Arino Till startsidan

Personuppgiftsbiträdesavtal (DPA)

Senast uppdaterad: 11 juni 2026

Detta personuppgiftsbiträdesavtal ("DPA") ingår automatiskt mellan kundföretaget ("Personuppgiftsansvarig") och Arino AB ("Personuppgiftsbiträde") när ett konto skapas. Avtalet uppfyller kraven i artikel 28 GDPR.

Skriv ut / spara som PDF

1. Föremål och varaktighet

Biträdet behandlar personuppgifter för Ansvarigs räkning så länge huvudavtalet (användarvillkoren) är i kraft, samt under den exportperiod som följer av uppsägning.

2. Behandlingens art och syfte

Tillhandahållande av SaaS-plattform för CRM, bokning, offert, faktura, kostnader, personal och AI-assistans.

3. Kategorier av registrerade och uppgifter

  • Registrerade: kunder, anställda, leverantörer och kontakter som Ansvarig själv lägger in.
  • Uppgifter: namn, kontaktuppgifter, adress, personnummer (vid ROT/RUT), fakturahistorik, anteckningar.

4. Biträdets skyldigheter

  • Behandla uppgifter endast enligt dokumenterade instruktioner från Ansvarig.
  • Säkerställa att personal som har åtkomst omfattas av sekretess.
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (art. 32 GDPR).
  • Bistå Ansvarig vid registrerades begäranden (registerutdrag, radering m.m.).
  • Bistå med konsekvensbedömning och samråd med tillsynsmyndighet vid behov.

5. Säkerhetsåtgärder

  • TLS 1.2+ för all dataöverföring.
  • Krypterade säkerhetskopior, dagligen.
  • Rollbaserad åtkomstkontroll (RLS) och tvåfaktorinloggning.
  • Loggning, övervakning och incidentdetektering.
  • Penetrationstester och beroendegranskning.

6. Underbiträden

Biträdet använder följande godkända underbiträden, alla med behandling inom EU/EES:

  • Supabase Inc. – databas och autentisering (EU-region).
  • Cloudflare Inc. – drift, DNS och DDoS-skydd (EU-region).
  • Lovable AB – plattform och deployment.
  • Stripe Payments Europe Ltd. – betalningar.
  • Mailgun Technologies Inc. / Resend Inc. – transaktionsmejl (EU-region).

Ansvarig samtycker till nuvarande underbiträden. Tillägg eller utbyte meddelas minst 30 dagar i förväg via appen; Ansvarig kan invända inom denna tid.

7. Internationella överföringar

Behandling sker inom EU/EES. Vid eventuell tredjelandsöverföring används EU-kommissionens standardavtalsklausuler (SCC) jämte kompletterande åtgärder.

8. Incidenthantering

Biträdet underrättar Ansvarig utan onödigt dröjsmål och senast inom 48 timmar efter att en personuppgiftsincident upptäckts, med tillgänglig information om omfattning, konsekvenser och åtgärder.

9. Granskningsrätt

Ansvarig har rätt att en gång per år, eller efter incident, granska Biträdets efterlevnad. Sådan granskning ska aviseras minst 30 dagar i förväg och utföras med minsta möjliga driftpåverkan.

10. Återlämnande och radering

Vid avtalets upphörande raderas eller återlämnas personuppgifter inom 90 dagar, utöver vad som krävs enligt bokföringslagen (7 år).

11. Tillämplig lag

Svensk lag tillämpas. Tvist avgörs av Stockholms tingsrätt.