Bilaga 1 — Personuppgiftsbiträdesavtal (DPA)
Mellan Pomilo AB, org.nr 559534-0364 (“Personuppgiftsbiträdet”) och Användaren (“Personuppgiftsansvarig”)
Senast uppdaterad: 2026-05-18
Detta dokument utgör Bilaga 1 till Pomilos allmänna villkor för Pomilo Analys och utgör det personuppgiftsbiträdesavtal som krävs enligt artikel 28 i EU:s dataskyddsförordning (GDPR).
1. Bakgrund och tillämpningsområde
Detta personuppgiftsbiträdesavtal (“DPA”) reglerar Pomilos behandling av personuppgifter för Användarens räkning inom ramen för tjänsten Pomilo Analys.
Användaren är personuppgiftsansvarig för de personuppgifter som registreras i tjänsten eller importeras till tjänsten från Användarens källsystem. Pomilo är personuppgiftsbiträde och behandlar uppgifterna uteslutande enligt Användarens dokumenterade instruktioner, vilka utgörs av:
- Användning av tjänstens funktioner i enlighet med dokumentation och villkor
- Eventuella ytterligare skriftliga instruktioner från Användaren
2. Föremål, varaktighet, art och ändamål
| Aspekt | Beskrivning |
|---|---|
| Föremål | Leverans av tjänsten Pomilo Analys (AI-stödd analys av importerad redovisnings- och hållbarhetsdata) |
| Varaktighet | Så länge avtalet om tjänsten gäller, plus 30 dagar för dataexport och 12 månader för audit-trail-loggar |
| Art | Lagring, strukturerad behandling, AI-baserad analys, rapport-generering, presentation, export |
| Ändamål | Finansiell analys, KPI-uppföljning, koncernkonsolidering, ESG-/hållbarhetsrapportering, AI-genererade observationer, automatiska rapportprenumerationer |
3. Kategorier av personuppgifter
Pomilo behandlar följande kategorier av personuppgifter för Användarens räkning:
| Kategori | Exempel |
|---|---|
| Användare av tjänsten | Namn, e-post, IP-adress, inloggningshistorik, roll, ändringslogg |
| Importerade kund-kontakter | Kontaktpersonens namn, e-post, telefonnummer, organisationskoppling — endast i den utsträckning sådana uppgifter finns i importerad redovisningsdata (SIE-fil eller Fortnox) |
| Importerade leverantörs-kontakter | Kontaktpersonens namn, e-post, telefonnummer, organisationskoppling — endast i den utsträckning sådana uppgifter finns i importerad data |
| Fastighetsanknutna kontakter (ESG) | Förvaltarens namn, e-post och telefonnummer kopplade till en fastighet — om Användaren registrerar sådana uppgifter |
| Inbjudna externa granskare/konsulter | Namn, e-post, behörighetsnivå, åtgärdslogg |
Personuppgifter av särskilt känslig art enligt artikel 9 GDPR ska inte behandlas via tjänsten utan föregående skriftlig överenskommelse. Pomilo Analys hanterar inte lönedata, personnummer eller andra känsliga uppgifter om Användarens anställda — sådan information ligger kvar i Användarens källsystem.
4. Kategorier av registrerade
- Användarens egna användare i tjänsten
- Importerade kontaktpersoner hos Användarens kunder
- Importerade kontaktpersoner hos Användarens leverantörer
- Av Användaren registrerade fastighetsanknutna kontaktpersoner (ESG)
- Av Användaren inbjudna externa granskare eller konsulter
5. Pomilos skyldigheter enligt artikel 28.3 GDPR
Pomilo förbinder sig att:
5.1 Behandling enligt instruktion
Endast behandla personuppgifter på dokumenterad instruktion från Användaren, inklusive vid överföring till tredjeland eller internationell organisation, om inte EU-rätt eller medlemsstats nationella rätt kräver annat. Vid sådant lagkrav ska Pomilo informera Användaren om kravet innan behandlingen, om inte sådan information är förbjuden enligt lag.
5.2 Konfidentialitet
Säkerställa att personer som har tillgång till personuppgifter har förbundit sig till tystnadsplikt eller omfattas av lämplig lagstadgad tystnadsplikt.
5.3 Säkerhetsåtgärder enligt artikel 32 GDPR
Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt principer i ISO 27001 och liknande etablerade säkerhetsstandarder, däribland:
- Kryptering vid lagring och överföring av personuppgifter
- Åtkomstkontroll baserad på roll (RBAC), JWT-autentisering, multi-tenant isolation
- Tenant-id-baserad isolering så Användarens data inte kan läsas av andra organisationer
- Loggning av åtkomst och förändringar
- Regelbunden backup
- Säker hantering av nycklar (krypteringsnyckel, JWT-secret, OAuth-tokens för Fortnox-integration)
- Säkerhetsuppdateringar och sårbarhetshantering
Pomilo bedriver fortlöpande arbete med att höja säkerhetsnivån och utvärderar löpande formell certifiering (exempelvis ISO 27001 eller SOC 2). Pomilo förbinder sig inte i detta avtal till en specifik certifiering, men följer principerna i etablerade standarder.
5.4 Underbiträden
Engagera underbiträden endast med Användarens skriftliga förhandsgodkännande (allmänt eller specifikt) enligt § 6 nedan.
5.5 Hjälp till Personuppgiftsansvarig
Bistå Användaren med:
- Att uppfylla begäranden från registrerade om åtkomst, rättelse, radering, dataportabilitet m.fl. enligt artiklarna 12-23 GDPR
- Att uppfylla Användarens egna skyldigheter enligt artiklarna 32-36 GDPR (säkerhet, anmälan av incidenter, konsekvensbedömning)
5.6 Återlämning eller radering vid avtalsslut
Vid avtalets upphörande, på Användarens val, antingen radera eller återlämna samtliga personuppgifter inom 30 dagar, med undantag för audit-trail-loggar som Pomilo bevarar i 12 månader för dokumentationsskäl (jfr huvudavtalet § 7).
5.7 Information för efterlevnadskontroll
Tillgängliggöra all information som krävs för att visa efterlevnad av artikel 28 GDPR samt möjliggöra och bidra till revisioner (egna eller via tredjepart) som genomförs av eller på uppdrag av Användaren. Pomilo har rätt till skälig ersättning för sådana revisioner som överstiger en (1) revision per kalenderår.
6. Underbiträden
6.1 Allmänt godkännande
Användaren ger Pomilo allmänt godkännande att engagera följande underbiträden vid avtalets ingående:
| Underbiträde | Tjänst | Lokalisering | Skyddsmekanism |
|---|---|---|---|
| Anthropic PBC | AI-modell (Claude) — observationer, rapportkommentarer, chatt, dataextraktion | USA | SCC + Anthropic DPA |
| Resend, Inc. | Transaktionella e-postmeddelanden (verifiering, rapportprenumerationer) | USA/EU | SCC |
| Stripe, Inc. | Betalningshantering, abonnemang, AI-kredit-topup | USA/EU | SCC + Stripe DPA |
| Hetzner Online GmbH | Servervärd (server-, databas- och fillagring) | EU (Tyskland) | EU-baserad behandling |
Pomilo Analys hämtar därutöver in data från Användarens Fortnox-konto via OAuth-koppling. Pomilo är inte personuppgiftsbiträde för data som ligger i Användarens Fortnox-konto — där är Fortnox AB Användarens egen leverantör. Pomilo hanterar endast den data som faktiskt synkas in i Pomilo Analys.
6.2 Ändring av underbiträden
Pomilo ska informera Användaren minst 30 dagar i förväg om planerade ändringar gällande tillägg eller byte av underbiträden, varvid Användaren har möjlighet att invända mot ändringarna.
Om Användaren av sakliga skäl invänder mot en ändring och parterna inte kan enas inom rimlig tid har Användaren rätt att säga upp avtalet.
6.3 Ansvar för underbiträden
Pomilo ansvarar för att underbiträden uppfyller motsvarande skyldigheter som åvilar Pomilo enligt detta DPA, genom skriftliga avtal med underbiträden som ålägger dem dessa skyldigheter.
7. Internationell överföring av personuppgifter
7.1 Överföring till tredjeland
Pomilo överför personuppgifter till tredjeland (USA) i samband med användning av:
- Anthropic PBC (AI-modellen Claude)
- Resend, Inc. (e-post)
- Stripe, Inc. (betalningar)
Datalokaliseringen hos respektive underbiträde kan variera beroende på leverantörens infrastruktur. Väsentliga förändringar i datalokalisering (t.ex. om en leverantör flyttar behandling till annan region) hanteras som underbiträdesändring enligt § 6.2.
7.2 Skyddsåtgärder
Överföring sker med stöd av EU-kommissionens standardklausuler (SCC) enligt beslut 2021/914, kompletterade av:
- Tekniska skyddsåtgärder (kryptering vid överföring och lagring)
- Avtalsenliga skyddsåtgärder (DPA med respektive underbiträde)
- Organisatoriska skyddsåtgärder (begränsning av data som överförs — exempelvis ingen lönedata eller personnummer)
7.3 Schrems II — riskbedömning
Pomilo har genomfört en riskbedömning enligt EDPB:s rekommendationer (2021) avseende överföring till USA. Riskbedömningen är tillgänglig för Användaren på begäran. Användaren bekräftar att Användaren har tagit del av denna riskbedömning.
8. Säkerhetsincident
8.1 Notifikation
Pomilo ska utan onödigt dröjsmål — och senast inom 48 timmar — informera Användaren om Pomilo blir medveten om en personuppgiftsincident enligt artikel 4.12 GDPR. Notifikationen ska om möjligt innehålla:
- Beskrivning av incidentens art
- Kategorier och ungefärligt antal berörda registrerade och uppgifter
- Sannolika konsekvenser
- Vidtagna eller föreslagna åtgärder
8.2 Stöd vid anmälan
Pomilo ska bistå Användaren med att uppfylla Användarens anmälningsskyldighet till tillsynsmyndighet (artikel 33 GDPR) och i förekommande fall information till registrerade (artikel 34 GDPR).
8.3 Dokumentation
Pomilo ska dokumentera samtliga personuppgiftsincidenter, inklusive omständigheter, konsekvenser och åtgärder, och tillhandahålla dokumentationen till Användaren på begäran.
9. Registrerades rättigheter
När Användaren mottar begäran från registrerade om utövande av rättigheter enligt GDPR (artiklarna 15-22) ska Pomilo, så långt det är möjligt och med hänsyn till behandlingens art, bistå Användaren med lämpliga tekniska och organisatoriska åtgärder för att besvara begäran.
Pomilo tillhandahåller funktioner i tjänsten för export, radering och rättelse av personuppgifter. Vid behov av sådant stöd som överstiger tjänstens befintliga funktioner debiteras Pomilos vid var tid gällande timpris.
10. Revisioner och inspektioner
Användaren har rätt att, högst en (1) gång per kalenderår och efter minst 30 dagars varsel, genomföra revision av Pomilos efterlevnad av detta DPA. Revisionen sker antingen genom:
- Användarens granskning av Pomilos egen dokumentation och svar på frågor, eller
- Revision via oberoende tredjepart som omfattas av tystnadsplikt.
Revisionen ska genomföras under normal kontorstid och på sätt som minimerar störning av Pomilos verksamhet. Användaren står för egna kostnader. Pomilo kan debitera skälig ersättning vid revisioner som överstiger en (1) per kalenderår eller som föranleds av incident orsakad av Användaren.
11. Avtalets varaktighet
Detta DPA gäller från Användarens accept av huvudavtalet (Pomilos allmänna villkor för Pomilo Analys) och så länge Pomilo behandlar personuppgifter för Användarens räkning, plus den period under vilken Pomilo enligt § 5.6 ska radera eller återlämna personuppgifter.
Bestämmelser som till sin natur ska gälla även efter avtalsslut (t.ex. konfidentialitet, ansvar för åtgärder före avtalsslut) ska fortsätta gälla.
12. Tvist och tillämplig lag
Detta DPA omfattas av samma tillämpliga lag och tvisteklausul som huvudavtalet (Pomilos allmänna villkor för Pomilo Analys § 18).
Slut på Bilaga 1 — Personuppgiftsbiträdesavtal.