The Swedish version of this document is the legally binding version.
View the original version in SwedishData Processing Addendum (DPA)
Last updated: 2026-03-18
1. Inledning
Detta personuppgiftsbiträdesavtal ("DPA") reglerar behandlingen av personuppgifter som utförs av PriceLotterys underbiträden (sub-processorer) i enlighet med artikel 28 i EU:s dataskyddsförordning (GDPR). Avtalet kompletterar vår integritetspolicy och beskriver hur vi säkerställer att alla tredjeparter som behandlar personuppgifter för vår räkning uppfyller GDPR:s krav.
Personuppgiftsansvarig: PriceLottery, Dyviksvägen 78, 184 91 Åkersberga, Sverige.
Kontakt: privacy@pricelottery.se
2. Förteckning över underbiträden (sub-processorer)
Följande tjänsteleverantörer behandlar personuppgifter som underbiträden åt PriceLottery. Vi har säkerställt att varje leverantör uppfyller GDPR:s krav genom avtal, tekniska åtgärder och lämpliga skyddsmekanismer för eventuella tredjelandsöverföringar.
2.1 Stripe (Betalningshantering)
| Leverantör | Stripe, Inc. / Stripe Payments Europe, Ltd. |
| Syfte | Behandling av betalningar (kort, prenumerationer, fakturor) |
| Personuppgifter som behandlas | E-postadress, betalningsmetod-token, transaktionsbelopp, Stripe-kund-ID. PriceLottery lagrar aldrig kortnummer. |
| Plats | EU (Irland) med möjlig överföring till USA |
| Skyddsåtgärder | EU-US Data Privacy Framework, standardavtalsklausuler (SCC), PCI DSS Level 1-certifiering |
| Integritetspolicy | stripe.com/privacy |
2.2 Resend (E-postleverans)
| Leverantör | Resend, Inc. |
| Syfte | Utskick av transaktionella e-postmeddelanden (magic links, prisaviseringar, veckosammanfattningar) |
| Personuppgifter som behandlas | E-postadress, e-postinnehåll (som kan innehålla namn och bevakade produkter) |
| Plats | USA |
| Skyddsåtgärder | Standardavtalsklausuler (SCC), kryptering vid transport (TLS) |
| Integritetspolicy | resend.com/legal/privacy-policy |
2.3 SendGrid (Alternativ e-postleverans)
| Leverantör | Twilio SendGrid (Twilio Inc.) |
| Syfte | Alternativ e-postleverantör för transaktionella utskick |
| Personuppgifter som behandlas | E-postadress, e-postinnehåll |
| Plats | USA med EU-datacenter |
| Skyddsåtgärder | EU-US Data Privacy Framework, SCC, SOC 2 Type II |
| Integritetspolicy | twilio.com/legal/privacy |
2.4 Vercel (Hosting och CDN)
| Leverantör | Vercel Inc. |
| Syfte | Hosting av webbapplikation, edge-rendering, serverless functions |
| Personuppgifter som behandlas | IP-adress (i serverloggar), HTTP-förfrågningar (inklusive cookies) |
| Plats | Primär datalagring i EU (Frankfurt). Edge-nöder globalt. |
| Skyddsåtgärder | SCC, SOC 2 Type II, GDPR Data Processing Addendum |
| Integritetspolicy | vercel.com/legal/privacy-policy |
2.5 PostgreSQL-hosting (Databas)
| Leverantör | Hostingleverantör för PostgreSQL-databas (EU-baserad) |
| Syfte | Lagring av alla applikationsdata (användarkonton, erbjudanden, recensioner, klickhändelser) |
| Personuppgifter som behandlas | Alla personuppgifter i databasen: e-post, namn, hashade IP-adresser, bevakningar, recensioner, sessionsdata |
| Plats | EU/EES |
| Skyddsåtgärder | Kryptering i vila (AES-256) och vid transport (TLS), automatiska säkerhetskopior, åtkomstbegränsning |
2.6 Redis-hosting (Cache och köer)
| Leverantör | Hostingleverantör för Redis (EU-baserad) |
| Syfte | Caching, rate limiting, BullMQ-jobbköer, sessionshantering |
| Personuppgifter som behandlas | Sessionstoken, cachade användardata, hashade IP-adresser (rate limiting) |
| Plats | EU/EES |
| Skyddsåtgärder | Kryptering vid transport (TLS), lösenordsskyddad åtkomst, nätverksisolering |
2.7 OpenSearch (Sökmotor)
| Leverantör | Hostingleverantör för OpenSearch (EU-baserad) |
| Syfte | Sökindex för erbjudanden, autokomplettering, filtrering |
| Personuppgifter som behandlas | Inga direkta personuppgifter — enbart produktdata. Sökfrågor loggas inte på individnivå. |
| Plats | EU/EES |
| Skyddsåtgärder | TLS-kryptering, åtkomstbegränsning, nätverksisolering |
3. Mekanismer för dataöverföring till tredjeland
När personuppgifter överförs till länder utanför EU/EES säkerställer vi att en av följande skyddsmekanismer finns på plats:
- Beslut om adekvat skyddsnivå — EU-kommissionen har bedömt att mottagarlandet säkerställer en adekvat skyddsnivå (t.ex. EU-US Data Privacy Framework för certifierade amerikanska företag).
- Standardavtalsklausuler (SCC) — Avtal godkända av EU-kommissionen som säkerställer tillräckligt dataskydd (Art. 46.2.c GDPR).
- Kompletterande åtgärder — Där det behövs tillämpar vi tekniska åtgärder såsom kryptering och pseudonymisering i enlighet med EDPB:s riktlinjer.
4. Säkerhetsåtgärder (Art. 32 GDPR)
PriceLottery och alla underbiträden vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter:
- Kryptering vid transport — All kommunikation sker över TLS 1.2+.
- Kryptering i vila — Databaser krypteras med AES-256.
- Hashning av IP-adresser — Råa IP-adresser hashas med SHA-256 och hemligt salt innan lagring.
- Åtkomstkontroll — Rollbaserad åtkomstkontroll (RBAC) för alla system.
- Loggning och övervakning — Alla åtkomster till personuppgifter loggas.
- Säkerhetskopiering — Dagliga krypterade säkerhetskopior med testade återställningsrutiner.
- Incidenthantering — Dokumenterad process för hantering av personuppgiftsincidenter.
5. Personuppgiftsincidenter (Art. 33–34 GDPR)
Vid en personuppgiftsincident följer PriceLottery följande process:
- Inom 24 timmar: Intern utredning påbörjas. Alla berörda underbiträden kontaktas.
- Inom 72 timmar: Om incidenten innebär en risk för fysiska personers rättigheter och friheter anmäls den till Integritetsskyddsmyndigheten (IMY) i enlighet med Art. 33 GDPR.
- Utan onödigt dröjsmål: Om incidenten sannolikt medför en hög risk för de registrerades rättigheter informeras berörda individer direkt (Art. 34 GDPR).
- Dokumentation: Alla incidenter dokumenteras med beskrivning, påverkade uppgifter, vidtagna åtgärder och lärdomar.
Alla underbiträden är avtalsenligt skyldiga att underrätta PriceLottery om eventuella personuppgiftsincidenter utan onödigt dröjsmål.
6. Revisionsrättigheter
PriceLottery förbehåller sig rätten att, direkt eller genom en oberoende tredjepartsrevisor:
- Granska underbiträdens dataskyddsåtgärder och efterlevnad av GDPR.
- Begära dokumentation över tekniska och organisatoriska åtgärder.
- Utföra revisioner med rimligt varsel (normalt 30 dagars förvarning).
Underbiträden som inte kan uppvisa tillräckliga skyddsåtgärder ersätts inom skälig tid.
7. Ändringar av underbiträden
Om PriceLottery avser att lägga till eller byta underbiträde uppdateras denna sida. För användare med konto skickas ett meddelande om väsentliga ändringar. Du har rätt att invända mot en ny underprocessor genom att kontakta privacy@pricelottery.se.
8. Kontakt
Frågor om detta personuppgiftsbiträdesavtal riktas till:
PriceLottery
Dyviksvägen 78, 184 91 Åkersberga, Sverige
E-post: privacy@pricelottery.se