Personuppgiftsbiträdesavtal (DPA)

Data Processing Agreement enligt GDPR art. 28 · Version 2 (2026-04-22)

📄 Mall för nedladdning: Detta är en standard-DPA som uppfyller GDPR art. 28. För underskriven version, kontakta support@lexcodex.ai med ert organisationsnummer.

1. Parter

Personuppgiftsansvarig: [Kundens företagsnamn, organisationsnummer, adress]

Personuppgiftsbiträde: LexCodex.ai (Nordicbysight HB, org.nr 969787-0346)

2. Behandlingens art och syfte

Biträdet behandlar personuppgifter för att tillhandahålla AI-driven juridisk analys (avtalsgranskning, NDA-triagering, compliance, AI Act-analys, juridisk research, avtalsförfattning och bevakning) åt den Personuppgiftsansvarige.

3. Typer av personuppgifter

Kontouppgifter: förnamn, efternamn, e-postadress, organisation
Autentisering: hashat lösenord (bcrypt), valfri MFA-nyckel (hashad)
Användningsdata: antal analyser, vilka verktyg (utan innehåll)
Säkerhetsloggar: IP-adress, sessionsidentifierare, inloggningsförsök
Innehåll som skickas för analys (kan innehålla personuppgifter) — behandlas endast i minnet, sparas inte

4. Biträdets skyldigheter

Biträdet åtar sig att:

Endast behandla uppgifter enligt dokumenterade instruktioner från den Ansvarige
Säkerställa att personal har tystnadsplikt
Vidta lämpliga tekniska och organisatoriska åtgärder (art. 32 GDPR) — TLS 1.3, bcrypt, MFA, CSP, HSTS, CSRF, rate-limiting
Bistå den Ansvarige vid utövande av registrerades rättigheter (art. 15–21 GDPR)
Anmäla personuppgiftsincidenter inom 72 timmar
Radera eller återlämna uppgifter vid avtalets upphörande
Tillhandahålla en självbetjäningsfunktion för omedelbar radering av konto och tillhörande data (GDPR art. 17)

5. Underbiträden (sub-processors)

Biträdet anlitar följande underbiträden:

Leverantör	Funktion	Plats	Certifiering
Anthropic PBC	AI-behandling (Claude API)	USA / EU-routing	SOC 2 Type II, ISO 27001, ISO 42001, HIPAA, EU-US DPF
Easywebbhotell	Hosting (server + databas)	Sverige	GDPR-kompatibelt, svensk jurisdiktion
Stripe Inc.	Betalningshantering	USA / Irland	PCI DSS Level 1, SCC
Google LLC	reCAPTCHA, Analytics (med samtycke)	USA / EU	ISO 27001, 27017, 27018, SCC

Anthropic använder inte kundens data för modellträning. Avtalstexter och AI-svar sparas inte permanent — varken hos Anthropic eller hos LexCodex.ai.

6. Överföring till tredje land

Data kan överföras till USA (Anthropic, Stripe, Google) under EU-US Data Privacy Framework samt Standard Contractual Clauses (SCC) enligt Kommissionens beslut 2021/914. Ingen överföring sker utan lämpliga skyddsåtgärder.

7. Dataskyddsåtgärder

Se vår Security Whitepaper och Dataskydd & Förtroende för fullständig redovisning av tekniska och organisatoriska åtgärder.

8. Lagringstid

Avtalstexter och AI-svar: Sparas inte — behandlas endast i minnet under analysen.
Kontouppgifter: Så länge kontot är aktivt. Raderas omedelbart när den registrerade använder Art. 17-funktionen eller när avtalet upphör.
Bokförings- och fakturadata: 7 år enligt 6 kap. 1 § bokföringslagen (svensk lagstadgad lagring även efter kontoradering).
Serverloggar: 30 dagar.
Rate-limit-loggar: 1 timme (rullande).

9. Tillämplig lag

Detta avtal regleras av svensk rätt. Tvister ska avgöras av svensk allmän domstol med Malmö tingsrätt som första instans.

10. Kontakt

LexCodex.ai · support@lexcodex.ai