Gå direkt till huvudinnehåll
OpenAI

Updated: 1 december 2025

OpenAI:s tillägg om databehandling

Ladda ner PDF(öppnas i ett nytt fönster)

Gäller från och med den 1 januari 2026

(Visa tidigare tillägg om databehandling)

Detta tillägg om OpenAI:s databehandling ("DPA") kompletterar och införlivas i OpenAI:s tjänsteavtal ("Avtalet") som styr användningen av tjänsterna och träder i kraft från och med giltighetsdatumet mellan den ovan angivna kunden ("Kunden") och OpenAI OpCo, LLC för dess räkning och för dess dotterbolag när så är lämpligt om inte kunden befinner sig i ett land inom det Europeiska ekonomiska samarbetsområdet eller Schweiz i vilket fall det ingås med OpenAI Ireland Ltd. för dess räkning och för dess dotterbolag när så är lämpligt ("OpenAI"). Termer som inleds med versaler och som inte definieras i DPA har de betydelser som anges i avtalet. I detta DPA kallas OpenAI och kunden var för sig för en "part" och tillsammans "parterna". Kunden försäkrar att han har laglig rätt att ingå detta avtal och (om avtalet ingårs för en enhet) att han har rättslig befogenhet att binda enheten. Genom att klicka på "Jag godkänner" (d.v.s. godkänna beställningsformuläret) eller använda tjänsterna godkänner kunden detta avtal.

1. Detaljer.

  • 1.1 Omfattning och roller. Som en del av att tillhandahålla tjänsterna till kunden enligt avtalet kan OpenAI behandla kunddata på kundens vägnar. OpenAI agerar som personuppgiftsbiträde på kundens vägnar och denna DPA reglerar sådan behandling.
  • 1.2 Detaljer om bearbetning. OpenAI kommer endast att behandla kunddata för att tillhandahålla tjänsterna till kunden enligt avtalet och denna DPA. Detaljer om karaktären, varaktigheten och typerna av kunddata och kategorier av registrerade personer som är inblandade anges i bilaga 1 (Detaljer om behandling) till denna DPA. OpenAI och kunden åtar sig att uppfylla sina respektive skyldigheter enligt dataskyddslagarna i samband med tjänsterna.

2. OpenAI:s skyldigheter.

  • 2.1 Kundanvisningar. Parterna är överens om att denna DPA, avtalet (inklusive beställningsformuläret) och eventuella instruktioner som ges via konfigurationsverktygen och andra verktyg i tjänsterna som tillhandahålls av OpenAI utgör kundens dokumenterade instruktioner avseende OpenAI:s behandling av kunddata ("Kundens instruktioner"). OpenAI kommer endast att behandla kunddata i enlighet med kundens instruktioner såvida inte tillämplig lagstiftning kräver annat i vilket fall OpenAI kommer att informera kunden om detta före behandlingen såvida det inte är förbjudet enligt lag.
  • 2.2 Meddelanden till kunden. OpenAI kommer omedelbart att informera kunden skriftligen om (enligt OpenAI:s uppfattning) en kundinstruktion bryter mot dataskyddslagar. OpenAI kommer i den utsträckning som lagen tillåter att informera kunden om OpenAI mottar en rättsligt bindande begäran från en brottsbekämpande myndighet om att lämna ut kunddata.
  • 2.3 Konfidentialitet. OpenAI kommer att säkerställa att alla personer som är auktoriserade av OpenAI att behandla kunddata har förbundit sig till sekretess eller är under en lämplig lagstadgad sekretessplikt.
  • 2.4 Begäranden från registrerade personer. OpenAI kommer i den utsträckning det är tillåtet enligt lag att informera kunden om OpenAI mottar en begäran om utövande av registrerades rättigheter under dataskyddslagar ("Begäran från registrerad") avseende kunddata.  OpenAI kommer inte att svara på några begäranden utan kundens föregående skriftliga samtycke men kunden ger OpenAI tillåtelse att omdirigera begäranden från registrerade personer för att göra det möjligt för kunden att svara direkt. OpenAI kommer med hänsyn till behandlingens karaktär hjälpa kunden genom att implementera lämpliga tekniska och organisatoriska åtgärder i den mån det är möjligt för att göra det möjligt för kunden att svara på begäranden från registrerade personer.
  • 2.5 Säkerhet. OpenAI kommer att implementera och upprätthålla rimliga och lämpliga organisatoriska och tekniska säkerhetsåtgärder för att skydda kunddata enligt vad som anges i avtalet.
  • 2.6 Hjälp till kunden. OpenAI kommer med hänsyn till behandlingens karaktär och den information som finns tillgänglig för OpenAI att hjälpa kunden att uppfylla sina skyldigheter enligt dataskyddslagar, inklusive när så är lämpligt, med förberedelsen av konsekvensbedömningar gällande dataskydd avseende OpenAI:s behandling av kunddata och, när så är nödvändigt, konsultation med en tillsynsmyndighet med jurisdiktion över sådan behandling om sådan konsultation krävs av dataskyddslagar.
  • 2.7 Personuppgiftsincidenter. OpenAI kommer att meddela kunden utan onödigt dröjsmål efter att ha blivit medveten om en personuppgiftsincident. OpenAI kommer att hjälpa kunden med att uppfylla sina skyldigheter i samband med dataskyddslagar vid sådana personuppgiftsincidenter.
  • 2.8 Bedömning av efterlevnad. OpenAI kommer på kundens rimliga skriftliga begäran och i den utsträckning som krävs av dataskyddslagar: (i) högst en gång per år tillhandahålla kunden OpenAI:s integritets- och säkerhetspolicyer och annan sådan information som är nödvändig för att visa överensstämmelse med OpenAI:s skyldigheter enligt denna DPA, och (ii) förutsatt att parterna har ett lämpligt sekretessavtal på plats tillåta och bidra till granskningar eller inspektioner av (eller på uppdrag av) kunden på kundens egen bekostnad.  Sådan granskning eller inspektion måste: (A) genomföras på ett sätt som medför minimalt med störningar på OpenAI:s verksamhet, (B) vara nödvändig för att bekräfta att OpenAI behandlar kunddata i enlighet med denna DPA, och (C) ske högst en gång per år. När så är tillåtet enligt dataskyddslagarna kan OpenAI istället ge kunden en sammanfattning av de granskningsrapporter som är relevanta för OpenAI:s efterlevnad av denna DPA. Sådana resultat och dokumentation (inklusive resultaten av eventuella granskningar eller inspektioner) ska utgöra OpenAI:s konfidentiella information.
  • 2.9 Anlitande av underbiträden. Kunden ger härmed en allmän auktorisering till OpenAI att anlita de underbiträden som anges i listan över underbiträden för behandling av kunddata i samband med tjänsterna. OpenAI kommer att meddela kunden om eventuella ändringar i listan över underbiträden via blogginlägg, avisering i tjänsterna eller andra rimliga medel såsom e-post om du prenumererar på e-postaviseringar om uppdateringar av listan över underbiträden på webbplatsen. Du kan invända mot användningen av ett nytt underbiträde inom 30 dagar efter att ha mottagit meddelandet om ändringen genom att följa instruktionerna i listan över underbiträden eller genom att kontakta privacy@openai.com. I sådana fall kommer OpenAI att samarbeta med kunden för att hantera problemet och erbjuda kommersiellt rimliga alternativ eller lösningar. Om inga av alternativen eller lösningarna är kommersiellt genomförbara enligt OpenAI:s rimliga bedömning eller om invändningarna inte lösts till parternas belåtenhet inom 30 dagar efter att OpenAI mottagit invändningen från kunden kan endera part upphäva avtalet, eventuella beställningsformulär eller användning av tjänsterna som inte kan tillhandahållas utan användning av det nya underbiträdet. I sådant fall kommer kunden att återbetalas eventuella tillämpliga förbetalda avgifter i den utsträckning de täcker perioder eller villkor efter datumet för en sådan upphävning.
  • 2.10 Underbiträdens skyldigheter. OpenAI ska ingå avtal med varje underbiträde som ålägger dem skyldigheter jämförbara med de som åläggs OpenAI enligt denna DPA. Med förbehåll för ansvarsbegränsningarna i avtalet kommer OpenAI att förbli ansvarigt för sina underbiträdens handlingar och försummelser i den utsträckning som OpenAI skulle vara ansvarigt enligt denna DPA om de utförde sådana handlingar eller försummelser själva.
  • 2.11 Återlämning eller radering av data. Efter att avtalet löpt ut eller avslutats kommer OpenAI enligt dina instruktioner att återlämna eller radera kunddata och befintliga kopior såvida inte lagring av kunddata krävs enligt tillämplig lagstiftning. I sådant fall kommer OpenAI att isolera och skydda dem från vidare behandling förutom i den utsträckning som krävs enligt tillämplig lagstiftning.

3. Kundens skyldigheter.

  • 3.1 Meddelanden och auktoriseringar. Kunden intygar, garanterar och förbinder sig att han tillhandahållit alla nödvändiga meddelanden och har och ska upprätthålla under hela avtalsperioden alla nödvändiga rättigheter, samtycken och auktoriseringar i den utsträckning som krävs av dataskyddslagar för att tillhandahålla kunddata till OpenAI och för att auktorisera OpenAI att behandla kunddata i samband med avtalet, inklusive denna DPA.
  • 3.2 Samarbete. Kunden ska i rimlig utsträckning samarbeta med OpenAI för att hjälpa OpenAI att uppfylla sina skyldigheter enligt tillämpliga dataskyddslagar.
  • 3.3 Konfigurationer. Kunden erkänner och godkänner utan att det påverkar OpenAI:s säkerhetsåtaganden i avsnitt 2.5 i denna DPA att han är ansvarig för vissa konfigurations- och designbeslut i samband med tjänsterna samt för att implementera dessa beslut (t.ex. lagringsperioder, radering, etc.) på ett sätt som följer gällande dataskyddslagar.

4. Internationella dataöverföringar.

  • 4.1 EEA och schweiziska data. Kunddata som behandlas av OpenAI enligt denna DPA kan omfattas av dataskyddslagarna i Europeiska ekonomiska samarbetsområdet eller Schweiz ("EES och schweiziska data"). Oavsett vilken OpenAI-avtalspart som är tillämplig enligt denna DPA instruerar kunden härmed OpenAI Ireland Limited att behandla all EES- och Schweiz-data i enlighet med denna DPA. I den utsträckning OpenAI Ireland Limited överför EES- och Schweiz-data till andra OpenAI-anslutna företag eller tredje parter utanför Europeiska ekonomiska samarbetsområdet eller Schweiz för att tillhandahålla tjänsterna kommer detta att ske på grundval av avtal som innehåller SCC:er som säkerställer att lämpliga skyddsåtgärder för kunddata finns på plats eller ett beslut om adekvat skydd utfärdat av Europeiska kommissionen enligt artikel 45 GDPR.
  • 4.2 Brittisk data. Kunddata som behandlas av OpenAI enligt denna DPA kan omfattas av Storbritanniens dataskyddslagar ("Brittisk data"). Oavsett vilken OpenAI-avtalspart som är tillämplig under denna DPA instruerar kunden härmed OpenAI OpCo, LLC att behandla all brittisk data i enlighet med denna DPA och med SCC:erna i dess ändrade form enligt tillägget för Storbritannien som anses ha ingåtts (och införlivats i denna DPA genom denna hänvisning) och slutförts enligt beskrivningen i bilaga 1.

5. Ytterligare krav.

I den utsträckning amerikanska integritetslagar är tillämpliga:

  • 5.1 OpenAI åtar sig att (a) inte ge kunden monetär eller annan värdefull ersättning i utbyte mot kunddata från kunden. 5.1 OpenAI åtar sig att (a) inte ge kunden monetär eller annan värdefull ersättning i utbyte mot kunddata från kunden. Parterna erkänner och är överens om att kunden inte har "sålt" (såsom begreppet definieras av amerikanska integritetslagar) kunddata till OpenAI; (b) inte "säljer" (såsom begreppet definieras av amerikanska integritetslagar) eller "delar" (såsom begreppet definieras av CCPA) personuppgifter; (c) i den utsträckning kunden tillåter eller instruerar OpenAI att behandla kunddata i enlighet med amerikanska integritetslagar i avidentifierad form som en del av tjänsterna ska OpenAI (i) vidta rimliga åtgärder för att förhindra att sådana avidentifierade uppgifter används för att härleda information om, eller på annat sätt kopplas till, en viss fysisk person eller ett visst hushåll; (ii) offentligt åta sig att behålla och använda sådana avidentifierade uppgifter i den formen och inte försöka omidentifiera informationen med undantag för vad som är tillåtet enligt amerikansa integritetslagar; och (iii) innan avidentifierade uppgifter delas med någon annan part, inklusive underbiträden, avtalsenligt förplikta sådana mottagare att följa kraven i denna bestämmelse innan delning av avidentifierad data med någon annan part, inklusive underleverantörer, avtalsmässigt förplikta sådana mottagare att följa kraven i denna bestämmelse (c)(i)-(iii); och (d) när kunddata omfattas av CCPA (i) inte lagra, använda, avslöja eller på annat sätt behandla kunddata förutom i den utsträckning som är nödvändig för de affärsändamål som anges i avtalet, inklusive men inte begränsat till vad som anges i Bilaga 1 i denna DPA; (ii) inte lagra, använda, avslöja eller på annat sätt behandla kunddata utanför den direkta affärsrelationen mellan OpenAI och kunden; (iii) inte kombinera kunddata med personuppgifter som OpenAI tar emot från eller på uppdrag av någon annan tredje part eller samlar in under OpenAI:s egna interaktioner med individer förutsatt att OpenAI får kombinera kunddata för ett ändamål som är tillåtet enligt CCPA om instruerad att göra så av kunden eller som annars är tillåtet av CCPA; (iv) meddela kunden utan onödigt dröjsmål om OpenAI fastställer att man inte längre kan uppfylla sina skyldigheter enligt CCPA; och (v) om kunden har rimliga skäl att anse att OpenAI:s behandling av kunddata inte överensstämmer med kraven i CCPA och efter att kunden rimligen meddelat OpenAI detta ska parterna samarbeta i god tro för att åtgärda problemet eller om kunden efter samarbete rimligen fastställer att problemet inte kan åtgärdas ska OpenAI upphöra med behandlingen av de berörda kunddatana efter skriftlig instruktion från kunden.
  • f. Kunden godkänner att inte vidta några åtgärder som skulle (i) göra tillhandahållandet av kunddata till OpenAI till en "försäljning" enligt amerikanska sekretesslagar eller en "delning" enligt CCPA (eller motsvarande begrepp enligt amerikanska sekretesslagar), eller (ii) göra OpenAI till något annat än en "tjänsteleverantör" enligt CCPA eller "behandlare" enligt amerikanska sekretesslagar.

6. Definitioner.

"Kunddata" avser personuppgifter som OpenAI behandlar för kundens räkning för tillhandahållande av tjänsterna

"Registeransvarig" har den betydelse som tilldelats termen "registeransvarig" (eller en annan liknande term) enligt dataskyddslagarna

"Personuppgiftsbiträde" har den betydelse som tilldelats termen "personuppgiftsbiträde" (eller en annan liknande term) enligt dataskyddslagarna

"Dataskyddslagar" avser dataskydds- och integritetslagar som är tillämpliga på OpenAI:s behandling av kunddata i samband med tjänsterna 

"Registrerad person" har den betydelse som tilldelats termen "registrerad person" (eller en annan liknande term) enligt dataskyddslagar

"GDPR" avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016

"Personuppgifter" har den betydelse som tilldelats termen "personuppgifter" eller "personlig information" (eller en annan liknande term) enligt dataskyddslagar

"Personuppgiftsincident" avser en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till kunddata som lagras, överförs eller på annat sätt behandlas av OpenAI, dess underbiträden eller andra tredje parter som agerar på OpenAI:s vägnar.

"Behandling" har den betydelse som tilldelats termen "behandling" (eller en annan liknande term) enligt dataskyddslagarna.

"SCC:er" avser de standardavtalsklausuler för överföring av personuppgifter till tredjeländer som antogs av EU-kommissionen den 4 juni 2021 (och som kan ändras, uppdateras eller ersättas)

"Underbiträden" avser de underbiträden som OpenAI anlitar för att behandla kunddata i samband med tjänsterna och som är listade i listan över underbiträden

"Lista över underbiträden" avser listan som finns tillgänglig på följande webbadress: https://platform.openai.com/subprocessors(öppnas i ett nytt fönster).

"Brittiskt tillägg" avser det brittiska tillägget till EU:s SCC som utfärdats av Information Commissioner enligt avsnitt 119A(1) i Data Protection Act 2018

"Amerikanska integritetslagar" avser de dataskyddslagar som är tillämpliga på invånare i USA, inklusive men inte begränsat till California Consumer Privacy Act ("CCPA")

Schema 1

Detaljer om bearbetning

Karaktär och syfte:

Utförandet av tjänsterna under avtalet.

2. Varaktighet:

Giltighetsperioden och den tid som därefter krävs för att parterna ska kunna fullgöra sina tillämpliga skyldigheter efter giltighetsperiodens slut, inklusive borttagning av data.

3. Kategorier av kunddata:

Kunden kan skicka personuppgifter till tjänsterna vars kategorier beror på kundens användning av tjänsterna vilket bestäms och kontrolleras av kunden efter eget gottfinnande men kan inkludera och är inte begränsat till namn, kontaktuppgifter, demografisk information eller annan information som kundens användare tillhandahåller i ostrukturerade data.

4. Kategorier av registrerade personer:

De registrerade personerna kan inkludera men är inte begränsade till kundens anställda, kunder, leverantörer och användare rent generellt.

5. Överförda känsliga uppgifter (om tillämpligt):

Känsliga data som överförs (i tillämpliga fall) och tillämpade begränsningar eller skyddsåtgärder där full hänsyn tas till uppgifternas karaktär och de medföljande riskerna, till exempel strikt ändamålsbegränsning, åtkomstbegränsningar (däribland åtkomst endast för personal som har specialutbildning), registrering av åtkomst till data, begränsningar av vidare överföringar eller ytterligare säkerhetsåtgärder.

Inga känsliga data ska överföras såvida inte användaren oväntat inkluderat dem i ostrukturerade data.

6. Frekvens:

Frekvens för överföring (t.ex. om data överförs vid ett enstaka tillfälle eller kontinuerligt).

Kontinuerlig basis beroende på kundens användning av tjänsterna.

7. Överföringar till underbiträden:

Enligt artikel 2.9 i DPA kommer underbiträden att behandla kunddata i den utsträckning det är nödvändigt för att utföra tjänsterna. Sådan behandling kommer att ske under avtalets giltighetstid såvida inte annat avtalats skriftligen.

8. Information om SCC:er för att överföra brittiska data enligt avsnitt 4.2:

  • 8.1 Modul två (Personuppgiftsansvarig till Personuppgiftsbiträde) av EU SCC gäller när kunden är en dataregisteransvarig och OpenAI behandlar kunddata i egenskap av personuppgiftsbiträde. Modul tre (Personuppgiftsbiträde till Underbiträde) av EU SCC gäller när kunden är ett personuppgiftsbiträde och OpenAI behandlar kunddata som underbiträde.
  • 8.2 För varje modul av EU SCC, om tillämpligt, gäller följande: (i) Den valfria dockningsklausulen i klausul 7 gäller inte; (ii) I klausul 9 gäller alternativ 2 (allmän skriftlig auktorisering) och minimitiden för föregående meddelande om ändringar av underbiträde ska vara den som anges i avsnitt 2.9 i DPA; (iii) Den valfria formuleringen i klausul 11 gäller inte; (iv) Alla hakparenteser i klausul 13 tas härmed bort; (v) I klausul 17 (alternativ 1) ska SCC styras enligt lagarna i England och Wales; (vi) I klausul 18(b) ska tvister lösas av domstolarna i England och Wales; (vii) Detta schema 1 innehåller informationen som krävs i bilaga I och bilaga III av SCC; (viii) Avsnitt 2.5 (Säkerhet) i DPA innehåller informationen som krävs i bilaga II av SCC, (ix) den behöriga tillsynsmyndigheten är Information Commissioner's Office ("ICO").
  • 8.3 Dataexportörer: Kunden enligt avtalet; Dataimportörer: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, dataskyddsombud, privacy@openai.com.

Underteckna databehandlingsavtal(öppnas i ett nytt fönster)