Personuppgiftsbiträdesavtal (PUB)

Detta avtal utgör en bilaga till Utredningsgranskarens Allmänna Villkor och upprättas i enlighet med EU:s Dataskyddsförordning (GDPR) Artikel 28.

Avtalets giltighet

Detta avtal gäller endast för juridiska ombud, advokater och övriga yrkesverksamma som agerar i egenskap av Personuppgiftsansvarig (PuA). Avtalet ingås digitalt när användaren accepterar villkoren i plattformens uppladdningsgränssnitt. För användare som agerar som privatperson i egen sak tillämpas Privatundantaget (Art 2.2 c GDPR), varvid detta avtal ej är tillämpligt.

1. Bakgrund och Syfte

Personuppgiftsansvarig (Användaren) avser att nyttja Personuppgiftsbiträdets (Utredningsgranskarens) AI-tjänst för granskning av juridiska dokument. Tjänstens grundläggande arkitektur är Zero Data Retention. Detta innebär att behandling av personuppgifter sker genom efemär (tillfällig) lagring och bearbetning. Uppladdade filer krypteras och lagras endast kortvarigt i en låst molnmiljö för att omedelbart raderas när en granskningsrapport genererats. Ingen data sparas för historik eller maskininlärning.

2. Behandlingens art, ändamål och varaktighet

  • Ändamål: Att maskinellt extrahera text från PDF-filer för att identifiera metodologiska brister samt returnera en sammanfattande rapport.
  • Kategorier av uppgifter: Namn, personnummer, adressuppgifter samt särskilda kategorier av personuppgifter (t.ex. hälsa eller sociala förhållanden) som frekvent förekommer i vårdnadsutredningar.
  • Varaktighet: Behandlingen pågår endast under sessionens aktiva processtid (vanligtvis 1-10 minuter). Så fort rapporten är levererad raderas dokumenten omedelbart. Som extra säkerhetsmekanism (dödmansgrepp) tillämpas en automatisk raderingsrutin (TTL) som ovillkorligen förstör eventuell kvarvarande processdata senast inom 24 timmar. Ingen lagring sker på beständigt, sökbart medium.

3. Biträdets (Utredningsgranskarens) skyldigheter

Biträdet åtar sig att:

  • Instruktioner: Endast behandla personuppgifterna i enlighet med Användarens dokumenterade instruktioner (genom interaktion med plattformen).
  • Advokatsekretess & Tystnadsplikt: Säkerställa att de personer som är behöriga att behandla personuppgifterna har åtagit sig tystnadsplikt eller omfattas av lagstadgad tystnadsplikt. Biträdet är införstått med att behandlad information kan lyda under Advokatsekretess.
  • Säkerhet (Efemär Processering): Vidta alla lämpliga tekniska och organisatoriska åtgärder som krävs enligt Artikel 32 GDPR. Detta säkerställs primärt genom att systemet endast lagrar uppladdade dokument tillfälligt i en krypterad molnmiljö, och att all data destrueras omedelbart efter analys via en Read-and-Burn-arkitektur.
  • Radering (By design): Att omedelbart, och utan krav på specifik begäran, radera/förstöra personuppgifterna så fort den begärda analysen är levererad till Användarens webbläsare.

4. Underbiträden och Tredjelandsöverföring

Biträdet har Användarens allmänna tillstånd att anlita Underbiträden för att fullgöra sina skyldigheter.

Godkänt Underbiträde för AI-beräkning:

Google Cloud EMEA (Google Ireland Limited) - Tjänst: Vertex AI

  • Geografisk placering: All databehandling sker i europe-west1 (Belgien). Ingen data lämnar EES.
  • Förbud mot AI-träning: I enlighet med Google Cloud Data Processing Addendum används ingen inskickad data, varken personuppgifter eller text, för att träna varken Utredningsgranskarens eller Googles AI-modeller.

US Cloud Act - Riskreducering: Eftersom det amerikanska moderbolaget teoretiskt kan lyda under US Cloud Act, har Biträdet vidtagit en långtgående skyddsåtgärd. Då all uppladdad data är efemär och raderas kontinuerligt direkt efter avslutad granskning, minimeras tidsfönstret drastiskt. Det är i praktiken tekniskt omöjligt för Underbiträdet att tillmötesgå ett myndighetsbeslut om datautlämning, eftersom datan redan är permanent raderad.

5. Bistånd och Incidenthantering

Med hänsyn till behandlingens natur bistår Biträdet Användaren genom lämpliga tekniska åtgärder (inbyggd sekretess/Privacy by Design). Skulle en personuppgiftsincident inträffa som kan antas medföra en risk för de registrerades fri- och rättigheter, ska Biträdet underrätta Användaren utan onödigt dröjsmål efter att ha fått vetskap om incidenten.

6. Granskning och Inspektion

Biträdet åtar sig att ge Användaren tillgång till all information som krävs för att visa att skyldigheterna i Artikel 28 GDPR har fullgjorts. Biträdet ska möjliggöra och bidra till granskningar (inklusive inspektioner) som genomförs av Användaren eller av en revisor som bemyndigats av Användaren.