Personuppgiftsbiträdesavtal

1. Parter och definitioner

Personuppgiftsansvarig: Kunden — det bolag som har ingått avtal med ZARION och vars personuppgifter behandlas. Personuppgiftsbiträde: ZARION (enskild firma, info@zarion.se) — utför behandlingen på den personuppgiftsansvariges uppdrag. Personuppgifter: All information som direkt eller indirekt kan identifiera en fysisk person (namn, e-post, telefon, beteendedata m.m.).

2. Behandlingens syfte och art

ZARION behandlar personuppgifter uteslutande för att tillhandahålla avtalade tjänster, inklusive: • AI-analys av leads och prospekt • Automatiserade e-postkampanjer och uppföljning • Röstsamtal och SMS via 46elks • Boknings- och möteshantering • Rapportgenerering och kundportal Ingen behandling sker för ZARION:s egna ändamål. ZARION säljer, delar eller hyr aldrig ut personuppgifter.

3. Kategorier av registrerade och uppgifter

Registrerade: Kundens prospekt, leads, kontaktpersoner och slutkunder. Uppgiftskategorier: • Kontaktuppgifter (namn, e-post, telefon, befattning) • Företagsinformation (org.nr, omsättning, bransch, anställda) • Beteendedata (e-postöppningar, klick, besök på rapportsidor) • Samtalsdata (transkript från röstmöten, vid samtycke) • Betalningsdata (hanteras av Stripe, se avsnitt 7)

4. ZARION:s skyldigheter

ZARION åtar sig att: a) Behandla uppgifter enbart enligt dokumenterade instruktioner från kunden. b) Säkerställa att personal med tillgång till uppgifter undertecknat sekretessförbindelser. c) Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (kryptering i transit och vid lagring, åtkomstkontroll, loggning). d) Biträda kunden vid hantering av de registrerades rättigheter (tillgång, rättelse, radering) inom 5 arbetsdagar. e) Anmäla personuppgiftsincidenter till kunden utan onödigt dröjsmål och senast inom 24 timmar. f) Radera eller returnera alla personuppgifter vid avtalets upphörande, enligt kundens val. g) Möjliggöra och bidra till revisioner som kunden genomför.

5. Underbiträden

ZARION anlitar följande underbiträden. Kunden lämnar generellt förhandsgodkännande för dessa. ZARION informerar vid förändringar med minst 30 dagars varsel.

6. Tekniska säkerhetsåtgärder

• All data i transit krypteras med TLS 1.3 • Databaser krypteras vid lagring (AES-256) • Produktionsserver är brandväggsskyddad; SSH-åtkomst kräver nyckelautentisering • Alla API-nycklar lagras som miljövariabler, aldrig i kod • Automatisk loggning av alla databehandlingsoperationer via AgentLog • Regelbundna säkerhetsuppdateringar av systemkomponenter

7. Tredjelandsöverföring

Vissa underbiträden (Anthropic, ElevenLabs, Stripe) är baserade i USA. Överföring sker med stöd av: • EU-U.S. Data Privacy Framework (där tillämpligt) • Standardavtalsklausuler (SCC) antagna av EU-kommissionen Inga uppgifter överförs till länder utan adekvat skyddsnivå utan kundens skriftliga samtycke.

8. Avtalstid och avslut

Avtalet gäller under hela den period ZARION behandlar personuppgifter för kundens räkning, dvs. under avtalstiden för ZARION:s tjänster. Vid avtalets upphörande: Alla personuppgifter raderas från ZARION:s system inom 30 dagar, om inte lagstadgad skyldighet kräver längre lagring. Bekräftelse på radering skickas till kunden.

9. Ansvar och skadestånd

Om ZARION behandlar personuppgifter i strid med detta avtal eller GDPR bär ZARION ansvar för den skada detta orsakar, i enlighet med GDPR artikel 82. ZARION:s totala ansvar är begränsat till det belopp kunden betalat för tjänster under de senaste 12 månaderna.

10. Kontakt

Frågor om detta avtal eller personuppgiftsbehandling: E-post: info@zarion.se Ämne: DPA / Personuppgifter

Underbiträden (lista)