PERSONUPPGIFTS­BITRÄDESAVTAL

Avtal enligt GDPR artikel 28 mellan din förening (personuppgiftsansvarig) och Gamely (personuppgiftsbiträde). Avtalet reglerar hur Gamely behandlar personuppgifter för din förenings räkning och utgör en del av användarvillkoren.

Utkast för juristgranskning. Det här avtalet är ett arbetsutkast och är ännu inte juridiskt granskat. Det ska inte godkännas skarpt av föreningar innan en svensk jurist gått igenom det. Uppgifter inom hakparentes och leverantörers placeringar ska bekräftas.
Innehåll
  1. Parter
  2. Bakgrund och syfte
  3. Föremål och instruktioner
  4. Biträdets skyldigheter
  5. Behandling av barns uppgifter
  6. Underbiträden
  7. Överföring till tredjeland
  8. Bistånd till den ansvarige
  9. Personuppgiftsincidenter
  10. Granskning och revision
  11. Radering och återlämnande
  12. Ansvar
  13. Avtalstid
  14. Tillämplig lag och tvist
  15. Bilaga A – Behandlingen
  16. Bilaga B – Säkerhetsåtgärder
  17. Bilaga C – Underbiträden

1. Parter

Detta personuppgiftsbiträdesavtal (”Avtalet”) gäller mellan din förening, som personuppgiftsansvarig (”Föreningen”), och Gamely AB, org.nr [Org.nr kommer], som personuppgiftsbiträde (”Gamely”). Föreningens uppgifter framgår av det konto Föreningen registrerat.

2. Bakgrund och syfte

Gamely tillhandahåller en evenemangstjänst genom vilken Föreningen kan skapa och administrera cuper, poolspel och matcher samt dela information med besökare. Vid användningen behandlar Gamely personuppgifter för Föreningens räkning. Föreningen är personuppgiftsansvarig och Gamely är personuppgiftsbiträde enligt GDPR.

Avtalet uppfyller kravet på skriftligt biträdesavtal enligt artikel 28.3 GDPR. Vid motstrid i fråga om behandling av personuppgifter gäller Avtalet före övriga avtal mellan parterna.

3. Föremål för behandlingen och Föreningens instruktioner

Behandlingens art, ändamål och varaktighet samt kategorier av registrerade och typer av personuppgifter framgår av Bilaga A. Gamely får endast behandla personuppgifter enligt dokumenterade instruktioner från Föreningen. Avtalet med bilagor utgör Föreningens fullständiga instruktion vid Avtalets ingående; ytterligare instruktioner lämnas skriftligen.

Gamely ska informera Föreningen om Gamely anser att en instruktion strider mot dataskyddslagstiftning, och får inte behandla uppgifterna för egna ändamål.

4. Biträdets skyldigheter

Gamely ska:

5. Behandling av barns personuppgifter

Parterna är medvetna om att tjänsten kan behandla personuppgifter om barn (t.ex. spelare i lagtrupper). Föreningen ansvarar för att det finns rättslig grund och för att inhämta nödvändiga samtycken från vårdnadshavare. Gamely tillämpar uppgiftsminimering och behandlar endast de uppgifter som är nödvändiga för tjänsten.

6. Underbiträden

Föreningen ger Gamely ett generellt förhandsgodkännande att anlita underbiträden. De som anlitas vid Avtalets ingående framgår av Bilaga C. Gamely ålägger varje underbiträde minst samma dataskyddsskyldigheter som följer av Avtalet och ansvarar för deras fullgörande. Gamely underrättar Föreningen i rimlig tid i förväg om planerade byten eller tillägg, så att Föreningen ges möjlighet att invända.

7. Överföring till tredjeland

Personuppgifter får överföras till land utanför EU/EES endast om det finns en giltig överföringsmekanism enligt kapitel V GDPR, t.ex. EU-kommissionens standardavtalsklausuler (SCC) eller beslut om adekvat skyddsnivå (t.ex. EU-US Data Privacy Framework för certifierade mottagare). Faktiska överföringar och tillämplig mekanism per underbiträde framgår av Bilaga C.

8. Bistånd till den personuppgiftsansvarige

Gamely ska, med hänsyn till behandlingens art, bistå Föreningen med lämpliga åtgärder för att besvara registrerades begäran om utövande av sina rättigheter enligt kapitel III GDPR, samt bistå med skyldigheterna enligt artiklarna 32–36 (säkerhet, anmälan av incidenter och konsekvensbedömning) med beaktande av tillgänglig information.

9. Personuppgiftsincidenter

Gamely ska utan onödigt dröjsmål, och senast inom [48] timmar efter att ha fått kännedom om en personuppgiftsincident som rör behandlingen, underrätta Föreningen. Underrättelsen ska i möjligaste mån innehålla den information som anges i artikel 33.3 GDPR samt vidtagna och föreslagna åtgärder.

10. Granskning och revision

Gamely ska på begäran ge Föreningen den information som krävs för att visa att skyldigheterna enligt artikel 28 GDPR fullgörs, samt möjliggöra och bidra till granskningar. Granskning sker på ett sätt som inte i onödan stör Gamelys verksamhet och med iakttagande av tystnadsplikt. Parterna kan komma överens om att en oberoende revisors rapport eller relevant certifiering uppfyller granskningsbehovet.

11. Radering och återlämnande

När behandlingen upphör ska Gamely, efter Föreningens val, radera eller återlämna samtliga personuppgifter och radera befintliga kopior, om inte lagring krävs enligt lag. Gamely bekräftar på begäran skriftligen att detta skett.

12. Ansvar

Vardera parts skadeståndsansvar regleras av artikel 82 GDPR och av användarvillkoren. Eventuell ansvarsbegränsning i användarvillkoren ska inte tolkas så att den begränsar ansvar som inte får begränsas enligt tvingande rätt.

13. Avtalstid

Avtalet gäller så länge Gamely behandlar personuppgifter för Föreningens räkning, dvs. så länge avtalet om tjänsten är i kraft. Bestämmelser som till sin natur ska bestå efter upphörande (t.ex. tystnadsplikt och radering) fortsätter att gälla.

14. Tillämplig lag och tvist

På Avtalet tillämpas svensk rätt. Tvist avgörs av svensk allmän domstol med [Stockholms tingsrätt] som första instans.

Bilaga A – Beskrivning av behandlingen

Art och ändamål

Lagring och tillhandahållande av evenemangsinformation (cuper, poolspel, matcher, scheman, lag, resultat) samt utskick av inbjudningar och relaterad kommunikation för Föreningens räkning.

Varaktighet

Under den tid tjänsten används av Föreningen, samt eventuell ytterligare tid enligt punkt 11.

Kategorier av registrerade

Typer av personuppgifter

Bilaga B – Tekniska och organisatoriska säkerhetsåtgärder

Bilaga C – Förteckning över underbiträden

UnderbiträdeTjänstPlatsÖverföringsmekanism
Supabase Inc.Databas, autentisering, lagring[Region – bekräftas]Vid EU-region: ingen tredjelandsöverföring. Vid USA: SCC / DPF.
Resend, Inc.Transaktionell e-post (inbjudningar)USASCC och/eller EU-US Data Privacy Framework
Netlify, Inc.Webbhotell / CDNUSASCC och/eller EU-US Data Privacy Framework
Google LLCGoogle Places API (platssökning)USASCC och/eller EU-US Data Privacy Framework

Leverantörers exakta placering och giltig överföringsmekanism bekräftas innan avtalet används skarpt. Körs Supabase i en EU-region hanteras huvuddelen av uppgifterna inom EU/EES.

Frågor om avtalet
Senast uppdaterad: 25 juni 2026
Version 1.0 (utkast)