← Tillbaka till startsidan

Personuppgiftsbiträdesavtal (PUB-avtal)

Avtal om behandling av personuppgifter för den personuppgiftsansvariges räkning enligt artikel 28 i GDPR

Vägledande översättning. Denna svenska version tillhandahålls endast i informationssyfte. Den juridiskt bindande texten är det tyska originalet; vid avvikelser gäller den tyska versionen.

Preambel

Detta avtal preciserar parternas dataskyddsrättsliga skyldigheter inom ramen för kundens (nedan ”den personuppgiftsansvarige”) användning av tjänsterna från 121 Apps GmbH (nedan ”personuppgiftsbiträdet”). Det gäller för alla aktiviteter där personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

§ 1 Föremål, art, omfattning, ändamål & varaktighet

(1) Behandlingens föremål och ändamål framgår av det underliggande huvudavtalet (användningen av respektive tjänst). Personuppgiftsbiträdet behandlar uppgifterna uteslutande för att tillhandahålla de avtalade tjänsterna och enligt dokumenterade instruktioner från den personuppgiftsansvarige.

(2) Behandlingen omfattar, beroende på vilken tjänst som används, särskilt insamling, registrering, organisering, lagring, bearbetning, läsning, framtagning, användning, överföring, begränsning och radering av personuppgifter.

(3) Behandlingens varaktighet motsvarar huvudavtalets löptid.

§ 2 Typ av uppgifter & kategorier av registrerade

(1) Typ av personuppgifter: beroende på vilken tjänst som används t.ex. stamdata (namn, e-post, adress), kontaktuppgifter, användnings- och loggdata samt innehållsdata som den personuppgiftsansvarige lägger in (t.ex. enkätsvar, uppdrags- och tjänsteleverantörsdata).

(2) Särskilda kategorier av personuppgifter (artikel 9 i GDPR) omfattas inte av uppdraget, såvida inte den personuppgiftsansvarige själv lägger in sådana uppgifter i innehållsdata; i så fall gäller de förhöjda skyddskraven i motsvarande mån.

(3) Kategorier av registrerade: t.ex. anställda, kunder, intressenter, enkätdeltagare och tjänsteleverantörer hos den personuppgiftsansvarige.

§ 3 Personuppgiftsbiträdets skyldigheter

(1) Personuppgiftsbiträdet behandlar uppgifter endast enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte biträdet enligt lag är skyldigt att behandla dem. Instruktioner lämnas i text- eller skriftform; muntligt lämnade instruktioner ska utan dröjsmål bekräftas i text- eller skriftform. Parterna kan var för sig utse personer som är behöriga att lämna instruktioner.

(2) Biträdet säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

(3) Biträdet vidtar alla tekniska och organisatoriska åtgärder som krävs enligt artikel 32 i GDPR (§ 4 jämförd med bilaga 1).

(4) Biträdet bistår den personuppgiftsansvarige, i den mån det är möjligt, vid fullgörandet av de registrerades rättigheter (artiklarna 12–23 i GDPR) samt vid skyldigheterna enligt artiklarna 32–36 i GDPR (datasäkerhet, anmälan av personuppgiftsincidenter, konsekvensbedömning avseende dataskydd).

(5) Personuppgiftsbiträdet informerar utan dröjsmål den personuppgiftsansvarige om en instruktion enligt biträdets uppfattning strider mot dataskyddsrättsliga bestämmelser.

§ 4 Tekniska och organisatoriska åtgärder (artikel 32)

Personuppgiftsbiträdet upprätthåller lämpliga tekniska och organisatoriska åtgärder i den mening som avses i artikel 32 i GDPR, särskilt för att säkerställa systemens konfidentialitet, integritet, tillgänglighet och motståndskraft samt för regelbunden kontroll av åtgärdernas effektivitet. De konkreta åtgärderna beskrivs i bilaga 1 och utgör en del av detta avtal. Väsentliga ändringar får inte underskrida den avtalade skyddsnivån.

§ 5 Underbiträden

(1) Den personuppgiftsansvarige lämnar ett allmänt förhandstillstånd till anlitande av underbiträden. Personuppgiftsbiträdet informerar den personuppgiftsansvarige i god tid i textform om planerade ändringar (tillägg eller utbyte). Den personuppgiftsansvarige kan invända mot en ändring av viktiga dataskyddsrättsliga skäl inom fyra veckor efter att ha informerats; om ingen invändning görs anses ändringen godkänd.

(2) Personuppgiftsbiträdet ålägger underbiträden en likvärdig dataskyddsnivå (artikel 28.4 i GDPR). De för närvarande anlitade underbiträdena anges i bilaga 2.

§ 6 Personuppgiftsincidenter

Personuppgiftsbiträdet anmäler personuppgiftsincidenter till den personuppgiftsansvarige utan onödigt dröjsmål, dock senast inom 24 timmar efter att incidenten blivit känd, och bistår den personuppgiftsansvarige vid anmälnings- och informationsskyldigheterna (artiklarna 33 och 34 i GDPR), så att den personuppgiftsansvarige kan hålla sin egen 72-timmarsfrist.

§ 7 Radering & återlämnande

Efter avslutad behandling raderar personuppgiftsbiträdet uppgifterna eller lämnar tillbaka dem, enligt den personuppgiftsansvariges val, och raderar befintliga kopior, såvida ingen lagstadgad lagringsskyldighet föreligger. Den personuppgiftsansvarige har fram till avtalets slut möjlighet att exportera sina uppgifter.

§ 8 Bevis & kontroller

(1) Personuppgiftsbiträdet ställer till den personuppgiftsansvariges förfogande den information som krävs för att visa att skyldigheterna enligt artikel 28 i GDPR fullgörs. Beviset kan även lämnas genom aktuella certifikat, intyg eller rapporter från lämpliga oberoende tredje parter.

(2) Kontroller därutöver (inklusive inspektioner på plats) genomförs med skälig förhandsavisering på i regel två veckor, högst en gång per år samt vid särskild anledning i fall av konkret misstanke, under normala kontorstider och utan oproportionerlig störning av verksamheten. Kostnaderna för en inspektion på plats som den personuppgiftsansvarige initierat bärs av den personuppgiftsansvarige, såvida inte inspektionen avslöjar en väsentlig överträdelse från personuppgiftsbiträdets sida.

§ 9 Överföring till tredjeland

Behandlingen sker i princip uteslutande inom EU respektive EES. En överföring till ett tredjeland sker endast under iakttagande av kraven i artikel 44 och följande artiklar i GDPR. Det enda nuvarande undantaget är betalningshanteringen via Stripe, där en överföring till USA inte helt kan uteslutas och som stödjer sig på EU:s standardavtalsklausuler (artikel 46 i GDPR). I övrigt sker ingen överföring till tredjeland.

§ 10 Ansvar & slutbestämmelser

(1) För ansvar gäller artikel 82 i GDPR. I förhållandet mellan parterna gäller därutöver huvudavtalets ansvarsbestämmelser.

(2) Vid motstridigheter mellan detta PUB-avtal och huvudavtalet har bestämmelserna i detta PUB-avtal företräde i dataskyddsrättsliga frågor.

(3) Tysk rätt gäller. Exklusivt forum är, i den mån lagen tillåter, München.

(4) Ändringar av och tillägg till detta avtal kräver textform. Skulle en bestämmelse vara ogiltig förblir avtalet i övrigt giltigt.

(5) Detta PUB-avtal blir tillsammans med huvudavtalet en del av avtalsförhållandet. Det ingås elektroniskt genom att den personuppgiftsansvarige godkänner det vid tecknandet av ett avgiftsbelagt abonnemang — inom ramen för beställnings- och betalningsprocessen via Stripe respektive genom bekräftelse i kundkontot. Någon egenhändig underskrift krävs inte enligt artikel 28.9 i GDPR; elektronisk form är tillräcklig.

Bilaga 1 — Tekniska och organisatoriska åtgärder (artikel 32 i GDPR)

Personuppgiftsbiträdet tillämpar följande åtgärder. Förteckningen ska före användning stämmas av mot den faktiskt implementerade praxisen.

1. Konfidentialitet

  • Tillträdeskontroll: drift i datacenter hos Alfahosting GmbH (Halle/Saale) och Hetzner Online GmbH (Gunzenhausen) med säkrad fysisk tillträdeskontroll (bl.a. tillträdesskydd, kameraövervakning).
  • Åtkomstkontroll: individuella användarkonton, säkra lösenord, flerfaktorsautentisering för administrativ åtkomst, automatiska sessionslås.
  • Behörighetskontroll: rollbaserat behörighetskoncept enligt principen om lägsta behörighet, loggning av administrativ åtkomst.
  • Åtskillnadskontroll: logisk klientseparation av olika personuppgiftsansvarigas data; åtskillnad mellan produktions-, test- och utvecklingsmiljöer.
  • Kryptering: TLS-kryptering av dataöverföringen; kryptering av känsliga uppgifter i vila samt krypterad lagring av inloggnings- och tokendata.

2. Integritet

  • Inmatningskontroll: loggning av skapande, ändring och radering; spårbarhet via granskningsloggar (audit logs).
  • Överföringskontroll: överföring uteslutande via krypterade förbindelser.

3. Tillgänglighet och motståndskraft

  • regelbundna, krypterade säkerhetskopior och ett förfarande för att återställa tillgängligheten efter en incident;
  • systemövervakning, skydd mot överbelastning och angrepp (bl.a. brandväggar, DDoS-skydd), skyndsamma säkerhetsuppdateringar.

4. Förfaranden för regelbunden kontroll, bedömning och utvärdering

  • regelbunden kontroll av åtgärdernas effektivitet; dataskydds- och säkerhetsgranskningar; uppdragskontroll gentemot underbiträden;
  • inbyggt dataskydd och dataskydd som standard (artikel 25 i GDPR).

Bilaga 2 — Underbiträden

Vid tidpunkten för detta avtal anlitas följande underbiträden:

  • Alfahosting GmbH, Halle (Saale), Tyskland — hosting/datacenter (EU).
  • Hetzner Online GmbH, Gunzenhausen, Tyskland — hosting/datacenter (EU).
  • Stripe Payments Europe Ltd., Dublin, Irland — betalningshantering; en överföring till USA kan inte uteslutas och stödjer sig på EU:s standardavtalsklausuler.
  • Sendinblue GmbH (Brevo), Köln, Tyskland — utskick av e-post och notiser (EU).

Senast uppdaterad: 6 juli 2026