Data Processing Agreement

1. Parter

Personuppgiftsansvarig ("Controller"): kunden enligt konto på grunden.ai.

Personuppgiftsbiträde ("Processor"): Grunden AI AB, org.nr 559341-9129, VAT SE559341912901, med säte i Stockholm, Sverige.

2. Behandlingens föremål, varaktighet och ändamål

Processor behandlar personuppgifter för Controllers räkning i syfte att leverera AI-inferenstjänsten grunden.ai (chat, API). Behandlingen pågår under avtalstiden + 7 år därefter endast för bokföringsunderlag enligt BFL.

3. Kategorier av registrerade och uppgifter

Registrerade: Controllers anställda, uppdragstagare och slutanvändare samt personer som omnämns i prompt-innehåll.

Uppgiftskategorier: identifieringsdata (e-post, namn), innehåll i prompts/responses, användnings- och tekniska loggar, betalningsdata. Processor behandlar inte särskilda kategorier (art. 9) avsiktligt; Controller ansvarar för att inte skicka sådana i prompts utan rättslig grund.

4. Processors åtaganden

• Behandla uppgifter endast enligt dokumenterade instruktioner från Controller (detta DPA + orderbekräftelser).
• Säkerställa att personer med åtkomst har konfidentialitetsförpliktelser.
• Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (art. 32) — se avsnitt 7.
• Bistå Controller med att uppfylla skyldigheter gentemot registrerade (art. 12–22).
• Bistå vid säkerhetsincidenter, DPIA (art. 35) och förhands- samråd (art. 36).
• Radera eller återlämna personuppgifter efter avtalets upphörande, utom där lag kräver lagring (BFL 7 år).
• Ställa all information som krävs till förfogande för att styrka efterlevnad och möjliggöra revision.

5. Sub-processorer

Controller lämnar allmänt förhandsgodkännande för följande sub-processorer:

Processor meddelar Controller minst 30 dagar innan tillägg eller byte av sub-processor görs. Controller kan invända skriftligt inom den perioden; vid olöst invändning kan Controller säga upp avtalet utan kostnad.

6. Tredjelandsöverföring

Ingen rutinmässig överföring sker utanför EU/EES. Proton är Schweiz-baserat och täcks av EU-kommissionens adekvansbeslut. Om framtida sub-processor kräver tredjelandsöverföring tillämpas EU:s standardavtalsklausuler (SCC) och Controller meddelas enligt avsnitt 5.

7. Säkerhetsåtgärder (art. 32)

• TLS 1.2+ för all nätverkstrafik.
• Lösenord hashas med argon2/bcrypt; API-nycklar lagras som SHA-256-hash.
• Krypterade provider-credentials (AES-256) i databasen.
• Principen om minsta behörighet; service-role-nycklar separerade från anon-nycklar.
• Dagliga databas-backuper med 30 dagars retention och point-in-time recovery.
• Access-loggning på alla admin-åtgärder.
• Incident-respons-plan med tydliga eskaleringsvägar.

8. Personuppgiftsincident

Processor meddelar Controller utan onödigt dröjsmål, senast 72 timmar efter att en incident upptäckts. Meddelandet innehåller: naturen av incidenten, kategorier och antal berörda registrerade, kontaktperson, sannolika konsekvenser och vidtagna åtgärder.

9. Revision

Controller har rätt att en gång per år, eller vid misstanke om allvarlig brist, granska Processors efterlevnad — via egen revisor eller oberoende tredjepart bunden av sekretess. Granskningen sker med minst 30 dagars varsel och bekostas av Controller om ingen väsentlig brist upptäcks. Som alternativ accepterar Controller relevanta ISO 27001- eller SOC 2-rapporter när sådana finns.

10. Avtalstid och upphörande

DPA:n gäller så länge Processor behandlar personuppgifter för Controller. Vid upphörande raderas uppgifter inom 30 dagar, utom bokföringsdata som lagras 7 år enligt BFL.

11. Tillämplig lag

Svensk rätt. Tvist avgörs i Stockholms tingsrätt.