Personuppgiftsbiträdesavtal (DPA)

Version: 2026-05-11

Detta personuppgiftsbiträdesavtal ("DPA") ingås mellan er som kund ("Personuppgiftsansvarig") och Roligt AB, org.nr 556961-0198, leverantör av tjänsten Arkivmappen ("Personuppgiftsbiträde"). Avtalet kompletterar de allmänna villkoren för Arkivmappen och reglerar hur Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning.

1. Bakgrund och roller

Personuppgiftsansvarig bestämmer ändamål och medel för behandlingen av personuppgifter inom sitt konto i Arkivmappen. Personuppgiftsbiträde behandlar uppgifterna uteslutande enligt Personuppgiftsansvarigs instruktioner samt enligt detta DPA. Behandlingen sker i enlighet med EU:s dataskyddsförordning (2016/679) ("GDPR") och tillämplig svensk dataskyddslagstiftning.

2. Föremål för behandlingen

Personuppgiftsbiträdet behandlar personuppgifter för att tillhandahålla, drifta och stödja användningen av Arkivmappen som fillagrings- och delningstjänst.

Typ av personuppgifter: namn, e-postadress, organisationstillhörighet, IP-adress, autentiseringsuppgifter, loggar samt eventuella personuppgifter som ingår i de filer Personuppgiftsansvarig laddar upp.

Kategorier av registrerade: Personuppgiftsansvarigs anställda, kunder, leverantörer och övriga personer vars uppgifter Personuppgiftsansvarig själv väljer att lagra i tjänsten.

Varaktighet: behandlingen pågår så länge avtalet om Arkivmappen är i kraft, samt under den tid som krävs för raderingsåtgärder efter att avtalet upphört.

3. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska:

• behandla personuppgifter enbart enligt dokumenterade instruktioner från Personuppgiftsansvarig,
• säkerställa att personer med åtkomst till uppgifterna omfattas av sekretess,
• vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR (se bilaga A),
• bistå Personuppgiftsansvarig vid begäran från registrerade samt vid konsekvensbedömningar och förhandssamråd,
• utan onödigt dröjsmål (senast inom 72 timmar) underrätta Personuppgiftsansvarig om personuppgiftsincidenter,
• på Personuppgiftsansvarigs begäran tillhandahålla information som krävs för att visa att skyldigheterna i artikel 28 GDPR uppfylls samt möjliggöra och bidra till granskningar (audit).

4. Underbiträden

Personuppgiftsansvarig ger generellt förhandsgodkännande till att Personuppgiftsbiträdet anlitar följande underbiträden:

• Amazon Web Services EMEA SARL — molninfrastrukturleverantör. All databehandling och lagring sker i datacenter i Stockholm, Sverige. AWS GDPR Data Processing Addendum gäller mellan Personuppgiftsbiträdet och AWS.
• Apple Inc. — push-notiser via Apple Push Notification service (APNs) för aviseringar till klientappar. Endast minimala metadata (token-identifierare) skickas.

Personuppgiftsbiträdet ska informera Personuppgiftsansvarig om tilltänkta byten eller tillägg av underbiträden minst 30 dagar i förväg. Personuppgiftsansvarig har rätt att invända mot förändringen; om parterna då inte når en överenskommelse har Personuppgiftsansvarig rätt att säga upp avtalet om Arkivmappen.

Personuppgiftsbiträdet ansvarar för underbiträdets utförande av sina skyldigheter på samma sätt som för sitt eget.

5. Plats för behandling och tredjelandsöverföringar

All behandling sker inom EU/EES, huvudsakligen i datacenter i Stockholm, Sverige. Personuppgifter överförs inte till tredje land utan att Personuppgiftsansvarig informerats och utan att tillämpliga skyddsåtgärder enligt kapitel V GDPR är på plats (t.ex. standardavtalsklausuler).

6. Säkerhetsåtgärder

Personuppgiftsbiträdet vidtar de tekniska och organisatoriska åtgärder som beskrivs i bilaga A. Åtgärderna kan komma att utvecklas över tid utan att skyddsnivån sänks.

7. Sekretess

Personuppgiftsbiträdet säkerställer att personer som behandlar personuppgifterna har förbundit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.

8. Bistånd till Personuppgiftsansvarig

Personuppgiftsbiträdet bistår Personuppgiftsansvarig att uppfylla skyldigheter avseende:

• registrerades rättigheter (artikel 15–22 GDPR),
• säkerhet i behandlingen (artikel 32),
• anmälan av personuppgiftsincident (artikel 33–34),
• konsekvensbedömningar och förhandssamråd (artikel 35–36).

9. Radering och återlämning vid avtalets upphörande

Vid avtalets upphörande raderar Personuppgiftsbiträdet, enligt Personuppgiftsansvarigs val, samtliga personuppgifter eller återlämnar dem och raderar därefter befintliga kopior, om inte EU- eller svensk rätt kräver fortsatt lagring. Radering sker senast inom 30 dagar efter avtalets upphörande.

10. Granskning

Personuppgiftsbiträdet tillhandahåller på begäran den information som krävs för att Personuppgiftsansvarig ska kunna säkerställa efterlevnad av detta DPA. Granskningar (audit) ska aviseras skäligt i förväg och genomföras utan att störa Personuppgiftsbiträdets verksamhet. Personuppgiftsansvarig svarar för sina egna kostnader för granskningen.

11. Ansvar

Parterna ansvarar enligt vad som följer av artikel 82 GDPR och de allmänna villkoren för Arkivmappen. Ansvarsbegränsningarna i de allmänna villkoren gäller även för detta DPA, i den utsträckning det är tillåtet enligt lag.

12. Ändringar och giltighet

Personuppgiftsbiträdet kan komma att uppdatera detta DPA i syfte att uppfylla nya rättsliga krav eller spegla förändringar i tjänsten. Väsentliga ändringar meddelas Personuppgiftsansvarig i förväg via e-post eller direkt i tjänsten.

Detta DPA gäller från och med den tidpunkt då Personuppgiftsansvarig godkänner det i tjänsten, så länge avtalet om Arkivmappen är i kraft.

13. Tillämplig lag

Svensk lag gäller för detta DPA. Tvister avgörs av svensk allmän domstol med Stockholms tingsrätt som första instans.

Bilaga A — Tekniska och organisatoriska säkerhetsåtgärder

Kryptering
- Trafik mellan klient och tjänst krypteras med TLS 1.2 eller högre.
- Filer krypteras i vila med AES-256 hos molnleverantören.
- Lösenord lagras hashade enligt modern, minneskrävande standard med 256-bitars utdata för att motverka offline-attacker.

Åtkomstkontroll
- Inloggning sker med e-post + lösenord och tvåfaktorsverifiering via e-postkod, eller med passnyckel (passkey/WebAuthn).
- Sessioner är begränsade i tid och kan återkallas.
- Behörigheter är organisations- och rollbaserade (pending/approved/admin).
- Personuppgiftsbiträdets personal har endast åtkomst till driftsystem efter behov av tjänsten.

Loggning och övervakning
- Säkerhetshändelser (inloggningar, behörighetsändringar, fildelningar) loggas.
- Loggar gallras enligt fastställda rutiner.

Tillgänglighet och kontinuitet
- Data lagras redundant i flera oberoende datacenter i Stockholm.
- Säkerhetskopior tas regelbundet enligt molnleverantörens standardrutiner.

Underleverantörshantering
- Underbiträden anlitas endast med skriftligt biträdesavtal som ålägger motsvarande dataskyddsåtgärder.

Personal
- Anställda och konsulter omfattas av sekretessåtaganden.
- Säkerhetsmedvetenhet ingår i intern utbildning.

Incidenthantering
- Rutiner finns för upptäckt, hantering och rapportering av personuppgiftsincidenter.
- Personuppgiftsansvarig informeras utan onödigt dröjsmål, senast inom 72 timmar.

Bilaga B — Underbiträden

Aktuell förteckning över godkända underbiträden:

• Amazon Web Services EMEA SARL — molninfrastrukturleverantör. Behandlingsplats: Stockholm, Sverige.
• Apple Inc. — Apple Push Notification service (APNs) för aviseringar till klientappar. Endast minimala metadata (token-identifierare) skickas. Behandlingsplats: Apples globala APNs-infrastruktur.

Listan kan komma att uppdateras enligt punkt 4 ovan. Senaste versionen finns alltid tillgänglig på arkivmappen.se/dpa.