Personuppgiftsbiträdesavtal (DPA)

Version: 1 Senast uppdaterad: 25 januari 2026 Bilaga till Allmänna Villkor för Lagerly

Detta Personuppgiftsbiträdesavtal ("Avtalet" eller "DPA") har ingåtts mellan:

1. Kunden ("Personuppgiftsansvarig" eller "Den Ansvarige")
2. Innovaktiv AB, org.nr 559028-4682 ("Personuppgiftsbiträdet" eller "Biträdet")

Parterna benämns gemensamt "Parterna". Detta Avtal utgör en integrerad del av det Huvudavtal (Allmänna Villkor) som reglerar Kundens användning av tjänsten Lagerly ("Tjänsten"). Vid konflikt mellan detta Avtal och Huvudavtalet äger detta Avtal företräde vad gäller behandlingen av personuppgifter.

Kontakt för integritetsfrågor: privacy@lagerly.se

---

Begrepp i detta Avtal ska ha samma betydelse som i Europaparlamentets och rådets förordning (EU) 2016/679 ("Dataskyddsförordningen" eller "GDPR").

• Personuppgifter: All information som avser en identifierad eller identifierbar fysisk person.
• Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter (t.ex. insamling, lagring, ändring, läsning, radering).
• Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.

---

2.1 Biträdet åtar sig att endast behandla personuppgifter för Den Ansvariges räkning för att tillhandahålla Tjänsten i enlighet med Huvudavtalet.

2.2 Biträdet får endast behandla personuppgifter i enlighet med Den Ansvariges dokumenterade instruktioner (vilka utgörs av detta Avtal samt Huvudavtalet), såvida inte annan behandling krävs enligt unionsrätten eller svensk lag. Om sådant lagkrav föreligger ska Biträdet informera Den Ansvarige innan behandlingen sker, såvida inte lagen förbjuder detta.

2.3 Omfattningen av behandlingen, kategorier av registrerade och typer av personuppgifter specificeras i Bilaga 1.

2.4 Biträdet ska utan dröjsmål informera Den Ansvarige om Biträdet anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning.

---

Den Ansvarige ansvarar för att det finns laglig grund för behandlingen av personuppgifter i Tjänsten och att de registrerade har informerats om behandlingen i enlighet med GDPR.

---

4.1 Sekretess: Biträdet ska säkerställa att personer som har behörighet att behandla personuppgifterna (anställda och konsulter) har åtagit sig tystnadsplikt eller omfattas av lagstadgad tystnadsplikt.

4.2 Säkerhet: Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot obehörig åtkomst, förstöring eller ändring, i enlighet med artikel 32 i GDPR. Detta inkluderar bland annat:

• Kryptering av data vid överföring (TLS) och i vila (AES).
• Strikt behörighetsstyrning baserad på minsta nödvändiga åtkomst.
• Regelbundna säkerhetskopior och redundans.
• Loggning av åtkomst till system som behandlar personuppgifter.

4.3 Assistans till den registrerade: Biträdet ska, i den mån det är möjligt, bistå Den Ansvarige med att fullgöra sin skyldighet att svara på begäran från registrerade (t.ex. registerutdrag eller radering). Biträdet har rätt till skälig ersättning för tid som läggs på sådan assistans om den går utöver Tjänstens standardfunktionalitet.

4.4 Assistans till den Ansvarige: Biträdet ska även bistå Den Ansvarige med att fullgöra sina skyldigheter enligt artiklarna 32–36 GDPR (säkerhet, incidenter och konsekvensbedömningar), med hänsyn till behandlingens art och den information som är tillgänglig för Biträdet.

---

5.1 Den Ansvarige ger Biträdet ett allmänt tillstånd att anlita underbiträden för behandlingen av personuppgifter.

5.2 Biträdet anlitar för närvarande följande underbiträden:

5.3 Biträdet ska informera Den Ansvarige minst 30 dagar i förväg vid planerat byte eller tillsättande av nya underbiträden. Den Ansvarige har rätt att invända mot sådana ändringar. Om Parterna inte kan enas har Den Ansvarige rätt att säga upp Huvudavtalet med 30 dagars uppsägningstid.

5.4 Biträdet ska tillse att varje underbiträde är bundet av skriftligt avtal som innebär dataskyddsåtaganden motsvarande dem i detta Avtal.

5.5 Biträdet ansvarar fullt ut gentemot Den Ansvarige för underbiträdens arbete, i enlighet med artikel 28.4 GDPR.

---

6.1 Biträdet ska i huvudsak lagra och behandla personuppgifter inom EU/EES.

6.2 Om överföring sker till land utanför EU/EES ska detta ske i enlighet med kapitel V i GDPR, i första hand genom EU-kommissionens standardavtalsklausuler (SCC, beslut 2021/914) och, där så krävs, kompletterande tekniska och organisatoriska skyddsåtgärder.

---

7.1 Vid upptäckt av en personuppgiftsincident ska Biträdet underrätta Den Ansvarige utan onödigt dröjsmål, dock senast inom 48 timmar från upptäckten.

7.2 Rapporten ska, i den utsträckning det är möjligt, innehålla:

• Incidentens art och omfattning.
• De kategorier och ungefärligt antal registrerade samt personuppgifter som berörs.
• Sannolika konsekvenser av incidenten.
• Åtgärder som vidtagits eller föreslås för att hantera incidenten och begränsa dess negativa effekter.

---

8.1 Den Ansvarige har rätt att, på egen bekostnad och med minst 30 dagars skriftligt varsel, genomföra en granskning av Biträdets behandling för att säkerställa efterlevnad av detta Avtal. Granskningen ska utföras på ett sätt som inte stör Biträdets ordinarie verksamhet.

8.2 Biträdet får uppfylla granskningsskyldigheten genom att tillhandahålla oberoende tredjepartsrevisioner eller certifikat (t.ex. ISO 27001 eller SOC 2), såvida inte Den Ansvarige har motiverade skäl att kräva en egen granskning.

---

9.1 Detta Avtal gäller så länge Biträdet behandlar personuppgifter för Den Ansvariges räkning.

9.2 Vid Avtalets upphörande ska Biträdet, enligt Den Ansvariges val, radera eller återlämna alla personuppgifter. Radering sker senast 30 dagar efter Huvudavtalets upphörande, i enlighet med Lagerlys integritetspolicy och Allmänna Villkor.

9.3 Tekniska loggar och säkerhetskopior som inte rimligen kan separeras från övrig driftsdata raderas eller anonymiseras inom ramen för Biträdets ordinarie rutiner för gallring, dock senast inom 12 månader.

9.4 Biträdet är undantaget från raderingsskyldigheten i den mån lagring krävs enligt tvingande unionsrätt eller svensk lag (t.ex. bokföringslagen).

---

Parternas ansvar under detta Avtal regleras av, och är föremål för, ansvarsbegränsningen i Huvudavtalet, såvida inte annat följer av tvingande lag.

---

Detta Avtal ska regleras av svensk lag. Tvist ska avgöras i enlighet med tvistlösningsklausulen i Huvudavtalet.

---

1. Behandlingens syfte och art

Behandlingen sker för att leverera tjänsten Lagerly (lagerhantering, orderhantering och inköp) enligt Huvudavtalet. Behandlingen består av lagring, visning, beräkning, överföring, säkerhetskopiering och radering.

2. Varaktighet

Behandlingen pågår under Huvudavtalets löptid samt tillämplig gallringsfrist enligt avsnitt 9 ovan.

3. Kategorier av registrerade

• Kundens anställda (Användare i systemet).
• Kundens egna kunder (om Kunden lagrar namn eller adress på privatpersoner i orderregistret).
• Kundens leverantörer (kontaktpersoner).

4. Typer av personuppgifter

• Användare: Namn, e-postadress, telefonnummer, titel/roll, lösenord (krypterat), loggar över aktivitet i systemet.
• Slutkunder/Leverantörer: Namn, adress, telefonnummer, e-postadress, orderhistorik.

5. Särskilda kategorier av personuppgifter

Tjänsten är inte avsedd för behandling av särskilda kategorier av personuppgifter enligt art. 9 GDPR (t.ex. hälsouppgifter). Kunden ansvarar för att inte ladda upp sådana uppgifter i Tjänsten utan föregående skriftlig överenskommelse med Biträdet.

---

Innovaktiv AB Göteborg, 25 januari 2026