Data Processing Agreement

Personuppgiftsansvarig ("Controller"): kunden enligt konto på grunden.ai.

Personuppgiftsbiträde ("Processor"): Grunden AI AB, org.nr 559341-9129, VAT SE559341912901, med säte i Stockholm, Sverige.

Processor behandlar personuppgifter för Controllers räkning i syfte att leverera AI-inferenstjänsten grunden.ai (chat, API). Behandlingen pågår under avtalstiden + 7 år därefter endast för bokföringsunderlag enligt BFL.

Registrerade: Controllers anställda, uppdragstagare och slutanvändare samt personer som omnämns i prompt-innehåll.

Uppgiftskategorier: identifieringsdata (e-post, namn), innehåll i prompts/responses, användnings- och tekniska loggar, betalningsdata. Processor behandlar inte särskilda kategorier (art. 9) avsiktligt; Controller ansvarar för att inte skicka sådana i prompts utan rättslig grund.

• Behandla uppgifter endast enligt dokumenterade instruktioner från Controller (detta DPA + orderbekräftelser).
• Säkerställa att personer med åtkomst har konfidentialitetsförpliktelser. Om Controller är en svensk myndighet omfattas Processor och dess personal av tystnadsplikt enligt 2 kap. 1 § offentlighets- och sekretesslagen (2009:400) för uppgifter som Controller överlämnat och som hos Controller skulle vara sekretessbelagda.
• Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (art. 32) — se avsnitt 7.
• Bistå Controller med att uppfylla skyldigheter gentemot registrerade (art. 12–22).
• Informera Controller om att behandlingen omfattar automatiserad bearbetning genom storspråksmodell (GLM 5.1). Modellens utdata är genererad text — Processor fattar inga automatiserade beslut med rättslig eller liknande väsentlig betydelse (art. 22). Controller ansvarar för eventuell mänsklig granskning av modellens utdata innan beslut fattas.
• Bistå vid säkerhetsincidenter, DPIA (art. 35) och förhandssamråd (art. 36).
• Radera eller återlämna personuppgifter efter avtalets upphörande, utom där lag kräver lagring (BFL 7 år).
• Ställa all information som krävs till förfogande för att styrka efterlevnad och möjliggöra revision.

Controller lämnar allmänt förhandsgodkännande för följande sub-processorer:

Processor meddelar Controller minst 30 dagar innan tillägg eller byte av sub-processor görs. Controller kan invända skriftligt inom den perioden; vid olöst invändning kan Controller säga upp avtalet utan kostnad.

Ingen rutinmässig överföring sker utanför EU/EES för chat-meddelanden eller faktura-data. Proton (e-post) är Schweiz-baserat och täcks av EU-kommissionens adekvansbeslut. Om framtida sub-processor kräver tredjelandsöverföring tillämpas EU:s standardavtalsklausuler (SCC) och Controller meddelas enligt avsnitt 5.

Undantag — valbara verktyg: När en användare aktiverar web_search skickas söksträngen till SearXNG, som proxar mot DuckDuckGo, Bing, Wikipedia och Startpage — flera av dessa hostas i USA. När en användare aktiverar url_fetch öppnar vår server en HTTPS-anslutning mot den URL användaren bad om, som kan ligga var som helst. Detta är trafik som lämnar EU. Vi loggar inte den trafiken kopplat till användaren, men kunden ansvarar för att inte skicka personuppgifter eller sekretessbelagd information via dessa verktyg om kunden inte vill att data ska nå tredje land. Kund som inte vill att verktygen ska kunna användas alls kan begära att tools-funktionen avstängs för deras org.

• TLS 1.2+ för all nätverkstrafik.
• Lösenord hashas med bcrypt (cost 10); API-nycklar lagras som SHA-256-hash.
• Krypterade provider-credentials (AES-256) i databasen.
• Principen om minsta behörighet; service-role-nycklar separerade från anon-nycklar.
• Dagliga databas-backuper med 30 dagars retention och point-in-time recovery.
• Access-loggning på alla admin-åtgärder.
• Incident-respons-plan med tydliga eskaleringsvägar.

Processor meddelar Controller utan onödigt dröjsmål, senast 72 timmar efter att en incident upptäckts. Meddelandet innehåller: naturen av incidenten, kategorier och antal berörda registrerade, kontaktperson, sannolika konsekvenser och vidtagna åtgärder.

Controller har rätt att en gång per år, eller vid misstanke om allvarlig brist, granska Processors efterlevnad — via egen revisor eller oberoende tredjepart bunden av sekretess. Granskningen sker med minst 30 dagars varsel och bekostas av Controller om ingen väsentlig brist upptäcks. Som alternativ kan Controller, när Processor i framtiden tagit fram externa revisionsrapporter (ISO 27001, SOC 2 eller motsvarande), välja att granska dessa som komplement till revision. Processor är pre-launch och har inga sådana rapporter idag — externa certifieringar är mål för seed-rundan, inte uppnådda.

DPA:n gäller så länge Processor behandlar personuppgifter för Controller. Vid upphörande raderas uppgifter inom 30 dagar, utom bokföringsdata som lagras 7 år enligt BFL.

Svensk rätt. Tvist avgörs i Stockholms tingsrätt.