Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal ("DPA") ingås mellan Kunden ("Personuppgiftsansvarig") och PremiumClients.ai ("Personuppgiftsbiträde") i enlighet med artikel 28 i den allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR").

Detta DPA reglerar behandlingen av personuppgifter som utförs av Biträdet på uppdrag av den Ansvarige i samband med tillhandahållandet av Aria AI-röstassistentplattformen och relaterade tjänster.

"Personuppgifter" avser all information som rör en identifierad eller identifierbar fysisk person enligt definitionen i artikel 4(1) GDPR. "Behandling" avser varje åtgärd som utförs på personuppgifter enligt definitionen i artikel 4(2) GDPR. "Underbiträde" avser varje tredje part som anlitas av Biträdet för att behandla personuppgifter på uppdrag av den Ansvarige.

Alla termer som inte definieras häri ska ha de betydelser som tillskrivs dem i GDPR.

Registrerade inkluderar: uppringare och potentiella kunder hos den Ansvarige; befintliga kunder hos den Ansvarige; mötesförfrågare och kontakter.

Kategorier av personuppgifter som behandlas: telefonnummer och uppringaridentifiering; röstinspelningar och samtalstranskriptioner; namn och kontaktuppgifter som delas under samtal; mötesplaneringspreferenser; samtalsmetadata (varaktighet, tidsstämplar, utfall).

Biträdet ska enbart behandla personuppgifter för: drift av AI-röstassistenten på uppdrag av den Ansvarige; generering av samtalstranskriptioner och sammanfattningar; bokning av möten enligt uppringares önskemål; tillhandahållande av analys och rapportering till den Ansvarige; underhåll och förbättring av tjänstekvalitet.

Biträdet ska inte behandla personuppgifter för något annat ändamål utan föregående skriftligt godkännande från den Ansvarige.

Biträdet ska: enbart behandla personuppgifter enligt dokumenterade instruktioner från den Ansvarige; säkerställa att personer som är behöriga att behandla data är bundna av sekretessförpliktelser; implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt avsnitt 7; enbart anlita underbiträden med föregående godkännande och likvärdiga avtalsförpliktelser.

Biträdet ska assistera den Ansvarige med: att svara på förfrågningar från registrerade (tillgång, rättelse, radering, begränsning, portabilitet, invändning); genomförande av konsekvensbedömningar avseende dataskydd där det krävs; samråd med tillsynsmyndigheter där det krävs.

Biträdet ska inte överföra personuppgifter utanför EES utan lämpliga skyddsåtgärder, inklusive EU:s standardavtalsklausuler (SCC) eller ett beslut om adekvat skyddsnivå.

Den Ansvarige ger allmänt godkännande för Biträdet att anlita underbiträden. Nuvarande underbiträden inkluderar: LiveKit Inc. (röstinfrastruktur, WebRTC); Stripe Inc. (betalningshantering); SendGrid/Twilio (transaktionell e-postleverans).

Biträdet ska: informera den Ansvarige om eventuella avsedda ändringar av underbiträden minst 30 dagar i förväg; säkerställa att alla underbiträden är bundna av likvärdiga dataskyddsförpliktelser; förbli ansvarigt för underbiträdenas handlingar och underlåtenheter.

Biträdet implementerar följande tekniska och organisatoriska åtgärder: kryptering av data under överföring (TLS 1.3) och i vila (AES-256); strikta rollbaserade åtkomstkontroller och multifaktorautentisering; regelbundna säkerhetsbedömningar och sårbarhetsskanning; revisionsloggning av all dataåtkomst och behandlingsaktiviteter; nätverkssegmentering och system för intrångsdetektering.

Säkerhetsåtgärder granskas och uppdateras regelbundet för att hantera nya hot och upprätthålla efterlevnad av artikel 32 GDPR.

Biträdet ska meddela den Ansvarige om alla personuppgiftsincidenter utan onödigt dröjsmål och senast 48 timmar efter att incidenten upptäckts.

Meddelandet ska innehålla: incidentens art inklusive datakategorier och ungefärligt antal berörda registrerade; namn och kontaktuppgifter för dataskyddsombudet; de sannolika konsekvenserna av incidenten; åtgärder som vidtagits eller föreslagits för att hantera incidenten och mildra dess effekter.

Biträdet ska assistera den Ansvarige med att uppfylla förfrågningar om registrerades rättigheter enligt artiklarna 15-22 GDPR, inklusive: tillgång till personuppgifter (Art. 15); rättelse av felaktiga data (Art. 16); radering av personuppgifter (Art. 17); begränsning av behandling (Art. 18); dataportabilitet (Art. 20); invändning mot behandling (Art. 21).

Biträdet ska svara på den Ansvariges förfrågningar avseende registrerades rättigheter inom 10 arbetsdagar.

Den Ansvarige har rätt att granska Biträdets efterlevnad av detta DPA. Biträdet ska tillgängliggöra all information som krävs för att påvisa efterlevnad och tillåta granskningar av den Ansvarige eller en oberoende revisor.

Granskningar ska genomföras med rimligt varsel (minst 30 dagar), under arbetstid och utan att störa Biträdets verksamhet. Biträdet kan tillhandahålla SOC 2 Type II-rapporter eller likvärdiga certifieringar som ett alternativ till revisioner på plats.

Vid upphörande av tjänsteavtalet eller på den Ansvariges begäran ska Biträdet: returnera alla personuppgifter till den Ansvarige i ett vanligt använt, maskinläsbart format inom 30 dagar; säkert radera alla kvarvarande kopior av personuppgifter inom 60 dagar, såvida inte lagring krävs enligt EU- eller medlemsstatslagstiftning.

Detta DPA regleras av lagarna i Republiken Cypern och tillämplig EU-dataskyddslagstiftning. Eventuella tvister som uppstår ur detta DPA ska lösas i enlighet med de tvistlösningsmekanismer som anges i de allmänna tjänstevillkoren.