e-post

Priser och Villkor

Priser

ArtikelPris (exkl moms)Info
Kundinstans av Ledningssystemet.se
Månadsavgift3 000 SEK / månadPer instans.
Avser upp till 250 användare vid SaaS-leverans.
Vid drift i kundens driftmiljö finns inget tak.

Alternativ för offentligägd verksamhet finns här.
Partnerinstans av Ledningssystemet.se
Månadsavgift0 SEK / månadSeparatöverenskommelse i enlighet med allmänna villkor.

Alternativ för offentligägd verksamhet finns här.
Senast uppdaterad 2025-08-221

Allmänna villkor per 2024-12-292

1. Inledning

Dessa allmänna villkor (Villkoren) reglerar avtalsförhållandet mellan Ledningssystemet Sverige AB (Leverantören) och den part (Kunden och/eller Partnern) med vilken Leverantören träffat ett avtal (Tjänsteavtalet) om en eller flera tjänster (Tjänsten) som hänvisar till dessa villkor. Om separatavtal ej tecknats utgör nyttjande av tjänsten i kombination med Villkoren Tjänsteavtalet.

2. Bakgrund

Leverantören tillhandahåller marknaden i första hand tjänsten ledningssystemet.se vilket är en multimodulär produkt vilken primärt består av kundinstanser samt partnerinstanser.

Ledningssystemet.se används av verksamheter för att upprätta samt förvalta ett ledningssystem relaterat till sin givna verksamhet, antingen med eller utan stöd av en eller flera påkopplade partners.

Ledningssystemet.se tillhandahålls mot Kunden dels som molntjänst (SaaS), och driftas då hos av Leverantören upphandlad driftsleverantör, och dels som installerad instans i Kundens egen driftsmiljö. Kunden och Leverantören överenskommer om i vilken form tjänsten ska tillhandahållas.

Ledningssystemet.se tillhandahålls mot Partner som molntjänst (SaaS) och driftas då hos av Leverantören upphandlad driftsleverantör.

Villkoren reglerar endast förhållanden mellan Leverantören och Kunden eller Partnern. Villkoren ger inte upphov till rättigheter eller skyldigheter i relation till Leverantörens driftsleverantör eller andra leverantörer. Leverantören ansvarar för att erforderliga avtal (e.g. Personuppgiftsbiträdesavtal) är tecknade mellan Leverantören och anlitade leverantörer.

För den händelse att separatavtal tecknats mellan Leverantören och Kunden eller Partnern ska detta separatavtal i möjligaste mån tolkas i enlighet med Villkoren samt på hemsidan publicerad nu gällande prislista.

3. Definitioner

Följande termer ska vid uttolkning av Villkoren i möjligaste mån tillskrivas nedanstående betydelse:
• Leverantören: Tillhandahållare av Tjänsten och som genom tillhandahållandet eller genom annan överenskommelse tecknat ett Tjänsteavtal med Kund eller Partner.
• Underleverantör: En av Leverantören upphandlad och tillhandahållen leverantör vilken eventuellt är direkt involverad i tillhandahållandet av Tjänsten till Kund eller Partner.
• Kund: Den part som genom nyttjande av Tjänsten eller genom annan överenskommelse tecknat ett Tjänsteavtal med Leverantören.
• Partner: Den part som genom nyttjande av Tjänstens Partnerinstans eller genom annan överenskommelse tillhandahåller underlag samt stöd till Kunder.
• Administratör: Den vilken har administratörsroll i en kundinstans eller partnerinstans. En administratör är tillika den kontaktperson hos Kunden eller Partnern vilken har betalningsansvar gentemot Leverantören. Vidare har administratören ansvar för användaradministration i en kundinstans eller partnerinstans.
• Användare: En individ / person (e.g. anställd eller anlitad av Kunden eller Partnern) och som via Kunden eller Partnern bereds tillgång till Tjänsten. Samtliga individer / personer som nyttjar tjänsten ska identifieras genom ett unikt konto tillhandahållet genom Leverantören eller en Administratör.
• Tjänsten: ledningssystemet.se genom kundinstans eller partnerinstans. En kundinstans samt en partnerinstans kan vara kopplad till samma organisation, för dessa fall blir organisationen både Kund och Partner.

4. Leverantörens ansvar

Leverantören åtar sig att tillhandahålla Kunden eller Partnern tillgång till Tjänsten. Leverantören åtar sig att vidta rimliga och skäliga åtgärder för att säkerställa att Tjänsten är tillgänglig över Internet med undantag för perioder då Leverantören eller Underleverantörer utför systemuppdateringar eller systemunderhåll.

Leverantören utför genom egen försorg eller genom underleverantörens försorg övervakningsinsatser för att i möjligaste mån upprätthålla Tjänstens tillgänglighet.

Leverantören är inte villkorat ansvarig för förlust av data, radering av data eller underlåtenhet att lagra data eller annan information; dock kommer leverantören utgå från branschpraxis och branschstandarder för att i enlighet med Tjänstens specifikation söka säkerställa att data och information lagras och säkerhetskopieras på ett säkert sätt.

Kunden respektive Partnern är, givetvis, införstådd med att tillgång till relevant uppkoppling mot Internet inte kan garanteras av Leverantören; detta då Leverantörens Kunder och Partners är ansvarstagande professionella organisationer.

5. Kundens ansvar

Kunden och/eller Partnern ska följa de säkerhetsbestämmelser som meddelas från Leverantören, antingen skriftligen eller genom konfiguration av tjänsten, från tid till annan.

Kunden och/eller Partnern ska säkerställa att administratörs- och användaruppgifter är riktiga och vid behov uppdatera dessa uppgifter.

Kunden och/eller Partnern ska säkerställa att det finns en utsedd kontaktperson (ofta Administratör) vilken Leverantören kan komma i kontakt med.

Kunden och/eller Partnern ansvarar för de aktiviteter och den verksamhet som bedrivs i Tjänsten och att dessa lever upp till tillämplig lagstiftning.

6. Rätt att använda Tjänsten och förtydligande om immaterialrätt

Kunden och/eller Partnern har rätt att använda tjänsten samt ge administratörer respektive användare tillgång till tjänsten. Kunden och/eller Partnern är ansvarig för de personer som bereds tillgång till Tjänsten.

Leverantören innehar äganderätten till alla immateriella rättigheter och tekniska lösningar kopplade till tjänsten eller, i andra hand, ensamrätt vad gäller användning av tekniska lösningar kopplade till tjänsten. Sådana immateriella rättigheter får enbart användas av Kunden och/eller Partnern i enlighet med Villkoren och Tjänsteavtalet. Kunden och/eller Partnern eller tredje part får inte olovligen förvärva eller på annat sätt tillskansa sig immateriella rättigheter kopplade till tjänster, programvaror eller tekniska lösningar som används i Tjänsten; detsamma gäller varumärken som tillhör eller används av Leverantören eller Underleverantörer.

Partner bibehåller immaterialrätt och upphovsrätt för det innehåll i form av riskmallar, dokumentmallar samt annat motsvarande innehåll som skapas och lagras i Partnerns instans och som ej ursprungligen tillhandahållits av Leverantören.

Kunden bibehåller immaterialrätt och upphovsrätt för det innehåll i form av riskmallar, dokumentmallar samt annat motsvarande innehåll som skapas och lagras i Kundens instans och som ej ursprungligen tillhandahållits av Leverantören.

7. Support, felanmälan och incidenter

Leverantören lämnar till Partner relevant support rörande specifika frågor kring Tjänsten. Kunder erhåller support via Partner. Leverantören erbjuder support via e-post samt via direktmeddelanden i Tjänsten.

Kunder kan till Leverantören lämna felanmälan samt incidentmeddelanden via e-post samt via direktmeddelanden i Tjänsten.

Support lämnas i första hand under kontorstid och i skälig omfattning.

8. Leverantörens begränsade ansvar

Utöver de begränsningar som anges i Villkoren ska leverantören vara ansvarig för förluster till följd av Leverantörens direkta försumlighet. I händelse av sådan försumlighet åtar sig Leverantören att agera för att rätta till orsakade fel och brister utan oskäligt dröjsmål.

Vid avsaknad av Leverantörens direkta försumlighet åtar sig Leverantören inget ansvar för fel eller brister i Tjänsten, dock kommer åtgärder vidtas för att i möjligaste mån säkerställa Tjänstens tillgänglighet.

Rätt till prisavdrag, skadestånd eller andra påföljder relaterade till driftstörningar eller fel föreligger ej såvida nämnda händelser är relaterade till Leverantörens direkta försumlighet. Där driftstörningar eller fel uppstår i sådan utsträckning att Kund och/eller Partner inte har tillgång till Tjänsten under en period överstigande en (1) månad har samtliga parter rätt att ensidigt häva Tjänsteavtalet med omedelbar verkan.

Leverantörens ansvar enligt Villkoren och Tjänsteavtalet skall begränsas på följande sätt:
• Leverantörens totala skadeståndsansvar begränsas till direkta förluster till ett maximalt belopp motsvarande tre (3) månaders licenskostnader för en kundinstans, under förutsättning att dessa licenskostnader betalats av Kunden och/eller Partnern under perioden omedelbart före avtalsbrottet som berättigar till skadestånd.
• I avsaknad av uppsåt eller grov oaktsamhet ska Leverantören under inga omständigheter hållas ansvarigt för indirekta förluster, uteblivna intäkter, förväntade besparingar, förlust av intäkter, förlust av data eller anspråk från tredje part i relation till Kund och/eller Partner.
• Kund och/eller Partner kan göra anspråk på skadestånd enligt ovan endast om Leverantören meddelats därom senast inom 30 dagar efter det att Kunden och/eller Partnern haft kännedom eller borde erhållit kännedom om skälen för anspråket.

9. Hantering av inloggningsuppgifter

Kunden och/eller Partnern ska säkerställa att individer och personer vilka tilldelas administratörs- eller användarkonton i Tjänsten hanterar inloggningsuppgifter på ett säkert sätt. Tjänsten har funktionalitet för SSO genom Microsoft 365 och därigenom stöd för multifaktorsautentisering. I händelse av att inloggningsuppgifter exponerats till obehöriga ska Leverantören omedelbart meddelas därom.

Kunden och/eller Partnern är ansvarig för förluster eller skador som förorsakas Leverantören genom att Kunden och/eller Partnerns administratörers eller användares inloggningsuppgifter exponerats för obehöriga eller tredje part på ett otillåtet sätt; detta såvida inte Kunden och/eller Partnern meddelar Leverantören omedelbart efter att misstanke om exponerade inloggningsuppgifter har uppstått. Efter att Leverantören har underrättats om misstanke avseende exponerade inloggnignsuppgifter ska Kunden och/eller Partnern hållas ansvarig enbart om denne handlat med uppsåt eller genom grov oaktsamhet.

10. Restriktioner och begränsningar avseende tillgång till Tjänsten

För den händelse att Kunds och/eller Partners användning av tjänsten kan medföra förlust eller risk för förlust för Leverantören har Leverantören rätt att begränsa tillgången till Tjänsten samt vidta försvarbara åtgärder. Leverantören ska skyndsamt meddela berörda parter om begränsningar samt eventuella tillkommande åtgärder.

Leverantören har rätt, och delvis skyldighet, att omedelbart förhindra spridning av information i Tjänsten om det på goda grunder kan misstänkas att aktiviteterna kränker gällande tillämplig lagstiftning eller Villkoren. Leverantören ska skyndsamt meddela berörda parter om information tas bort från Tjänsten.

11. Force Majeure

Part ska befrias från skadeståndsskyldighet och andra motsvarande påföljder i de fall där skyldigheter förhindras på grund av omständigheter utanför partens kontroll. Sådana omständigheter utgörs exempelvis av: konkurs, arbetsplatskonflikter, blixtnedslag, brand, myndighetsbeslut, fel i operatörers nät, allmän brist på transporter, varor eller energi samt väsentliga förseningar i underleverantörers leverans relaterade till motsvarande omständigheter.

Om omständigheter enligt ovan medför att driftstörningar eller fel uppstår i sådan utsträckning att Kund och/eller Partner inte har tillgång till Tjänsten under en period överstigande en (1) månad har samtliga parter rätt att ensidigt häva Tjänsteavtalet med omedelbar verkan.

Om Kund och/eller Partner på grund av ovanstående eller motsvarande omständigheter är förhindrad att utöva sina skyldigheter under en period motsvarande en (1) månad är har Leverantören rätt att ensidigt häva Tjänsteavtalet med omedelbar verkan.

12. Sekretess

Leverantören ska inte avslöja för tredje part, eller på annat sätt tillgängliggöra, information som erhållits genom tillhandahållande av Tjänsten till Kund och/eller Partner.

Sekretess råder inte för sådan information Leverantören kan visa blivit känd för Leverantören på annat sätt än genom tillhandahållandet av Tjänsten eller om Leverantören utifrån myndighetsbeslut eller gällande lagstiftning är skyldig att vidareförmedla informationen.

Motsvarande sekretess råder i tillämplig utsträckning för Kund och/eller Partner i relation till information om Tjänsten och Leverantörens förhållanden.

Sekretess råder även efter Tjänsteavtalets upphörande.

13. Integritet, dataskydd och personuppgiftsbehandling

Leverantören agerar för Kunden respektive Partnern personuppgiftsbiträde. Den personuppgiftsbehandling Leverantören utför i egenskap av personuppgiftsbiträde regleras genom de villkor som anges i Personuppgiftsbiträdesavtalet nedan.

Leverantören kan agera underbiträde till en Partner för den händelse att en Partner och Leverantören genom separatavtal överenskommer om att Partnern vidareförmedlar Tjänsten. Personuppgiftsbehandling i egenskap av underbiträde regleras genom Personuppgiftsbiträdesavtalet nedan.

För en rad behandlingsaktiviteter agerar Leverantören och Kunden och/eller Partnern som separat personuppgiftsansvariga. Leverantörens behandlingsaktiviteter klargörs genom Leverantörens Information till registrerade.

14. Priser och betalningsvillkor

Kunden ska till Leverantören betala ersättning enligt gällande och publicerad prislista för att få använda Tjänsten. Ersättning faktureras månadsvis i efterskott med betalningsvillkor 30 dagar. För den händelse att Tjänsten ska vara tillgänglig för Kunden med partnerkoppling från start debiteras första månaden vid uppsättning av Tjänsten. För kunder där Tjänsten ska driftas i kundens driftmiljö från start debiteras första månaden vid uppsättning av Tjänsten.

Fakturor ska betalas i tid, till det bankgiro som anges på fakturan samt i den valuta som anges på fakturan. För den händelse att kunden ej betalar fakturan i tid kommer Leverantören ta ut påminnelseavgift och eventuell dröjsmålsränta.

Tjänsten ska sägas upp genom skriftligt meddelande till Leverantören minst en dag före utgången av en given kalendermånad om Kunden vill säkerställa att fakturering ej sker för nästkommande månad. Vid förtida uppsägning av Tjänsten har Kunden inte rätt till återbetalning av förutbetalda avgifter.

15. Ändringar och tillägg

För att säkerställa möjligheten till vidareutveckling har Leverantören rätt att genomföra ändringar i Tjänsten, inklusive ändringar gällande funktionalitet, teknisk lösning, systemspecifikation samt säkerhetsåtgärder. Ändringar meddelas Kund och/eller Partner genom meddelande på hemsidan www.ledningssystemet.se och genom direktmeddelande till Administratörer.

Leverantören förbehåller sig rätten att ändra Villkoren och eventuella vidhängande Tjänsteavtal inklusive, men på inget sätt begränsat till, prissättning. Ändringar meddelas Kund och/eller Partner genom meddelande på hemsidan www.ledningssystemet.se och genom direktmeddelande till Administratörer. Ändringar anses ha kommunicerats till Kund och/eller Partner en (1) vecka efter att ändringar publicerats på hemsidan eller tillsänts Administratörer. Om Kund och/eller Partner motsätter sig ändringen har denne 30 dagar på sig, från det att ändringen kommunicerades, att säga upp avtalet med omedelbar verkan. Om avtalet inte sägs upp anses ändringen vara accepterad.

16. Avtalstid och uppsägning

Tjänsteavtalet och Villkoren träder i kraft när Kund och/eller Partner uppdragit Leverantören att sätta upp en instans. Tjänsteavtalet och Villkoren förblir ikraft på obestämd tid med en månads uppsägning från endera parten.

Leverantören har rätt att med omedelbar verkan blockera Kund och/eller Partners tillgång till tjänsten samt att i förtid säga upp Tjänsteavtalet om:
• Kund och/eller Partner nyttjar tjänsten för att begå brott.
• Kund och/eller Partner nyttjar tjänsten på ett sätt som orsakar förlust eller medför risk för förlust för Leverantören eller tredje part.
• Kund och/eller Partner nyttjar tjänsten på ett sätt som strider mot Leverantörens säkerhetsinstruktioner eller andra bestämmelser.
• Kund och/eller Partner inte betalar avtalad ersättning trots påminnelser.
• Kund och/eller Partner söker obehörig åtkomst till Tjänsten eller kringliggande tjänster.
• Kund och/eller Partner är på obestånd, riskerar att försättas i konkurs eller är insolvent.

Kund och/eller Partner har rätt att med omedelbar verkan säga upp Tjänsteavtalet om:
• Leverantören väsentligen bryter mot sina skyldigheter i enlighet med Tjänsteavtalet, Villkoren eller Personuppgiftsbiträdesavtalet och inte åstadkommer erforderlig rättelse efter begäran därom.
• Leverantören är på obestånd, riskerar att försättas i konkurs eller är insolvent.

Vid uppsägning av avtalet är Leverantören inte ansvarig för information skapad, insamlad eller genererad i Tjänsten. Kunden och/eller Partnern behöver säkerställa att erforderliga exporter och säkerhetskopior säkras före Tjänsteavtalet upphör och Leverantören raderar berörda instanser och därmed informationen.

Leverantören har rätt att radera instanser i tjänsten, och därigenom all information, efter en (1) månad från det att Tjänsteavtalet och villkoren har upphört att gälla. Personuppgiftsbiträdesavtalet är fortsatt giltigt fram tills säkerhetskopior hos Leverantörens underleverantör är gallrade.

17. Överlåtelse och återförsäljning

Leverantören har rätt att, helt eller delvis, överlåta sina rättigheter och skyldigheter enligt Tjänsteavtalet och Villkoren till ett bolag inom samma koncern eller med samma ägare som ägarskapet till Ledningssystemet Sverige AB.

Överlåtelser meddelas Kund och/eller Partner genom meddelande på hemsidan www.ledningssystemet.se och genom direktmeddelande till Administratörer. Överlåtelser anses ha kommunicerats till Kund och/eller Partner en (1) vecka efter att överlåtelsen publicerats på hemsidan eller tillsänts Administratörer. Om Kund och/eller Partner motsätter sig överlåtelsen har denne 30 dagar på sig, från det att ändringen kommunicerades, att säga upp avtalet med omedelbar verkan. Om avtalet inte sägs upp anses överlåtelsen vara accepterad.

Kunden och/eller Partner har inte rätt att överlåta sina rättigheter eller skyldigheter enligt Tjänsteavtalet och Villkoren utan Leverantörens skriftliga medgivande.

Kund och/eller Partner har inte rätt att reproducera, duplicera, kopiera, sälja, återförsälja eller exploatera Tjänsten eller tillgång till Tjänsten. Återförsäljning av Tjänsten är endast tillåtet som en följd av skriftligt samtycke och ett återförsäljaravtal från Leverantören.

18. Tillämplig lag och tvistelösning

Tjänsteavtalet och Villkoren och det efterföljande förhållandet mellan Leverantören och Kund och/eller Partner skall tolkas i enlighet med, och regleras av, svensk lagstiftning.

I händelse av tvist i samband med detta avtal ska tvist initialt fullständigt och i god tro försöka att lösas genom förhandlingar på exekutiv nivå, i den mån det bedöms vara rimligt under rådande omständigheter. I händelse av att tvist inte kan lösas genom förhandlingar på exekutiv nivå ska tvist prövas genom förenklad tvistelösning enligt ABK 09 kap 10.

19. Godkännande

Genom nyttjande av tjänsten har Kunden och/eller Partnern godkänt Tjänsteavtalet. Den person vilken avropar Tjänsten från Leverantören har ansvar för att säkerställa rätten att ingå Tjänsteavtalet.

Personuppgiftsbiträdesavtal per 2024-09-25

1. Personuppgiftsbiträdesavtalet

Detta personuppgiftsbiträdesavtal (nedan kallat avtal eller avtalet) är upprättat mellan Ledningssystemet Sverige AB (Personuppgiftsbiträdet, alternativt Underbiträdet) och den Kund och/eller Partner (Personuppgiftsansvarige, alternativt Personuppgiftsbiträdet i sammanhanget där Ledningssystemet Sverige AB agerar Personuppgiftsunderbiträde) vilken nyttjar Tjänsten ledningssystemet.se i enlighet med Tjänsteavtalet ovan och därigenom uppdrar Personuppgiftsbiträdet att behandla personuppgifter för dennes räkning.

Personuppgiftsbiträdets kontaktuppgifter:
Ledningssystemet Sverige AB
Byn Källekullen
511 74 SKEPHULT
Organisationsnummer: 559475-0530
info@ledningssystemet.se

2. Instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifter för Personuppgiftsansvariges räkning i enlighet med nedanstående instruktion.

Beskrivning av behandlingen
Tjänst och ändamål med behandlingen: Personuppgiftsbehandling i samband med tillhandahållande av Tjänsten ledningssystemet.se.
Behandlingsaktiviteter: Insamling, registrering, loggning, lagring, kopiering samt radering av personuppgifter relaterade till nyttjande av tjänsten.
Kategorier av registrerade: Kund och/eller Partners Administratörer och Användare samt de personuppgifter vilka Administratörer och Användare för in i Tjänsten.
Kategorier av personuppgifter: Namn, e-post, kontaktuppgifter, IP-adresser, geolokaliseringsuppgifter samt eventuella ytterligare personuppgifter inom ramen för den information Användare och Administratörer för till Tjänsten inom ramen för nyttjandet. Tjänsten är inte konstruerad eller designad för att behandla särskilda kategorier av personuppgifter.
Plats för behandling: Personuppgifter behandlas inom EU/EES och inom ramen för tillhandahållandet av tjänsten i datacenter tillhandahållna av Personuppgiftsbiträdets driftleverantör enligt nedanstående förteckning. Nuvarande Personuppgiftsunderbiträde har sina datacenter placerade i Sverige.
Lagringstid / Gallringsfrist: Personuppgiftsbiträdet raderar personuppgifter i inom ramen för leveransen av Tjänsten 30 dagar efter Tjänsteavtalets upphörande. Personuppgifter kommer fortsatt lagras inom ramen för Personuppgiftsunderbiträdets säkerhetskopior i ytterligare tre (3) månader.

Säkerhetsåtgärder
Fysisk åtkomst: Servrar finns inlåsta i serverhallar och tillgång styrs med fysisk nyckel och kod vilken är begränsad till behörig personal med drift- och underhållsansvar.
Systemåtkomst / Logisk åtkomst: Personuppgiftsbiträdet styr åtkomst till Tjänstens instanser genom behörighetsstyrning samt genom inloggningsuppgifter vilka omfattar mutlifaktorsautentisering. Personuppgiftsansvarig ansvarar för styrning av åtkomst avseende Administratörer och Användare.
Överföring av personuppgifter: Personuppgifter överförs ej till externa parter genom personuppgiftsbiträdets försorg inom ramen för leverans av Tjänsten. Personuppgifter överförs ej till Tredje land.
Behörighetsstyrning: Personuppgiftsbiträdet tillägnar sig ej åtkomst till Personuppgiftsansvarigs instanser utöver det som krävs för drift, underhåll och eventuell support. Administratörsrättigheter hålls begränsade till de individer hos Personuppgiftsbiträdet som har arbetsuppgifter vilka kräver dessa rättigheter.
Kryptering av lagrad data: Tjänsten tillhandahålls genom en webbhotellstjänst där Tjänsten är kontinuerligt tillgänglig, därmed är lagrad data ej krypterad.
Kryptering av datakommunikation: Personuppgiftsbiträdet säkerställer att kommunikation till och från tjänsten är krypterad.
Säker autentisering: Personuppgiftsbiträdet säkerställer att personal med åtkomst till Tjänsten och driftsmiljön är autentiserad och kontrollerad. Personuppgiftsansvarig ansvarar för autentisering och identifiering av Administratörer och Användare.
Hantering av lagringsmedia: Destruering av lagringsmedia ombesörjs av Personuppgiftsbiträdets driftleverantör.
Kapacitets- och kontinuitetsplanering: Personuppgiftsbiträdet hänvisar till driftleverantörens kontinuitets- och kapacitetsplanering vad gäller löpande drift av avropade tjänster. För att säkerställa erforderlig kapacitet har Personuppgiftsbiträdet säkerställt tillgång till kapacitet hos driftleverantören.
Separation av data: Varje Personuppgiftsansvarig erhåller en egen instans. Därigenom är data regelmässigt logiskt separerade i en virtualiserad driftsmiljö.
Loggning: Loggning av aktiviteter i Tjänsten ombersörjs av Personuppgiftsbiträdet på applikationsnivå samt avseende trafikanrop till Personuppgiftsansvarigs instans. Loggning på infrastrukturnivå ombesörjs av driftleverantören.
Hantering av tekniska sårbarheter: Personuppgiftsbiträdet ansvarar för att söka identifiera och avhjälpa tekniska sårbarheter på applikationsnivå. Driftleverantören ansvarar för identifiering och avhjälpning av tekniska sårbarheter på infrastrukturnivå.
Redundans: Personuppgiftsbiträdet ansvarar för att Tjänsten allokeras erforderlig kapacitet. Redundans på infrastrukturnivå säkerställs genom driftleverantören.

3. Innehåll och syfte

Detta avtal har upprättats för att uppfylla kraven på avtal mellan Personuppgiftsansvarig och Personuppgiftsbiträde i enlighet med artikel 28 i Dataskyddsförordningen (EU 2016/679). Syftet med avtalet är att upprätthålla skydd för registrerades grundläggande rättigheter avseende behandling av personuppgifter i enlighet med EU:s dataskyddsförordning 2016/679 (GDPR), andra tillämpliga lagar, förordningar och föreskrifter samt beslut och allmänna råd från tillsynsmyndigheten avseende behandling av personuppgifter (tillsammans benämnt ”Dataskyddslagstiftningen”).

Personuppgiftsbiträdet är informerad om att Personuppgiftsansvarig i vissa situationer agerar som Personuppgiftsbiträde för annans räkning. Vid hantering av personuppgifter kan Personuppgiftsbiträdet i förekommande fall därmed komma att agera som underbiträde. I rollen som underbiträde har Personuppgiftsbiträdet identiska skyldigheter vid hantering av personuppgifter enligt detta avtal och villkoren i detta personuppgiftsbiträdesavtal är gällande även för det fall att Personuppgiftsbiträdet agerar som underbiträde.

4. Ansvar och instruktion

Den Personuppgiftsansvarige har ansvar för all behandling av personuppgifter som sker med anledning av Tjänsteavtalet och ansvarar för att säkerställa att den Personuppgiftsansvariges behandling av personuppgifter sker i enlighet med Dataskyddslagstiftningen.

Personuppgiftsbiträdet åtar sig att enbart behandla avtalade personuppgifter för att uppfylla sina skyldigheter enligt detta avtal, Tjänsteavtalet och den Personuppgiftsansvariges vid var tid meddelade dokumenterade instruktioner. Personuppgiftsbiträdet får inte behandla personuppgifterna som Personuppgiftsansvarig ansvarar för i något eget syfte jämte att leverera i enlighet med avtalet. Den Personuppgiftsansvarige ansvarar för att personuppgifter vilka ej omfattas av detta avtal, Tjänsteavtalet eller andra instruktioner inte behandlas inom ramen för tjänsten.

Personuppgiftsbiträdet åtar sig vidare att behandla personuppgifterna enligt Dataskyddslagstiftningen. Personuppgiftsbiträdet ska vidta sådana åtgärder som rimligen krävs för att följa den Personuppgiftsansvariges instruktioner avseende behandlingen av dess personuppgifter. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige skulle strida mot Dataskyddslagstiftningen eller orsaka Personuppgiftsbiträdet oproportionerlig kostnad eller olägenhet.

Personuppgiftsbiträdet får inte överföra några personuppgifter till land utanför EU/EES-området eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Dataskyddslagstiftningen, utan att ha den Personuppgiftsansvariges skriftliga samtycke i förväg och ha säkerställt att sådan överföring sker i överensstämmelse med tillämplig lag.

För de fall Personuppgiftsbiträdet misstänker alternativt upptäcker säkerhetsöverträdelse så som obehörig åtkomst, förstörelse, ändring eller liknande av personuppgifter, eller om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden i detta personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att läka incidenten och förhindra upprepning, och tillhandahålla Personuppgiftsansvarig en beskrivning av incidenten. Personuppgiftsbiträdet skall utan onödigt dröjsmål, och senast inom 24 timmar, påbörja incidentrapportering till Personuppgiftsansvarig.

Beskrivning av incidenten ska åtminstone:
• Beskriva personuppgiftsincidentens art inbegripet, om så möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgifter som berörs.
• Förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas.
• Beskriva de sannolika konsekvenserna av personuppgiftsincidenten.
• Beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella effekter.

Personuppgiftsbiträdet ska omedelbart och skriftligen informera Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att personuppgifter behandlats i strid med Personuppgiftsansvariges instruktioner eller detta personuppgiftsbiträdesavtal.

Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet innan behandlingen utförs vara Personuppgiftsansvarig behjälplig vid en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

Personuppgiftsbiträdet ska, på Personuppgiftsansvariges skriftliga begäran, bistå den Personuppgiftsansvarige med sådan nödvändig information och skälig assistans som krävs för att den Personuppgiftsansvarige ska kunna uppfylla sin skyldighet att svara på begäran om utövande av registrerades rättigheter enligt Dataskyddslagstiftningen. Vid behov ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att uppfylla övriga skyldigheter enligt Dataskyddslagstiftningen, inklusive men inte begränsat till, att anmäla och informera om personuppgiftsincidenter, genomföra konsekvensbedömningar avseende dataskydd och förhandssamråd med relevant tillsynsmyndighet avseende sådan behandling av personuppgifter som omfattas av detta personuppgiftbiträdesavtal. För sådant arbete ersätts Personuppgiftsbiträdet med skäliga överenskomna kostnader, alternativt faktiska verifierbara kostnader.

5. Säkerhet och sekretess

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som åtminstone överensstämmer med Dataskyddslagstiftningen och är lämplig med beaktande av:
• Vilka tekniska möjligheter som står till förfogande med beaktande av den senaste teknikutvecklingen
• Kostnaden som genomförandet medför
• Riskerna förknippade med personuppgiftsbehandlingen, med hänsyn tagen till bl.a.
– Konsekvenserna av förlust av riktighet, konfidentialitet och tillgänglighet till personuppgifterna vid såväl lagring och informationsöverföring som vid andra behandlingsaktiviteter
– Syftet med behandlingen i förhållande till riskerna
– Hur känsliga personuppgifterna är för fysiska personers rättigheter och friheter
– Mängden personuppgifter som behandlas
– Utsattheten hos de kategorier av registrerade som personuppgifterna avser
Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som Personuppgiftsansvarig efter samråd med eventuellt Dataskyddsombud bedömer lämplig.

Personuppgiftsbiträdet skall vid utformandet av lämpliga säkerhetsåtgärder beakta allmänt vedertagna principer för informationssäkerhet genom tillämpning av ISO/IEC 27001 eller motsvarande standard.

Personuppgiftsbiträdet ska regelbundet och systematiskt utvärdera verkan av de säkerhetsåtgärder som vidtas för att skydda personuppgiftsbehandlingen som utförs för Personuppgiftsansvarigs räkning.

Personuppgiftsbiträdet skall omedelbart skriftligen meddela Personuppgiftsansvarig i händelse av att säkerheten ej kan upprätthållas avseende personuppgiftsbehandlingen.

Samtliga omfattande ändringar av tekniska och organisatoriska åtgärder ska dokumenteras av Personuppgiftsbiträdet och tillgängliggöras på begäran av Personuppgiftsansvarig.

Åtgärderna som vidtas skall åtminstone inkludera följande åtgärdsområden i enlighet med Dataskyddslagstiftningen:
• pseudonymisering och kryptering av personuppgifter
• förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna
• förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident
• ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Personuppgiftsbiträdet ska säkerställa att behörighetsstyrningen är korrekt och att konfidentialitet iakttas. Personuppgiftsbiträdet ska vidta de åtgärder som erfordras för att säkerställa att den mottagna informationen endast delges de personer inom den egna organisationen som berörs av ändamålet med Tjänsteavtalet. Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter, underleverantörer och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna är bundna av ett erforderligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifterna får ske. Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade och hur de får behandla personuppgifterna i enlighet med instruktioner från Personuppgiftsansvarig.

6. Personuppgiftsansvarigs rätt till granskning av personuppgiftsbiträdet

Personuppgiftsansvarige äger rätt att själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta personuppgiftsbiträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet utan onödigt dröjsmål ge Personuppgiftsansvarige den assistans som behövs för genomförande av revision.

Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarige tillhandahålla all tillgänglig information avseende behandlingen av personuppgifter för att Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter som Personuppgiftsansvarig enligt Dataskyddslagstiftningen.

För de fall registrerade personer, tillsynsmyndigheten eller annan tredje man begär information från Personuppgiftsansvarige eller Personuppgiftsbiträdet rörande behandlingen av personuppgifter ska Parterna samverka och utbyta information i nödvändig utsträckning. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller information om behandlingen av personuppgifter utan dokumenterat medgivande i förväg från Personuppgiftsansvarig utom för det fall föreläggande finns därom från relevant myndighet eller om Personuppgiftsbiträdet är nödgad därtill enligt tvingande lagstiftning.

Personuppgiftsbiträdet ska vara Personuppgiftsansvarig behjälplig genom lämpliga tekniska och organisatoriska åtgärder, så att Personuppgiftsansvarig kan fullgöra sina skyldigheter avseende de registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

7. Anlitande av underbiträde

Personuppgiftsbiträde har rätt att anlita underbiträden för att uppfylla sina skyldigheter i enlighet med Tjänsteavtalet.

Om Personuppgiftsbiträdet anlitar underbiträde enligt villkoren i Tjänsteavtalet, har Personuppgiftsbiträdet mandat och skyldighet att ingå särskilt personuppgiftsbiträdesavtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. I sådant avtal ska föreskrivas att underbiträdet har motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta personuppgiftsbiträdesavtal.

Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran tillhandahålla kopia av de delar av Personuppgiftsbiträdets avtal med underbiträde som krävs för att utvisa att Personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta personuppgiftsbiträdesavtal.

Personuppgiftsbiträdet ska vid var tid föra en korrekt och uppdaterad lista utvisande vilka underbiträden som anlitats för behandlingen av personuppgifter och var dessa är geografiskt belägna. Personuppgiftsbiträdet ska vidare på Personuppgiftsansvariges begäran utan dröjsmål tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter.

Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om eventuella planer på att anlita nya underbiträden eller ersätta underbiträden, så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. Sådan information skall lämnas senast 30 dagar innan förändringen träder i kraft. Den Personuppgiftsansvarige ska skriftligen informera Personuppgiftsbiträdet, inom 30 dagar efter att information om förändringen meddelats, om den Personuppgiftsansvarige invänder mot att det nya underbiträdet behandlar dess personuppgifter samt ange en skälig anledning till invändningen. Om Personuppgiftsbiträdet inte kan rätta sig efter Personuppgiftsansvariges invändning inom rimlig tid utan att åsamkas oskälig kostnad eller olägenhet ska Parterna samarbeta för att finna en lämplig lösning hänförlig till anledningen till invändningen. Om Parterna inte kommer överens ska Personuppgiftsansvarig äga rätt att säga upp avtalet med omedelbar verkan.

8. Tvist, tillämplig lag och skadestånd

Tvist angående tolkning eller tillämpning av detta avtal ska avgöras enligt svensk lag och Tjänsteavtalets bestämmelse om tvist.

I händelse av att Personuppgiftsansvarig blir ersättningsskyldig gentemot tredje man till följd av Personuppgiftsbiträdets bristande efterlevnad av detta avtal eller Tjänsteavtalet inom ramen för personuppgiftsbehandlingen skall Personuppgiftsbiträde ersätta Personuppgiftsansvarig för den skada som uppstått i enlighet med Tjänsteavtalet.

9. Avtalets ikraftträdande, upphörande, ändringar och överlåtelse

Detta personuppgiftsbiträdesavtal träder i kraft med Tjänsteavtalets ikraftträdande och gäller därefter mellan Parterna så länge Personuppgiftsbiträdet behandlar Personuppgifter för den Personuppgiftsansvarige i enlighet med Tjänsteavtalet. Detta personuppgiftsbiträdesavtal upphör automatiskt att gälla utan föregående uppsägning när Tjänsteavtalet upphör att gälla.

Ändringar och tillägg till detta avtal ska, för att vara giltiga, kommuniceras i enlighet med Villkoren i Tjänsteavtalet. Denna punkt förhindrar inte att Personuppgiftsansvarig kan ändra eller utfärda ytterligare skriftliga instruktioner i enlighet med vad som framgår av detta avtal, dock med förbehållet att dessa ytterligare ändringar kan medföra att Personuppgiftsbiträdet säger upp Tjänsteavtalet i enlighet med Villkoren.

Personuppgiftsbiträdet ska vid Avtalets upphörande gallra personuppgifter i enlighet med Instruktionen.

Överlåtelse av detta personuppgiftsbiträdesavtal får ske i enlighet med bestämmelserna för överlåtelse i Tjänsteavtalet och endast i samband med överlåtelse av Tjänsteavtalet.

Underbiträden per 2024-09-25

Oderland Webbhotell AB
Organisationsnummer: 556680-8746
Tjänster: Driftleverantör av webbhotellstjänster och till dessa tillhörande säkerhetstjänster.
Lagringsplats: Inom EU/EES, Sverige

Verksamhetsfokus Sverige AB
Organisationsnummer: 559105-6501
Tjänster: Konsulttjänster inom utveckling, support, felavhjälpning samt tillhandahållande av tjänster för e-post (genom Microsoft 365).
Lagringsplats: Inom EU/EES

  1. Amendment as of 2024-12-29: Updated with clarification regarding the number of users included in the base license.
    Amendment as of 2025-02-02: Updated regarding the right of use for fully publicly owned entities (such as government agencies and authorities, regions, municipalities, municipal companies, and publicly owned interest organizations and associations).
    Amendment as of 2025-08-22: Removed the requirement for the number of customer instances for partnership. ↩︎
  2. Amendment as of 2024-12-29: Updated section 14. Prices and Payment Terms with a clarification that invoicing for the Service is done in arrears unless a partner connection is to be activated or the Service is to be operated in the customer’s operating environment. ↩︎