Personuppgiftsbiträdesavtal
Senast uppdaterad: 8 juli 2026 · Utgör en del av användarvillkoren
Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) reglerar Klubbnavets behandling av personuppgifter för föreningens räkning och utgör en del av avtalet mellan parterna. Det ingås mellan den förening som använder tjänsten (”den Personuppgiftsansvarige”) och Cloudspot AB, org.nr 556797-7136 (”Personuppgiftsbiträdet”).
1. Bakgrund och roller
Föreningen är personuppgiftsansvarig för de personuppgifter som behandlas i tjänsten och bestämmer ändamålen med och medlen för behandlingen. Klubbnavet är personuppgiftsbiträde och behandlar uppgifterna enbart enligt föreningens dokumenterade instruktioner, vilka i grunden utgörs av att tillhandahålla tjänsten enligt användarvillkoren.
2. Föremål, varaktighet, art och ändamål
- Föremål: behandling av personuppgifter i syfte att tillhandahålla föreningsadministration via Klubbnavet.
- Varaktighet: så länge avtalet om tjänsten gäller.
- Art och ändamål: lagring, strukturering, visning, kommunikation, avisering/betalningshantering och övrig behandling som krävs för tjänstens funktioner.
3. Typer av uppgifter och registrerade
| Kategorier av registrerade | Typer av personuppgifter |
|---|---|
| Medlemmar, vårdnadshavare, ledare/funktionärer och föreningens företrädare | Namn, kontaktuppgifter, födelsedatum/personnummer, roll/grupptillhörighet, närvaro, avgifts- och betalningsuppgifter samt meddelanden i tjänsten |
Behandling av känsliga personuppgifter är inte avsedd. Föreningen ansvarar för att inte föra in sådana uppgifter utöver vad tjänsten uttryckligen stödjer och laglig grund finns för.
4. Klubbnavets skyldigheter
Klubbnavet ska:
- endast behandla personuppgifter enligt föreningens dokumenterade instruktioner,
- säkerställa att personer med åtkomst omfattas av konfidentialitet,
- vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR (se Bilaga B),
- bistå föreningen med lämpliga åtgärder så att den kan uppfylla registrerades rättigheter,
- bistå föreningen med säkerhet, anmälan av personuppgiftsincidenter och konsekvensbedömningar,
- utan onödigt dröjsmål underrätta föreningen vid personuppgiftsincident, och
- vid avtalets slut radera eller återlämna personuppgifterna enligt föreningens val, om inte lag kräver fortsatt lagring.
5. Underbiträden
Föreningen ger Klubbnavet ett allmänt förhandsgodkännande att anlita underbiträden. Klubbnavet ingår skriftliga avtal med varje underbiträde med minst samma dataskyddsförpliktelser som här, och ansvarar för underbiträdets behandling. Aktuella underbiträden framgår av Bilaga A. Vid planerade förändringar informerar Klubbnavet i förväg så att föreningen kan invända.
6. Överföring till tredjeland
Personuppgifterna behandlas inom EU/EES. Överföring till tredjeland sker inte utan att en laglig överföringsmekanism enligt kapitel V GDPR finns på plats.
7. Granskning
Klubbnavet ger föreningen tillgång till den information som krävs för att visa att skyldigheterna i artikel 28 GDPR uppfylls och möjliggör granskning på skäliga villkor.
8. Ansvar
Ansvar för behandlingen fördelas enligt GDPR och parternas avtal. Ansvarsbegränsningen i användarvillkoren gäller i tillämpliga delar.
Bilaga A — Underbiträden
| Underbiträde | Behandling | Plats |
|---|---|---|
| Google Cloud (Google Cloud EMEA Ltd.) | Drift och lagring (hosting, databas) | EU — europe-north1 (Finland) |
| Mailjet / Sinch | Utskick av e-post (avisering, systemmeddelanden) | EU/EES |
Bilaga B — Säkerhetsåtgärder (artikel 32)
- Kryptering av data under överföring (TLS) och kryptering av lagrad data hos molnleverantören.
- Åtkomststyrning med behörigheter, autentisering och loggning; data isolerad per förening (tenant-scoping).
- Regelbundna säkerhetskopior och möjlighet till återställning till en tidpunkt (point-in-time recovery).
- Drift inom EU hos en leverantör med relevanta säkerhetscertifieringar.
- Rutiner för hantering och anmälan av personuppgiftsincidenter.
Frågor om detta avtal: hej@klubbnavet.se.