Senast uppdaterad: 2026-05-03
Denna sida riktar sig särskilt till kommunala upphandlare och dataskyddsombud som behöver granska Skolkolls databehandling inför avtal. För en allmän översikt, se integritetspolicyn. För personuppgiftsbiträdesavtal (PuB), se PuB-mall.
1. Roller och kontakt
För personuppgifter som omfattas av kommunlicens-avtalet är kommunen personuppgiftsansvarig och Skolkoll personuppgiftsbiträde. För personuppgifter som Skolkoll behandlar för egen räkning (t.ex. besökare på skolkoll.se utan inloggning) är Skolkoll personuppgiftsansvarig — se integritetspolicyn.
Personuppgiftsbiträde (Skolkoll): Skolkoll AB
Organisationsnummer: 559220-2088
Kontakt för dataskyddsfrågor: markus@skolkoll.se
Skolkoll har inte utsett dataskyddsombud (DPO) eftersom verksamheten inte uppfyller kriterierna i GDPR art. 37 (kärnverksamheten är inte storskalig övervakning av personuppgifter; inga särskilda kategorier av personuppgifter behandlas systematiskt).
2. Underbiträden (subprocessors)
Skolkoll använder följande tredjepartstjänster för att tillhandahålla tjänsten. Alla tjänster har egna PuB-/DPA-avtal som överensstämmer med GDPR.
| Leverantör | Tjänst | Datakategori | Region | DPA |
|---|---|---|---|---|
| Google Cloud (Firebase) | Hosting, Firestore, Cloud Functions, Cloud Storage, Authentication | Användarkonton, organisationsdata, analyticsEvents, faktureringshistorik | europe-west1 (Belgien) | Google Cloud DPA (SCC inkluderat) |
| Stripe Payments Europe Ltd | Betalningshantering (kort + faktura) | Faktureringsadress, e-post, organisationsnummer, betalningsmetadata. Kortuppgifter passerar aldrig Skolkolls servrar. | Irland (EU) primärt; vissa fraud-detection-funktioner kan involvera Stripe US under SCC. | Stripe DPA |
| Resend Inc. | Transaktionella e-postutskick (kontobekräftelse, fakturor, watcher-digester, säkerhetsvarningar) | E-postadress, namn, ämnesrad, e-postinnehåll (raderas efter 30 dagar hos Resend) | EU/US (Resend's EU region används där tillgängligt; SCC vid US-överföring) | Resend DPA |
| Anthropic / OpenAI | AI-chatten "Kollen" (om aktiverad av användaren via samtycke) | Chatmeddelanden + skolkontext. Förfrågningar är "no-store"-flaggade där API tillåter (Anthropic: opt-out from training är default). | US (Anthropic) eller EU/US (OpenAI) — under SCC | Anthropic DPA · OpenAI DPA. Endast aktivt när användaren givit samtycke i chattfönstret. |
För kommunlicens-data (användarkonton, organisationsdata, faktureringshistorik) anlitar vi inga reklamnätverk, marknadsföringsplattformar eller sociala media-pixlar. Webbanalys via Google Analytics 4 körs endast efter explicit cookiesamtycke från besökare på offentliga sidor — se integritetspolicyn för detaljer. För inloggade kommun-användare körs ingen GA4-spårning oavsett samtycke. Intern användningsstatistik sker via vår egen anonyma kollektor i Firebase utan persondata.
Anmälan om byte av underbiträde
När en kommunlicens är aktiv meddelar vi byte av underbiträde via e-post till organisationens administratörer minst 30 dagar innan ändringen genomförs. Kommunen har under den perioden rätt att invända — invändning hanteras enligt Kommunlicens-avtalets uppsägningsklausul.
3. Lagringstider per datakategori
Tider gäller från senaste händelse (t.ex. senaste inloggning, senaste betalning). Efter listad tid raderas eller anonymiseras data.
| Datakategori | Firestore-kollektion | Lagringstid | Laglig grund |
|---|---|---|---|
| Användarkonton (profil, medlemskap) | users, organizations/{id}/members | Tills kontot raderas av användaren. Inaktiva konton (24 mån utan inloggning) påminns och raderas efter 36 mån totalt. | Avtal (art. 6.1.b) |
| Organisationer + Pro-prenumerationer | organizations, organizations/{id}/subscriptions | Aktiv så länge prenumeration finns. Faktureringshistorik bevaras 7 år (bokföringslagen). | Rättslig förpliktelse (art. 6.1.c) för bokföring |
| Analytics events (rådata) | analyticsEvents | 90 dagar, sedan raderas individuella event. Aggregerade dygnssummor (utan persondata) bevaras indefinitivt. | Berättigat intresse (art. 6.1.f) — produktutveckling. Inga persondata lagras (sessionId är slumpmässigt, ingen IP, ingen user-agent). |
| Mail-kontakter och kampanjlistor | mailContacts, mailLists, campaigns | Tills avregistrering. Avregistrerade kontakter behåller anonymiserat hash av e-post (för att förhindra återupptagning) i 24 månader, sedan raderas helt. | Samtycke (art. 6.1.a) för nyhetsbrev; avtal (art. 6.1.b) för transaktionella mail. |
| Granskningslogg (audit log) | auditLog | 90 dagar. | Berättigat intresse (art. 6.1.f) — säkerhet / spårbarhet. |
| API-användningskvot | apiQuota/{orgId}/months/{YYYY-MM} | 13 månader (för faktureringskontroll och dispyt). | Rättslig förpliktelse (art. 6.1.c) |
| Bevakningar (Watchers) | watcherEvents, digestWatchers | Aktiv så länge användaren har bevakning. Vid kontoradering raderas omedelbart. | Avtal (art. 6.1.b) |
| AI-chattkonversation | Endast i webbläsarens sessionStorage — aldrig på vår server. | Raderas när webbläsarfliken stängs. | Samtycke (art. 6.1.a) |
4. Rätt till radering — operationellt flöde
Du kan utöva rätten till radering (GDPR art. 17) på följande sätt, sorterat från snabbast till mest manuellt:
Självservice — användarkonto
- Logga in på Skolkoll-portalen.
- Gå till Kontoinställningar.
- Klicka på Radera konto. Bekräfta i dialogen.
- Kontot, dina medlemskap, dina bevakningar och din profilinformation raderas omedelbart från databasen.
Vad raderas inte automatiskt: Faktureringshistorik bevaras 7 år enligt bokföringslagen. Granskningsloggposter (auditLog) raderas automatiskt efter 90 dagar. Aggregerad analyticsdata innehåller redan inga personuppgifter och påverkas inte.
Begäran om radering — kommunlicens-administratör
Som kommunadministratör kan du begära radering av en specifik anställd från organisationen via info@skolkoll.se. Vi bekräftar mottagandet inom 1 arbetsdag och utför raderingen inom 14 dagar (GDPR-kravet är 30 dagar).
Begäran om radering — extern person (rektor som invänder)
Om du är namngiven rektor och invänder mot att ditt namn visas: skicka e-post till info@skolkoll.se med skolans skolenhetskod. Vi tar bort din uppgift från visningen inom 14 dagar och uppdaterar vår synkroniseringsfilter så att uppgiften inte återkommer även om Skolverket fortsätter att publicera den.
5. DPIA-light — riskbedömning för kommunlicens
För kommunlicens-kunder har vi gjort en förenklad konsekvensbedömning (DPIA-light) enligt GDPR art. 35. En fullständig DPIA är inte obligatorisk eftersom behandlingen inte uppfyller höga risk-kriterier (ingen storskalig övervakning, inga särskilda kategorier, ingen automatiserad beslutsfattande som påverkar individer).
Identifierade risker och åtgärder
| Risk | Sannolikhet × Konsekvens | Åtgärd |
|---|---|---|
| Otillbörlig åtkomst till organisationsdata | Låg × Medel | Firebase Auth med MFA-stöd; admin-rollkontroll på serversidan; auditLog för alla admin-åtgärder. |
| Datalek via tredjepartstjänst (Firebase, Stripe, Resend) | Låg × Hög | Endast EU-regioner där möjligt; SCC vid US-överföring; principen om minsta dataset (Stripe ser inga skoldata, Resend ser endast e-postadress + ämne). |
| Felaktig publicering av rektors namn | Medel × Låg | Källan är Skolverkets öppna API; rätt att invända via e-post med 14-dagars-respons; manuell synkroniseringsfilter applicerar invändningar permanent. |
| Sårbarhet i öppna analytics-endpoint | Låg × Låg | Origin-allowlist, distribuerad rate-limiting och event-storlekstak. Inga personuppgifter samlas i analytics. |
| Driftincident — scheduled function-fel utan upptäckt | Medel × Låg | Error-alerting wrapper skickar e-post till ops vid varje schedulerad funktions-fel. Manuell backfill-endpoint finns för kritiska syncs. |
6. Personuppgiftsincident
Vid misstänkt personuppgiftsincident:
- Skolkoll meddelar drabbade kommunlicens-administratörer inom 72 timmar via e-post (GDPR art. 33-34).
- Anmälan till Integritetsskyddsmyndigheten (IMY) sker inom samma 72 timmar om incidenten innebär risk för enskildas rättigheter.
- Incident-runbook och postmortem-process beskrivs i kommunlicens-avtalets bilaga ("IR-runbook").
7. Internationell dataöverföring
Personuppgifter behandlas primärt inom EU/EES (Firebase europe-west1, Stripe Irland). Vid begränsade fall kan data överföras till tredjeland (USA) under följande mekanismer:
- Standard Contractual Clauses (SCC) — Google, Stripe, Resend har samtliga signerade SCC enligt EU-kommissionens beslut 2021/914.
- EU-US Data Privacy Framework (DPF) — alternativ rättslig grund för leverantörer som är DPF-certifierade (Google, Stripe).
Schrems II-konsekvenser: Skolkoll har gjort en Transfer Impact Assessment (TIA) per leverantör. Sammanfattning tillgänglig vid förfrågan från kommunlicens-kunder.
8. Tekniska och organisatoriska säkerhetsåtgärder
- Kryptering i transit: TLS 1.2+ för all kommunikation; HSTS aktiverat.
- Kryptering i vila: Firestore krypterar all data automatiskt med Google-managed keys.
- Åtkomstkontroll: Roll-baserad access (admin/användare); admin-token konstant-jämförelse via timing-safe-equal; auditLog för alla admin-API-anrop.
- Hemligheter: Alla API-nycklar och tokens lagras i Google Secret Manager och tillhandahålls säkert till runtime via Firebase Functions secrets-bindning. De finns inte i källkod eller commitas till repot.
- Rate limiting: Distribuerad Firestore-baserad rate limiter på alla publika endpoints; analytics-pipeline härdad mot abuse via origin-allowlist och event-storlekstak.
- Validering: Strikt schema-validering på alla user-inputs; field-level length caps; metadata-typkontroll inklusive array-element-validering.
- Övervakning: Cloud Logging för alla functions; error-alerting via Resend till ops-distribuerad lista vid scheduled function-fel; planerad Cloud Monitoring policy för error-rate.
- Backup: Firestore har automatisk dygnsbackup med 7-dagars retention; export till Cloud Storage med 30-dagars retention.
9. Dokument för kommunal upphandling
- PuB-mall (personuppgiftsbiträdesavtal) — baserad på SKR:s standardavtal.
- Service Level Agreement (SLA) — upptidsåtaganden, supportresponstider, eskaleringsväg och kompensationspolicy.
- ROPA-sammanfattning (Records of Processing Activities) — publik sammanfattning av behandlingsförteckningen per GDPR art. 30. Fullständigt utdrag på begäran från kommunlicens-kunder.
- IR-runbook — incidenthanteringsprocess och kontaktuppgifter, levereras som bilaga till Kommunlicens-avtalet.
10. Klagomål
Om du anser att vi behandlar dina personuppgifter felaktigt har du rätt att lämna klagomål till tillsynsmyndigheten:
Integritetsskyddsmyndigheten (IMY)
Webbplats: imy.se
E-post: imy@imy.se
Telefon: 08-657 61 00