Bilaga 1 — Personuppgiftsbiträdesavtal (DPA)
Mellan Pomilo AB, org.nr 559534-0364 (“Personuppgiftsbiträdet”) och Användaren (“Personuppgiftsansvarig”)
Senast uppdaterad: 2026-05-17
Detta dokument utgör Bilaga 1 till Pomilos allmänna villkor och utgör det personuppgiftsbiträdesavtal som krävs enligt artikel 28 i EU:s dataskyddsförordning (GDPR).
1. Bakgrund och tillämpningsområde
Detta personuppgiftsbiträdesavtal (“DPA”) reglerar Pomilos behandling av personuppgifter för Användarens räkning inom ramen för tjänsten Pomilo Ekonom.
Användaren är personuppgiftsansvarig för de personuppgifter som registreras i tjänsten. Pomilo är personuppgiftsbiträde och behandlar uppgifterna uteslutande enligt Användarens dokumenterade instruktioner, vilka utgörs av:
- Användning av tjänstens funktioner i enlighet med dokumentation och villkor
- Eventuella ytterligare skriftliga instruktioner från Användaren
2. Föremål, varaktighet, art och ändamål
| Aspekt | Beskrivning |
|---|---|
| Föremål | Leverans av tjänsten Pomilo Ekonom (AI-stödd bokföring) |
| Varaktighet | Så länge avtalet om tjänsten gäller, plus 30 dagar för dataexport och 7 år för audit-trail enligt BFL |
| Art | Lagring, strukturerad behandling, AI-baserad analys, presentation, export |
| Ändamål | Bokföring, momsdeklaration, lönehantering, AI-baserade observationer, integration mot Skatteverket och Bolagsverket |
3. Kategorier av personuppgifter
Pomilo behandlar följande kategorier av personuppgifter för Användarens räkning:
| Kategori | Exempel |
|---|---|
| Anställda | Namn, personnummer, adress, e-post, telefon, lönedata, skatteinformation, bankinformation |
| Kunder (företag) | Företagsnamn, organisationsnummer, kontaktperson, e-post, adress, telefonnummer |
| Leverantörer | Företagsnamn, organisationsnummer, kontaktperson, e-post, adress, bankinformation |
| Användare av tjänsten | Namn, e-post, IP-adress, inloggningshistorik, roll |
| Konsulter | Namn, e-post, behörighetsnivå, åtgärdslogg |
Personuppgifter av särskilt känslig art enligt artikel 9 GDPR ska inte behandlas via tjänsten utan föregående skriftlig överenskommelse.
4. Kategorier av registrerade
- Användarens anställda
- Användarens kunders kontaktpersoner
- Användarens leverantörers kontaktpersoner
- Användarens egna användare i tjänsten
- Av Användaren inbjudna konsulter
5. Pomilos skyldigheter enligt artikel 28.3 GDPR
Pomilo förbinder sig att:
5.1 Behandling enligt instruktion
Endast behandla personuppgifter på dokumenterad instruktion från Användaren, inklusive vid överföring till tredjeland eller internationell organisation, om inte EU-rätt eller medlemsstats nationella rätt kräver annat. Vid sådant lagkrav ska Pomilo informera Användaren om kravet innan behandlingen, om inte sådan information är förbjuden enligt lag.
5.2 Konfidentialitet
Säkerställa att personer som har tillgång till personuppgifter har förbundit sig till tystnadsplikt eller omfattas av lämplig lagstadgad tystnadsplikt.
5.3 Säkerhetsåtgärder enligt artikel 32 GDPR
Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt principer i ISO 27001 och liknande etablerade säkerhetsstandarder, däribland:
- Kryptering vid lagring och överföring av personuppgifter
- Åtkomstkontroll baserad på roll (RBAC), JWT-autentisering, multi-tenant isolation
- Loggning av åtkomst och förändringar
- Regelbunden backup
- Säker hantering av nycklar (krypteringsnyckel, JWT-secret)
- Säkerhetsuppdateringar och sårbarhetshantering
Pomilo bedriver fortlöpande arbete med att höja säkerhetsnivån och utvärderar löpande formell certifiering (exempelvis ISO 27001 eller SOC 2). Pomilo förbinder sig inte i detta avtal till en specifik certifiering, men följer principerna i etablerade standarder.
5.4 Underbiträden
Engagera underbiträden endast med Användarens skriftliga förhandsgodkännande (allmänt eller specifikt) enligt § 6 nedan.
5.5 Hjälp till Personuppgiftsansvarig
Bistå Användaren med:
- Att uppfylla begäranden från registrerade om åtkomst, rättelse, radering, dataportabilitet m.fl. enligt artiklarna 12-23 GDPR
- Att uppfylla Användarens egna skyldigheter enligt artiklarna 32-36 GDPR (säkerhet, anmälan av incidenter, konsekvensbedömning)
5.6 Återlämning eller radering vid avtalsslut
Vid avtalets upphörande, på Användarens val, antingen radera eller återlämna samtliga personuppgifter inom 30 dagar, med undantag för data som Pomilo enligt lag är skyldig att bevara (audit-trail enligt BFL: 7 år).
5.7 Information för efterlevnadskontroll
Tillgängliggöra all information som krävs för att visa efterlevnad av artikel 28 GDPR samt möjliggöra och bidra till revisioner (egna eller via tredjepart) som genomförs av eller på uppdrag av Användaren. Pomilo har rätt till skälig ersättning för sådana revisioner som överstiger en (1) revision per kalenderår.
6. Underbiträden
6.1 Allmänt godkännande
Användaren ger Pomilo allmänt godkännande att engagera följande underbiträden vid avtalets ingående:
| Underbiträde | Tjänst | Lokalisering | Skyddsmekanism |
|---|---|---|---|
| Anthropic PBC | AI-modell (Claude) — observationer, kontoförslag, OCR, chatt | USA | SCC + Anthropic DPA |
| Resend, Inc. | Transaktionella e-postmeddelanden | USA/EU | SCC |
| Stripe, Inc. | Betalningshantering, fakturering | USA/EU | SCC + Stripe DPA |
| EnableBanking AB | Bank-integration (PSD2) | EU (Finland) | EU-baserad behandling |
| Hetzner Online GmbH | Servervärd | EU (Tyskland) | EU-baserad behandling |
| Bolagsverket | Företagsuppslag | Sverige | Myndighetsbehandling enligt lag |
| Skatteverket | Moms- och AGI-inlämning | Sverige | Myndighetsbehandling enligt lag |
6.2 Ändring av underbiträden
Pomilo ska informera Användaren minst 30 dagar i förväg om planerade ändringar gällande tillägg eller byte av underbiträden, varvid Användaren har möjlighet att invända mot ändringarna.
Om Användaren av sakliga skäl invänder mot en ändring och parterna inte kan enas inom rimlig tid har Användaren rätt att säga upp avtalet.
6.3 Ansvar för underbiträden
Pomilo ansvarar för att underbiträden uppfyller motsvarande skyldigheter som åvilar Pomilo enligt detta DPA, genom skriftliga avtal med underbiträden som ålägger dem dessa skyldigheter.
7. Internationell överföring av personuppgifter
7.1 Överföring till tredjeland
Pomilo överför personuppgifter till tredjeland (USA) i samband med användning av:
- Anthropic PBC (AI-modellen Claude)
- Resend, Inc. (e-post)
- Stripe, Inc. (betalningar)
Datalokaliseringen hos respektive underbiträde kan variera beroende på leverantörens infrastruktur. Väsentliga förändringar i datalokalisering (t.ex. om en leverantör flyttar behandling till annan region) hanteras som underbiträdesändring enligt § 6.2.
7.2 Skyddsåtgärder
Överföring sker med stöd av EU-kommissionens standardklausuler (SCC) enligt beslut 2021/914, kompletterade av:
- Tekniska skyddsåtgärder (kryptering vid överföring och lagring)
- Avtalsenliga skyddsåtgärder (DPA med respektive underbiträde)
- Organisatoriska skyddsåtgärder (begränsning av data som överförs)
7.3 Schrems II — riskbedömning
Pomilo har genomfört en riskbedömning enligt EDPB:s rekommendationer (2021) avseende överföring till USA. Riskbedömningen är tillgänglig för Användaren på begäran. Användaren bekräftar att Användaren har tagit del av denna riskbedömning.
8. Säkerhetsincident
8.1 Notifikation
Pomilo ska utan onödigt dröjsmål — och senast inom 48 timmar — informera Användaren om Pomilo blir medveten om en personuppgiftsincident enligt artikel 4.12 GDPR. Notifikationen ska om möjligt innehålla:
- Beskrivning av incidentens art
- Kategorier och ungefärligt antal berörda registrerade och uppgifter
- Sannolika konsekvenser
- Vidtagna eller föreslagna åtgärder
8.2 Stöd vid anmälan
Pomilo ska bistå Användaren med att uppfylla Användarens anmälningsskyldighet till tillsynsmyndighet (artikel 33 GDPR) och i förekommande fall information till registrerade (artikel 34 GDPR).
8.3 Dokumentation
Pomilo ska dokumentera samtliga personuppgiftsincidenter, inklusive omständigheter, konsekvenser och åtgärder, och tillhandahålla dokumentationen till Användaren på begäran.
9. Registrerades rättigheter
När Användaren mottar begäran från registrerade om utövande av rättigheter enligt GDPR (artiklarna 15-22) ska Pomilo, så långt det är möjligt och med hänsyn till behandlingens art, bistå Användaren med lämpliga tekniska och organisatoriska åtgärder för att besvara begäran.
Pomilo tillhandahåller funktioner i tjänsten för export, radering och rättelse av personuppgifter. Vid behov av sådant stöd som överstiger tjänstens befintliga funktioner debiteras Pomilos vid var tid gällande timpris.
10. Revisioner och inspektioner
Användaren har rätt att, högst en (1) gång per kalenderår och efter minst 30 dagars varsel, genomföra revision av Pomilos efterlevnad av detta DPA. Revisionen sker antingen genom:
- Användarens granskning av Pomilos egen dokumentation och svar på frågor, eller
- Revision via oberoende tredjepart som omfattas av tystnadsplikt.
Revisionen ska genomföras under normal kontorstid och på sätt som minimerar störning av Pomilos verksamhet. Användaren står för egna kostnader. Pomilo kan debitera skälig ersättning vid revisioner som överstiger en (1) per kalenderår eller som föranleds av incident orsakad av Användaren.
11. Avtalets varaktighet
Detta DPA gäller från Användarens accept av huvudavtalet (Pomilos allmänna villkor) och så länge Pomilo behandlar personuppgifter för Användarens räkning, plus den period under vilken Pomilo enligt § 5.6 ska radera eller återlämna personuppgifter.
Bestämmelser som till sin natur ska gälla även efter avtalsslut (t.ex. konfidentialitet, ansvar för åtgärder före avtalsslut) ska fortsätta gälla.
12. Tvist och tillämplig lag
Detta DPA omfattas av samma tillämpliga lag och tvisteklausul som huvudavtalet (Pomilos allmänna villkor § 14).
Slut på Bilaga 1 — Personuppgiftsbiträdesavtal.