Personuppgiftsbiträdesavtal (DPA)
Senast uppdaterad: 2026-04-11
1. Parter och definitioner
Detta personuppgiftsbiträdesavtal ("Avtalet") ingås mellan dig som kund ("Personuppgiftsansvarig") och Luxcaput AB, org.nr 559499-0451 ("Personuppgiftsbiträde", "Summo").
Avtalet reglerar behandlingen av personuppgifter som Personuppgiftsbiträdet utför på uppdrag av den Personuppgiftsansvarige i samband med tillhandahållandet av Summos tjänster, i enlighet med EU:s dataskyddsförordning (GDPR).
2. Ändamål och behandlingens art
Summo behandlar personuppgifter för att tillhandahålla företagshanteringstjänster, inklusive:
- Fakturering och kundhantering
- Bokföring och verifikationer
- Lönehantering och arbetsgivaravgifter
- Skatteberäkning och deklarationsunderlag
- Kvittohantering och fillagring
- Open Banking - bankkontosynkronisering
Behandlingen sker genom lagring, strukturering, läsning, överföring och radering av personuppgifter i digitala system.
3. Kategorier av personuppgifter
- Kunddata: Namn, adress, e-post, telefonnummer, organisationsnummer
- Anställdas data: Namn, personnummer, lön, skatteuppgifter, bankkonto
- Finansiell data: Fakturor, transaktioner, bankkontoinformation, bokföringsuppgifter
- Kontaktpersoner: Namn, roll, e-post, telefonnummer
4. Kategorier av registrerade
Personuppgifterna avser följande kategorier av registrerade:
- Anställda hos den Personuppgiftsansvarige
- Kunder till den Personuppgiftsansvarige
- Leverantörer till den Personuppgiftsansvarige
- Kontaktpersoner hos kunder och leverantörer
5. Underbiträden
Personuppgiftsbiträdet anlitar följande underbiträden för att tillhandahålla tjänsten. Personuppgiftsansvarig godkänner dessa genom att acceptera detta avtal.
| Underbiträde | Tjänst | Plats |
|---|---|---|
| SpacetimeDB (Clockwork Labs) | Primär databas | US |
| Cloudflare R2 | Fillagring (kvitton, bilagor, PDF-cache, WORM-arkiv) | EU/US |
| Resend | Transaktionell e-post | US |
| Anthropic (Claude) | AI-bearbetning (OCR, analys) | US |
| Enable Banking | Open Banking (AIS) - bankdata | EU (Finland) |
| MongoDB Atlas | Skattekunskapsbas | EU |
| Voyage AI | Textinbäddningar | US |
| Svix | Webhook-leverans | US |
| Vercel | Hosting och beräkning | EU (CDN globalt) |
Vid ändring av underbiträden meddelas Personuppgiftsansvarig minst 30 dagar i förväg. Om Personuppgiftsansvarig invänder mot ett nytt underbiträde har denne rätt att säga upp avtalet.
6. Tekniska och organisatoriska åtgärder
Personuppgiftsbiträdet vidtar följande åtgärder för att skydda personuppgifter:
- Kryptering: All kommunikation sker via HTTPS. Lösenord hashas med bcrypt. JWT-tokens signeras med HS256.
- Åtkomstkontroll: Rollbaserad åtkomst per bolag. Känsliga cookies är httpOnly.
- WORM-arkiv: Bokföringsmaterial lagras i oföränderligt arkiv enligt bokföringslagens krav.
- Säkerhetskopiering: Daglig automatisk säkerhetskopiering av databas och filer.
- Säkerhetsheaders: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options m.fl.
- Loggning: Åtkomst- och ändringsloggar för spårbarhet.
7. Incidenthantering
Vid personuppgiftsincident ska Personuppgiftsbiträdet utan onödigt dröjsmål, och senast inom 72 timmar, meddela Personuppgiftsansvarig i enlighet med GDPR artikel 33. Meddelandet ska innehålla:
- Beskrivning av incidentens art
- Kategorier och ungefärligt antal registrerade som berörs
- Sannolika konsekvenser
- Åtgärder som vidtagits eller föreslås
8. Rättigheter för registrerade
Personuppgiftsbiträdet bistår Personuppgiftsansvarig med att uppfylla registrerades rättigheter enligt GDPR, inklusive:
- Rätt till åtkomst (artikel 15)
- Rätt till rättelse (artikel 16)
- Rätt till radering (artikel 17)
- Rätt till begränsning (artikel 18)
- Rätt till dataportabilitet (artikel 20)
- Rätt till invändning (artikel 21)
Summo tillhandahåller verktyg för dataexport i maskinläsbara format för att underlätta uppfyllandet av dessa rättigheter.
9. Gallring
Vid avtalets upphörande raderar Personuppgiftsbiträdet alla personuppgifter som behandlats på uppdrag av Personuppgiftsansvarig, om inte lagstadgade krav på lagring föreligger (t.ex. bokföringslagens krav på 7 års arkivering).
Personuppgiftsansvarig har rätt att exportera sin data under 30 dagar efter uppsägning.
10. Kontakt
Frågor om detta personuppgiftsbiträdesavtal besvaras av Luxcaput AB via emil@luxcaput.se.