Avtal om databehandling

Avtal om databehandling enligt art. 28 GDPR

mellan användaren av tjänsten BonusVoice (nedan kallad "uppdragsgivaren") och

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-post: info@bonusvoice.de Telefon: 0201-89083160

(nedan kallad "uppdragstagaren")

§ 1 – Föremål och varaktighet för behandlingen

(1) Uppdragstagaren behandlar personuppgifter på uppdrag av uppdragsgivaren inom ramen för användningen av tjänsten BonusVoice (AI-baserad transkription och sammanfattning av ljudinspelningar).

(2) Behandlingens varaktighet motsvarar nyttjanderättsavtalets löptid. Med borttagning av användarkontot upphör behandlingen. Personuppgifter raderas inom 30 dagar efter kontoborttagning, såvida inga lagstadgade arkiveringsskyldigheter föreligger.

§ 2 – Art och ändamål med behandlingen

Behandlingen omfattar följande aktiviteter:

  • Lagring av ljudinspelningar, transkript och sammanfattningar
  • AI-behandling för transkription (tal-till-text) och sammanfattning
  • Användarhantering (kontoskapande, autentisering, organisationstillhörighet)
  • E-postutskick (kontobekräftelse, aviseringar, utskick av transkript)
  • Betalningshantering (abonnemangshantering och fakturering)

§ 3 – Typ av personuppgifter

Följande datakategorier behandlas:

  • Namn och e-postadress
  • Lösenord (lagrat krypterat)
  • Organisationstillhörighet
  • Ljudinspelningar och därav skapade transkript och sammanfattningar
  • Metadata (titel, beskrivning, längd, inspelningens språk)
  • Betalningsuppgifter (behandlas av Stripe, lagras inte hos uppdragstagaren)
  • Serverloggdata (IP-adress, webbläsare, tidsstämpel)

§ 4 – Kategorier av registrerade

  • Registrerade användare av tjänsten
  • Personer som förekommer i ljudinspelningar (talare)

§ 5 – Uppdragstagarens skyldigheter

(1) Uppdragstagaren behandlar personuppgifter uteslutande efter dokumenterad instruktion från uppdragsgivaren, såvida denne inte enligt unionsrätten eller medlemsstaternas lagstiftning är skyldig att utföra en behandling.

(2) Uppdragstagaren säkerställer att de personer som är befogade att utföra behandlingen har förbundit sig till konfidentialitet.

(3) Uppdragstagaren vidtar alla åtgärder som krävs enligt art. 32 GDPR, särskilt:

  • SSL/TLS-kryptering av all dataöverföring
  • Krypterad lagring av alla ljudfiler i Object Storage
  • Krypterad lagring av lösenord
  • Åtkomstkontroll och behörighetskoncept
  • Regelbundna säkerhetsuppdateringar av alla system
  • Serverplats uteslutande i Tyskland och EU

(4) Uppdragstagaren bistår uppdragsgivaren vid fullgörandet av de skyldigheter som anges i art. 32 till 36 GDPR.

(5) Efter avslutad behandling raderar uppdragstagaren alla personuppgifter, såvida ingen lagstadgad arkiveringsskyldighet föreligger.

(6) Uppdragstagaren tillhandahåller uppdragsgivaren all information som krävs för att påvisa efterlevnad av de skyldigheter som anges i art. 28 GDPR.

§ 6 – Underbiträden

(1) Uppdragsgivaren samtycker till anlitandet av nedan angivna underbiträden:

6.1 Hetzner Online GmbH

| | | |---|---| | Ändamål | Serverhosting och fillagring (Object Storage) | | Adress | Industriestr. 25, 91710 Gunzenhausen, Tyskland | | Serverplats | Tyskland | | Behandlade uppgifter | Alla användar- och innehållsdata, ljudfiler, transkript | | Avtal | Personuppgiftsbiträdesavtal enligt art. 28 GDPR föreligger |

6.2 Mistral AI

| | | |---|---| | Ändamål | AI-behandling: Transkription (Voxtral-modellen) och sammanfattning | | Adress | 15 Rue des Halles, 75001 Paris, Frankrike | | Serverplats | EU (Frankrike) | | Behandlade uppgifter | Ljudfiler (för transkription), transkript (för sammanfattning) | | Anmärkning | All AI-behandling sker uteslutande inom EU. Ingen dataöverföring till tredjeland. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Ändamål | E-postutskick (kontobekräftelse, aviseringar, utskick av transkript) | | Adress | Hauptstraße 68, 02742 Friedersdorf, Tyskland | | Serverplats | Tyskland | | Behandlade uppgifter | E-postadress, namn, e-postinnehåll |

6.4 Stripe, Inc.

| | | |---|---| | Ändamål | Betalningshantering (kreditkort, SEPA, abonnemangshantering) | | Adress | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Databehandling | EU (Stripe behandlar europeiska betalningsuppgifter inom EU) | | Behandlade uppgifter | Betalningsinformation (kreditkortsuppgifter, SEPA-uppgifter). Dessa behandlas uteslutande av Stripe och lagras inte hos uppdragstagaren. | | Anmärkning | Stripe ansvarar uteslutande för betalningshanteringen. Inga ljud-, transkript- eller innehållsdata överförs till Stripe. | | Garantier | EU-US Data Privacy Framework, standardavtalsklausuler (SCC) |

6.5 Google Ireland Limited (valfritt)

| | | |---|---| | Ändamål | Autentisering (Google OAuth 2.0) — endast om användaren aktivt väljer att logga in med Google | | Adress | Gordon House, Barrow Street, Dublin 4, Irland | | Databehandling | EU (Irland) | | Behandlade uppgifter | Användarens namn och e-postadress (enbart för kontoidentifikation) | | Anmärkning | Google OAuth är helt valfritt. Användare kan när som helst logga in med e-post/lösenord eller Magic Link. Inga ljudinspelningar, transkript, sammanfattningar eller annat innehållsdata överförs till Google. | | Garantier | EU-US Data Privacy Framework, standardavtalsklausuler (SCC) |

(2) Uppdragstagaren informerar uppdragsgivaren om varje avsedd ändring avseende anlitande eller byte av underbiträden. Uppdragsgivaren kan invända mot sådana ändringar.

§ 7 – Överföring till tredjeland

(1) Överföring av personuppgifter till tredjeland (utanför EES) sker grundsätzlich inte.

(2) Undantag:

  • Stripe (betalningshantering): Stripe, Inc. har sitt säte i USA, men behandlar europeiska uppgifter inom EU. För dataöverföringen gäller EU-US Data Privacy Framework och standardavtalsklausuler.
  • Google (enbart vid Google OAuth): Google Ireland Limited behandlar uppgifter inom EU. Enbart vid aktivt val av Google-inloggning av användaren.

(3) AI-behandlingen (transkription och sammanfattning) samt lagringen av allt innehålls- och användardata sker uteslutande i Tyskland och EU.

§ 8 – De registrerades rättigheter

Uppdragstagaren bistår uppdragsgivaren vid fullgörandet av de registrerades rättigheter enligt art. 12–22 GDPR, särskilt:

  • Rätt till tillgång (art. 15 GDPR)
  • Rätt till rättelse (art. 16 GDPR)
  • Rätt till radering (art. 17 GDPR)
  • Rätt till begränsning av behandling (art. 18 GDPR)
  • Rätt till dataportabilitet (art. 20 GDPR)

Användare kan när som helst via sitt användarkonto granska, exportera och radera sina uppgifter.

§ 9 – Anmälningsskyldighet vid personuppgiftsincidenter

Uppdragstagaren informerar uppdragsgivaren utan dröjsmål, senast inom 48 timmar, om varje personuppgiftsincident i enlighet med art. 33 GDPR.

§ 10 – Kontrollrättigheter

(1) Uppdragsgivaren har rätt att på lämpligt sätt kontrollera efterlevnaden av detta avtal.

(2) Uppdragstagaren tillhandahåller på begäran all erforderlig information och möjliggör granskningar inklusive inspektioner.

§ 11 – Löptid och uppsägning

Detta avtal gäller under hela varaktigheten av användningen av tjänsten BonusVoice. Det träder i kraft vid registreringen och upphör vid borttagning av användarkontot.

§ 12 – Slutbestämmelser

(1) Skulle enskilda bestämmelser i detta avtal vara ogiltiga påverkas inte giltigheten av övriga bestämmelser.

(2) Tysk rätt gäller.

(3) Behörig domstol är Essen.

Version: Mars 2026

Kontakt vid frågor om dataskydd: info@bonusvoice.de