Allmänna villkor

Senast uppdaterade: 2026-06-04

Dessa allmänna villkor (“Allmänna Villkor”), tillsammans med Del II – Personuppgiftsbiträdesavtal och Del III – AI-styrning och ansvar, reglerar användningen av Tjänsten. Avtalet ingås mellan det beställande fastighetsbolaget eller den organisation som beställer Tjänsten (“Kunden”) och Bloom Ventures AB, org.nr 559489-9253 (“Viadue”), vid beställning av Tjänsten. Viadue och Kunden benämns gemensamt “Parterna” och var för sig “Part”.

DEL I — ALLMÄNNA VILLKOR

1. Definitioner

“Användare” avser Kundens anställda och behöriga företrädare som använder Tjänsten.

“Avtalet” avser det enskilda Kundavtal som ingås mellan Viadue och Kunden, inklusive dessa Allmänna Villkor och eventuella bilagor. Vid motstridigheter mellan Kundavtalet och dessa Allmänna Villkor ska Kundavtalet ha företräde.

“Avtalstiden” avser den tid Avtalet är i kraft, inklusive eventuella förlängningar. Avtalet träder i kraft det datum som anges i Kundavtalet, eller annars när Kundavtalet bekräftats av båda Parter eller Kunden påbörjat användning enligt punkt 5.3. Avtalet upphör enligt avsnitt 10. Skyldigheter som är avsedda att överleva Avtalets upphörande gäller även därefter.

“Kundavtal” avser det avtalsdokument mellan Viadue och Kunden – såsom orderbekräftelse, offert, beställningsformulär eller motsvarande – som specificerar de kommersiella och tjänstespecifika villkoren för Kundens användning av Tjänsten. Om Kunden påbörjat användning av Tjänsten eller erlagt betalning utan att ett separat Kundavtal undertecknats enligt punkt 5.3, ska Viadues orderbekräftelse, prisuppgift eller faktura tillsammans med dessa Allmänna Villkor utgöra Kundavtalet i tillämpliga delar.

“Kunddata” avser all data som Kunden eller dess Slutanvändare laddar upp, skickar eller genererar genom Tjänsten, inklusive personuppgifter.

“Tjänsten” avser Viadues AI-drivna SaaS-plattform för hyresgästkommunikation, inklusive ärendehantering, automatiserade svar, inbox för handläggare och tillhörande funktionalitet såsom den beskrivs i Kundavtalet och i dessa Allmänna Villkor.

“Slutanvändare” avser de hyresgäster, boende och andra personer som kommunicerar genom Tjänsten.

2. Tjänstens omfattning och licens

2.1 Viadue ger Kunden en icke-exklusiv, icke-överlåtbar rätt att använda Tjänsten under Avtalstiden för Kundens egen fastighetsförvaltning.

2.2 Tjänsten tillhandahålls som en molnbaserad SaaS-tjänst. Kunden erhåller ingen rätt till källkod, underliggande programvara eller immateriella rättigheter utöver användningsrätten enligt punkt 2.1. Samtliga immateriella rättigheter till Tjänsten tillhör Viadue eller dess licensgivare. Viadue innehar samtliga rättigheter, inklusive immateriella rättigheter, till utveckling av Tjänsten som sker i samband med fullgörandet av Avtalet, oavsett om sådan utveckling sker på uppdrag av eller i enlighet med instruktioner från Kunden eller på Viadues eget initiativ.

2.3 Viadue förbehåller sig rätten att vidareutveckla, uppdatera och förändra Tjänstens funktionalitet. Väsentliga förändringar som påverkar Kundens användning meddelas i rimlig tid, och minst 30 dagar innan förändringen träder i kraft.

2.4 Kunden får inte:

2.5 Viadue kan från tid till annan göra nya funktioner eller tjänster tillgängliga i tidig fas (“Förhandsfunktioner”). Med “Förhandsfunktioner” avses funktioner eller tjänster som Viadue i Tjänsten, dokumentationen eller Kundavtalet uttryckligen betecknar som “beta”, “preview”, “experimental” eller liknande. Förhandsfunktioner tillhandahålls, i den utsträckning tillämplig lag medger, i befintligt skick och utan uttryckliga eller underförstådda garantier, kan ha begränsad funktionalitet och kan när som helst ändras, begränsas eller avvecklas. Om inte annat uttryckligen avtalats omfattas Förhandsfunktioner inte av eventuella servicenivååtaganden eller särskild support.

3. Kundens åtaganden

3.1 Kunden ansvarar för att den data som tillhandahålls till Tjänsten är korrekt och uppdaterad, inklusive fastighetsdata, boendedata och kontaktuppgifter.

3.2 Kunden ansvarar för att ha rättslig grund för den personuppgiftsbehandling som sker genom Tjänsten, för att informera Slutanvändare om behandlingen i enlighet med tillämplig dataskyddslagstiftning, samt för att tillhandahålla en integritetspolicy som uppfyller kraven i GDPR till berörda registrerade.

3.3 Kunden ansvarar för sin egen och sina Slutanvändares användning av Tjänsten och för att tillse att inloggningsuppgifter hanteras säkert.

3.4 Kunden ska utan onödigt dröjsmål meddela Viadue vid misstanke om obehörig åtkomst till Tjänsten eller Kunddata.

4. Kunddata och äganderätt

4.1 Kunden behåller full äganderätt till Kunddata. Viadue förvärvar inga rättigheter till Kunddata utöver vad som krävs för att tillhandahålla Tjänsten eller enligt vad som annars framgår i denna punkt 4.

4.2 Viadue säljer inte och delar inte Kunddata med tredje part för ersättning eller för tredje parts egna affärsändamål.

4.3 Viadue får använda aggregerad och anonymiserad data som inte kan härledas till enskilda personer eller till Kunden för att förbättra Tjänsten och för statistiska ändamål. Sådan aggregerad och anonymiserad data utgör inte personuppgifter eller Kunddata och Viadues rätt att använda den består även efter Avtalets upphörande.

4.4 Export av Kunddata

4.4.1 Kunden kan när som helst exportera sin Kunddata. Export är inte obligatorisk, men om Kunden önskar bevara Kunddata för framtida bruk ska export ske före Avtalets upphörande. Lagring och radering efter upphörandet regleras i punkt 15.9.

4.4.2 Vid Kundens uppsägning eller begäran om portering till annan leverantör eller egen infrastruktur lämnar Viadue, i enlighet med förordning (EU) 2023/2854 (“Dataförordningen”), rimligt bistånd, upprätthåller driftskontinuitet och skälig säkerhet fram till bytet är genomfört, samt informerar om kända risker. Exporterbar Kunddata tillhandahålls i ett strukturerat, vanligen använt och maskinläsbart format. Specifikation av exporterbar data tillhandahålls på begäran.

4.4.3 Om porteringen av tekniska skäl inte kan slutföras inom tre (3) månader meddelar Viadue Kunden skälen och beräknad färdigställandetid, dock högst inom Dataförordningens maximala period. Exportarbete utöver Viadues standardexport debiteras, i den utsträckning sådana kostnader är tillåtna enligt Dataförordningen.

4.4.4 Sägs Avtalet upp i samband med begäran om portering upphör Avtalet efter utgången av innevarande Abonnemangsperiod. Denna punkt 4.4 påverkar inte Viadues rätt till ersättning för förtida uppsägning av tidsbestämt Avtal enligt punkt 10.6.

4.5 AI-modellträning. Generella AI-modeller tränas endast på (a) data som Viadue själv har rätt att använda för ändamålet, (b) syntetisk data, eller (c) aggregerad och anonymiserad data. Viadue får behandla Kunddata för att tillhandahålla och drifta Tjänsten enligt avsnitt 15, vilket kan inkludera förbättringar av Tjänstens prestanda inom Kundens egen tjänsteinstans utan att modelluppdateringar delas mellan kunder. Parternas respektive roller, skyldigheter och ansvar i förhållande till AI Act regleras i Del III – AI-Förordningen i detta Avtal.

5. Betalning och fakturering

5.1 Priser, faktureringsperioder och betalningsvillkor anges i Kundavtalet. Samtliga priser anges exklusive mervärdesskatt (moms).

5.2 Fakturering sker via e-post till den faktura-e-postadress som Kunden angivit. Kunden godkänner e-post som faktureringsmetod och ansvarar för att tillhandahålla och hålla en korrekt faktura-e-postadress uppdaterad. Faktura anses ha kommit Kunden tillhanda dagen efter avsändande.

5.3 Betalning sker mot faktura. Betalningsvillkor är trettio (30) dagar netto om inget annat avtalats. Om Kunden påbörjar användning av Tjänsten eller erlägger betalning för Tjänsten utan att ett Kundavtal har undertecknats, anses Kunden ha accepterat dessa Allmänna Villkor under förutsättning att villkoren har gjorts tillgängliga för Kunden.

5.4 Vid försenad betalning utgår dröjsmålsränta motsvarande Riksbankens referensränta plus tolv (12) procentenheter samt lagstadgad påminnelseavgift och inkassoavgift enligt lag (1981:739) om ersättning för inkassokostnader.

5.5 Viadue har rätt att justera priser inför varje ny avtalsperiod. Prisjusteringar meddelas skriftligen minst 30 dagar före den nya periodens början. Om Kunden inte accepterar prisjusteringen har Kunden rätt att säga upp Avtalet med verkan från det datum prisjusteringen träder i kraft.

6. Tillgänglighet, support och garantier

6.1 Viadue strävar efter hög tillgänglighet men lämnar inga garantier för avbrottsfri drift. Planerat underhåll aviseras i rimlig tid.

6.2 Support tillhandahålls via e-post. Eventuella utökade supportnivåer regleras i Kundavtalet.

6.3 Tjänsten och dess innehåll tillhandahålls i befintligt skick utan garantier av något slag. I den fulla utsträckning lagen tillåter friskriver sig Viadue från alla garantier, uttryckliga eller underförstådda, inklusive garantier för lämplighet för visst ändamål och felfrihet. Viadue lämnar inga garantier gällande exaktheten, tillförlitligheten, fullständigheten eller aktualiteten för Tjänstens innehåll.

6.4 Viadue har rätt att tillfälligt stänga av Kundens tillgång till Tjänsten om Kunden väsentligt bryter mot Avtalet, vid försenad betalning överstigande femton (15) dagar och efter skriftlig påminnelse med minst sju (7) dagars varsel eller om det krävs för att skydda Tjänstens säkerhet eller andra kunders data. Viadue ska skriftligen meddela Kunden innan avstängning sker.

7. Ansvarsbegränsning

7.1 Viadues ansvar under Avtalet är begränsat till direkt skada. Såvida Viadue inte agerat med uppsåt eller grov vårdslöshet är Viadues ersättningsskyldighet under löpande period om tolv (12) månader begränsad till ett prisbasbelopp enligt 2 kap. 7 § socialförsäkringsbalken (2010:110). Begränsningarna i denna punkt 7.1 gäller inte (i) skadestånd för personskada eller dödsfall, eller (ii) annat ansvar som enligt tvingande rätt inte kan begränsas.

7.2 Viadue ansvarar inte för indirekta skador, följdskador, utebliven vinst, förlust eller skada på data eller avbrott i Kundens verksamhet. Viadue ansvarar inte heller gentemot tredje man, till exempel Slutanvändare, Kundens anställda, kunder eller leverantörer.

7.3 Ansvarsbegränsningarna i punkt 7.1–7.2 gäller inte vid uppsåt eller grov vårdslöshet.

7.4 Tjänstens AI-genererade svar tillhandahålls i informationssyfte och utgör inte professionell rådgivning. Kunden ansvarar för att granska de AI-genererade svar Kunden lägger in i Tjänsten i den utsträckning som krävs för Kundens verksamhet och för beslut som fattas baserat på sådana svar. Viadue ansvarar inte för enstaka felaktigheter i AI-genererade svar, men ansvarar för att vidta skäliga åtgärder för att avhjälpa systematiska och återkommande fel i Tjänstens automatiserade funktionalitet som rapporteras av Kunden och som dokumenterats genom skriftlig felanmälan. Enstaka felaktigheter, hallucinationer eller misstolkningar i AI-genererade svar omfattas inte av Viadues åtagande att avhjälpa.

7.5 Skadeståndsanspråk ska anmälas skriftligen till Viadue så snart som möjligt, dock senast inom två (2) månader efter att omständigheten som föranledde anspråket upptäcktes eller borde ha upptäckts.

7.6 Om tredje man riktar krav mot Viadue som uppstått på grund av Kundens eller dess Användares användning av Tjänsten i strid med Avtalet eller genom försumlighet, eller på grund av Tjänstens automatiserade behandling av kommunikation som följer av Kundens egna instruktioner, rutiner, svarsmallar eller eskaleringskriterier som inlagts i Tjänsten, ska Kunden hålla Viadue skadeslöst genom att ersätta Viadue för den skada eller förlust Viadue lidit på grund av kravet.

8. Sekretess

8.1 Vardera Part förbinder sig att inte röja konfidentiell information som mottagits från den andra Parten i samband med Avtalet. Konfidentiell information enligt detta avsnitt omfattar uttryckligen, men är inte begränsad till: (i) kommersiella villkor och prissättning, (ii) tekniska specifikationer av Tjänsten, samt (iii) Viadues AI-modellarkitektur och konfiguration. Sådan information får inte röjas eller spridas till tredje part utan den andra Partens skriftliga medgivande. Sekretessåtagandet gäller inte information som:

8.2 Vardera Part ska genom sekretessförbindelse med personal eller andra lämpliga åtgärder tillse att sekretessen iakttas. Part ansvarar för att även underleverantörer som deltar i utförandet av Avtalet omfattas av motsvarande sekretessåtagande.

8.3 Sekretessåtagandet gäller under Avtalstiden och i fem (5) år därefter. För information som utgör företagshemlighet enligt lagen (2018:558) om företagshemligheter gäller sekretessåtagandet så länge informationen behåller sin karaktär av företagshemlighet.

9. Underleverantörer

9.1 Viadue har rätt att anlita underleverantörer för fullgörande av sina förpliktelser enligt Avtalet. Viadue ansvarar för utförandet av de avtalsförpliktelser som utförs av underleverantörer såsom om de hade utförts av Viadue själv. Viadue använder underleverantörer inom följande kategorier: infrastruktur och hosting; AI-modelltjänster; kommunikationsleverantörer (mejl, SMS); fastighets- och boendetjänster; analysverktyg; säkerhet och övervakning; betalning och fakturering; säljverktyg. En förteckning över de underleverantörer som behandlar personuppgifter för Kundens räkning (“Underbiträden”) tillhandahålls på följande viadue.com/legal/subprocessors. Kunden informeras om ändringar av underbiträden enligt punkt 15.5.2 och följderna av sådana ändringar regleras vidare i punkterna 15.5.3–15.5.4.

10. Avtalstid, uppsägning och förlängning

10.1 Avtalets löptid och eventuell tidsbegränsning anges i Kundavtalet. Om inget annat avtalats löper Avtalet tills vidare.

10.2 Vardera Part kan säga upp Avtalet med den uppsägningstid som anges i Kundavtalet, dock minst trettio (30) dagar, genom skriftligt meddelande i enlighet med avsnitt 13. Uppsägning träder i kraft vid utgången av den uppsägningstid som gäller.

10.3 Viadue har rätt att säga upp Avtalet med omedelbar verkan om Kunden väsentligt bryter mot Avtalet och inte vidtar rättelse inom femton (15) dagar efter skriftlig uppmaning.

10.4 Om Kunden försätts i konkurs, inleder likvidationsförfarande, ställer in betalningarna eller på annat sätt kan befaras vara på obestånd har Viadue rätt att säga upp Avtalet med omedelbar verkan.

10.5 Vid Avtalets upphörande upphör Kundens åtkomst till Tjänsten. Hantering av Kunddata efter upphörande regleras i avsnitt 15.

10.6 Förtida uppsägning av tidsbestämda avtal. Om Avtalet ingåtts för en bestämd period enligt Kundavtalet och Kunden säger upp Avtalet före utgången av sådan period av annan anledning än Viadues väsentliga avtalsbrott, prisjustering enligt punkt 5.5, väsentlig villkorsändring enligt punkt 11.1, befogad invändning mot underbiträde enligt punkt 15.5.3, eller force majeure enligt punkt 12, har Viadue rätt till ersättning motsvarande de avgifter som skulle ha utgått fram till den avtalade periodens utgång, eller det belopp som anges i Kundavtalet. Sådan ersättning utgör en uppsägningsavgift för förtida uppsägning av tidsbestämt avtal och utgör inte en switching charge i den mening som avses i förordning (EU) 2023/2854.

11. Ändringar av villkoren

11.1 Viadue har rätt att ändra dessa Allmänna Villkor. Om ändringen förväntas innebära en väsentlig nackdel för Kunden ska Viadue informera Kunden senast trettio (30) dagar dessförinnan. Kunden har rätt att, senast den dag ändringen börjar gälla, meddela Viadue att Kunden säger upp Avtalet med verkan från den dag ändringen träder i kraft.

11.2 Fortsätter Kunden att använda Tjänsten efter att en ändring trätt i kraft anses Kunden ha accepterat ändringen.

12. Force majeure

12.1 Ingen Part ska ansvara för försening eller underlåtenhet att fullgöra sina skyldigheter enligt Avtalet i den mån detta beror på omständigheter utanför Partens rimliga kontroll, såsom naturkatastrof, krig, pandemi, myndighetsåtgärd, allvarliga störningar i allmänna kommunikationssystem, avbrott hos underleverantörer eller annan jämförbar händelse, inklusive cybersäkerhetsattacker som inte rimligen kunnat förhindras (såsom DDoS-attacker, ransomware och nolldagssårbarheter), allvarliga driftavbrott hos hyperscaler-/molnleverantörer trots Viadues rimliga aktsamhet vid val av sådan leverantör, samt avbrott i el- eller internetinfrastruktur.

12.2 Den berörda Parten ska utan onödigt dröjsmål meddela den andra Parten och vidta skäliga åtgärder för att begränsa skadan. Om förhållandet kvarstår i mer än nittio (90) dagar har vardera Part rätt att säga upp Avtalet med omedelbar verkan.

12.3 Force majeure-förhållanden befriar inte Part från betalningsskyldighet som avser tjänster redan levererade före force majeure-händelsen.

13. Meddelanden

13.1 Meddelanden enligt Avtalet ska lämnas skriftligen via e-post till den adress som respektive Part angivit.

För Viadue: legal@viadue.com För Kunden: den e-postadress som anges i Kundavtalet.

13.2 Meddelande anses ha kommit motparten tillhanda dagen efter avsändande via e-post. Viadue kan även lämna meddelanden via Tjänsten; sådana meddelanden anses ha kommit Kunden tillhanda vid publicering. För meddelanden avseende väsentliga ändringar av Avtalet enligt punkt 11, prishöjningar enligt punkt 5.5 eller uppsägning kan Viadue använda både e-post och meddelande via Tjänsten.

14. Övriga bestämmelser

14.1 Avtalet utgör Parternas fullständiga reglering av de frågor som Avtalet berör och ersätter alla tidigare överenskommelser, muntliga som skriftliga, avseende dessa frågor.

14.2 Ingen Part får överlåta Avtalet eller rättigheter eller skyldigheter enligt Avtalet till tredje part utan den andra Partens skriftliga medgivande. Viadue får dock överlåta Avtalet helt eller delvis utan Kundens föregående godkännande.

14.3 Om någon bestämmelse i Avtalet skulle befinnas ogiltig ska detta inte innebära att Avtalet i övrigt är ogiltigt. Den ogiltiga bestämmelsen ska ersättas med en giltig bestämmelse som så nära som möjligt uppfyller samma syfte.

14.4 Avtalet lyder under svensk rätt. Tvister som uppstår i anledning av Avtalet ska i första hand lösas genom förhandling mellan Parterna. Om överenskommelse inte nås inom trettio (30) dagar ska tvisten slutligen avgöras genom skiljedom enligt Stockholms Handelskammares Skiljedomsinstituts (SCC) regler för förenklat skiljeförfarande. Skiljeförfarandets säte ska vara Göteborg och språket svenska. Skiljeförfarandet och skiljedomen ska omfattas av sekretess. Detta hindrar inte Part från att hos allmän domstol ansöka om interimistiska åtgärder eller om verkställighet av skiljedom. För tvister där tvisteföremålet uppgår till ett värde understigande etthundratusen (100 000) SEK gäller dock att tvisten ska avgöras vid Göteborgs tingsrätt.

14.5 Viadue har rätt att använda Kundens namn och logotyp som referens i sin marknadsföring, såvida Kunden inte skriftligen meddelar annat inom trettio (30) dagar från Avtalets ingående. Återkallelse efter denna period gäller endast nytt marknadsföringsmaterial som tas fram efter återkallelsen och påverkar inte redan publicerat material.

14.6 Vardera Part förbinder sig att inte erbjuda, lämna, begära eller ta emot någon otillbörlig förmån eller på annat sätt agera i strid med tillämplig antikorruptionslagstiftning i samband med fullgörande av Avtalet.

14.7 Vardera Part bekräftar att den, vid Avtalets ingående, inte är föremål för internationella sanktioner från EU, FN, OFAC eller motsvarande sanktionsorgan, och förbinder sig att iaktta tillämplig sanktionslagstiftning vid fullgörande av Avtalet. Viadue har rätt att säga upp Avtalet med omedelbar verkan om Kunden, dess ägare eller dess verkliga huvudmän blir föremål för sanktioner som omöjliggör fortsatt avtalsförhållande.

DEL II — PERSONUPPGIFTSBITRÄDESAVTAL (DPA)

15. Personuppgiftsbiträdesavtal

Detta avsnitt utgör det personuppgiftsbiträdesavtal (“Biträdesavtal”) som krävs enligt artikel 28.3 i förordning (EU) 2016/679 (“GDPR”) och är en integrerad del av Avtalet.

15.1 Roller och behandlingens omfattning

15.1.1 Kunden är personuppgiftsansvarig för den behandling av personuppgifter som sker genom Tjänsten. Viadue är personuppgiftsbiträde och behandlar personuppgifter uteslutande för den Personuppgiftsansvariges räkning och i enlighet med dennes dokumenterade instruktioner.

15.1.2 Viadue är självständigt personuppgiftsansvarig för behandling av kontaktuppgifter till Kundens kontaktpersoner i syfte att administrera kundrelationen.

15.1.3 Personuppgiftsbiträdets behandling av personuppgifter åt den Personuppgiftsansvarige avser tillhandahållande av Tjänsten, vilket omfattar: mottagning, AI-driven analys och kategorisering av hyresgästkommunikation (mejl, SMS); skapande och hantering av ärenden; eskalering till Kundens handläggare; samt lagring och visning av fastighets- och boendedata. Beslut som har rättslig effekt eller på liknande sätt i betydande grad påverkar en Slutanvändare (såsom beslut rörande hyresförhållandets bestånd, hyresvillkor, eller boendeanpassning) får inte fattas enbart på grundval av automatiserad behandling utan ska föregås av mänsklig granskning av Kundens handläggare. Tjänsten innehåller funktionalitet för sådan mänsklig översyn.

15.1.4 Behandlingen omfattar följande kategorier av registrerade och personuppgifter: hyresgäster, boende och andra personer som kommunicerar genom Tjänsten; kontaktuppgifter (namn, e-postadress, telefonnummer, adress, lägenhetsnummer); kommunikationsdata (meddelandeinnehåll, ärendehistorik, tidsstämplar); boendedata (lägenhetsnummer, hyresförhållandets varaktighet, fastighets- och byggnadstillhörighet); teknisk data (IP-adresser, enhetsidentifikatorer).

15.1.5 Behandlingen pågår under Avtalets löptid och under den period som följer av punkterna 15.9.1–15.9.2 för raderingsåtgärder.

15.2 Instruktioner

15.2.1 Personuppgiftsbiträdet förbinder sig att behandla personuppgifter endast i enlighet med de instruktioner som anges i Avtalet, inklusive detta avsnitt, och tillämplig dataskyddslagstiftning, och att dessa utgör de fullständiga instruktionerna som ska följas.

15.2.2 Om Personuppgiftsbiträdet bedömer att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige om detta. Personuppgiftsbiträdet är inte skyldigt att implementera en sådan instruktion.

15.3 Sekretess

15.3.1 Personuppgiftsbiträdet säkerställer att samtliga personer som behandlar personuppgifter för den Personuppgiftsansvariges räkning har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt.

15.4 Säkerhetsåtgärder

15.4.1 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 i GDPR. Åtgärderna inkluderar kryptering av data under transport och i vila, åtkomstkontroll, loggning och rutiner för incidenthantering. En aktuell beskrivning av Personuppgiftsbiträdets tekniska och organisatoriska säkerhetsåtgärder finns publicerad på https://viadue.com/legal/privacy/ säkerhet och uppdateras löpande.

15.5 Underbiträden

15.5.1 Den Personuppgiftsansvarige ger Personuppgiftsbiträdet ett allmänt förhandsgodkännande att anlita Underbiträden inom och utanför EU/EES för behandling av personuppgifter. Personuppgiftsbiträdet ska tillse att Underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter som de som följer av detta Biträdesavtal. Personuppgiftsbiträdet förblir fullt ansvarigt gentemot den Personuppgiftsansvarige för Underbiträdets utförande av sina skyldigheter så länge Personuppgiftsbiträdets skyldigheter kvarstår under Biträdesavtalet. Den Personuppgiftsansvarige godkänner genom ingåendet av Avtalet de Underbiträden som vid avtalstidens början framgår av den publika förteckningen på viadue.com/legal/subprocessors per dagen för Avtalets ingående.

15.5.2 En aktuell förteckning över Underbiträden, inklusive deras identitet, behandlingens art och geografiska placering, publiceras löpande på viadue.com/legal/subprocessors. Personuppgiftsbiträdet ska, genom uppdatering av den publika förteckningen och e-postnotifiering till Personuppgiftsansvariga, löpande informera den Personuppgiftsansvarige om anlitande av nya eller ersättning av befintliga Underbiträden. Den Personuppgiftsansvarige ska lämna eventuella invändningar skriftligen och utan oskäligt dröjsmål, dock senast inom trettio (30) dagar från det att informationen gjorts tillgänglig. På begäran ska Personuppgiftsbiträdet förse den Personuppgiftsansvarige med den information som denne skäligen kan begära för att bedöma om anlitandet av Underbiträdet säkerställer efterlevnaden av tillämplig dataskyddslagstiftning och detta Biträdesavtal.

15.5.3 Om den Personuppgiftsansvarige framställer en befogad invändning kring anlitandet av ett nytt Underbiträde, ska Parterna i god tro försöka nå en lösning. Om ingen lösning nås har den Personuppgiftsansvarige rätt att säga upp Avtalet utan extra kostnad med verkan från det datum det nya underbiträdet skulle anlitas. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Avtalet utan extra kostnad. En invändning anses befogad om den grundas på dokumenterad risk för bristande efterlevnad av tillämplig dataskyddslagstiftning eller detta Biträdesavtal från det aktuella underbiträdets sida.

15.5.4 Personuppgiftsbiträdet säkerställer genom skriftligt avtal att varje Underbiträde åläggs samma dataskyddsförpliktelser som följer av detta avsnitt. Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets behandling gentemot den Personuppgiftsansvarige.

15.6 Registrerades rättigheter

15.6.1 Om en registrerad utövar någon av sina rättigheter enligt GDPR gentemot Personuppgiftsbiträdet ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.

15.6.2 Personuppgiftsbiträdet ska, med beaktande av behandlingens art och med rimliga tekniska och organisatoriska åtgärder, bistå den Personuppgiftsansvarige med att uppfylla skyldigheterna avseende registrerades rättigheter enligt artiklarna 12–22 i GDPR. Tjänsten innehåller standardfunktionalitet för export, rättelse och radering av enskilda registrerades personuppgifter. Bistånd utöver vad som tillhandahålls genom Tjänstens standardfunktionalitet kan medföra ersättning enligt punkt 15.12.5.

15.7 Bistånd med säkerhetsskyldigheter

15.7.1 Personuppgiftsbiträdet ska, med beaktande av behandlingens art och den information som Personuppgiftsbiträdet har tillgång till, bistå den Personuppgiftsansvarige med att fullgöra skyldigheterna i artiklarna 32–36 i GDPR.

15.8 Personuppgiftsincidenter

15.8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål, och under alla omständigheter senast inom fyrtioåtta (48) timmar från det att Personuppgiftsbiträdet fått kännedom om incidenten, underrätta den Personuppgiftsansvarige efter att ha fått kännedom om en personuppgiftsincident. Personuppgiftsbiträdet ska, enligt tillämplig dataskyddslagstiftning, bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter. Om tillräcklig information inte kan tillhandahållas vid den initiala underrättelsen får uppgifterna lämnas successivt allt eftersom ytterligare information blir tillgänglig.

15.9 Radering vid avtalets upphörande

15.9.1 Vid Avtalets upphörande ska Personuppgiftsbiträdet radera samtliga personuppgifter som behandlats för den Personuppgiftsansvariges räkning, såvida inte lagring krävs enligt tillämplig lagstiftning. Kunden har möjlighet att begära export av Kunddata före radering i enlighet med punkt 4.4.

15.9.2 Radering ur Personuppgiftsbiträdets aktiva system ska vara utförd inom nittio (90) dagar från Avtalets upphörande. Radering ur säkerhetskopior och backupsystem sker enligt Personuppgiftsbiträdets ordinarie backup-retentionsschema, dock senast inom tolv (12) månader från Avtalets upphörande. Personuppgifter i backup är under denna period logiskt åtkomstskilda och behandlas inte aktivt.

15.9.3 På begäran ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande.

15.10 Granskning

15.10.1 Personuppgiftsbiträdet ska tillhandahålla den information som är nödvändig för att den Personuppgiftsansvarige ska kunna påvisa att skyldigheterna i artikel 28 i GDPR uppfylls, samt möjliggöra för och medverka till granskning som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal. Den Personuppgiftsansvarige ska i god tid, dock minst trettio (30) dagar, före en granskning informera Personuppgiftsbiträdet om sin avsikt att genomföra granskningen.

15.10.2 Personuppgiftsbiträdet kan uppfylla granskningsskyldigheten enligt punkt 15.10.1 genom att tillhandahålla aktuella revisorsrapporter avseende informationssäkerhet och dataskydd (såsom SOC 2 Type II eller ISO/IEC 27001-certifikat) utförda av oberoende revisor. På-plats-granskning får genomföras högst en gång per kalenderår, på Personuppgiftsbiträdets verksamhetsadress, under normal arbetstid, och får inte oskäligt störa Personuppgiftsbiträdets verksamhet. Personuppgiftsbiträdet har rätt till skälig ersättning för granskningsarbete som överstiger detta omfång.

15.11 Tredjelandsöverföringar

15.11.1 Personuppgifter kan komma att överföras till länder utanför EU/EES. Sådana överföringar sker med stöd av lämpliga skyddsåtgärder enligt kapitel V i GDPR, såsom EU-kommissionens standardavtalsklausuler (SCC), adekvansbeslut eller EU-US Data Privacy Framework (DPF). Personuppgiftsbiträdet genomför löpande bedömning av överföring avseende sådana överföringar i enlighet med Europeiska dataskyddsstyrelsens rekommendationer och dokumenterar dessa bedömningar.

15.12 Ansvar och ersättning

15.12.1 Parts ansvar för skador som inte uttryckligen regleras i detta avsnitt ska regleras genom avsnitt 7 i de Allmänna Villkoren. I den utsträckning det är tillåtet enligt tillämplig lag ska Personuppgiftsbiträdets totala ansvar under detta avsnitt vara begränsat i enlighet med ansvarsbegränsningarna i avsnitt 7.

15.12.2 Administrativ sanktionsavgift beslutad av tillsynsmyndighet och/eller domstol enligt artikel 83 i GDPR ska bäras av den Part som påförts avgiften. Ingen Part har rätt till ersättning från den andra Parten för sådan sanktionsavgift.

15.12.3 Den Personuppgiftsansvarige ska hålla Personuppgiftsbiträdet skadeslöst om och i den utsträckning Personuppgiftsbiträdet hålls ansvarig av en registrerad eller tredje part för behandling av personuppgifter som skett i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner (vilka inkluderar Kundens konfiguration, rutiner och svarsmallar inlagda i Tjänsten).

15.12.4 Om den Personuppgiftsansvarige i strid med tillämplig dataskyddslagstiftning underlåter att informera registrerade om en personuppgiftsincident och tillsynsmyndigheten förelägger Personuppgiftsbiträdet att åtgärda bristen, ska den Personuppgiftsansvarige ersätta Personuppgiftsbiträdets kostnader för att uppfylla tillsynsmyndighetens beslut.

15.12.5 Den Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för skäliga kostnader som uppkommer för aktiviteter under detta avsnitt som den Personuppgiftsansvarige efterfrågar och vilka går utöver vad som rimligtvis kan förväntas av Personuppgiftsbiträdet inom ramen för Tjänsten. Personuppgiftsbiträdet har även rätt till skälig ersättning för kostnader som uppkommer till följd av ändringar och/eller tillägg till instruktionerna.

DEL III — AI-styrning och ansvar

16. AI-förordningen och AI-ansvar

16.1 Roller enligt AI Act. Parterna är överens om att Viadue agerar som tillhandahållare (“Provider”) och Kunden som verksamhetsutövare (“Deployer”) i förhållande till Tjänsten enligt förordning (EU) 2024/1689 (“AI Act”). Vardera Part ansvarar för fullgörande av de skyldigheter som följer av AI Act för respektive roll, inklusive eventuella registreringskrav och dokumentationskrav.

16.2 Transparens och dokumentation. Viadue tillhandahåller teknisk dokumentation, transparensinformation om Tjänstens AI-system, samt loggning av relevanta händelser i den utsträckning som krävs för att Kunden ska kunna fullgöra sina skyldigheter som verksamhetsutövare enligt AI Act. Dokumentation tillhandahålls i Viadues standardiserade format.

16.3 Mänsklig översyn. Tjänsten innehåller funktionalitet för mänsklig översyn av automatiserade utfall. Kunden ansvarar för att etablera och tillämpa interna rutiner för mänsklig granskning innan kommunikation eller åtgärd som har rättslig eller motsvarande väsentlig effekt på en Slutanvändare verkställs. Viadue ansvarar inte för Slutanvändarrelaterade skador som följer av Kundens underlåtenhet att tillämpa sådan mänsklig översyn.

16.4 Bias och diskriminering. Viadue genomför rimliga åtgärder för att övervaka och mitigera systematisk bias i Tjänstens AI-modeller. Kunden ansvarar för att den input som matas in i Tjänsten (såsom rutiner, svarsmallar, eskaleringskriterier och historisk kommunikation) inte är diskriminerande eller i strid med tillämplig lagstiftning. Krav som riktas mot Viadue och som grundar sig på diskriminering eller bias i utdata till följd av Kundens input omfattas av Kundens skadeståndsansvar enligt punkt 7.6.

16.5 Klassificering och översyn. Om AI Act eller annan tillämplig lagstiftning kräver att Tjänsten klassificeras som ett högrisksystem för Kundens specifika användningsområde, ska Parterna i god tro samverka för att etablera ytterligare åtgärder som krävs för efterlevnad. Eventuella sådana åtgärder kan medföra justering av priset enligt punkt 5.5.

Vid frågor, kontakta legal@viadue.com

Bloom Ventures AB (org.nr 559489-9253)