INCI APIINCI API

Personuppgiftsbiträdesavtal

Ikraftträdandedatum: 26 mars 2026 · Senast uppdaterad: 26 mars 2026

Ladda ner PDF

Detta personuppgiftsbiträdesavtal („DPA”) utgör en del av användarvillkoren mellan Andrii Sukhanov, verksam som INCI API („Personuppgiftsbiträde”, „vi”, „oss”), autónomo registrerad i Spanien (NIE: Z2338955K), och den part som accepterar dessa villkor („Personuppgiftsansvarig”, „du”, „Kund”).

Detta DPA ingås enligt artikel 28 i EU:s allmänna dataskyddsförordning (Regulation 2016/679, „GDPR”) och återspeglar parternas överenskommelse om Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvariges räkning.

1. Definitioner

  • „Personuppgifter” avser all information som rör en identifierad eller identifierbar fysisk person („Registrerad”), enligt definitionen i artikel 4.1 i GDPR.
  • „Behandling” avser varje åtgärd eller serie av åtgärder beträffande Personuppgifter, oavsett om de utförs automatiserat eller inte, inklusive insamling, registrering, organisering, strukturering, lagring, anpassning, hämtning, läsning, användning, utlämning genom överföring, spridning, radering eller förstöring.
  • „Underbiträde” avser varje tredje part som engageras av Personuppgiftsbiträdet för att behandla Personuppgifter för Personuppgiftsansvariges räkning.
  • „Registrerad” avser den identifierade eller identifierbara fysiska person som Personuppgifterna avser.
  • „GDPR” avser allmänna dataskyddsförordningen (EU) 2016/679 från Europaparlamentet och rådet.
  • „Standardavtalsklausuler” (SCC) avser de avtalsklausuler som godkänts av Europeiska kommissionen för överföring av Personuppgifter till tredjeländer.

2. Omfattning och syfte

Personuppgiftsbiträdet behandlar Personuppgifter för Personuppgiftsansvariges räkning enbart för följande ändamål:

  • Tillhandahållande av INCI API-tjänsten, inklusive ingrediensanalys, produktsökning, säkerhetsbedömning, allergendetektering och hudkompatibilitetsanalys
  • Kontohantering, autentisering och auktorisation
  • Användningsuppföljning, rate limiting och fakturering
  • Tjänsteförbättring, prestandaövervakning och analys
  • Kundsupport och kommunikation

Personuppgiftsbiträdet ska inte behandla Personuppgifter för andra ändamål än de som anges i detta DPA eller som dokumenterats skriftligen av Personuppgiftsansvarig.

3. Typer av personuppgifter som behandlas

  • Kontodata: namn, e-postadress, hashat lösenord
  • API-användningsdata: begäranloggar, tidsstämplar, IP-adresser, åtkomna ändpunkter, svarskoder, identifierare för API-nycklar
  • Faktureringsdata: prenumerationsnivå, metadata för betalningsmetod (fullständiga betalningsuppgifter behandlas uteslutande av Stripe och lagras aldrig på våra servrar)
  • Tekniska data: webbläsartyp, enhetsinformation, operativsystem, hänvisande URL:er (insamlade via analys för tjänsteförbättring)

Personuppgiftsbiträdet behandlar inte särskilda kategorier av Personuppgifter (artikel 9 i GDPR) eller Personuppgifter som rör fällande domar (artikel 10 i GDPR).

4. Kategorier av registrerade

De Personuppgifter som behandlas enligt detta DPA avser följande kategorier av Registrerade:

  • Kundens anställda och uppdragstagare som har åtkomst till och använder INCI API
  • Slutanvändare av Kundens applikationer som integrerar med INCI API (i den mån deras data överförs via API-förfrågningar)

5. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska:

  1. Behandla Personuppgifter endast på dokumenterade instruktioner från Personuppgiftsansvarig, även avseende överföringar av Personuppgifter till ett tredjeland, om inte annat krävs enligt unionsrätt eller medlemsstats lag som Personuppgiftsbiträdet omfattas av
  2. Säkerställa att personer som är behöriga att behandla Personuppgifter har förbundit sig till sekretess eller omfattas av en lämplig lagstadgad sekretessplikt
  3. Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 i GDPR för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken
  4. Inte anlita ett annat personuppgiftsbiträde (underbiträde) utan föregående särskilt eller allmänt skriftligt godkännande från Personuppgiftsansvarig. Vid allmänt skriftligt godkännande ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om planerade ändringar avseende tillägg eller utbyte av underbiträden, så att Personuppgiftsansvarig får möjlighet att invända
  5. Med beaktande av behandlingens art bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, för att uppfylla skyldigheten att svara på Registrerads begäran om utövande av sina rättigheter
  6. Bistå Personuppgiftsansvarig med att fullgöra skyldigheterna enligt artiklarna 32–36 i GDPR, med beaktande av behandlingens art och den information som Personuppgiftsbiträdet förfogar över
  7. Efter Personuppgiftsansvariges val radera eller återlämna alla Personuppgifter till Personuppgiftsansvarig efter avslutad tjänstgöring och radera befintliga kopior, om inte unionsrätt eller medlemsstats lag kräver lagring av Personuppgifterna
  8. Tillgängliggöra för Personuppgiftsansvarig all information som krävs för att visa att skyldigheterna i artikel 28 i GDPR uppfylls och möjliggöra och bidra till granskningar, inklusive inspektioner, som genomförs av Personuppgiftsansvarig eller annan revisor utsedd av Personuppgiftsansvarig

6. Säkerhetsåtgärder

Personuppgiftsbiträdet vidtar följande tekniska och organisatoriska åtgärder för att skydda Personuppgifter i enlighet med artikel 32 i GDPR:

  • Kryptering vid överföring: All data som överförs mellan klienter och servrar krypteras med TLS 1.2 eller högre (HTTPS)
  • Kryptering i vila: Databaslagringen använder MongoDB-kryptering i vila för alla lagrade Personuppgifter
  • Åtkomstkontroller: Autentisering via JWT-tokens och API-nycklar; rollbaserad åtkomstkontroll; principen om minsta möjliga behörighet
  • Lösenordsskydd: Användarlösenord lagras med bcrypt-hashning och lämpliga kostnadsfaktorer; API-nycklar lagras som säkra hashar
  • Infrastruktursäkerhet: Brandväggsskyddad infrastruktur (UFW med begränsade portar), regelbundna säkerhetsuppdateringar och patchar
  • Serverplats: DigitalOcean-infrastruktur (för närvarande i USA; migrering till EU/EES-datacenter planerad)
  • Betalningsdata: Inga betalkortsuppgifter lagras på våra servrar. All betalningsbehandling hanteras av Stripe, som upprätthåller PCI DSS Level 1-efterlevnad
  • Övervakning: Automatiserad övervakning, loggning och larm för säkerhetshändelser och anomalier

7. Underbiträden

Personuppgiftsansvarig ger Personuppgiftsbiträdet allmänt godkännande att anlita följande underbiträden. Personuppgiftsbiträdet ska informera Personuppgiftsansvarig om planerade ändringar avseende tillägg eller utbyte av underbiträden med minst 30 dagars skriftligt varsel, så att Personuppgiftsansvarig får möjlighet att invända mot sådana ändringar.

Underbiträden anlitade av INCI API
UnderbiträdeSyftePlats
DigitalOceanInfrastrukturhostingUSA (migrering till EU planerad)
StripeBetalningsbehandlingUSA (EU-datacenter)
Google AnalyticsWebbanalysUSA (databehandling i EU)
Microsoft ClaritySessionsanalysUSA

Om Personuppgiftsansvarig invänder mot ett nytt underbiträde av rimliga skäl med koppling till dataskydd ska parterna diskutera frågan i god tro. Om ingen lösning nås inom 30 dagar kan Personuppgiftsansvarig säga upp de berörda tjänsterna utan vite.

8. Dataöverföringar

Personuppgifter kan överföras till och behandlas i länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet. Vid sådana överföringar säkerställer Personuppgiftsbiträdet att lämpliga skyddsåtgärder finns på plats i enlighet med kapitel V i GDPR, inklusive:

  • Standardavtalsklausuler (SCC) godkända av Europeiska kommissionen (genomförandebeslut (EU) 2021/914)
  • Adekvansbeslut från Europeiska kommissionen där tillämpligt
  • Ytterligare tekniska och organisatoriska åtgärder för att komplettera överföringsmekanismer där så krävs, i enlighet med Schrems II-domen (mål C-311/18)

9. Anmälan av personuppgiftsincidenter

Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarig utan onödigt dröjsmål och i vart fall inom 72 timmar efter att ha fått kännedom om en personuppgiftsincident enligt artikel 4.12 i GDPR. Anmälan ska innehålla:

  • En beskrivning av incidentens art, inklusive kategorier och ungefärligt antal Registrerade och berörda poster
  • Namn och kontaktuppgifter till dataskyddskontaktperson från vilken ytterligare information kan inhämtas
  • En beskrivning av sannolika konsekvenser av incidenten
  • En beskrivning av åtgärder som vidtagits eller föreslagits för att hantera incidenten, inklusive åtgärder för att mildra eventuella negativa effekter

Personuppgiftsbiträdet ska samarbeta med Personuppgiftsansvarig och vidta rimliga kommersiella åtgärder för att bistå utredning, begränsning och åtgärdande av varje sådan incident.

10. Registrerades rättigheter

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig att uppfylla skyldigheten att svara på Registrerads förfrågningar om utövande av sina rättigheter enligt kapitel III i GDPR, inklusive:

  • Rätt till tillgång (artikel 15)
  • Rätt till rättelse (artikel 16)
  • Rätt till radering / rätten att bli bortglömd (artikel 17)
  • Rätt till begränsning av behandlingen (artikel 18)
  • Rätt till dataportabilitet (artikel 20)
  • Rätt att göra invändningar (artikel 21)

Om Personuppgiftsbiträdet får en begäran direkt från en Registrerad ska denne omedelbart underrätta Personuppgiftsansvarig och inte besvara begäran utan föregående skriftligt godkännande från Personuppgiftsansvarig, om det inte föreligger en lagstadgad skyldighet att göra det.

11. Granskningsrätt

Personuppgiftsansvarig kan granska Personuppgiftsbiträdets efterlevnad av detta DPA. Granskningar ska omfattas av följande villkor:

  • Personuppgiftsansvarig ska lämna minst 30 dagars skriftligt varsel
  • Granskningar ska genomföras högst en gång per kalenderår, om inte en tillsynsmyndighet kräver det eller efter en personuppgiftsincident
  • Granskningar ska genomföras under normal kontorstid och får inte oskäligt störa Personuppgiftsbiträdets verksamhet
  • Personuppgiftsansvarig ska bära kostnaderna för granskningen, utom när granskningen visar väsentlig bristande efterlevnad av Personuppgiftsbiträdet
  • Personuppgiftsansvarig får anlita en kvalificerad, oberoende tredjepartsrevisor, med förbehåll för rimliga sekretessåtaganden

12. Giltighetstid och uppsägning

Detta DPA gäller under tjänsteavtalets giltighetstid mellan parterna. Vid uppsägning av tjänsteavtalet:

  • Ska Personuppgiftsbiträdet, efter Personuppgiftsansvariges val, radera eller återlämna alla Personuppgifter inom 30 dagar från uppsägningsdatumet
  • Ska Personuppgiftsbiträdet radera befintliga kopior av Personuppgifter, om inte unionsrätt eller medlemsstats lag kräver lagring (t.ex. skatte- och finansiella uppgifter enligt spansk lag)
  • Ska Personuppgiftsbiträdet på begäran av Personuppgiftsansvarig tillhandahålla skriftligt intyg om radering

13. Tillämplig lag

Detta DPA ska regleras av och tolkas enligt Konungariket Spaniens lagar, utan hänsyn till dess lagvalsbestämmelser. GDPR ska gälla för alla frågor som rör behandling av Personuppgifter. Eventuella tvister enligt detta DPA ska omfattas av exklusiv jurisdiktion för domstolarna på Kanarieöarna, Spanien (Santa Cruz de Tenerife).

14. Kontakt

För frågor, funderingar eller förfrågningar som rör detta personuppgiftsbiträdesavtal, kontakta oss:

Dataskyddskontakt

Andrii Sukhanov

Av. Marítima 2, puerta 05c
Los Silos, Santa Cruz de Tenerife, España

E-post: privacy@inciapi.com

Webbplats: inciapi.com

Relaterade dokument