Databehandlingsavtal
Senast uppdaterad: 3 april 2026
1. Parter
Personuppgiftsansvarig: Ni ("Kund") — AI-driftsättaren, byrån eller plattformen som använder Audact-tjänster.
Personuppgiftsbiträde: Audact Ltd ("Audact") — behandlar interaktionsmetadata för er räkning.
2. Behandlingens omfattning
Datakategorier: Samtalsmetadata (tidsstämplar, jurisdiktionsidentifierare, policybeslut, valideringsresultat, evidenshashvärden, samtyckesregister).
Ej behandlat: Konversationsinnehåll, ljudinspelningar, PII utöver vad som är nödvändigt för compliance-validering. All PII krypteras med per-subjekt nycklar och är föremål för kryptografisk radering vid raderingsförfrågningar.
Syfte: Compliance-validering, evidensgenerering och underhåll av revisionskedja enligt Kundens instruktioner.
3. Underbiträden
Alla tredje parter som behandlar data för Audacts eller våra klienters räkning. Denna lista upprätthålls enligt GDPR Artikel 28.
| Underbiträde | Syfte | Behandlade data | Plats |
|---|---|---|---|
| AWS (Frankfurt) | Infrastrukturhosting | All plattformsdata | EU (Frankfurt) |
| Cloudflare | CDN, DNS, DDoS-skydd | Förfrågningsmetadata | EU + globala noder |
| Telnyx | SIP-telefoni | Samtalsljud under transit, telefonidata | EU PoPs — SCC |
| LiveKit Cloud | WebRTC-transport, turndetektion | Ljud under transit (ingen lagring) | EU-region |
| Deepgram Nova-3 | Tal-till-text (standard) | Ljud under transit (ingen lagring konfigurerad) | USA (EU-endpoint) — SCC |
| ElevenLabs Flash | Text-till-tal (standard) | LLM-genererad text | USA/EU — SCC |
| OpenAI / Anthropic | LLM-inferens (GPT-4o-mini standard, Claude Sonnet premium) | Konversationstext (ingen lagring konfigurerad) | USA (EU-endpoint där tillgängligt) — SCC |
| Google Workspace | E-post, dokument | Affärskommunikation | USA/EU — SCC |
| Slack | Intern kommunikation | Interna meddelanden | USA — SCC |
| Notion | Wiki / projektledning | Intern operationell data | USA — SCC |
| 1Password | Lösenordshantering | Krypterade inloggningsuppgifter | Kanada/EU |
| Stripe (när live) | Betalningshantering | Faktureringsdata | USA/IE — SCC |
USA-baserade underbiträden verkar under Standardavtalsklausuler (SCC) som överföringsmekanism i enlighet med GDPR Kapitel V.
Vi meddelar er 30 dagar innan vi lägger till eller ersätter ett underbiträde. Ni kan invända inom 14 dagar.
Senast uppdaterad: 12 april 2026
4. Dataresidency
All kundcompliance-data (interaktionsmetadata, evidenskedjor, revisionsloggar) lagras och behandlas uteslutande inom Europeiska ekonomiska samarbetsområdet (EES) på AWS eu-central-1 (Frankfurt).
Vissa underbiträden listade ovan är baserade i USA och behandlar begränsad operationell data under Standardavtalsklausuler (SCC). Ingen kundcompliance-data lämnar EES.
5. Säkerhetsåtgärder (GDPR Art. 32)
- Kryptering i vila (AES-256) och under transit (TLS 1.3)
- Per-subjekt krypteringsnycklar för PII (kryptografisk raderingskapacitet)
- SHA-256 hashkedjor för evidensintegritet
- Rollbaserad åtkomstkontroll (RBAC)
- SOC 2 Typ II planerat 2027
- Regelbundna penetrationstester och sårbarhetsskanningar
6. De registrerades rättigheter
Audact bistår Kunden med att uppfylla förfrågningar från registrerade (tillgång, rättelse, radering, portabilitet) inom 72 timmar från avisering. Radering implementeras via kryptografisk radering: per-subjekt krypteringsnyckeln förstörs, vilket gör personuppgifter permanent oläsliga men bevarar evidenskedjans integritet.
7. Anmälan om dataintrång
Audact meddelar Kunden om varje personuppgiftsincident inom 36 timmar från att vi fått kännedom. Avisering innehåller: incidentens art, kategorier av berörda uppgifter, ungefärligt antal poster, sannolika konsekvenser och vidtagna åtgärder.
8. Giltighetstid och uppsägning
Detta DPA gäller under tjänsteavtalets löptid. Vid uppsägning raderar eller returnerar Audact all kunddata inom 30 dagar, utom när lagring krävs enligt lag (EU AI Act krav på evidenslagring).
9. Kontakt
DPA-förfrågningar: dpo@audact.ai