Checklista:- Bevara den ursprungliga betydelsen och tonen- Översätta till naturlig svenska- Behålla eventuella radbrytningar och struktur- Inte lägga till extra text eller formatPersonuppgiftsbiträdesavtal
Senast uppdaterad: 15 April 2026
Detta personuppgiftsbiträdesavtal (“DPA”) utgör en del av avtalet mellan den enhet som identifieras i Accsible-kontot (“Kunden”, “Personuppgiftsansvarig”) och Denizcom Ltd, som bedriver verksamhet under namnet Accsible, registrerat på 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Personuppgiftsbiträde”), och kompletterar Användarvillkoren och Integritetspolicyn (tillsammans, “Huvudavtalet”).
Detta DPA gäller där och i den utsträckning som Accsible behandlar Personuppgifter för Kundens räkning i samband med tillhandahållandet av Tjänsten. Det är utformat för att säkerställa efterlevnad av artikel 28 i UK GDPR, EU GDPR (förordning 2016/679) och annan tillämplig dataskyddslagstiftning.
1. Definitioner
I detta DPA, om inte sammanhanget kräver annat:
- “Dataskyddslagar” — UK GDPR, EU GDPR, Data Protection Act 2018, Privacy and Electronic Communications Regulations 2003 och all annan tillämplig dataskyddslagstiftning.
- “Personuppgifter” — all information som rör en identifierad eller identifierbar fysisk person och som behandlas av Accsible för Kundens räkning enligt Huvudavtalet.
- “Behandling” — varje åtgärd som vidtas med Personuppgifter, inklusive insamling, registrering, lagring, hämtning, användning, utlämnande, radering eller förstöring.
- “Underbiträde” — varje tredje part som utsetts av Accsible för att behandla Personuppgifter för Kundens räkning.
- “Registrerad” — den identifierade eller identifierbara fysiska person som Personuppgifterna avser.
- “Slutanvändare” — en besökare på Kundens webbplats som interagerar med Accsible Widget.
- “Säkerhetsincident” — ett säkerhetsintrång som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller åtkomst till Personuppgifter.
- “SCC:er” — de standardavtalsklausuler som godkänts av Europeiska kommissionen (beslut 2021/914) eller UK International Data Transfer Agreement (IDTA), beroende på vad som är tillämpligt.
2. Omfattning & uppgifter om behandlingen
2.1 Ämne
Accsible tillhandahåller en tillgänglighetswidget och en SaaS-plattform. När Kunden integrerar Widgeten på sina webbplatser behandlar Accsible vissa Personuppgifter från Slutanvändare för Kundens räkning.
2.2 Varaktighet
Behandlingen påbörjas när Kunden aktiverar Widgeten och fortsätter under Huvudavtalets löptid. Vid upphörande gäller avsnitt 11 i detta DPA.
2.3 Behandlingens art och syfte
| Aspekt | Detalj |
|---|---|
| Syfte | Leverera och driva tillgänglighetswidgeten; tillhandahålla användningsanalys och tillgänglighetspoäng till Kunden via Dashboarden; behandla feedback som skickas in av Slutanvändare. |
| Behandlingens art | Insamling, lagring, aggregering, analys och radering av Personuppgifter i den utsträckning som krävs för att tillhandahålla Tjänsten. |
2.4 Typer av Personuppgifter
- IP-adresser (anonymiserade för analys; fullständig IP i säkerhetsloggar i upp till 90 dagar)
- Webbläsartyp, version och user agent-sträng
- Enhetstyp och operativsystem
- Besökta sidor och tidsstämplar på Kundens webbplats
- Tillgänglighetsinställningar som valts av Slutanvändare (lagras lokalt på Slutanvändarens enhet; överförs inte om inte feedback skickas in)
- Feedbackinsändningar (namn och/eller e-postadress om det frivilligt anges av Slutanvändaren)
- Aggregerade mätvärden för sidvisningar
2.5 Kategorier av Registrerade
- Slutanvändare — besökare på Kundens webbplats(er) som interagerar med Accsible Widget
- Kundens personal — personer som får åtkomst till Accsible Dashboard för Kundens räkning
3. Kundens skyldigheter (Personuppgiftsansvarig)
Kunden ska:
- Säkerställa att det finns en laglig grund för Behandling av Personuppgifter och för att instruera Accsible att behandla dem.
- Tillhandahålla alla nödvändiga meddelanden och inhämta alla nödvändiga samtycken från Registrerade enligt Dataskyddslagarna, inklusive att informera Slutanvändare om användningen av Accsible Widget i Kundens egen integritetspolicy.
- Säkerställa att dess instruktioner till Accsible följer Dataskyddslagarna.
- Utan dröjsmål meddela Accsible om eventuella ändringar i tillämpliga Dataskyddslagar som kan påverka Accsibles behandlingsskyldigheter.
4. Accsibles skyldigheter (Personuppgiftsbiträde)
Accsible ska:
- Behandla Personuppgifter endast på dokumenterade instruktioner från Kunden (inklusive de instruktioner som anges i detta DPA och Huvudavtalet), om inte detta krävs enligt tillämplig lag — i så fall ska Accsible informera Kunden innan behandlingen, om det inte är rättsligt förbjudet att göra det.
- Säkerställa att personer som är behöriga att behandla Personuppgifter har åtagit sig sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
- Införa och upprätthålla de tekniska och organisatoriska säkerhetsåtgärder som beskrivs i avsnitt 5.
- Uppfylla villkoren för att anlita Underbiträden enligt avsnitt 6.
- Assistera Kunden, genom lämpliga tekniska och organisatoriska åtgärder, i att fullgöra sin skyldighet att besvara begäranden från Registrerade (avsnitt 7).
- Assistera Kunden i att säkerställa efterlevnad av dess skyldigheter enligt artiklarna 32–36 i GDPR (säkerhet, anmälan av personuppgiftsincident, konsekvensbedömningar och förhandssamråd), med beaktande av behandlingens art och den information som är tillgänglig för Accsible.
- Efter Kundens val, radera eller återlämna alla Personuppgifter vid Huvudavtalets upphörande (avsnitt 11).
- Göra all information som är nödvändig för att visa efterlevnad av skyldigheterna i artikel 28 i GDPR tillgänglig för Kunden, samt möjliggöra och bidra till revisioner och inspektioner (avsnitt 10).
- Omedelbart informera Kunden om en instruktion från Kunden enligt Accsibles uppfattning strider mot Dataskyddslagarna.
5. Säkerhetsåtgärder
Accsible inför och upprätthåller följande tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig eller olaglig behandling, oavsiktlig förlust, förstöring eller skada:
5.1 Tekniska åtgärder
- Kryptering under överföring med TLS/HTTPS för alla anslutningar, inklusive CDN-leverans, API-kommunikation och åtkomst till Dashboarden.
- Lösenordshashning med saltade, envägs kryptografiska algoritmer.
- Content Security Policy (CSP)-rubriker för att minska risken för cross-site scripting- och injektionsattacker.
- DDoS-skydd via Cloudflare.
- Felövervakning (Sentry) konfigurerad för att maskera all text och blockera allt media i session replay.
- Anonymisering av IP-adresser i analysbehandling.
- Slutanvändares tillgänglighetsinställningar lagras i webbläsarens lokala lagring (endast på enheten; överförs inte till servrar om inte feedback skickas in).
5.2 Organisatoriska åtgärder
- Rollbaserade åtkomstkontroller; åtkomst till Personuppgifter begränsad till personal som behöver dem för att utföra sina arbetsuppgifter.
- Sekretessförpliktelser för all personal och alla entreprenörer med åtkomst till Personuppgifter.
- Regelbundna säkerhetsbedömningar och övervakning av infrastrukturen.
- Incidenthanteringsrutiner enligt beskrivningen i avsnitt 8.
- Bevarandepolicyer som säkerställer att Personuppgifter inte sparas längre än nödvändigt (se avsnitt 9).
6. Underbiträden
6.1 Allmänt godkännande
Kunden ger Accsible ett allmänt skriftligt godkännande att anlita Underbiträden för att utföra specifika behandlingsaktiviteter för Kundens räkning. Accsible ska genom ett skriftligt avtal ålägga varje Underbiträde dataskyddsförpliktelser som inte är mindre skyddande än de i detta DPA.
6.2 Nuvarande Underbiträden
Följande Underbiträden är anlitade per datumet för detta DPA:
| Underbiträde | Syfte | Plats |
|---|---|---|
| Cloudflare, Inc. | CDN, DDoS-skydd, innehållsleverans för Widget och API | Globalt (huvudkontor i USA); behandling av data från EU/UK enligt SCC:er |
| Functional Software, Inc. (Sentry) | Felövervakning och prestandadiagnostik | USA; behandling enligt SCC:er |
| Google LLC (Google Analytics) | Aggregerad webbplatstrafikanalys (endast samtyckesbaserad) | USA; behandling enligt SCC:er och EU-US Data Privacy Framework |
| Stripe, Inc. | Betalningshantering och prenumerationsadministration | USA; PCI DSS Level 1-certifierad; behandling enligt SCC:er |
6.3 Ändringar av Underbiträden
Accsible ska meddela Kunden via e-post minst 30 dagar innan ett Underbiträde läggs till eller ersätts. Meddelandet ska innehålla Underbiträdets namn, den behandling som det kommer att utföra och dess plats.
Om Kunden har en rimlig invändning mot ett nytt Underbiträde på dataskyddsrättslig grund, ska Kunden meddela Accsible skriftligen inom 14 dagar från mottagandet av meddelandet. Parterna ska diskutera invändningen i god tro. Om parterna inte kan lösa invändningen inom 30 dagar, får Kunden säga upp den berörda Tjänsten genom skriftligt meddelande, och Accsible ska återbetala eventuella förskottsbetalda avgifter för den oanvända delen av abonnemangsperioden.
7. Registrerades rättigheter
Accsible ska, med beaktande av behandlingens art, bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder för att fullgöra sina skyldigheter att besvara begäranden från Registrerade som utövar sina rättigheter enligt Dataskyddslagarna, inklusive:
- Rätt till tillgång
- Rätt till rättelse
- Rätt till radering (“rätten att bli bortglömd”)
- Rätt till begränsning av behandling
- Rätt till dataportabilitet
- Rätt att göra invändningar
Om Accsible tar emot en begäran direkt från en Registrerad avseende Kundens data, ska Accsible utan dröjsmål hänvisa den Registrerade till Kunden och meddela Kunden om begäran, om det inte är rättsligt förbjudet att göra det. Accsible ska inte besvara sådana begäranden direkt om det inte instrueras av Kunden eller krävs enligt lag.
8. Meddelande om säkerhetsincident
8.1 Meddelande
Accsible ska meddela Kunden om varje bekräftad Säkerhetsincident utan onödigt dröjsmål och i vart fall inom 48 timmar efter att ha fått kännedom om den. Meddelandet ska skickas till den e-postadress som är kopplad till Kundens konto (eller en alternativ adress som Kunden har angett för detta ändamål).
8.2 Innehåll i meddelandet
Meddelandet ska, i den utsträckning som är tillgänglig vid tidpunkten, innehålla:
- En beskrivning av Säkerhetsincidentens art, inklusive kategorierna och det ungefärliga antalet berörda Registrerade och dataposter.
- Namn och kontaktuppgifter till kontaktpunkten hos Accsible.
- En beskrivning av incidentens sannolika konsekvenser.
- En beskrivning av de åtgärder som vidtagits eller föreslagits för att hantera incidenten, inklusive åtgärder för att mildra dess effekter.
8.3 Löpande skyldigheter
Accsible ska lämna ytterligare information när den blir tillgänglig och ska samarbeta med Kundens rimliga begäranden för att utreda, avhjälpa och begränsa effekterna av Säkerhetsincidenten. Accsible ska också bistå Kunden med att uppfylla sina egna skyldigheter att anmäla personuppgiftsincidenter till tillsynsmyndigheter och Registrerade enligt artiklarna 33 och 34 i GDPR.
8.4 Dokumentation
Accsible ska föra register över alla Säkerhetsincidenter, inklusive omständigheterna kring incidenten, dess effekter och de avhjälpande åtgärder som vidtagits.
9. Databevarande
Accsible bevarar Personuppgifter som behandlas enligt detta DPA enligt följande:
- Säkerhetsloggar (fullständiga IP-adresser): Upp till 90 dagar, därefter raderas permanent.
- Aggregerade analysdata: Anonymiseras månadsvis; individuella sessionsdata bevaras inte.
- Feedbackinsändningar från Slutanvändare: Bevaras under Huvudavtalets löptid; raderas inom 30 dagar efter upphörande.
- Data för felövervakning (Sentry): Upp till 90 dagar.
- Mätvärden för widgetanvändning: Aggregerade och anonymiserade; inga data på individnivå bevaras efter behandlingen.
Accsible ska inte bevara Personuppgifter längre än vad som är nödvändigt för att tillhandahålla Tjänsten eller som krävs enligt tillämplig lag.
10. Revisioner & efterlevnad
10.1 Information
Accsible ska på rimlig begäran göra all information som rimligen är nödvändig för att visa efterlevnad av sina skyldigheter enligt detta DPA och artikel 28 i GDPR tillgänglig för Kunden.
10.2 Revisionsrätt
Kunden (eller en oberoende tredje parts revisor som utsetts av Kunden) får genomföra en revision av Accsibles behandlingsaktiviteter och säkerhetsåtgärder, med förbehåll för följande villkor:
- Kunden ska lämna skriftligt meddelande om en revisionsbegäran minst 30 dagar i förväg.
- Revisioner ska genomföras under ordinarie arbetstid (måndag–fredag, 09:00–18:00 GMT) och får inte oskäligt störa Accsibles verksamhet.
- Kunden får inte genomföra mer än en revision per 12-månadersperiod, om det inte krävs av en tillsynsmyndighet eller efter en bekräftad Säkerhetsincident.
- Revisorn ska vara bunden av sekretessförpliktelser som inte är mindre skyddande än de i Huvudavtalet.
- Accsible får uppfylla en revisionsbegäran genom att tillhandahålla en aktuell SOC 2 Type II-rapport, ISO 27001-certifikat eller motsvarande oberoende certifiering, om sådan finns tillgänglig.
10.3 Samarbete
Accsible ska samarbeta med Kunden och varje tillsynsmyndighet som kräver tillgång till Accsibles anläggningar eller register i samband med detta DPA.
11. Återlämning & radering av data
Vid Huvudavtalets upphörande eller utgång får Kunden inom 30 dagar begära att Accsible:
- Återlämnar alla Personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format; eller
- Raderar alla Personuppgifter och skriftligen bekräftar raderingen.
Om Kunden inte gör någon begäran inom 30 dagar från upphörandet ska Accsible permanent radera alla Personuppgifter, utom i den utsträckning bevarande krävs enligt tillämplig lag (t.ex. faktureringsunderlag för skatteändamål). När bevarande krävs enligt lag ska Accsible isolera och skydda uppgifterna och begränsa behandlingen till det ändamål som föreskrivs i lag.
12. Internationella överföringar
Accsible är etablerat i United Kingdom. När Personuppgifter överförs till Underbiträden belägna utanför UK eller EES, säkerställer Accsible att lämpliga skyddsåtgärder finns på plats, inklusive:
- UK International Data Transfer Agreement (IDTA) eller UK Addendum to SCCs
- EU Standard Contractual Clauses (SCCs) — kommissionsbeslut 2021/914
- Adekvathetsbeslut av UK Secretary of State eller Europeiska kommissionen
- Där så är tillämpligt, ytterligare kompletterande åtgärder enligt rekommendation från ICO eller EDPB
En kopia av den relevanta överföringsmekanismen ska göras tillgänglig för Kunden på skriftlig begäran.
13. Ansvar
Varje parts ansvar enligt detta DPA omfattas av de ansvarsbegränsningar och ansvarsundantag som anges i Huvudavtalet (Användarvillkoren), med undantag för att ingen av parterna utesluter eller begränsar ansvar för överträdelser av Dataskyddslagarna i den utsträckning en sådan uteslutning eller begränsning inte är tillåten enligt tillämplig lag.
14. Löptid & företräde
14.1 Löptid
Detta DPA träder i kraft den dag då Kunden först integrerar Accsible Widget och förblir i kraft under Huvudavtalets löptid, och därefter tills alla Personuppgifter har raderats eller återlämnats i enlighet med avsnitt 11.
14.2 Företräde
Vid eventuell konflikt mellan detta DPA och Huvudavtalet ska detta DPA ha företräde i fråga om behandling och skydd av Personuppgifter.
14.3 Ändringar
Accsible får uppdatera detta DPA för att återspegla ändringar i Dataskyddslagarna eller behandlingsaktiviteterna. Väsentliga ändringar kommer att meddelas Kunden minst 30 dagar i förväg via e-post. Fortsatt användning av Tjänsten efter ändringarnas ikraftträdande utgör godkännande.
15. Kontakt
För frågor eller begäranden som rör detta DPA, kontakta oss på:
- Kontakt för dataskydd: [email protected]
- Säkerhetsincidenter: [email protected]
- Registrerad adress: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
- ICO-registrering: ZC114350