Personuppgiftsbirädesavtal (DPA)

Mellan kund (personuppgiftsansvarig) och Security Guru / ManPro Group AB (personuppgiftsbiräde).

1. Omfattning

Detta DPA gäller all behandling av personuppgifter som Security Guru utför för kundens räkning enligt huvudavtalet (köp av Premium Scan / RAG-tillägg).

2. Vilka personuppgifter

Domännamn och tekniska konfigurationsdata som kunden uppger.
Uppladdade policydokument som kan innehålla namn, e-postadresser och organisationsstruktur.
Skanningsfynd som kan referera till anställdas konton (t.ex. exponerade secrets i Git-historik).

3. Behandlingens varaktighet

Endast under tjänstens löptid + max 30 dagars retention för uppladdade dokument efter rapportleverans.

4. Underbiräden

Underbiräde	Funktion	Region
Stripe Payments Europe	Betalning	Irland (SCC + DPF)
Cloudflare	CDN / Tunnel	EU-edge
Hetzner	Hosting	Sverige/Finland
JuiceFactory / Z.AI	LLM (RAG)	EU/CN — endast textchunks utan persondata skickas
Mailjet	SMTP	EU

5. Säkerhetsåtgärder

TLS 1.2+ för all dataöverföring
Per-org-isolering i vector-DB
JWT-baserad auth, ingen lösenordsdatabas
Daglig backup, krypterad i vila
Audit-loggar 90 dagar

6. Incidentnotifiering

Vid personuppgiftsincident notifierar vi kunden inom 24 timmar och bistår i kundens skyldighet att rapportera till IMY inom 72 timmar (GDPR Art. 33).

7. Radering vid avtalets slut

Inom 30 dagar efter avtalets upphörande raderar vi all kunddata, om inte annat följer av lag (bokföringskrav 7 år för transaktioner).

8. Bekräftelse

Detta DPA accepteras automatiskt vid första köp i Stripe Checkout. Skriftlig version på begäran från [email protected].