Personuppgiftsbiträdesavtal (DPA)
Senast uppdaterad: 2026-04-17
Detta personuppgiftsbiträdesavtal ("DPA") ingås enligt artikel 28 i den allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR") och utgör en integrerad del av SaaS-licensavtalet ("Huvudavtalet") mellan parterna.
1. Parter och bakgrund
Detta DPA ingås mellan:
- Personuppgiftsansvarig — Kunden enligt definitionen i Huvudavtalet (den federation, konfederation eller organisation som prenumererar på Tjänsten).
- Personuppgiftsbiträde — Easy Software System In Europe AB, org. nr 556967-4822, moms SE556967482201, registrerat i Sverige.
2. Behandlingens omfattning
Biträdet behandlar Personuppgifter på den Personuppgiftsansvariges uppdrag enligt nedan:
- Ändamål — Tillhandahålla SaaS-plattformen Petanque Life, inklusive medlemshantering, tävlingshantering, licensiering, kommunikation och alla relaterade funktioner som beskrivs i Huvudavtalet.
- Kategorier av personuppgifter — Namn, e-post, telefonnummer, födelsedatum, kön, nationalitet, postadress, licensnummer, tävlingsresultat, medicinska intyg (i förekommande fall), finansiella transaktionsposter, fotografier och andra uppgifter som matas in av den Personuppgiftsansvarige eller dess Användare.
- Kategorier av registrerade — Spelare, klubbmedlemmar, funktionärer, domare, tränare, administratörer, åskådare (när registrerade) och andra personer vars uppgifter matas in i Tjänsten.
- Varaktighet — Under Huvudavtalets löptid, plus en lagringsperiod på 90 dagar efter avtalets upphörande för dataexport och radering.
3. Biträdets skyldigheter
Biträdet ska:
- Behandla Personuppgifter enbart enligt dokumenterade instruktioner från den Personuppgiftsansvarige.
- Säkerställa att personer som har behörighet att behandla Personuppgifter har åtagit sig konfidentialitet.
- Vidta lämpliga tekniska och organisatoriska åtgärder, inklusive kryptering (TLS 1.2+, AES-256), åtkomstkontroller (JWT ES512, RBAC), regelbundna säkerhetstester och incidenthanteringsprocedurer.
- Inte anlita ett annat biträde utan föregående skriftligt godkännande (generellt godkännande ges för underbiträdena i avsnitt 4).
- Bistå den Personuppgiftsansvarige med att besvara begäran från registrerade som utövar sina rättigheter enligt GDPR artiklarna 15–22.
- Efter den Personuppgiftsansvariges val, radera eller återlämna alla Personuppgifter efter tjänstens upphörande.
- Tillhandahålla all information som behövs för att visa efterlevnad av artikel 28 och möjliggöra revisioner.
4. Underbiträden
Den Personuppgiftsansvarige ger generellt godkännande för Biträdet att anlita underbiträdena nedan. Biträdet informerar den Personuppgiftsansvarige om ändringar.
Biträdet säkerställer att varje underbiträde omfattas av dataskyddsskyldigheter som är minst lika skyddande som de i detta DPA.
Aktuella underbiträden:
| Underbiträde | Ändamål | Datalagringsplats |
|---|---|---|
| Microsoft Azure | Molninfrastruktur, webbhotell, beräkning, containertjänster | EU (North Europe) |
| Azure Cosmos DB | Databas (MongoDB API), primär datalagring | EU (North Europe) |
| SendGrid (Twilio) | Transaktionell e-postleverans (licensbekräftelser, notifieringar) | EU |
| 46elks | SMS-leverans (OTP, notifieringar) | Sweden (EU) |
| Stripe | Betalningshantering (licensavgifter, prenumerationer) | EU |
| Plausible Analytics | Integritetsrespekterande webbanalys (inga personuppgifter behandlas) | EU |
5. Internationella dataöverföringar
Alla Personuppgifter lagras och behandlas inom EU/EES. Det primära datacentret är Azure North Europe (Irland).
Inga Personuppgifter överförs till tredjeland utanför EU/EES.
6. Registrerades rättigheter
Biträdet bistår den Personuppgiftsansvarige med att uppfylla sina skyldigheter att besvara begäranden från registrerade.
Biträdet informerar omgående den Personuppgiftsansvarige om en begäran mottas direkt från en registrerad.
7. Anmälan av personuppgiftsincident
Biträdet meddelar den Personuppgiftsansvarige utan onödigt dröjsmål (och senast inom 48 timmar) efter att ha fått kännedom om en personuppgiftsincident. Anmälan ska innehålla:
- Beskrivning av incidentens art, inklusive kategorier och ungefärligt antal registrerade och poster.
- Namn och kontaktuppgifter till Biträdets dataskyddskontakt.
- Beskrivning av de sannolika konsekvenserna av incidenten.
- Beskrivning av vidtagna eller föreslagna åtgärder för att hantera incidenten.
8. Revisionsrätt
Biträdet tillhandahåller all information som krävs för att visa efterlevnad av GDPR artikel 28 och detta DPA, och möjliggör revisioner.
Revisioner genomförs med rimligt förvarning (minst 30 dagar), under normal arbetstid.
9. Radering och återlämnande av data
Vid Huvudavtalets upphörande:
- Den Personuppgiftsansvarige kan begära export av alla Personuppgifter i standardformat (JSON, CSV) inom 90 dagar.
- Efter exportperioden raderas alla Personuppgifter permanent och oåterkalleligt, inklusive alla säkerhetskopior.
- Biträdet tillhandahåller skriftlig bekräftelse av raderingen på begäran.
10. Löptid och tillämplig lag
Detta DPA gäller under Huvudavtalets löptid och så länge Biträdet behandlar Personuppgifter. DPA:t regleras av svensk lag.
För frågor angående detta DPA, kontakta dataskyddsombudet på support@petanque.life.