradering

På begäran raderas personuppgifter omedelbart och permanent från våra applikationssystem. AWS infrastrukturnivå-säkerhetskopior kan behålla krypterade kopior i upp till 35 dagar för katastrofåterställning, vilka är otillgängliga för vår applikation och raderas automatiskt därefter.

10. Efterlevnad

ChatDocs tillhandahåller rimlig information om sina databehandlingsrutiner och säkerhetsåtgärder på skriftlig begäran, med förbehåll för sekretessåtaganden.

11. Internationella dataöverföringar

11.1 Primär lagring

Personuppgifter lagras i AWS Frankfurt (eu-central-1) inom Europeiska unionen. AI-bearbetning sker i Azure OpenAI Sweden Central (EU) och AWS Bedrock Frankfurt (EU). Ingen dokument- eller persondata överförs utanför EU för AI-bearbetning.

11.2 Överföringar till tredjeland

Vissa underbiträden (Auth0, Stripe, Sentry, Meta Platforms) kan behandla data utanför EU/EES. AI-bearbetning (Azure OpenAI, Anthropic via AWS Bedrock, Cohere via AWS Bedrock) sker helt inom EU. Överföringar utanför EU skyddas av:

  • Standardavtalsklausuler (SCC): EU-kommissionens standardavtalsklausuler från 2021 för överföringar till tredjeland
  • Adekvansbeslut: För länder som bedömts adekvata av Europeiska kommissionen
  • Ytterligare skyddsåtgärder: Kryptering, åtkomstkontroller, avtalsåtaganden

12. Ansvar

Varje parts ansvar enligt detta DPA omfattas av ansvarsbegränsningsbestämmelserna i användarvillkoren, inklusive eventuella samlade ansvarsbegränsningar.

ChatDocs ansvar för GDPR-böter är begränsat till det belopp Kunden betalat under de 12 månaderna före överträdelsen, och endast i den utsträckning det orsakats enbart av ChatDocs uppsåtliga brott mot detta DPA.

13. Löptid och uppsägning

Detta DPA träder i kraft när Kunden först laddar upp dokument som innehåller personuppgifter och gäller tills alla personuppgifter har raderats eller återlämnats.

Detta DPA upphör automatiskt vid uppsägning av användarvillkoren.

14. Tillämplig lag

Detta DPA regleras av svensk lag och tolkas i enlighet med GDPR och andra tillämpliga EU-dataskyddslagar.

15. Kontakt för DPA-frågor

För frågor eller begäranden relaterade till detta DPA, kontakta:

Max Digital Solutions AB
E-post: privacy@chatdocs.eu
Organisationsnummer: 5593221046
Sverige

16. Företrädesordning

Vid konflikt mellan detta DPA och användarvillkoren har detta DPA företräde vad gäller dataskyddsfrågor.