Personuppgiftsbiträdesavtal

Mellan Expi AB (org.nr 559415-3917) och anslutna föreningar

Version 1.0 · 2026-05-22

1. Parter och definitioner

Detta personuppgiftsbiträdesavtal ("DPA") ingås mellan:

  • Personuppgiftsansvarig: Den skytteförening ("Föreningen") som registrerar ett konto i SkytteAdmin
  • Personuppgiftsbiträde: Expi AB, org.nr 559415-3917, Vångvägen 1, 267 71 Billesholm ("Expi", "Biträdet")

Definitioner

I detta avtal har följande termer angiven betydelse:

| Term | Betydelse | |---|---| | GDPR | Europaparlamentets och rådets förordning (EU) 2016/679 | | Behandling | Som definierat i GDPR art. 4.2 — varje åtgärd som vidtas med personuppgifter | | Personuppgift | Som definierat i GDPR art. 4.1 | | Personuppgiftsansvarig | Föreningen, som bestämmer ändamål och medel för behandlingen | | Personuppgiftsbiträde | Expi, som behandlar personuppgifter på Föreningens vägnar | | Underbiträde | Tredje part som Expi anlitar för del av behandlingen |

2. Föremål

Detta avtal reglerar Expis behandling av personuppgifter på Föreningens vägnar i samband med Föreningens användning av SkytteAdmin-plattformen.

3. Varaktighet

Avtalet träder i kraft när Föreningen accepterar detta DPA via SkytteAdmin och löper så länge huvudavtalet (Användarvillkoren) är gällande. Avtalet upphör automatiskt när huvudavtalet upphör.

4. Behandlingens art och syfte

Expi behandlar personuppgifter i syfte att leverera SkytteAdmin-tjänsten enligt Föreningens instruktioner. Behandlingen omfattar:

  • Medlemsregister: lagring, sökning, rapportering
  • Fakturering: skapa avgifter, registrera betalningar, generera påminnelser
  • Betalningsförmedling: vidarebefordra Swish/Bankgiro/Stripe-transaktioner
  • Kompetensregister: lagring och tillgångskontroll baserat på medlems kompetenser (framtida funktion)

5. Personuppgiftskategorier

| Kategori | Exempel på uppgifter | |---|---| | Identitetsuppgifter | Personnummer, namn | | Kontaktuppgifter | E-post, telefon, adress | | Ekonomi | Faktura- och betalningshistorik, OCR-referenser | | Kompetens | Skytteklass, vapenlicens, instruktörsbehörighet (framtida) | | Medlemskap | Klubbtillhörighet, avgiftskategori, medlemskapsstart/slut |

6. Kategorier av registrerade

  • Föreningens medlemmar
  • Föreningens skjutledare och instruktörer (när dessa läggs in som medlemmar)
  • Gästskyttar (registrerade vid bokning, framtida funktion)

7. Föreningens skyldigheter

Föreningen ska:

  • Ge dokumenterade instruktioner — i första hand genom användningen av plattformen, kompletterat vid behov med skriftliga instruktioner via support@skytteadmin.se
  • Säkerställa laglig grund — Föreningen ansvarar för att ha laglig grund (GDPR art. 6) för all behandling som sker via plattformen
  • Informera medlemmar — Föreningen ska ha sin egen integritetspolicy som informerar medlemmar om behandlingen
  • Hantera registrerades rättigheter — Föreningen är ansvarig för att besvara registrerades begäranden (art. 15-22). Expi bistår enligt §13 nedan

8. Vårt åtagande som biträde

Expi förbinder sig att, i enlighet med GDPR art. 28.3:

a. Endast behandla på dokumenterade instruktioner från Föreningen, inklusive vid överföringar till tredjeland

b. Säkerställa konfidentialitet — personer hos Expi som hanterar personuppgifter omfattas av sekretessåtagande

c. Vidta tekniska och organisatoriska säkerhetsåtgärder enligt GDPR art. 32 — se Bilaga 2

d. Respektera villkor för underbiträden — se §9

e. Bistå Föreningen med lämpliga tekniska och organisatoriska åtgärder för att svara på registrerades begäranden — se §13

f. Bistå Föreningen vid säkerhetsåtgärder, anmälningar, DPIA och samråd — se §13

g. Radera eller återlämna personuppgifter vid avtalets slut — se §14

h. Lämna nödvändig information för att visa efterlevnad och möjliggöra granskning — se §15

9. Underbiträden

9.1 Generellt godkännande

Föreningen ger Expi ett generellt godkännande att anlita underbiträden för del av behandlingen, enligt listan i Bilaga 1.

9.2 Notifiering vid förändring

Expi ska underrätta Föreningen minst 30 dagar i förväg om planerade förändringar av underbiträden (tillägg eller utbyte). Föreningen har rätt att invända mot ett nytt underbiträde inom 30 dagar; vid invändning får parterna i samråd försöka lösa situationen, alternativt får Föreningen säga upp avtalet utan annan uppsägningstid än invändningens ikraftträdandedag.

9.3 Krav på underbiträden

Expi tecknar med varje underbiträde ett avtal som ger underbiträdet samma dataskyddsförpliktelser som Expi har gentemot Föreningen.

10. Internationella överföringar

Behandling sker primärt inom EU/EES (Supabase EU, Swish, Bankgirot). Vid överföringar till tredje land (se Bilaga 1 — Stripe USA, Postmark USA framtida) använder Expi:

  • Standard Contractual Clauses (EU-kommissionens beslut 2021/914) som rättslig grund
  • Kompletterande tekniska åtgärder vid behov (TLS, RLS-isolation)

11. Säkerhetsåtgärder

Se Bilaga 2.

12. Personuppgiftsincident

Vid personuppgiftsincident hos Expi som drabbar Föreningens medlemsdata:

  • Expi underrättar Föreningen utan onödigt dröjsmål, senast inom 24 timmar från det att Expi blivit medveten om incidenten
  • Underrättelsen innehåller: incidentens art, ungefärligt antal berörda registrerade, ungefärligt antal berörda uppgifter, sannolika konsekvenser, vidtagna och föreslagna åtgärder
  • Föreningen ansvarar för eventuell anmälan till IMY och berörda registrerade (Expi bistår enligt §13)

13. Bistånd till Föreningen

Expi bistår Föreningen med:

  • Tekniska åtgärder för att hantera registrerades begäranden om rättigheter (art. 15-22) — primärt genom plattformens funktioner för dataexport och radering
  • Information vid anmälan av personuppgiftsincident till IMY (art. 33)
  • Information vid bedömning av konsekvenser för dataskydd (DPIA, art. 35) och samråd med tillsynsmyndighet (art. 36)

Bistånd utöver det som ingår i plattformens funktioner debiteras enligt Expis vid var tid gällande prislista.

14. Radering eller återlämning

Vid avtalets slut:

  • Föreningen har rätt att exportera all data inom 30 dagar efter uppsägning. Export sker via plattformens funktioner (CSV, JSON, framtida funktioner).
  • Därefter raderar Expi alla personuppgifter inom 90 dagar, utom där fortsatt lagring krävs av tvingande EU- eller medlemsstatlig rätt (exempelvis bokföringslag).
  • Bokföringsrelaterad data (fakturor, betalningsspår) lagras 7 år efter avtalets slut, i enlighet med bokföringslag (1999:1078).
  • På Föreningens begäran ger Expi skriftlig bekräftelse på radering.

15. Granskning

Föreningen har rätt att granska Expis efterlevnad av detta avtal:

  • Genom dokumentation: Expi tillhandahåller på begäran säkerhetsattester och rapporter om underbiträdens efterlevnad
  • Genom revision: Föreningen får, högst en gång per år och med 30 dagars varsel, genomföra revision av Expi
  • Kostnad: Revisionens kostnader bärs av Föreningen, om inte revisionen avslöjar att Expi väsentligt brutit mot detta avtal — då bär Expi kostnaderna

16. Tvistelösning

Detta avtal lyder under svensk rätt. Tvister avgörs av Helsingborgs tingsrätt som första instans, enligt huvudavtalets (Användarvillkorens) tvistelösningsklausul.

17. Underskrift

Detta avtal accepteras via klick-acceptans i SkytteAdmin av Föreningens klubbadministratör eller styrelseledamot. Vid acceptans lagras:

  • Föreningens identitet (tenant_id)
  • Tidpunkt för acceptans (timestamp i UTC)
  • IP-adress från vilken acceptansen gjordes
  • User-agent (webbläsare/enhet)
  • Versionsnummer för accepterad DPA-version

Detta utgör tillräckligt bevis för avtalets ingående. Föreningen kan när som helst ladda ner aktuell DPA-version som PDF via plattformen.

Bilaga 1: Underbiträden

| Underbiträde | Funktion | Land | Överföringsgrund | Avtal | |---|---|---|---|---| | Supabase Inc. | Databas, autentisering, fillagring | EU (Frankfurt-region) | Inom EU | Supabases Data Processing Addendum | | Stripe Payments Europe Ltd. | Kortbetalningar via Stripe Connect | EU (Irland) → vidareförädling i USA | Standard Contractual Clauses (2021/914) | Stripes Data Processing Agreement | | Getswish AB | Mobilbetalningar (Swish) | Sverige | Inom EU | Swish biträdesavtal | | Bankgirocentralen BGC AB | Bankgiroavstämning (BGMax) | Sverige | Inom EU | Bankgirots biträdesavtal | | Postmark (Wildbit LLC) — framtida | Transaktionell e-post (kvitto, faktura, magic-link) | USA | Standard Contractual Clauses (2021/914) | Postmarks Data Processing Agreement |

Bilaga 2: Tekniska och organisatoriska säkerhetsåtgärder

Tekniska åtgärder

| Område | Åtgärd | |---|---| | Tenant-isolation | Postgres Row Level Security (RLS) — varje förenings data är isolerad på databasnivå | | Transportkryptering | TLS 1.2+ för all extern kommunikation | | Vid-vila-kryptering | Supabase-databas och fillagring krypteras vid vila enligt Supabases standard | | Autentisering | Lösenordslös magic-link via e-post; sessionshantering via HttpOnly-cookies med säkra flags | | Behörighetskontroll | Rollbaserad åtkomst (klubbadmin, styrelse, medlem, plattformsadmin) | | Audit-logg | Planerad framtida funktion — kommer att logga säkerhetskänsliga ändringar med tamper-evident hash-kedja | | Backup | Supabase tar dagliga backups med 7 dagars retention |

Organisatoriska åtgärder

| Område | Åtgärd | |---|---| | Tillgång till produktionsdata | Endast Expis grundare har produktionsåtkomst; tillgång loggas | | Personalsekretess | Alla personer hos Expi som hanterar personuppgifter omfattas av sekretessåtagande | | Incidentrutin | Dokumenterad rutin för upptäckt, klassificering och rapportering av personuppgiftsincidenter inom 24 timmar | | Underbiträdesgranskning | Underbiträden väljs ut baserat på dokumenterad GDPR-efterlevnad och DPA-stöd | | Säkerhetsuppdateringar | Beroenden uppdateras enligt månadsschema och vid kritiska CVE:er omedelbart |

© 2026 Expi AB · Detta dokument hämtades från https://skytteadmin.se/dpa