Personuppgiftsbiträdesavtal (DPA)

Data Processing Agreement enligt GDPR art. 28 · Version 2 (2026-04-22)

📄 Mall för nedladdning: Detta är en standard-DPA som uppfyller GDPR art. 28. För underskriven version, kontakta support@lexcodex.ai med ert organisationsnummer.

1. Parter

Personuppgiftsansvarig: [Kundens företagsnamn, organisationsnummer, adress]

Personuppgiftsbiträde: LexCodex.ai (Nordicbysight)

2. Behandlingens art och syfte

Biträdet behandlar personuppgifter för att tillhandahålla AI-driven juridisk analys (avtalsgranskning, NDA-triagering, compliance, AI Act-analys, juridisk research, avtalsförfattning och bevakning) åt den Personuppgiftsansvarige.

3. Typer av personuppgifter

Kontouppgifter: förnamn, efternamn, e-postadress, organisation
Autentisering: hashat lösenord (bcrypt), valfri MFA-nyckel (hashad)
Användningsdata: antal analyser, vilka verktyg (utan innehåll)
Säkerhetsloggar: IP-adress, sessionsidentifierare, inloggningsförsök
Innehåll som skickas för analys (kan innehålla personuppgifter) — behandlas endast i minnet, sparas inte

4. Biträdets skyldigheter

Biträdet åtar sig att:

Endast behandla uppgifter enligt dokumenterade instruktioner från den Ansvarige
Säkerställa att personal har tystnadsplikt
Vidta lämpliga tekniska och organisatoriska åtgärder (art. 32 GDPR) — TLS, bcrypt, MFA, CSP, HSTS, CSRF, rate-limiting
Bistå den Ansvarige vid utövande av registrerades rättigheter (art. 15–21 GDPR)
Anmäla personuppgiftsincidenter inom 72 timmar
Radera eller återlämna uppgifter vid avtalets upphörande
Tillhandahålla en självbetjäningsfunktion för omedelbar radering av konto och tillhörande data (GDPR art. 17)

5. Underbiträden (sub-processors)

Biträdet anlitar certifierade tredjepartsleverantörer för AI-behandling, hosting, betalningshantering och spam-skydd. Samtliga är certifierade enligt branschstandarder (SOC 2 Type II, ISO 27001, PCI DSS Level 1) och bundna av databehandlaravtal (DPA). Fullständig underbiträdes-förteckning med namn, funktion, plats och certifieringar lämnas till Personuppgiftsansvarig under sekretess (NDA) som del av onboarding eller på begäran.

AI-leverantören använder inte kundens data för modellträning. Avtalstexter och AI-svar sparas inte permanent — varken hos AI-leverantören eller hos LexCodex.ai (Zero Data Retention).

Förändringar bland underbiträden kommuniceras till Personuppgiftsansvarig minst 30 dagar i förväg. Personuppgiftsansvarig har rätt att invända — vid invändning har parterna 30 dagar att hitta lösning, annars rätt att säga upp avtalet utan kostnad.

6. Dataskyddsåtgärder

Se Dataskydd & Förtroende för fullständig redovisning av tekniska och organisatoriska åtgärder.

7. Lagringstid

Avtalstexter och AI-svar: Sparas inte — behandlas endast i minnet under analysen.
Kontouppgifter: Så länge kontot är aktivt. Raderas omedelbart när den registrerade använder Art. 17-funktionen eller när avtalet upphör.
Bokförings- och fakturadata: 7 år enligt 6 kap. 1 § bokföringslagen (svensk lagstadgad lagring även efter kontoradering).
Serverloggar: 30 dagar.
Rate-limit-loggar: 1 timme (rullande).

8. Tillämplig lag och tvistlösning

Svensk rätt tillämpas, med undantag för lagvalsregler. Tvister ska i första hand lösas genom förhandling. Därefter avgörs tvist av svensk allmän domstol med Helsingborgs tingsrätt som första instans.

Konsumenter har alltid rätt att väcka talan vid sin hemvist samt att vända sig till Allmänna reklamationsnämnden (ARN) eller EU:s online-tvistlösningsplattform (ec.europa.eu/consumers/odr).

9. Kontakt

LexCodex.ai · support@lexcodex.ai