Lyyli.ai - Viestinnän hallintajärjestelmäLyyli
Tillbaka till listan
Bilagor

Bilaga 3 – Personuppgiftsbiträdesavtal

Version v1.2Senast uppdaterad 9 juni 2026

Bilaga 3 – Personuppgiftsbiträdesavtal (DPA)

Personuppgiftsansvarig (Kund): [Namn, organisationsnummer, adress]

Personuppgiftsbiträde (Leverantör): Lyyli AI Oy; hello@lyyli.ai

Dataskyddsombud (DPO): Veikko Laitinen, veikko@lyyli.ai

1. Inledning och tillämpliga villkor

GDPR och nationell lagstiftning; IT2022 YSE i tillämpliga delar.

2. Behandlingens föremål och varaktighet

Huvudavtalets löptid + högst 30 dagar efter upphörande för radering/återlämnande.

3. Art och ändamål

Insamling, lagring, organisering, begränsning, hämtning, användning, utlämnande enligt instruktion, loggning, verifiering/återlämnande, radering/anonymisering. Behandlingen kan omfatta AI-assisterade åtgärder (t.ex. utkast, analys, kommunikationsstöd) inom ramen för den Personuppgiftsansvariges instruktioner och huvudavtalet.

AI-inferens utförs hos leverantörer som arbetar enligt principen Zero Data Retention; innehåll lagras inte av AI-leverantörerna och används inte för att träna modeller. AI-förfrågningar anonymiseras.

4. Registrerade och datakategorier

Anställda/medarbetare; namn, e-post, roll/befattning, användnings- och loggdata, meddelandemetadata och innehåll enligt den Personuppgiftsansvariges instruktioner.

Inga särskilda kategorier av personuppgifter utan separat avtal. Inga kunders kunder.

5. Den Personuppgiftsansvariges skyldigheter

Laglighet, rättslig grund, information; hantering av användare och rättigheter.

6. Personuppgiftsbiträdets skyldigheter

Efterlevnad av instruktioner, sekretess, Bilaga 4 TOMs, bistånd vid förfrågningar och incidenter, loggar och dokumentation, möjliggörande av revisioner.

7. Underleverantörer

Förteckning i Bilaga 5; minst motsvarande skyldigheter.

8. Internationella överföringar

Personuppgifter kan överföras utanför EU/EES när en underleverantör eller teknisk lösning (t.ex. AI- eller molntjänster) kräver det. Överföringar genomförs med skyddsåtgärder enligt GDPR kapitel V, såsom Europeiska kommissionens standardavtalsklausuler (SCC) och/eller EU–US Data Privacy Framework i tillämpliga delar, tillsammans med kompletterande tekniska och organisatoriska åtgärder enligt vad respektive underleverantör och tjänstebeskrivning kräver.

9. Personuppgiftsincidenter

Anmälan utan dröjsmål och senast inom 48 timmar.

10. Revisioner

En gång per år, 14 arbetsdagars förvarning, utan oskälig störning.

11. Radering eller återlämnande

Vid upphörande radering/återlämnande; säkerhetskopior skrivs över efter lagringsperioden; raderingsintyg på begäran.

12. Ansvar och lag

Huvudavtal & IT2022; finsk lag; Helsingfors tingsrätt.