Personuppgiftsbiträdesavtal

Avtalsnummer: [fylls i av Skolkoll]
Avtalsdatum: YYYY-MM-DD

1. Parter

1.1 Personuppgiftsansvarig

Organisation: [Kommunens namn]
Organisationsnummer: [XXXXXX-XXXX]
Adress: [Postadress]
Kontaktperson: [Namn, titel]
E-post: [E-post]
Dataskyddsombud (DPO): [Namn / e-post]

Nedan kallad "Personuppgiftsansvarig".

1.2 Personuppgiftsbiträde

Organisation: Skolkoll AB
Organisationsnummer: 559220-2088
Adress: [Postadress meddelas vid avtalsteckning]
Kontaktperson: Markus Reimer
E-post: markus@skolkoll.se

Nedan kallat "Personuppgiftsbiträdet".

2. Bakgrund och syfte

Personuppgiftsansvarig och Personuppgiftsbiträdet har ingått ett avtal om Skolkoll Kommunlicens, varigenom Personuppgiftsbiträdet tillhandahåller en webbtjänst som behandlar personuppgifter för Personuppgiftsansvarigs räkning. Detta avtal reglerar Personuppgiftsbiträdets behandling av personuppgifter enligt artikel 28 i EU 2016/679 (GDPR).

3. Föremål för behandlingen

3.1 Kategorier av personuppgifter

• Användarkonton: e-postadress, visningsnamn, organisationstillhörighet, roll, inloggningstidsstämplar.
• Skoldata-relaterad metadata: rektors namn (offentlig uppgift från Skolverket), skolenhetskoder.
• Faktureringsdata: faktureringsadress, organisationsnummer, betalningshistorik (Stripe).
• Driftdata: sessionId (slumpmässig, ej kopplad till individ), användningsstatistik utan persondata.

3.2 Kategorier av registrerade

• Anställda hos Personuppgiftsansvarig som har konto i tjänsten.
• Rektorer namngivna i Skolverkets öppna skolenhetsregister (offentlig uppgift).

3.3 Behandlingens ändamål och varaktighet

Behandlingen sker för att tillhandahålla Skolkoll-tjänsten enligt Kommunlicens-avtalet. Behandlingen pågår så länge Kommunlicens-avtalet är aktivt, samt under den tid som krävs för att uppfylla rättsliga skyldigheter (t.ex. bokföringslagens krav om 7 års lagring av faktureringsuppgifter).

3.4 Typ av behandling

Insamling, lagring, organisation, strukturering, läsning, ändring, radering. Personuppgiftsbiträdet utför ingen profilering eller automatiserat beslutsfattande som har rättsliga konsekvenser för registrerade.

4. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska:

1. Endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig (inklusive vid överföring till tredjeland).
2. Säkerställa att personer som behandlar personuppgifter har förbundit sig att iaktta sekretess eller omfattas av lämplig lagstadgad tystnadsplikt.
3. Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR (se bilaga A).
4. Endast anlita andra personuppgiftsbiträden (underbiträden) under villkoren i avsnitt 5 nedan.
5. Bistå Personuppgiftsansvarig i att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter (artikel 12-22 GDPR).
6. Bistå Personuppgiftsansvarig i att fullgöra sina skyldigheter enligt artikel 32-36 GDPR (säkerhet, anmälan av incident, konsekvensbedömning).
7. Vid Kommunlicens-avtalets upphörande, efter Personuppgiftsansvarigs val, radera eller återlämna alla personuppgifter och radera befintliga kopior, om inte unionsrätten eller medlemsstaternas nationella rätt kräver lagring (t.ex. bokföringslagen).
8. Tillhandahålla Personuppgiftsansvarig all information som behövs för att visa att skyldigheterna i artikel 28 GDPR fullgörs, samt möjliggöra och bidra till granskningar inklusive inspektioner — se avsnitt 8 nedan.

5. Underbiträden

Personuppgiftsansvarig ger Personuppgiftsbiträdet allmän förhandstillåtelse att anlita underbiträden under följande villkor:

1. Underbiträdets behandling regleras av ett skriftligt avtal med samma dataskyddsskyldigheter som detta avtal.
2. Personuppgiftsbiträdet meddelar Personuppgiftsansvarig om alla planerade ändringar (tillägg eller utbyte) av underbiträden minst 30 dagar innan ändringen genomförs, via e-post till organisationens administratörer.
3. Personuppgiftsansvarig har rätt att invända mot ändringar. Invändning hanteras enligt Kommunlicens-avtalets uppsägningsklausul.
4. Aktuell lista över underbiträden finns på https://skolkoll.se/integritet/dataskydd/.

6. Internationell överföring

Personuppgifter behandlas primärt inom EU/EES (Firebase europe-west1, Belgien; Stripe Irland). Vid överföring till tredjeland tillämpas:

• Standard Contractual Clauses (SCC) enligt EU-kommissionens beslut 2021/914.
• Vid behov: kompletterande tekniska och organisatoriska åtgärder (encryption-in-transit, kryptering vid vila, åtkomstkontroll).
• EU-US Data Privacy Framework (DPF) som alternativ rättslig grund för DPF-certifierade leverantörer (Google, Stripe).

7. Personuppgiftsincident

Personuppgiftsbiträdet ska utan onödigt dröjsmål, dock senast inom 72 timmar efter att ha fått kännedom om en personuppgiftsincident, anmäla incidenten till Personuppgiftsansvarig. Anmälan ska innehålla:

• Beskrivning av incidentens art, antalet berörda registrerade och kategorier av berörda personuppgifter.
• Sannolika konsekvenser av incidenten.
• Vidtagna eller föreslagna åtgärder för att hantera incidenten och begränsa dess negativa effekter.
• Kontaktuppgifter till Personuppgiftsbiträdets incident-handler.

8. Granskningsrätt

Personuppgiftsansvarig har rätt att, på egen bekostnad och med rimlig framförhållning, granska Personuppgiftsbiträdets efterlevnad av detta avtal. Granskningen kan utföras av Personuppgiftsansvarig själv eller av en oberoende tredje part godkänd av Personuppgiftsbiträdet. Personuppgiftsbiträdet bistår med skäligt underlag och ger åtkomst till relevanta lokaler under arbetstid.

Som alternativ till on-site-granskning accepterar Personuppgiftsansvarig att Personuppgiftsbiträdet tillhandahåller en aktuell SOC 2 Type II- eller ISO 27001-rapport från Personuppgiftsbiträdet eller dess huvudunderbiträden (Google Cloud, Stripe). (Skolkoll har ej egen ISO 27001-certifiering 2026; vi förlitar oss på Google Cloud:s certifieringar för infrastrukturlagret.)

9. Ansvar och begränsningar

Personuppgiftsbiträdets ansvar enligt detta avtal är begränsat enligt vad som anges i Kommunlicens-avtalets ansvarsklausul. Bestämmelserna i artikel 82 GDPR är dock tvingande och påverkas inte av begränsningar mellan parterna.

10. Avtalets giltighetstid

Detta avtal träder i kraft vid undertecknande och gäller så länge Kommunlicens-avtalet är aktivt. Personuppgiftsbiträdets skyldigheter avseende radering eller återlämning av personuppgifter (avsnitt 4 punkt 7) gäller även efter avtalets upphörande.

11. Ändringar

Ändringar av detta avtal ska göras skriftligt och undertecknas av båda parter.

12. Tillämplig lag och tvistlösning

Detta avtal regleras av svensk rätt. Tvister ska i första hand lösas genom förhandling, i andra hand av allmän domstol med Stockholms tingsrätt som första instans.

Bilaga A — Tekniska och organisatoriska säkerhetsåtgärder

Personuppgiftsbiträdet vidtar följande åtgärder:

• Kryptering i transit (TLS 1.2+, HSTS).
• Kryptering i vila (Firestore Google-managed keys).
• Åtkomstkontroll (roll-baserad access, audit log för admin-åtgärder).
• Hemlighetshantering (Google Secret Manager).
• Rate limiting och input-validering på alla publika endpoints.
• Felövervakning och larm vid scheduled function-fel.
• Backup (Firestore dygnsbackup, 7 dagars retention).
• Detaljerad redovisning: skolkoll.se/integritet/dataskydd/ avsnitt 8.

Denna mall baseras på SKR:s standardavtal för personuppgiftsbiträden (svensk public sector convention). Vid behov av anpassningar — kontakta markus@skolkoll.se. Mallen är ett utgångsläge; bindande avtalstext förhandlas innan signering.