# Personuppgiftsbitr​ädesavtal (PUB) **Status:** UTKAST — får ej användas utan jurist-granskning. --- ## Parter **Personuppgiftsansvarig (PUA):** [SKOLA / HUVUDMAN], org.nr [NNNNNN-NNNN], adress [...] **Personuppgiftsbiträde (PUB):** Mattegrafen AB (under bildande) / Manpro Invest AB, org.nr [NNNNNN-NNNN], adress [...] Detta avtal kompletterar huvudavtalet mellan parterna avseende tjänsten Mattegrafen ("Tjänsten"). --- ## 1. Bakgrund och syfte PUA tillhandahåller utbildning enligt skollagen och behandlar personuppgifter om elever och lärare i sitt uppdrag som myndighet/huvudman. För att leverera Tjänsten behandlar PUB personuppgifter på PUA:s vägnar. Detta avtal reglerar PUB:s behandling enligt artikel 28 i Dataskyddsförordningen (GDPR). Avtalet uppfyller kraven i: - Dataskyddsförordningen (EU) 2016/679 (GDPR) - Dataskyddslagen (2018:218) - Skollagen (2010:800), 29 kap. --- ## 2. Behandlingens omfattning | Parameter | Specifikation | |---|---| | **Ändamål** | Leverera adaptiv matematikundervisning, anpassa svårighetsgrad, ge lärare insyn i elevers utveckling | | **Behandlingens art** | Lagring, analys, automatiserade pedagogiska beslut, retrievalbaserade förklaringar | | **Typ av personuppgifter** | E-post (hashad), namn (frivilligt), klasstillhörighet, svar på matematikuppgifter, sessionslogg, mästringsdata | | **Kategorier av registrerade** | Elever, lärare, vårdnadshavare | | **Varaktighet** | Aktiv så länge avtalet löper. Anonymisering efter 90 dagars inaktivitet eller på begäran. | | **Geografisk plats** | Sverige (Hetzner Helsingfors, EU/EES) | **Inga känsliga personuppgifter** (art 9 GDPR) behandlas. --- ## 3. PUB:s skyldigheter PUB ska: a) **Endast behandla personuppgifter enligt PUA:s dokumenterade instruktioner** (detta avtal jämte separata instruktionsdokument). PUB ska underrätta PUA om en instruktion bedöms strida mot GDPR. b) **Säkerställa konfidentialitet** — alla personer hos PUB med tillgång till personuppgifter har skriftlig tystnadsplikt eller omfattas av lagstadgad sekretess. c) **Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder** (art 32 GDPR), inklusive: - Pseudonymisering av elev-identiteter (e-post hashad innan lagring) - Kryptering vid överföring (TLS 1.3) och i vila (AES-256 eller motsvarande) - Åtkomstkontroll med kill-switch + audit-logg (10 års retention) - Regelbundna säkerhetstester (minst årligen) - Backup + incidenthanteringsplan med dokumenterad återställningstid (RTO < 24h, RPO < 1h) d) **Endast anlita underbiträden enligt punkt 4** nedan. e) **Bistå PUA** med att uppfylla skyldigheter avseende: - Den registrerades rättigheter (art 12-22 GDPR) — utlämning, rättelse, radering, dataportabilitet - Säkerhet för behandlingen (art 32) - Anmälan om personuppgiftsincident (art 33-34) — utan onödigt dröjsmål, senast inom 72 timmar - Konsekvensbedömning (art 35) — på PUA:s begäran f) **Vid avtalets upphörande** radera eller återlämna alla personuppgifter på PUA:s val, samt radera befintliga kopior om inte unionsrätt eller svensk rätt kräver lagring. g) **Tillhandahålla all information** PUA behöver för att visa att skyldigheterna i artikel 28 uppfylls, samt möjliggöra granskningar och inspektioner. --- ## 4. Underbiträden PUB anlitar följande underbiträden vid avtalets ingående: | Underbiträde | Tjänst | Land | |---|---|---| | Hetzner Online GmbH | IaaS (servrar) | Tyskland (EU) | | Stripe Payments Europe Ltd | Betalningar (B2C) | Irland (EU) | | Mailjet (Sinch) | Transaktionell e-post | Frankrike (EU) | | Cloudflare Inc. | DNS, WAF, CDN | USA — Standard Contractual Clauses (SCC) tillämpas | | JuiceFactory | LLM-inferens | [LAND — komplettera] | PUA ger generellt samtycke till underbiträden ovan. Vid byte eller tillägg av underbiträde ska PUA underrättas minst 30 dagar i förväg och har rätt att invända. PUB ska säkerställa att samtliga underbiträden är bundna av motsvarande skyldigheter som detta avtal genom skriftligt avtal. --- ## 5. Tredjelandsöverföring Eventuella överföringar utanför EU/EES sker endast med stöd av: - Adekvat skyddsnivåbeslut (art 45), eller - Standardavtalsklausuler (SCC) (art 46), eller - Bindande företagsbestämmelser (BCR) PUB upprätthåller dokumentation om varje sådan överföring och tillgängliggör den för PUA på begäran. --- ## 6. Personuppgiftsincidenter PUB ska underrätta PUA utan onödigt dröjsmål, senast inom **24 timmar** från det att PUB blev medveten om incidenten. Underrättelsen ska innehålla: - Incidentens art (vilka kategorier, ungefärligt antal registrerade) - Sannolika konsekvenser - Vidtagna eller föreslagna åtgärder PUB ska bistå PUA med all information som behövs för anmälan till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. --- ## 7. Granskning PUA har rätt att, på egen bekostnad och med rimligt varsel (minst 30 dagar), genomföra granskning av PUB:s efterlevnad. PUB kan istället tillhandahålla en oberoende auktoriserad revisors rapport (t.ex. ISAE 3000-rapport) som ersättning för platsbesök. --- ## 8. Ansvar Vardera part ansvarar för sin del enligt artikel 82 GDPR. PUB:s ansvar är begränsat till skada som orsakats av PUB:s åsidosättande av skyldigheterna i detta avtal eller av PUA:s instruktioner. Skadeståndsansvaret är **begränsat till ett belopp motsvarande 12 månaders avtalsersättning från PUA**, dock inte vid uppsåt eller grov vårdslöshet. --- ## 9. Avtalstid och uppsägning Avtalet löper så länge huvudavtalet är i kraft och PUB behandlar personuppgifter för PUA:s räkning. Vid uppsägning av huvudavtalet upphör detta avtal samtidigt. --- ## 10. Tillämplig lag och tvist Svensk rätt ska tillämpas. Tvist avgörs av allmän domstol med [STAD] tingsrätt som första instans. --- ## 11. Underskrifter [Plats], [datum] För PUA: ________________________ Namn: ________________________ För PUB: ________________________ Namn: ________________________ --- ## Bilagor - **Bilaga A:** Detaljerade instruktioner för behandling - **Bilaga B:** Tekniska och organisatoriska säkerhetsåtgärder (TOM) - **Bilaga C:** Lista över underbiträden (uppdaterad version)