Avtal om behandling av personuppgifter (DPA)

Det avtal som reglerar hur personuppgifter hanteras och skyddas i enlighet med den allmänna dataskyddsförordningen (GDPR).

Senast uppdaterad: 2025-07-09

Personuppgiftsansvarig:
Kunden är belägen inom EU.

Personuppgiftsbiträde:
Företag: Conlumina Digital
Registreringsnummer: SE771104167801
Stad: Stockholm Stockholm
Registreringsland: Sverige

Parterna har ingått detta Personuppgiftsbiträdesavtal ("Avtalet") avseende Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning.

1 § Behandling av personuppgifter

Detta avtal ingås i samband med den Personuppgiftsansvariges nyttjande av Personuppgiftsbiträdets tjänster inom ramen för det abonnemang och de tilläggstjänster som beskrivs i Webbförvaltning.se:s Användarvillkor ("Huvudavtalet").

Personuppgiftsbiträdet behandlar registrerade personuppgifter för den Personuppgiftsansvariges räkning och i enlighet med Bilaga 1.

Avtalet och Huvudavtalet är beroende av varandra och kan inte sägas upp var för sig.

§ 2. Syfte

Personuppgiftsbiträdet får endast behandla personuppgifter för att fullgöra sina skyldigheter gentemot kunden och för att tillhandahålla de tjänster som anges i Huvudavtalet.

§ 3. Den personuppgiftsansvariges skyldigheter

Den personuppgiftsansvarige garanterar att personuppgifterna endast behandlas för legitima ändamål och att personuppgiftsbiträdet behandlar uppgifterna enbart för detta ändamål.

Den personuppgiftsansvarige säkerställer att det finns en rättslig grund för behandling av personuppgifter när de överförs till personuppgiftsbiträdet. Den personuppgiftsansvarige måste kunna visa motiveringen och den rättsliga grunden på begäran av personuppgiftsbiträdet.

Om den Personuppgiftsansvarige ger instruktioner till ett annat underbiträde ska Personuppgiftsbiträdet omedelbart informeras. Personuppgiftsbiträdet ansvarar inte för behandling som utförs av ett annat underbiträde baserat på sådana instruktioner.

§ 4. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska behandla personuppgifter som tillhandahålls av den Personuppgiftsansvarige i enlighet med den Personuppgiftsansvariges instruktioner och dataskyddsbestämmelser. Personuppgiftsbiträdet måste kunna motivera sin behandling och ska omedelbart informera Personuppgiftsansvarig om något strider mot GDPR.

Personuppgiftsbiträdet måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa att personuppgifter inte oavsiktligt eller olagligt skadas, förloras, förstörs, delas med obehöriga tredje parter, behandlas eller missbrukas i strid med GDPR. Dessa åtgärder beskrivs mer detaljerat i Bilaga 1.

Personuppgiftsbiträdet ansvarar för att säkerställa att anställda som behandlar personuppgifter omfattas av rättsligt bindande sekretessförpliktelser.

På begäran av den personuppgiftsansvarige måste personuppgiftsbiträdet visa och/eller dokumentera efterlevnad av tillämplig lagstiftning om dataskydd, inklusive information om dataflöden och behandling.

I den mån det är möjligt ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med tekniska och organisatoriska åtgärder för att uppfylla den registrerades begäran enligt kapitel 3 i dataskyddsförordningen.

Personuppgiftsbiträdet eller underbiträdet måste vidarebefordra alla förfrågningar eller invändningar från den registrerade till den personuppgiftsansvarige för vidare hantering, såvida inte personuppgiftsbiträdet kan hantera dem direkt. På begäran måste personuppgiftsbiträdet hjälpa till att besvara dessa förfrågningar.

Om personuppgifterna behandlas i ett annat EU-land måste de tillämpliga säkerhetslagarna i det landet följas.

Personuppgiftsbiträdet måste informera den personuppgiftsansvarige om det finns misstankar om brott mot dataskyddslagstiftningen eller andra oegentligheter i behandlingen. Personuppgiftsbiträdet måste rapportera en säkerhetsöverträdelse inom 24 timmar efter att ha fått kännedom om den. På begäran måste personuppgiftsbiträdet hjälpa till att klargöra omfattningen av överträdelsen, t.ex. genom att förbereda en anmälan till dataskyddsmyndigheten eller den registrerade.

Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med den information som krävs för att visa att artikel 28 i GDPR och villkoren i detta Avtal efterlevs.

Dessutom måste personuppgiftsbiträdet bistå den personuppgiftsansvarige med att fullgöra sina skyldigheter enligt artiklarna 32-36 i dataskyddsförordningen. Vilken typ av assistans som krävs beror på uppgifternas art, behandlingen och personuppgiftsbiträdets åtkomst.

§ 5. Överföring av information till underbiträden eller tredje part

Den personuppgiftsansvarige ger härmed personuppgiftsbiträdet ett generellt tillstånd att ingå avtal med underbiträden. Personuppgiftsbiträdet måste meddela den Personuppgiftsansvarige om eventuella ändringar eller tillägg till underbiträden. Den personuppgiftsansvarige har rätt att invända mot sådana ändringar. Om Personuppgiftsbiträdet fortsätter att använda ett underbiträde trots invändningar kan Parterna säga upp detta Avtal och, i förekommande fall, Huvudavtalet med kort varsel. Under denna period får underbiträdet fortsätta att användas.

Personuppgiftsbiträdet måste säkerställa att underbiträden är bundna av samma skyldigheter som anges i detta avtal och ge tillräckliga garantier för att genomföra lämpliga åtgärder för att uppfylla kraven i GDPR.

Om ett underbiträde inte fullgör sina skyldigheter i fråga om dataskydd förblir personuppgiftsbiträdet fullt ansvarigt gentemot den personuppgiftsansvarige för fullgörandet av dessa skyldigheter.

Personuppgiftsbiträdet måste ingå DPA med underbiträden som är belägna inom EU/EES. För underbiträden utanför EU/EES ska standardavtalsklausuler (SCC) eller andra giltiga mekanismer såsom EU-US Privacy Shield användas.

Den personuppgiftsansvarige ger personuppgiftsbiträdet en allmän fullmakt att ingå sådana standardavtal för dennes räkning.

§ 6. Skadeståndsansvar

Parternas ansvar regleras i Huvudavtalet. Skadeståndsskyldighet enligt detta Avtal regleras i Huvudavtalet.

§ 7. Giltighetstid och uppsägning

Detta avtal träder i kraft vid samma tidpunkt som huvudavtalet.

Vid uppsägning av Huvudavtalet upphör även detta Avtal att gälla. Personuppgiftsbiträdet förblir dock bundet av sina skyldigheter så länge som det behandlar personuppgifter för den Personuppgiftsansvariges räkning. I en situation som beskrivs i punkt 5.2 kan endera parten säga upp Avtalet och Huvudavtalet med en (1) månads uppsägningstid till upphörande vid månadsskiftet.

När behandlingen upphör ska Personuppgiftsbiträdet på begäran av den Personuppgiftsansvarige radera eller återlämna samtliga personuppgifter och radera eventuella befintliga kopior, såvida inte lagring krävs enligt EU-rätt eller nationell rätt.

§ 8. Tillämplig lag

Svensk lag gäller för detta avtal. Tvist skall avgöras av svensk domstol.

Bilaga 1

Kategorier av registrerade, typer av personuppgifter och instruktioner för behandling

1. Kategorier av registrerade:

Personuppgiftsbiträdet behandlar kontaktuppgifter till den Personuppgiftsansvariges nuvarande, potentiella eller tidigare kunder och/eller medlemmar, anställda, leverantörer, affärspartners, dotterbolag och koncernbolag.

Personuppgiftsbiträdet tillhandahåller sitt system som en värdtjänst och kan inte fastställa alla kategorier av registrerade. Om den personuppgiftsansvarige behandlar ytterligare kategorier måste denne registrera denna information.

2. Typer av personuppgifter:

  • Kontakt- och identitetsuppgifter, inklusive e-post
  • IP-adresser
  • Domännamn
  • Användarnamn
  • Information om medlemskap
  • Analys och användardata
  • Orderhistorik och relaterad information
  • Avtal
  • Kommunikation
  • Bilder
  • Stöd för data
  • Andra typer av personuppgifter kan förekomma

3. Instruktioner

Service

Personuppgiftsbiträdet kan komma att behandla personuppgifter i syfte att leverera, utveckla, hantera och förvalta tjänsterna i Huvudavtalet, såsom att säkerställa serverstabilitet och följa tillämpliga lagar.

Säkerhet

Personuppgiftsbiträdet måste säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifter. Åtgärderna måste vara lämpliga med hänsyn till situationen, datatypen och risken och måste omfatta:

  • Tillträdeskontrollerade anläggningar endast för behörig personal
  • Rollbaserad åtkomst och inloggning för att säkerställa minimering av data
  • Säkerhetskopiering av system
  • Antivirusskydd
  • Ändra loggar
  • Krypterad internetkommunikation mellan system
  • Klassificering av data för lämpliga säkerhetsåtgärder
  • Användning av säkra system och processer för att förbättra dataskyddet

Personuppgiftsbiträdet kan införa ytterligare tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en adekvat skyddsnivå.

Bevarandetid

Personuppgifter i Personuppgiftsbiträdets system raderas eller anonymiseras inom en rimlig tid efter att Huvudavtalet upphört - normalt inom 8 veckor. Undantag gäller när det finns laglig skyldighet att behålla uppgifterna, t.ex. vid rättstvister.

Loggdata raderas också normalt inom 8 veckor.

Plats för data

Personuppgiftsbiträdets system är belägna i Stockholm. Den personuppgiftsansvarige ger personuppgiftsbiträdet tillstånd att flytta uppgifter till andra EU-baserade datacenter om de upprätthåller likvärdig säkerhet och drifttid.

Revision

Personuppgiftsbiträdet ska på egen bekostnad årligen tillhandahålla en revisions- eller inspektionsrapport från tredje part för att visa att detta Avtal och Bilaga 1 efterlevs.

sv_SESvenska
en_USEnglish de_DEDeutsch sv_SESvenska