Personuppgiftsbiträdesavtal

1. Parter

Personuppgiftsansvarig ("Kunden")
Den skola eller organisation som har ingått avtal om användning av tjänsten Lurkollen. Kunden är ansvarig för att personuppgifter behandlas i enlighet med tillämplig dataskyddslagstiftning.

Personuppgiftsbiträde ("Biträdet")
Frånvarokollen Sverige AB, org. nr 559585-6450, med adress i Sverige. Biträdet tillhandahåller den tekniska plattformen Lurkollen och behandlar personuppgifter uteslutande på Kundens uppdrag.

2. Bakgrund och syfte

Kunden använder tjänsten Lurkollen för att administrera insamling av mobiltelefoner i skolan. I samband med detta behandlar Biträdet personuppgifter om Kundens elever och personal.

Syftet med detta avtal är att fastställa parternas skyldigheter och rättigheter avseende behandlingen av personuppgifter, i enlighet med artikel 28 GDPR.

3. Behandlingens föremål och varaktighet

Biträdet behandlar personuppgifter under den tid Kunden är abonnent på tjänsten. En fullständig beskrivning av behandlingen finns i Bilaga 1.

4. Biträdets skyldigheter

4.1 Instruktioner

Biträdet ska behandla personuppgifter enbart på dokumenterade instruktioner från Kunden, inklusive vad som framgår av detta avtal och tjänstens funktionalitet. Om Biträdet bedömer att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning ska Biträdet omedelbart informera Kunden.

4.2 Konfidentialitet

Biträdet ska säkerställa att personer som har tillgång till personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt.

4.3 Säkerhet

Biträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med artikel 32 GDPR. De konkreta åtgärder som tillämpas framgår av Bilaga 3.

4.4 Underbiträden

Kunden ger Biträdet ett generellt förhandsgodkännande att anlita underbiträden. De underbiträden som används vid avtalets ingående framgår av Bilaga 2. Biträdet ska informera Kunden om planerade förändringar avseende anlitande av nya eller utbyte av befintliga underbiträden, och därigenom ge Kunden möjlighet att invända mot sådana förändringar. Biträdet ska ålägga underbiträden motsvarande dataskyddsskyldigheter som framgår av detta avtal.

4.5 Assistans till den registrerade

Biträdet ska, med beaktande av behandlingens art, bistå Kunden med lämpliga tekniska och organisatoriska åtgärder för att Kunden ska kunna fullgöra sin skyldighet att svara på begäran om utövande av de registrerades rättigheter enligt kapitel III GDPR.

4.6 Assistans avseende säkerhet och incidenter

Biträdet ska bistå Kunden med att säkerställa att skyldigheterna enligt artiklarna 32–36 GDPR fullgörs, inbegripet hantering av personuppgiftsincidenter. Biträdet ska utan onödigt dröjsmål, och senast inom 48 timmar, meddela Kunden om en personuppgiftsincident som rör de personuppgifter Biträdet behandlar på Kundens uppdrag.

4.7 Radering och återlämnande

Efter att behandlingen av personuppgifter upphört ska Biträdet, efter Kundens val, radera eller återlämna alla personuppgifter till Kunden, samt radera befintliga kopior, om inte lagstiftning kräver att personuppgifterna bevaras. Radering sker senast 30 dagar efter avtalets upphörande.

4.8 Granskningsrätt

Biträdet ska tillhandahålla all information som krävs för att visa att skyldigheterna i detta avtal fullgörs, och möjliggöra och bidra till granskningar, inbegripet inspektioner, som utförs av Kunden eller en av Kunden utsedd revisor. Biträdet ska omedelbart informera Kunden om en instruktion enligt detta avtal strider mot GDPR eller annan tillämplig unionsrätt eller nationell rätt.

5. Kundens skyldigheter

Kunden ansvarar för att:

• behandlingen av personuppgifter sker på laglig grund och i enlighet med GDPR och skollagen,
• registrerade informeras om behandlingen i enlighet med artiklarna 13–14 GDPR,
• Biträdet utan dröjsmål informeras om ändringar av instruktioner som påverkar behandlingen,
• de uppgifter som anges vid registrering och under avtalstiden är korrekta och aktuella.

6. Datalagring och radering under avtalstiden

Löpande under avtalstiden gäller följande lagringstider:

• Närvaro-/frånvarostatus — konfigurerbart per skola, standardvärde 90 dagar. Kunden kan ändra detta i tjänstens inställningar.
• Elevuppgifter och läraruppgifter — sparas till dess Kunden raderar dem manuellt.
• Logghändelser — 90 dagar.

Vid avtalets upphörande raderas all Kundens data inom 30 dagar, om inte Kunden dessförinnan begär export av sina uppgifter.

7. Överföringar till tredjeland

Biträdets primära databas är placerad inom EU/EES (Frankfurt/Stockholm). Vissa underbiträden har sitt säte i USA men hanterar personuppgifter med stöd av EU:s standardavtalsklausuler (SCC) och/eller EU–US Data Privacy Framework. Se Bilaga 2 för detaljer.

8. Ansvar och ersättning

Parterna ansvarar för skada som uppkommer till följd av brott mot detta avtal i enlighet med vad som anges i Användarvillkoren. Biträdets samlade ansvar gentemot Kunden är under alla omständigheter begränsat till det belopp Kunden betalat för tjänsten under de senaste 12 månaderna.

9. Avtalstid och upphörande

Detta avtal gäller så länge Biträdet behandlar personuppgifter på Kundens uppdrag. Avtalet upphör automatiskt när Kundens abonnemang på Lurkollen avslutas.

10. Tillämplig lag och tvistlösning

Detta avtal regleras av svensk lag. Tvister som inte kan lösas i godo ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.

11. Ändringar

Biträdet förbehåller sig rätten att uppdatera detta avtal, exempelvis vid förändringar i underbiträdeslistan eller tillämplig lagstiftning. Kunden informeras via e-post med minst 30 dagars varsel vid väsentliga förändringar. Den senaste versionen finns alltid tillgänglig på lurkollen.com/dpa.

Behandlingens art och syfte

Biträdet behandlar personuppgifter i syfte att tillhandahålla en webbaserad tjänst för att administrera insamling av mobiltelefoner i skolor. Behandlingen innefattar lagring, visning, uppdatering och radering av uppgifter via tjänstens gränssnitt och API.

Kategorier av registrerade

• Elever inskrivna vid Kundens skola
• Lärare och annan personal vid Kundens skola

Kategorier av personuppgifter

Uppgift	Registrerade	Syfte
Namn, klass, elev-ID / personnummer	Elever	Identifiering i systemet
Närvaro-/frånvarostatus per dag	Elever	Registrering av mobil­inlämning
Anteckningar i fritextfält	Elever	Valfria noteringar av lärare
Namn och e-postadress	Lärare/personal	Inloggning och behörighets­hantering
Logghändelser (vem ändrade vad, när)	Lärare/personal	Revision och felsökning

Biträdet behandlar inga känsliga personuppgifter (t.ex. hälsouppgifter, etniskt ursprung) utöver vad Kunden eventuellt själv väljer att anteckna i fritextfält.

Godkända underbiträden

Företag	Land	Tjänst	Överföringsgrund
Supabase Inc.	USA (server i EU: Frankfurt / Stockholm)	Databas och autentisering	SCC + EU–US DPF
Vercel Inc.	USA (edge-noder globalt)	Webbhotell och server­drift	SCC + EU–US DPF
Resend Inc.	USA	Transaktions­e-post (inbjudningslänkar)	SCC + EU–US DPF
Google LLC	USA	OAuth-autentisering (Google Sign-In)	SCC + EU–US DPF
Microsoft Corporation	USA	OAuth-autentisering (Microsoft Sign-In)	SCC + EU–US DPF

Inga elevuppgifter skickas till Resend, Google eller Microsoft. Resend hanterar endast e-postadresser till personal vid inbjudningar. Google och Microsoft hanterar endast autentiseringsflödet och tar inte del av lagrad skoldata.

Säkerhetsåtgärder

Biträdet tillämpar följande tekniska och organisatoriska säkerhetsåtgärder i enlighet med artikel 32 GDPR:

Kryptering och kommunikation

• All kommunikation mellan klient och server sker krypterat via TLS 1.2 eller högre (HTTPS).
• Databaser krypteras i vila med AES-256 (hanteras av Supabase).

Åtkomstkontroll

• Rollbaserad behörighetsstyrning: administratörer och lärare har olika åtkomstnivåer.
• Autentisering sker via etablerade OAuth-leverantörer (Google, Microsoft) — inga lösenord lagras av Biträdet.
• Åtkomst till produktionssystem är begränsad till behörig personal och loggas.
• API-nycklar med hög behörighet (service role) exponeras aldrig i klientkod.

Säkerhetskopiering och återställning

• Automatiska dagliga säkerhetskopior av all skoldata skapas och lagras i databasen.
• Manuell säkerhetskopiering kan initieras av Kunden när som helst via tjänstens gränssnitt.
• Återställning från säkerhetskopia kan utföras av Kunden utan inblandning av Biträdet.
• Supabase utför egna databassäkerhetskopior med point-in-time recovery.

Incidenthantering

• Misstänkta säkerhetsincidenter loggas och eskaleras internt.
• Kunden informeras om personuppgiftsincidenter senast inom 48 timmar.

Organisatoriska åtgärder

• Personal med tillgång till personuppgifter är bunden av konfidentialitetsskyldighet.
• Tillgång till produktionssystem beviljas enligt principen om minsta möjliga behörighet.

Kontakt