Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning. Biträdesavtalet utgör en del av huvudavtalet om användning av tjänsten Schackappen ("Huvudavtalet") och gäller tillsammans med det. Vid motstridighet om behandling av personuppgifter har Biträdesavtalet företräde framför Huvudavtalet.

1. Parter

Parterna benämns nedan var för sig "Part" och gemensamt "Parterna".

2. Bakgrund och syfte

Personuppgiftsbiträdet tillhandahåller den webbaserade schackutbildningstjänsten Schackappen, inklusive en elevapp och en lärarportal. För att tjänsten ska fungera behandlar Personuppgiftsbiträdet vissa personuppgifter om elever, lärare och rektorer för den Personuppgiftsansvariges räkning. Syftet med Biträdesavtalet är att uppfylla kraven i artikel 28 i EU:s dataskyddsförordning (GDPR) och att skydda de registrerades rättigheter.

3. Definitioner

Begrepp som "personuppgifter", "behandling", "personuppgiftsansvarig", "personuppgiftsbiträde", "underbiträde" (sub-processor), "registrerad" och "personuppgiftsincident" har samma innebörd som i GDPR (förordning (EU) 2016/679).

4. Föremål, varaktighet, art och ändamål

• Föremål: behandling av personuppgifter som krävs för att leverera och driva tjänsten Schackappen åt den Personuppgiftsansvarige.
• Varaktighet: behandlingen pågår så länge Huvudavtalet gäller och den Personuppgiftsansvariges konto, klasser eller skola är aktiva, samt under den korta tid därefter som krävs för radering eller återlämning.
• Behandlingens art: insamling, lagring, strukturering, visning, uppdatering, säkerhetskopiering och radering, samt utskick av nödvändiga konto- och inbjudningsmejl.
• Ändamål: att tillhandahålla schackundervisning, elevinloggning samt lärares och rektorers uppföljning av elevers framsteg.

5. Typ av personuppgifter

Om eleven (barn):

• Förnamn (det läraren eller eleven själv väljer)
• Vald avatar/figur
• Spelstatistik: spelstyrka, antal partier, vinster, klarade sagor och lektioner, stjärnor och senaste aktivitet
• Klasskod och en personlig PIN-kod för inloggning (inget mejl, efternamn eller personnummer)

Om läraren eller rektorn (vuxen):

• Namn och e-postadress
• Roll (lärare eller rektor) samt tillhörande skola och klasser
• Lösenord lagras aldrig i klartext (hanteras hashat av autentiseringsleverantören)

Om skolan: skolans namn, kontakt-e-post, prenumerations- och provperiodsstatus, samt e-postadresser till lärare som bjuds in.

6. Kategorier av registrerade

• Elever (barn) hos den Personuppgiftsansvarige
• Lärare
• Rektorer och andra administrativa användare hos den Personuppgiftsansvarige

7. Personuppgiftsbiträdets skyldigheter

1. Dokumenterade instruktioner. Personuppgiftsbiträdet behandlar personuppgifter endast enligt den Personuppgiftsansvariges dokumenterade instruktioner, vilka utgörs av Huvudavtalet, detta Biträdesavtal och tjänstens normala användning, om inte annat krävs enligt EU-rätt eller svensk rätt. Om Personuppgiftsbiträdet anser att en instruktion strider mot dataskyddsregler ska den Personuppgiftsansvarige informeras.
2. Konfidentialitet. Personer som behandlar personuppgifter hos Personuppgiftsbiträdet är bundna av tystnadsplikt.
3. Säkerhet. Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 (se punkt 11).
4. Underbiträden. Personuppgiftsbiträdet får anlita underbiträden enligt punkt 9.
5. De registrerades rättigheter. Personuppgiftsbiträdet bistår den Personuppgiftsansvarige, så långt det är möjligt, med att besvara begäranden från registrerade (tillgång, rättelse, radering, dataportabilitet, invändning m.m.).
6. Bistånd. Personuppgiftsbiträdet bistår den Personuppgiftsansvarige med att uppfylla skyldigheter avseende säkerhet, anmälan av personuppgiftsincidenter och, vid behov, konsekvensbedömningar (DPIA), med hänsyn till behandlingens art och den information som är tillgänglig.
7. Radering eller återlämning. Vid behandlingens upphörande raderar eller återlämnar Personuppgiftsbiträdet, enligt den Personuppgiftsansvariges val, samtliga personuppgifter och raderar befintliga kopior, om inte lagring krävs enligt lag.
8. Granskning. Personuppgiftsbiträdet tillhandahåller den Personuppgiftsansvarige den information som krävs för att visa att skyldigheterna i artikel 28 fullgörs och möjliggör samt medverkar vid granskningar och inspektioner.

8. Personuppgiftsincidenter

Personuppgiftsbiträdet underrättar den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident och bistår med information som rimligen behövs för den Personuppgiftsansvariges eventuella anmälan till tillsynsmyndigheten och de registrerade.

9. Underbiträden (sub-processors)

Den Personuppgiftsansvarige ger Personuppgiftsbiträdet ett generellt skriftligt godkännande att anlita underbiträden för att leverera tjänsten. Personuppgiftsbiträdet säkerställer att varje underbiträde är bundet av dataskyddsförpliktelser motsvarande dem i detta Biträdesavtal. Vid planerade ändringar av underbiträden informeras den Personuppgiftsansvarige i förväg så att invändning kan göras. Vid avtalstecknandet anlitas följande underbiträden:

10. Överföring till tredjeland

Personuppgifter lagras primärt inom EU/EES (Supabase). Vissa underbiträden (Netlify och Resend) är USA-baserade. Sådana överföringar sker med stöd av giltiga överföringsmekanismer enligt GDPR kapitel V, i första hand EU-US Data Privacy Framework och EU-kommissionens standardavtalsklausuler (SCC). Inga andra överföringar till tredjeland sker utan att en sådan mekanism finns på plats.

11. Säkerhetsåtgärder (artikel 32)

• Åtkomststyrning på radnivå i databasen, så att en lärare endast ser sina egna klasser och elever
• Kryptering av data under överföring (TLS/HTTPS)
• Lösenord lagras hashat, aldrig i klartext
• Begränsning och loggning av inloggningsförsök som skydd mot missbruk
• Dataminimering som princip: inga onödiga uppgifter samlas in om barn
• Säkerhetskopiering hos databasleverantören inom EU
• Loggning av administrativa åtgärder för spårbarhet

12. Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ansvarar för att det finns en laglig grund för behandlingen, att de registrerade (eller deras vårdnadshavare) informerats i den utsträckning som krävs, samt att de instruktioner som ges till Personuppgiftsbiträdet är lagenliga.

13. Ansvar

Parternas skadeståndsansvar regleras av artikel 82 i GDPR och av ansvarsbestämmelserna i Huvudavtalet. Begränsningar av ansvar i Huvudavtalet gäller även för detta Biträdesavtal i den mån det är förenligt med tvingande rätt.

14. Avtalstid och upphörande

Biträdesavtalet gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. Vid upphörande raderas eller återlämnas personuppgifterna enligt punkt 7.7. När en elev, klass eller skola tas bort i tjänsten raderas tillhörande personuppgifter.

15. Ändringar

Ändringar av detta Biträdesavtal ska vara skriftliga. Den vid var tid gällande versionen publiceras på denna sida med uppdaterat datum. Väsentliga ändringar av underbiträden meddelas enligt punkt 9.

16. Tillämplig lag och tvist

På Biträdesavtalet tillämpas svensk rätt. Tvist ska avgöras av svensk allmän domstol, med Stockholms tingsrätt som första instans, om inte annat följer av tvingande rätt.

17. Underskrifter

Detta Biträdesavtal tecknas i två exemplar, ett för vardera Part.