Personuppgiftsbiträdesavtal
Senast uppdaterad: 15 april 2026
Detta Personuppgiftsbiträdesavtal (“DPA”) utgör en del av avtalet mellan den enhet som identifieras i Accsible-kontot (“Kunden”, “Personuppgiftsansvarig”) och Denizcom Ltd, som bedriver verksamhet under namnet Accsible, registrerat på 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Storbritannien (“Accsible”, “Personuppgiftsbiträde”), och kompletterar Användarvillkoren och Integritetspolicyn (tillsammans, “Huvudavtalet”).
Detta DPA gäller där och i den utsträckning som Accsible behandlar Personuppgifter för Kundens räkning i samband med tillhandahållandet av Tjänsten. Det är utformat för att säkerställa efterlevnad av artikel 28 i UK GDPR, EU GDPR (förordning 2016/679) och annan tillämplig dataskyddslagstiftning.
1. Definitioner
I detta DPA, om inte sammanhanget kräver annat:
- “Dataskyddslagar” — UK GDPR, EU GDPR, Data Protection Act 2018, Privacy and Electronic Communications Regulations 2003 och annan tillämplig dataskyddslagstiftning.
- “Personuppgifter” — all information som avser en identifierad eller identifierbar fysisk person som behandlas av Accsible för Kundens räkning enligt Huvudavtalet.
- “Behandling” — varje åtgärd som vidtas beträffande Personuppgifter, inklusive insamling, registrering, lagring, åtkomst, användning, utlämnande, radering eller förstöring.
- “Underbiträde” — tredje part som anlitas av Accsible för att behandla Personuppgifter för Kundens räkning.
- “Registrerad” — den identifierade eller identifierbara fysiska person som Personuppgifterna avser.
- “Slutanvändare” — en besökare på Kundens webbplats som interagerar med Accsible-widgeten.
- “Säkerhetsincident” — en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till Personuppgifter.
- “SCC” — standardavtalsklausulerna som godkänts av Europeiska kommissionen (beslut 2021/914) eller UK International Data Transfer Agreement (IDTA), i tillämpliga fall.
2. Omfattning och detaljer om Behandlingen
2.1 Ämne
Accsible tillhandahåller en tillgänglighetswidget och en SaaS-plattform. När Kunden integrerar widgeten på sina webbplatser behandlar Accsible vissa Personuppgifter från Slutanvändare för Kundens räkning.
2.2 Varaktighet
Behandlingen påbörjas när Kunden aktiverar widgeten och fortsätter under Huvudavtalets löptid. Vid uppsägning gäller avsnitt 11 i detta DPA.
2.3 Behandlingens art och ändamål
| Aspekt | Detalj |
|---|---|
| Ändamål | Att leverera och driva tillgänglighetswidgeten; tillhandahålla användningsanalys och tillgänglighetspoäng till Kunden via Dashboarden; behandla feedback som lämnas av Slutanvändare. |
| Behandlingens art | Insamling, lagring, aggregering, analys och radering av Personuppgifter i den utsträckning det är nödvändigt för att tillhandahålla Tjänsten. |
2.4 Typer av Personuppgifter
- IP-adresser (anonymiserade för analys; fullständiga IP-adresser i säkerhetsloggar i upp till 90 dagar)
- Webbläsartyp, version och user agent-sträng
- Enhetstyp och operativsystem
- Besökta sidor och tidsstämplar på Kundens webbplats
- Tillgänglighetspreferenser valda av Slutanvändare (lagras lokalt på Slutanvändarens enhet; överförs inte om inte feedback skickas in)
- Feedbackinlämningar (namn och/eller e-post om detta frivilligt lämnas av Slutanvändaren)
- Aggregerade sidvisningsmätvärden
2.5 Kategorier av Registrerade
- Slutanvändare — besökare på Kundens webbplats(er) som interagerar med Accsible-widgeten
- Kundens personal — personer som får åtkomst till Accsible Dashboard för Kundens räkning
3. Kundens (Personuppgiftsansvarigs) skyldigheter
Kunden ska:
- Säkerställa att det finns en laglig grund för Behandlingen av Personuppgifter och för att instruera Accsible att behandla dem.
- Lämna alla nödvändiga informationstexter och inhämta alla nödvändiga samtycken från Registrerade enligt Dataskyddslagar, inklusive att informera Slutanvändare om användningen av Accsible-widgeten i Kundens egen integritetspolicy.
- Säkerställa att dess instruktioner till Accsible följer Dataskyddslagar.
- Omedelbart underrätta Accsible om ändringar i tillämpliga Dataskyddslagar som kan påverka Accsibles behandlingsskyldigheter.
4. Accsibles (Personuppgiftsbiträdets) skyldigheter
Accsible ska:
- Behandla Personuppgifter endast enligt dokumenterade instruktioner från Kunden (inklusive instruktionerna i detta DPA och Huvudavtalet), såvida inte Behandling krävs enligt tillämplig lag — i så fall ska Accsible informera Kunden innan Behandlingen, om det inte är förbjudet enligt lag.
- Säkerställa att personer som är behöriga att behandla Personuppgifter har åtagit sig konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
- Införa och upprätthålla de tekniska och organisatoriska säkerhetsåtgärder som beskrivs i avsnitt 5.
- Följa villkoren för att anlita Underbiträden enligt avsnitt 6.
- Bistå Kunden, genom lämpliga tekniska och organisatoriska åtgärder, med att uppfylla sin skyldighet att svara på Registrerades begäranden (avsnitt 7).
- Bistå Kunden med att säkerställa efterlevnad av sina skyldigheter enligt artiklarna 32–36 i GDPR (säkerhet, incidentrapportering, konsekvensbedömningar och förhandssamråd), med beaktande av Behandlingens art och den information som finns tillgänglig för Accsible.
- På Kundens begäran radera eller återlämna alla Personuppgifter vid Huvudavtalets upphörande (avsnitt 11).
- Göra all information som krävs för att visa efterlevnad av skyldigheterna i artikel 28 i GDPR tillgänglig för Kunden och möjliggöra samt bidra till revisioner och inspektioner (avsnitt 10).
- Omedelbart informera Kunden om Accsible anser att en instruktion från Kunden strider mot Dataskyddslagar.
5. Säkerhetsåtgärder
Accsible inför och upprätthåller följande tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig eller olaglig Behandling samt oavsiktlig förlust, förstöring eller skada:
5.1 Tekniska åtgärder
- Kryptering under överföring med TLS/HTTPS för alla anslutningar, inklusive CDN-leverans, API-kommunikation och åtkomst till Dashboarden.
- Lösenordshashning med saltade, envägs kryptografiska algoritmer.
- Content Security Policy (CSP)-rubriker för att motverka cross-site scripting och injektionsattacker.
- DDoS-skydd via Cloudflare.
- Felkoll (Sentry) konfigurerad för att maskera all text och blockera allt media i sessionsuppspelningar.
- Anonymisering av IP-adresser vid analysbehandling.
- Slutanvändares tillgänglighetspreferenser lagras i webbläsarens lokala lagring (endast på enhetssidan; överförs inte till servrar om inte feedback skickas in).
5.2 Organisatoriska åtgärder
- Rollbaserade åtkomstkontroller; åtkomst till Personuppgifter begränsas till personal som behöver den för att utföra sina arbetsuppgifter.
- Konfidentialitetsåtaganden för all personal och alla konsulter med åtkomst till Personuppgifter.
- Regelbundna säkerhetsbedömningar och övervakning av infrastrukturen.
- Rutiner för incidenthantering enligt avsnitt 8.
- Gallringsrutiner som säkerställer att Personuppgifter inte bevaras längre än nödvändigt (se avsnitt 9).
6. Underbiträden
6.1 Allmänt tillstånd
Kunden ger Accsible ett allmänt skriftligt tillstånd att anlita Underbiträden för att utföra specifika behandlingsaktiviteter för Kundens räkning. Accsible ska ålägga varje Underbiträde dataskyddsåtaganden som inte är mindre skyddande än de i detta DPA genom ett skriftligt avtal.
6.2 Nuvarande Underbiträden
Följande Underbiträden är anlitade per dagen för detta DPA:
| Underbiträde | Ändamål | Plats |
|---|---|---|
| Cloudflare, Inc. | CDN, DDoS-skydd, innehållsleverans för widget och API | Globalt (huvudkontor i USA); EU/UK-databehandling enligt SCC |
| Functional Software, Inc. (Sentry) | Felkoll och prestandadiagnostik | USA; behandling enligt SCC |
| Google LLC (Google Analytics) | Aggregerad webbplatstrafikanalys (endast baserad på samtycke) | USA; behandling enligt SCC och EU-US Data Privacy Framework |
| Stripe, Inc. | Betalningshantering och abonnemangshantering | USA; PCI DSS Level 1-certifierat; behandling enligt SCC |
6.3 Ändringar av Underbiträden
Accsible ska underrätta Kunden via e-post minst 30 dagar innan ett Underbiträde läggs till eller ersätts. Underrättelsen ska innehålla Underbiträdets namn, den Behandling som det ska utföra och dess plats.
Om Kunden har en rimlig invändning mot ett nytt Underbiträde på dataskyddsrelaterade grunder ska Kunden underrätta Accsible skriftligen inom 14 dagar efter att ha mottagit underrättelsen. Parterna ska diskutera invändningen i god tro. Om parterna inte kan lösa invändningen inom 30 dagar får Kunden säga upp den berörda Tjänsten genom skriftligt meddelande, och Accsible ska återbetala eventuella förskottsbetalda avgifter för den outnyttjade delen av abonnemangsperioden.
7. Registrerades rättigheter
Accsible ska, med beaktande av Behandlingens art, bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder för att uppfylla sina skyldigheter att svara på begäranden från Registrerade som utövar sina rättigheter enligt Dataskyddslagar, inklusive:
- Rätt till tillgång
- Rätt till rättelse
- Rätt till radering (“rätten att bli bortglömd”)
- Rätt till begränsning av Behandling
- Rätt till dataportabilitet
- Rätt att invända
Om Accsible tar emot en begäran direkt från en Registrerad avseende Kundens data ska Accsible omedelbart hänvisa den Registrerade till Kunden och underrätta Kunden om begäran, om det inte är förbjudet enligt lag. Accsible ska inte svara direkt på sådana begäranden om inte Kunden instruerar detta eller om det krävs enligt lag.
8. Anmälan om Säkerhetsincident
8.1 Anmälan
Accsible ska underrätta Kunden om varje bekräftad Säkerhetsincident utan onödigt dröjsmål och under alla omständigheter inom 48 timmar från det att Accsible blivit medvetet om incidenten. Underrättelsen ska skickas till den e-postadress som är kopplad till Kundens konto (eller en alternativ adress som Kunden har angett för detta ändamål).
8.2 Innehåll i anmälan
Underrättelsen ska, i den utsträckning information finns tillgänglig vid tidpunkten, innehålla:
- En beskrivning av Säkerhetsincidentens art, inklusive kategorier och ungefärligt antal Registrerade och dataposter som berörs.
- Namn och kontaktuppgifter till kontaktperson hos Accsible.
- En beskrivning av de sannolika följderna av incidenten.
- En beskrivning av de åtgärder som vidtagits eller föreslagits för att hantera incidenten, inklusive åtgärder för att mildra dess effekter.
8.3 Fortlöpande skyldigheter
Accsible ska lämna ytterligare information när den blir tillgänglig och samarbeta med Kundens rimliga begäranden om att utreda, åtgärda och mildra effekterna av Säkerhetsincidenten. Accsible ska även bistå Kunden med att uppfylla sina egna skyldigheter att anmäla personuppgiftsincidenter till tillsynsmyndigheter och Registrerade enligt artiklarna 33 och 34 i GDPR.
8.4 Dokumentation
Accsible ska föra register över alla Säkerhetsincidenter, inklusive omständigheterna kring incidenten, dess effekter och vidtagna åtgärder.
9. Lagring av data
Accsible lagrar Personuppgifter som behandlas enligt detta DPA enligt följande:
- Säkerhetsloggar (fullständiga IP-adresser): Upp till 90 dagar, därefter permanent radering.
- Aggregerad analysdata: Anonymiseras månadsvis; individuella sessionsdata lagras inte.
- Slutanvändares feedbackinlämningar: Bevaras under Huvudavtalets löptid; raderas inom 30 dagar efter upphörande.
- Felkollsdata (Sentry): Upp till 90 dagar.
- Widgetanvändningsmätvärden: Aggregeras och anonymiseras; inga individnivådata bevaras efter Behandlingen.
Accsible ska inte bevara Personuppgifter längre än vad som är nödvändigt för att tillhandahålla Tjänsten eller vad som krävs enligt tillämplig lag.
10. Revisioner och efterlevnad
10.1 Information
Accsible ska på rimlig begäran göra all information som skäligen krävs för att visa efterlevnad av sina skyldigheter enligt detta DPA och artikel 28 i GDPR tillgänglig för Kunden.
10.2 Revisionsrätt
Kunden (eller en oberoende tredjepartsrevisor som utses av Kunden) får genomföra en revision av Accsibles behandlingsaktiviteter och säkerhetsåtgärder, med förbehåll för följande villkor:
- Kunden ska lämna minst 30 dagars skriftligt meddelande om en revisionsbegäran.
- Revisioner ska genomföras under ordinarie kontorstid (måndag–fredag, 09:00–18:00 GMT) och får inte oskäligt störa Accsibles verksamhet.
- Kunden får genomföra högst en revision per 12-månadersperiod, om inte en tillsynsmyndighet kräver annat eller efter en bekräftad Säkerhetsincident.
- Revisorn ska vara bunden av sekretessåtaganden som inte är mindre skyddande än de i Huvudavtalet.
- Accsible får uppfylla en revisionsbegäran genom att tillhandahålla en aktuell SOC 2 Type II-rapport, ISO 27001-certifikat eller likvärdig oberoende certifiering, om sådan finns.
10.3 Samarbete
Accsible ska samarbeta med Kunden och varje tillsynsmyndighet som kräver åtkomst till Accsibles lokaler eller register i samband med detta DPA.
11. Återlämnande och radering av data
Vid upphörande eller utgång av Huvudavtalet får Kunden, inom 30 dagar, begära att Accsible:
- Återlämnar alla Personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format; eller
- Raderar alla Personuppgifter och bekräftar raderingen skriftligen.
Om Kunden inte lämnar en begäran inom 30 dagar från upphörandet ska Accsible permanent radera alla Personuppgifter, utom i den utsträckning bevarande krävs enligt tillämplig lag (t.ex. faktureringsuppgifter för skatteändamål). När bevarande krävs enligt lag ska Accsible isolera och skydda uppgifterna och begränsa Behandlingen till det ändamål som krävs enligt lag.
12. Internationella överföringar
Accsible är etablerat i Storbritannien. När Personuppgifter överförs till Underbiträden som är etablerade utanför Storbritannien eller EES säkerställer Accsible att lämpliga skyddsåtgärder finns på plats, inklusive:
- UK International Data Transfer Agreement (IDTA) eller UK Addendum till SCC
- EU:s standardavtalsklausuler (SCC) — kommissionsbeslut 2021/914
- Adekvansbeslut av den brittiska ministern (Secretary of State) eller Europeiska kommissionen
- I förekommande fall, ytterligare kompletterande åtgärder enligt rekommendationer från ICO eller EDPB
En kopia av den relevanta överföringsmekanismen ska göras tillgänglig för Kunden på skriftlig begäran.
13. Ansvar
Vardera partens ansvar enligt detta DPA omfattas av de ansvarsbegränsningar och undantag som anges i Huvudavtalet (Användarvillkoren), med undantag för att ingen part utesluter eller begränsar ansvar för överträdelser av Dataskyddslagar i den utsträckning sådan uteslutning eller begränsning inte är tillåten enligt tillämplig lag.
14. Löptid och företräde
14.1 Löptid
Detta DPA träder i kraft det datum då Kunden först integrerar Accsible-widgeten och gäller under Huvudavtalets löptid och därefter tills alla Personuppgifter har raderats eller återlämnats i enlighet med avsnitt 11.
14.2 Företräde
Vid konflikt mellan detta DPA och Huvudavtalet ska detta DPA ha företräde i fråga om Behandling och skydd av Personuppgifter.
14.3 Ändringar
Accsible får uppdatera detta DPA för att återspegla ändringar i Dataskyddslagar eller behandlingsaktiviteter. Väsentliga ändringar kommer att meddelas Kunden minst 30 dagar i förväg via e-post. Fortsatt användning av Tjänsten efter ikraftträdandet av ändringarna utgör godkännande.
15. Kontakt
För frågor eller begäranden relaterade till detta DPA, kontakta oss på:
- Kontakt för dataskydd: [email protected]
- Säkerhetsincidenter: [email protected]
- Registrerat kontor: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Storbritannien
- ICO-registrering: ZC114350