Personuppgiftsbiträdesavtal

Avtalsnummer: [fylls i av Skolkoll]
Avtalsdatum: YYYY-MM-DD

1. Parter

1.1 Personuppgiftsansvarig

Organisation: [Kommunens namn]
Organisationsnummer: [XXXXXX-XXXX]
Adress: [Postadress]
Kontaktperson: [Namn]
E-post: [E-post]
Dataskyddsombud (DPO): [Namn / e-post]

Nedan kallad "Personuppgiftsansvarig".

1.2 Personuppgiftsbiträde

Organisation: Agilenge AB
Organisationsnummer: 559220-2088
Adress: Ejdergatan 6, 619 32 Trosa
Kontaktperson: Markus Reimer
E-post: markus@skolkoll.se

Nedan kallat "Personuppgiftsbiträdet".

2. Bakgrund och syfte

Personuppgiftsansvarig och Personuppgiftsbiträdet har ingått ett avtal om Skolkoll Kommunlicens, varigenom Personuppgiftsbiträdet tillhandahåller en webbtjänst som behandlar personuppgifter för Personuppgiftsansvarigs räkning. Detta avtal reglerar Personuppgiftsbiträdets behandling av personuppgifter enligt artikel 28 i EU 2016/679 (GDPR).

3. Föremål för behandlingen

3.1 Kategorier av personuppgifter

• Användarkonton: e-postadress, visningsnamn, organisationstillhörighet, roll, inloggningstidsstämplar.
• Skoldata-relaterad metadata: rektors namn (offentlig uppgift från Skolverket), skolenhetskoder.
• Faktureringsdata: faktureringsadress, organisationsnummer, betalningshistorik (Stripe).
• Driftdata: sessionId (slumpmässig, ej kopplad till individ), användningsstatistik utan persondata.

3.2 Kategorier av registrerade

• Anställda hos Personuppgiftsansvarig som har konto i tjänsten.
• Rektorer namngivna i Skolverkets öppna skolenhetsregister (offentlig uppgift).

3.3 Behandlingens ändamål och varaktighet

Behandlingen sker för att tillhandahålla Skolkoll-tjänsten enligt Kommunlicens-avtalet. Behandlingen pågår så länge Kommunlicens-avtalet är aktivt, samt under den tid som krävs för att uppfylla rättsliga skyldigheter (t.ex. bokföringslagens krav om 7 års lagring av faktureringsuppgifter).

3.4 Typ av behandling

Insamling, lagring, organisation, strukturering, läsning, ändring, radering. Personuppgiftsbiträdet utför ingen profilering eller automatiserat beslutsfattande som har rättsliga konsekvenser för registrerade.

4. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska:

1. Endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig (inklusive vid överföring till tredjeland).
2. Säkerställa att personer som behandlar personuppgifter har förbundit sig att iaktta sekretess eller omfattas av lämplig lagstadgad tystnadsplikt.
3. Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR (se bilaga A).
4. Endast anlita andra personuppgiftsbiträden (underbiträden) under villkoren i avsnitt 5 nedan.
5. Bistå Personuppgiftsansvarig i att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter (artikel 12-22 GDPR).
6. Bistå Personuppgiftsansvarig i att fullgöra sina skyldigheter enligt artikel 32-36 GDPR (säkerhet, anmälan av incident, konsekvensbedömning).
7. Vid Kommunlicens-avtalets upphörande, efter Personuppgiftsansvarigs val, radera eller återlämna alla personuppgifter och radera befintliga kopior, om inte unionsrätten eller medlemsstaternas nationella rätt kräver lagring (t.ex. bokföringslagen).
8. Tillhandahålla Personuppgiftsansvarig all information som behövs för att visa att skyldigheterna i artikel 28 GDPR fullgörs, samt möjliggöra och bidra till granskningar inklusive inspektioner — se avsnitt 8 nedan.

5. Underbiträden

Personuppgiftsansvarig ger Personuppgiftsbiträdet allmän förhandstillåtelse att anlita underbiträden under följande villkor:

1. Underbiträdets behandling regleras av ett skriftligt avtal med samma dataskyddsskyldigheter som detta avtal.
2. Personuppgiftsbiträdet meddelar Personuppgiftsansvarig om alla planerade ändringar (tillägg eller utbyte) av underbiträden minst 30 dagar innan ändringen genomförs, via e-post till avtalad kontaktperson, DPO och organisationens administratörer.
3. Personuppgiftsansvarig har rätt att invända mot ändringar. Invändning hanteras enligt Kommunlicens-avtalets uppsägningsklausul, och Personuppgiftsbiträdet ska inte använda det nya underbiträdet för Personuppgiftsansvarigs personuppgifter innan invändningen har hanterats eller uppsägningstiden löpt ut.
4. Aktuell lista över underbiträden finns på https://skolkoll.se/integritet/dataskydd/.

6. Internationell överföring

Personuppgifter behandlas i Firebase europe-west1 (Belgien; Firestore, Cloud Functions, Hosting och Cloud Storage), i Firebase Authentication under Google Cloud DPA/SCC/DPF samt i Stripe Irland. Vid överföring till tredjeland tillämpas:

• Standard Contractual Clauses (SCC) enligt EU-kommissionens beslut 2021/914, inklusive Google/Firebase Authentication och övriga USA-baserade underbiträden där sådan överföring sker.
• Vid behov: kompletterande tekniska och organisatoriska åtgärder (kryptering i transit, kryptering i vila, åtkomstkontroll).
• EU-US Data Privacy Framework (DPF) som alternativ rättslig grund för DPF-certifierade leverantörer (Google, Stripe).

7. Personuppgiftsincident

Personuppgiftsbiträdet ska utan onödigt dröjsmål, preliminärt senast inom 24 timmar efter att ha fått kännedom om en personuppgiftsincident, anmäla incidenten till Personuppgiftsansvarig. Personuppgiftsbiträdet ska därefter lämna löpande kompletteringar när ytterligare information blir tillgänglig. Anmälan ska innehålla:

• Beskrivning av incidentens art, antalet berörda registrerade och kategorier av berörda personuppgifter.
• Sannolika konsekvenser av incidenten.
• Vidtagna eller föreslagna åtgärder för att hantera incidenten och begränsa dess negativa effekter.
• Kontaktuppgifter till Personuppgiftsbiträdets incident-handler.

8. Granskningsrätt

Personuppgiftsansvarig har rätt att, på egen bekostnad och med rimlig framförhållning, granska Personuppgiftsbiträdets efterlevnad av detta avtal. Granskningen kan utföras av Personuppgiftsansvarig själv eller av en oberoende tredje part godkänd av Personuppgiftsbiträdet. Personuppgiftsbiträdet bistår med skäligt underlag och ger åtkomst till relevanta lokaler under arbetstid.

Som alternativ till on-site-granskning accepterar Personuppgiftsansvarig att Personuppgiftsbiträdet tillhandahåller en aktuell SOC 2 Type II- eller ISO 27001-rapport från Personuppgiftsbiträdet eller dess huvudunderbiträden (Google Cloud, Stripe). (Skolkoll har ej egen ISO 27001-certifiering 2026; vi förlitar oss på Google Cloud:s certifieringar för infrastrukturlagret.)

9. Ansvar och begränsningar

Personuppgiftsbiträdets ansvar enligt detta avtal är begränsat enligt vad som anges i Kommunlicens-avtalets ansvarsklausul. Bestämmelserna i artikel 82 GDPR är dock tvingande och påverkas inte av begränsningar mellan parterna.

10. Avtalets giltighetstid

Detta avtal träder i kraft vid undertecknande och gäller så länge Kommunlicens-avtalet är aktivt. Personuppgiftsbiträdets skyldigheter avseende radering eller återlämning av personuppgifter (avsnitt 4 punkt 7) gäller även efter avtalets upphörande.

11. Överlåtelse

Personuppgiftsbiträdet får överlåta detta avtal till annat bolag inom samma koncern, inklusive ett framtida Skolkoll AB, utan krav på Personuppgiftsansvarigs ytterligare godkännande, under förutsättning att den mottagande parten skriftligen inträder i Personuppgiftsbiträdets rättigheter och skyldigheter innan behandling fortsätter, att säkerhetsnivå, underbiträdesvillkor och internationella överföringsskydd inte försämras, och att Personuppgiftsansvarig skriftligen aviseras minst 30 dagar före överlåtelsen när det är praktiskt möjligt och annars i direkt anslutning till överlåtelsen.

Denna bestämmelse utgör Personuppgiftsansvarigs allmänna skriftliga tillstånd enligt artikel 28.2 GDPR för sådan koncernintern efterträdande biträdespart, med rätt att invända på saklig GDPR-grund. Om Personuppgiftsansvarig har saklig GDPR-invändning mot mottagande part får Personuppgiftsansvarig säga upp berörd behandling eller Kommunlicens-avtalet med 30 dagars varsel.

12. Ändringar

Ändringar av detta avtal ska göras skriftligt och undertecknas av båda parter.

13. Tillämplig lag och tvistlösning

Detta avtal regleras av svensk rätt. Tvister ska i första hand lösas genom förhandling, i andra hand av behörig allmän domstol.

Bilaga A — Tekniska och organisatoriska säkerhetsåtgärder

Personuppgiftsbiträdet vidtar följande åtgärder:

• Kryptering i transit (TLS 1.2+, HSTS).
• Kryptering i vila (Firestore Google-managed keys).
• Åtkomstkontroll (roll-baserad access, audit log för admin-åtgärder).
• Hemlighetshantering (Google Secret Manager).
• Rate limiting och input-validering på alla publika endpoints.
• Felövervakning och larm vid scheduled function-fel.
• Backup (Firestore dygnsbackup, 7 dagars retention).
• Detaljerad redovisning: skolkoll.se/integritet/dataskydd/ avsnitt 8.

Denna mall baseras på SKR:s standardavtal för personuppgiftsbiträden (svensk public sector convention). Mallen är ett utgångsläge; bindande avtalstext förhandlas innan signering.