Juridiskt center

KFN Medias juridiska ramverk

Personuppgiftsbiträdesavtal (DPA)

Version 1.0Senast uppdaterad: 30 december 2025

Dessa dokument utgör en del av KFN Medias juridiska ramverk och kan uppdateras löpande.

Parter

Detta personuppgiftsbiträdesavtal (”Avtalet”) ingås mellan KFN Media (”Personuppgiftsbiträde”) och kundorganisationen (”Personuppgiftsansvarig”). Detta Avtal gäller när KFN Media behandlar personuppgifter för den Personuppgiftsansvariges räkning i samband med tillhandahållandet av digitala tjänster.

Syfte och omfattning

Syftet med detta Avtal är att definiera parternas rättigheter och skyldigheter avseende behandlingen av personuppgifter i enlighet med tillämplig dataskyddslagstiftning, inklusive EU:s allmänna dataskyddsförordning (GDPR).

KFN Media behandlar personuppgifter enbart i syfte att leverera avtalade tjänster, inklusive men inte begränsat till mjukvaruutveckling, webbhotell, infrastrukturhantering, automationssystem, AI-integrationer, SEO-tjänster och teknisk support.

Förhållande till användarvillkoren

Detta Avtal utgör en del av och ska läsas tillsammans med KFN Medias Användarvillkor. Vid konflikt gäller den tolkningsordning som anges i Användarvillkoren.

Parternas roller

Den Personuppgiftsansvarige bestämmer syftet med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträdet behandlar personuppgifter endast enligt den Personuppgiftsansvariges dokumenterade instruktioner, om inte annat krävs enligt lag.

Typer av personuppgifter

Beroende på de tjänster som tillhandahålls kan Personuppgiftsbiträdet behandla följande kategorier av uppgifter:

  • Kontaktuppgifter (namn, e-post, telefonnummer)
  • Företagsuppgifter (företagsnamn, befattning)
  • Tekniska uppgifter (IP-adresser, enhetsdata, loggar)
  • Användargenererat eller kundtillhandahållet innehåll
  • System- och användningsdata

Inga känsliga personuppgifter behandlas avsiktligt om det inte uttryckligen avtalats skriftligen.

Kategorier av registrerade

Registrerade kan inkludera:

  • Kundens anställda och representanter
  • Slutanvändare av kundens system eller plattformar
  • Webbplatsbesökare eller kunder till den Personuppgiftsansvarige

Behandlingsaktiviteter

Behandlingen kan inkludera:

  • Lagring och hosting av data
  • Överföring och kommunikation av data
  • Teknisk behandling för systemfunktionalitet
  • Säkerhetskopiering och återställning
  • Säkerhetsövervakning och loggning

Sekretess

Personuppgiftsbiträdet säkerställer att all personal som är behörig att behandla personuppgifter är bunden av sekretessåtaganden och endast får tillgång till uppgifter i den utsträckning som krävs för leverans av tjänsten.

Säkerhetsåtgärder

Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder, inklusive men inte begränsat till:

  • Kryptering av data under överföring och i vila där så är tillämpligt
  • Åtkomstkontroll och autentiseringsmekanismer
  • Loggning och övervakning av systemaktivitet
  • Regelbundna uppdateringar och sårbarhetshantering
  • Säker hosting och infrastrukturpraxis

Inget system kan dock garantera absolut säkerhet.

Underbiträden

Personuppgiftsbiträdet kan anlita tredjeparts underbiträden (såsom hostingleverantörer, molntjänster, analysverktyg eller kommunikationsplattformar) för att stödja leveransen av tjänsten.

Alla underbiträden är skyldiga att upprätthålla lämpliga standarder för dataskydd och säkerhet.

Personuppgiftsbiträdet förblir ansvarigt för att säkerställa GDPR-förenlig behandling hos underbiträden.

Internationella överföringar

Personuppgifter kan överföras och behandlas utanför Europeiska ekonomiska samarbetsområdet (EES). När sådana överföringar sker tillämpas lämpliga skyddsåtgärder såsom standardavtalsklausuler (SCC) eller motsvarande mekanismer.

Bistånd till personuppgiftsansvarig

Personuppgiftsbiträdet ska, i den mån det är rimligt möjligt, bistå den Personuppgiftsansvarige med att uppfylla skyldigheter enligt GDPR, inklusive:

  • Registrerades begäran om åtkomst
  • Begäran om rättelse eller radering
  • Begäran om dataportabilitet
  • Säkerhets- och incidentanmälningar

Lagring och radering av data

Personuppgifter lagras endast under den tid som är nödvändig för att tillhandahålla tjänster eller uppfylla rättsliga skyldigheter.

Vid avslutande av tjänsterna raderas eller återlämnas personuppgifter till den Personuppgiftsansvarige på begäran, om inte lagring krävs enligt lag.

Anmälan om dataintrång

Vid en personuppgiftsincident som påverkar behandlade uppgifter meddelar Personuppgiftsbiträdet den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om incidenten och tillhandahåller relevant information för att stödja efterlevnad av rättsliga skyldigheter.

Revisioner och efterlevnad

På rimlig begäran kan Personuppgiftsbiträdet tillhandahålla information som är nödvändig för att visa efterlevnad av detta Avtal. Formella revisioner kan avtalas separat skriftligen.

Ansvarsbegränsning

I den maximala utsträckning lagen tillåter omfattas ansvar enligt detta Avtal av ansvarsbegränsningarna i de huvudsakliga Användarvillkoren mellan parterna.

Giltighetstid och uppsägning

Detta Avtal gäller under hela tjänsterelationens varaktighet. Vid uppsägning fortsätter skyldigheterna avseende behandling för uppgifter som lagras enligt rättsliga skyldigheter tills radering har genomförts.

Tillämplig lag

Detta Avtal regleras av svensk lag. Eventuella tvister avgörs av svensk domstol om inte tvingande lag föreskriver annat.