Personuppgiftsbiträdesavtal (DPA)
Senast uppdaterad: 21 maj 2026
Detta personuppgiftsbiträdesavtal ("DPA") gäller mellan den personuppgiftsansvarige ("Kunden" — den juridiska person som tecknat abonnemang på Tjänsten enligt Tjänstevillkoren) och personuppgiftsbiträdet Intressebevakaren AB (org.nr 559365-0707).
Avtalet ingås i enlighet med Artikel 28 i Dataskyddsförordningen (GDPR) och utgör en integrerad del av Tjänstevillkoren.
1. Definitioner
Termer som "Personuppgift", "Behandling", "Personuppgiftsansvarig", "Personuppgiftsbiträde", "Underbiträde" och "Personuppgiftsincident" har samma betydelse som i GDPR.
| Term | Betydelse |
|---|---|
| Den Personuppgiftsansvarige | Kunden (Överförmyndarnämnden eller motsvarande organisation) |
| Biträdet | Intressebevakaren AB |
| Underbiträde | Tredje part som Biträdet anlitar för Behandling av Personuppgifter på Kundens vägnar |
| Registrerade | Fysiska personer vars Personuppgifter Behandlas i Tjänsten |
| GDPR | Europaparlamentets och Rådets förordning (EU) 2016/679 |
2. Föremål, varaktighet, art och ändamål
2.1 Föremål
Biträdet Behandlar Personuppgifter för Den Personuppgiftsansvariges räkning i samband med tillhandahållande av Tjänsten enligt Tjänstevillkoren.
2.2 Varaktighet
Avtalet gäller så länge Biträdet Behandlar Personuppgifter för Den Personuppgiftsansvariges räkning, det vill säga från det datum Kunden godkänts som kund tills abonnemanget upphör och alla Personuppgifter raderats eller återlämnats enligt punkt 11.
2.3 Art och ändamål
Personuppgifter Behandlas för följande ändamål:
- Att tillhandahålla Tjänstens funktionalitet (mobilapp, webbapp, AI-rådgivning, meddelandefunktion, samtyckeshantering)
- Att möjliggöra inloggning och kontohantering
- Att hantera betalningar och fakturering
- Att skicka meddelanden och notiser kopplade till Tjänsten
- Att tillhandahålla support och felsökning
2.4 Kategorier av Registrerade
| Kategori | Beskrivning |
|---|---|
| Administratörer | Personer utsedda av Den Personuppgiftsansvarige med utökade rättigheter i Tjänsten |
| Ställföreträdare | Godemän, förvaltare och förmyndare knutna till Den Personuppgiftsansvarige |
| Huvudmän | Personer som har Ställföreträdare och som givits begränsad åtkomst till Tjänsten |
| Kontaktpersoner | Personer som anges som faktura- eller kontaktansvariga för Den Personuppgiftsansvariges räkning |
2.5 Kategorier av Personuppgifter
| Kategori | Exempel |
|---|---|
| Identitetsuppgifter | För- och efternamn, e-postadress |
| Kontaktuppgifter | Telefonnummer, postadress (för fakturering) |
| Kontouppgifter | Användar-ID, hashat lösenord, inloggningsmetadata |
| Användningsdata | Aktivitet i Tjänsten, lästa nyheter, AI-frågor, kursprogression |
| Kommunikationsinnehåll | Meddelanden mellan Ställföreträdare och Huvudmän |
| Tekniska uppgifter | IP-adress, enhetsidentifierare, browseridentifierare |
Inga särskilda kategorier av Personuppgifter (känsliga personuppgifter enligt Artikel 9 GDPR) ska Behandlas i Tjänsten. Den Personuppgiftsansvarige ansvarar för att Registrerade inte lämnar sådana uppgifter i fritextfält.
3. Den Personuppgiftsansvariges ansvar och instruktioner
3.1 Personuppgiftsansvarig
Den Personuppgiftsansvarige bestämmer ändamål och medel för Behandlingen och ansvarar för:
- Att laglig grund finns för Behandlingen
- Att de Registrerade informerats om Behandlingen
- Att de Registrerades rättigheter respekteras
- Att de uppgifter som lämnas till Biträdet är korrekta
3.2 Dokumenterade instruktioner
Biträdet får endast Behandla Personuppgifter enligt:
- Tjänstevillkoren och detta DPA
- Den Personuppgiftsansvariges instruktioner i Tjänstens administratörsgränssnitt
- Skriftliga instruktioner via e-post till support@intressebevakaren.se
3.3 Otillåtna instruktioner
Biträdet ska informera Den Personuppgiftsansvarige om Biträdet anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning.
4. Biträdets åtaganden
Biträdet åtar sig att:
- Behandla Personuppgifter endast enligt dokumenterade instruktioner från Den Personuppgiftsansvarige
- Säkerställa att personer med behörighet att Behandla Personuppgifter har förbundit sig att iaktta konfidentialitet
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt punkt 5
- Endast anlita Underbiträden enligt punkt 6
- Bistå Den Personuppgiftsansvarige med att svara på Registrerades begäranden enligt punkt 7
- Bistå Den Personuppgiftsansvarige med säkerhet, incidenter och konsekvensbedömningar enligt punkt 8 och 9
- Radera eller återlämna Personuppgifter vid avtalets upphörande enligt punkt 11
- Tillhandahålla information som krävs för att visa efterlevnad av Artikel 28 GDPR enligt punkt 12
5. Tekniska och organisatoriska säkerhetsåtgärder
Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken, inklusive:
5.1 Tekniska åtgärder
- Kryptering: Personuppgifter krypteras vid lagring och under överföring (TLS 1.2 eller högre)
- Åtkomstkontroll: Rollbaserad åtkomstkontroll (RBAC) på databasnivå (Row Level Security)
- Autentisering: Säker inloggning med hashade lösenord (Argon2 eller motsvarande) och möjlighet till tvåfaktorsautentisering
- Loggning: Inloggningar och kritiska åtgärder loggas
- Backup: Regelbundna backuper av databas med kryptering
- Säkerhetsuppdateringar: Underliggande programvara och bibliotek hålls uppdaterade
5.2 Organisatoriska åtgärder
- Anställda och uppdragstagare som har åtkomst till Personuppgifter är bundna av sekretessåtagande
- Behörighet ges enligt principen om minsta nödvändig åtkomst (least privilege)
- Behörigheter granskas regelbundet och tas bort vid behovs upphörande
- Säkerhetsincidenter dokumenteras och utvärderas
- Personalen utbildas i dataskydd
5.3 Anpassning av säkerhetsåtgärder
Biträdet kan komma att uppdatera säkerhetsåtgärder för att hantera nya hot eller följa branschpraxis. Sådana uppdateringar får inte väsentligt försämra säkerhetsnivån.
6. Underbiträden
6.1 Generellt medgivande
Den Personuppgiftsansvarige ger sitt generella medgivande till att Biträdet anlitar Underbiträden enligt den aktuella listan i punkt 6.2.
6.2 Aktuell lista över Underbiträden
| Underbiträde | Säte/Region | Tjänst | Behandling |
|---|---|---|---|
| Supabase Inc. (Supabase EU) | EU | Databas, autentisering, edge functions | Lagring och behandling av all Personuppgift i Tjänsten |
| Resend, Inc. | USA | E-postutskick | Hantering av transaktionsmail (verifiering, notiser) |
| Microsoft Azure (Azure OpenAI) | Sverige Central | AI-modell | Behandling av AI-frågor och svar |
| Cloudflare, Inc. | EU/USA | CDN och edge-runtime | Snabb leverans av webbtjänsten |
| Apple Inc. & Google LLC | USA | App Store / Google Play | Distribution av mobilapp och hantering av In-App-Purchases |
| RevenueCat, Inc. | USA | Hantering av IAP | Sammanställning av prenumerationer och köp |
6.3 Information vid förändring
Vid ändringar av Underbiträden ska Biträdet informera Den Personuppgiftsansvarige skriftligen minst trettio (30) dagar innan det nya Underbiträdet börjar Behandla Personuppgifter. Den Personuppgiftsansvarige har då rätt att invända mot förändringen genom att säga upp avtalet enligt Tjänstevillkoren punkt 5.
6.4 Avtal med Underbiträden
Biträdet ska ingå avtal med varje Underbiträde som ålägger Underbiträdet motsvarande skyldigheter som följer av detta DPA, särskilt när det gäller säkerhet, sekretess och tredjelandsöverföring.
6.5 Tredjelandsöverföring
Vid överföring av Personuppgifter utanför EU/EES säkerställer Biträdet att överföringen sker enligt giltig överföringsmekanism, primärt:
- EU-kommissionens standardavtalsklausuler (SCC)
- Adekvansbeslut där sådant finns
Biträdet ska på begäran tillhandahålla kopia av tillämpliga SCC.
7. De Registrerades rättigheter
Biträdet ska, så långt det är möjligt och i den utsträckning Den Personuppgiftsansvarige själv inte kan göra det via Tjänstens funktioner, bistå Den Personuppgiftsansvarige med att svara på begäranden från Registrerade om:
- Tillgång (Artikel 15)
- Rättelse (Artikel 16)
- Radering (Artikel 17, "rätten att bli bortglömd")
- Begränsning av Behandling (Artikel 18)
- Dataportabilitet (Artikel 20)
- Invändning (Artikel 21)
Biträdet ska besvara förfrågningar från Den Personuppgiftsansvarige inom tio (10) arbetsdagar. Om Registrerade vänder sig direkt till Biträdet ska sådan begäran utan dröjsmål vidarebefordras till Den Personuppgiftsansvarige.
8. Personuppgiftsincidenter
8.1 Underrättelse
Biträdet ska underrätta Den Personuppgiftsansvarige utan otillbörligt dröjsmål, och om möjligt inom tjugofyra (24) timmar, efter att Biträdet fått kännedom om en Personuppgiftsincident.
8.2 Innehåll i underrättelsen
Underrättelsen ska innehålla:
- Beskrivning av incidentens art, inklusive kategorier och ungefärligt antal Registrerade och Personuppgifter
- Namn och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt
- Beskrivning av sannolika konsekvenser
- Beskrivning av åtgärder som vidtagits eller föreslås för att hantera incidenten
- All annan relevant information
Om all information inte är tillgänglig vid första underrättelsen ska den kompletteras successivt utan otillbörligt dröjsmål.
8.3 Den Personuppgiftsansvariges ansvar
Den Personuppgiftsansvarige ansvarar för att vid behov anmäla incidenten till Integritetsskyddsmyndigheten (IMY) och informera Registrerade.
9. Konsekvensbedömning och förhandssamråd
Biträdet ska på Den Personuppgiftsansvariges begäran bistå med information som krävs för:
- Konsekvensbedömning avseende dataskydd (Artikel 35 GDPR)
- Förhandssamråd med IMY (Artikel 36 GDPR)
10. Loggning och åtkomst
Biträdet loggar tekniska åtgärder som rör Behandling av Personuppgifter i den utsträckning det är tekniskt möjligt och proportionerligt. Loggar sparas under tolv (12) månader.
11. Avtalets upphörande
11.1 Radering eller återlämning
Vid avtalets upphörande ska Biträdet, enligt Den Personuppgiftsansvariges val:
- Radera samtliga Personuppgifter som Behandlats för Den Personuppgiftsansvariges räkning, eller
- Återlämna samtliga Personuppgifter i ett vanligt förekommande maskinläsbart format (t.ex. JSON eller CSV)
11.2 Tidsfrist
Radering eller återlämning ska ske inom trettio (30) dagar från avtalets upphörande, om inte EU-rätten eller medlemsstats rätt kräver att Personuppgifterna sparas längre.
11.3 Backuper
Personuppgifter i backuper raderas i takt med att backuper rullas över enligt Biträdets backuprutiner, normalt inom nittio (90) dagar.
11.4 Skriftlig bekräftelse
På Den Personuppgiftsansvariges begäran ska Biträdet skriftligen bekräfta att Personuppgifter raderats eller återlämnats.
12. Revision och granskning
12.1 Granskningsrätt
Den Personuppgiftsansvarige har rätt att, högst en gång per år eller efter en allvarlig incident, granska Biträdets efterlevnad av detta DPA. Granskningen genomförs:
- I första hand genom att Biträdet tillhandahåller information, certifieringar eller rapporter
- I andra hand genom inspektion på plats, mot förvarning om minst trettio (30) dagar
12.2 Kostnader
Granskning bekostas av Den Personuppgiftsansvarige. Om granskningen visar väsentliga brister i Biträdets efterlevnad bär Biträdet kostnaderna för granskningen.
12.3 Sekretess
Granskningen ska genomföras på sätt som inte oproportionerligt stör Biträdets verksamhet eller äventyrar säkerheten för andra kunders Personuppgifter.
13. Ansvar
Vart och ett av parternas ansvar enligt detta DPA ska bedömas i enlighet med Tjänstevillkoren punkt 12. Brott mot detta DPA omfattas av undantaget från ansvarsbegränsning i Tjänstevillkoren punkt 12.4.
14. Tillämplig lag och tvistlösning
Detta DPA ska tolkas och tillämpas i enlighet med svensk lag och tvister hanteras enligt Tjänstevillkoren punkt 16.
15. Ändringar och ikraftträdande
15.1 Ikraftträdande
Detta DPA träder i kraft samtidigt med Tjänstevillkoren.
15.2 Ändringar
Ändringar av detta DPA kräver ömsesidig skriftlig överenskommelse, förutom där ändringar krävs på grund av ny lagstiftning eller bindande beslut från tillsynsmyndighet, i vilket fall Biträdet kan ändra DPA med skriftligt meddelande till Den Personuppgiftsansvarige.
16. Kontaktuppgifter för dataskyddsfrågor
Intressebevakaren AB Org.nr: 559365-0707 Säte: Stockholm E-post: support@intressebevakaren.se