Personuppgiftsbiträdesavtal

Version 1.0 · gäller från 1 maj 2026

1. Parter

Personuppgiftsansvarig: Den förening som registrerat ett konto i Sören (fortsättningsvis "Föreningen").

Personuppgiftsbiträde: Eric Skride, enskild firma, organisationsnummer enligt registrering hos Skatteverket — driver tjänsten Sören (fortsättningsvis "Sören").

2. Avtalets syfte

Sören behandlar personuppgifter för Föreningens räkning i syfte att tillhandahålla bokföringstjänsten enligt vad som beskrivs i Sörens integritetspolicy. Avtalet säkerställer att behandlingen sker enligt GDPR och övrig tillämplig dataskyddslagstiftning.

3. Behandlingens art och syfte

4. Sörens åtaganden

1. Endast behandla personuppgifter enligt dokumenterade instruktioner från Föreningen (vilka i huvudsak består av användandet av tjänstens funktioner).
2. Säkerställa att personer som behandlar uppgifterna har ingått sekretessåtagande.
3. Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR.
4. Bistå Föreningen att uppfylla sina skyldigheter mot registrerade (t.ex. begäran om utdrag, radering).
5. Anmäla personuppgiftsincidenter till Föreningen utan onödigt dröjsmål, senast inom 72 timmar.
6. Bistå Föreningen med konsekvensbedömningar och samråd med IMY om så krävs.
7. Vid avtalets upphörande radera eller återlämna alla personuppgifter inom 90 dagar.

5. Underbiträden (sub-processors)

Föreningen ger Sören generellt tillstånd att anlita underbiträden enligt den lista som vid var tid finns publicerad på /sub-processors. Sören informerar Föreningen via e-post om planerade förändringar i listan minst 30 dagar i förväg, och Föreningen har rätt att invända.

Sören har skriftliga avtal med samtliga underbiträden som ålägger dem motsvarande dataskyddsförpliktelser som detta avtal.

6. Tredjelandsöverföringar

Personuppgifter behandlas primärt inom EU. AI-funktioner kan innebära överföring till Google LLC (USA) under standardavtalsklausuler (SCC) enligt EU-kommissionens beslut 2021/914. Föreningen kan stänga av AI-funktionerna i appens inställningar för att undvika överföring till tredje land.

7. Säkerhetsåtgärder

• HTTPS-kryptering för all dataöverföring
• Kryptering av databasen i vila
• Säker autentisering via Firebase Authentication
• Multi-tenant isolation med organisations-id på applikationsnivå
• Återkommande säkerhetspatchningar av kodbas och beroenden
• Backups med 30 dagars retention via Turso

8. Föreningens åtaganden

• Säkerställa rättslig grund för all personuppgiftsbehandling i Sören
• Endast lägga in uppgifter som är nödvändiga för verksamheten
• Informera medlemmar om att deras uppgifter lagras i Sören
• Skydda inloggningsuppgifter och meddela Sören vid misstänkt obehörig åtkomst

9. Audit och tillsyn

Sören tillhandahåller på begäran den information som krävs för att Föreningen ska kunna säkerställa efterlevnad. Föreningen har rätt att begära dokumentation om säkerhetsåtgärder och behandling.

10. Avtalets giltighet

Avtalet gäller från det att Föreningen registrerar ett konto i Sören och fortsätter gälla så länge personuppgifter behandlas på Föreningens räkning.

11. Tvister

Avtalet styrs av svensk rätt. Tvister ska i första hand lösas genom förhandling. Vid behov löses de av Sveriges allmänna domstolar med Kalmar tingsrätt som första instans.

12. Kontakt

För frågor om detta avtal eller dataskydd: hej@sorenbok.se

Vill ni ha avtalet signerat på papper? Mejla oss så skickar vi en signerbar version.