Personuppgiftsbiträdesavtal

Senast uppdaterad: 2026-06-09

Det här avtalet reglerar hur DomarFlow behandlar personuppgifter åt din förening. Det gäller automatiskt som en del av användarvillkoren när du använder tjänsten, enligt artikel 28 i dataskyddsförordningen (GDPR).

1. Parter och roller

Föreningen som använder DomarFlow är personuppgiftsansvarig för de personuppgifter den lägger in om domare och ledare. DomarFlow är personuppgiftsbiträde och behandlar uppgifterna enbart på föreningens dokumenterade instruktioner, där användningen av tjänsten utgör instruktionerna. Fullständiga företagsuppgifter för DomarFlow lämnas på begäran via kontaktsidan.

2. Föremål, varaktighet och ändamål

Behandlingen sker för att leverera domartillsättning: lagra och visa domare, tillsätta matcher, räkna ut ersättningar och dela schema. Den pågår så länge föreningen har ett aktivt konto, och avslutas enligt punkt 8.

3. Kategorier av registrerade och uppgifter

  • Registrerade: föreningens domare och ledare.
  • Uppgifter: namn, kontaktuppgifter, matchtilldelningar, och i förekommande fall personnummer och bankuppgifter som föreningen själv väljer att lägga in.

4. DomarFlows åtaganden

  • Behandlar uppgifter bara enligt föreningens instruktioner och gällande lag.
  • Säkerställer att personer som behandlar uppgifterna omfattas av tystnadsplikt.
  • Vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 (se punkt 6).
  • Bistår föreningen med att svara på registrerades begäran om sina rättigheter, och med skyldigheter enligt artiklarna 32 till 36.
  • Använder bara godkända underbiträden (punkt 5).
  • Raderar eller återlämnar uppgifter när avtalet upphör (punkt 8).
  • Ger föreningen den information som behövs för att visa att skyldigheterna följs, och möjliggör granskning.

5. Underbiträden

Föreningen godkänner att DomarFlow anlitar följande underbiträden, samtliga bundna av motsvarande dataskyddsåtaganden:

  • Supabase: datalagring och inloggning, EU (Frankfurt).
  • Fly.io: apphosting, region Stockholm.
  • Stripe: betalningar, PCI DSS Level 1.
  • Google (Gemini): AI-assistenten i appen. Assistenten har ingen åtkomst till föreningens domaruppgifter och svarar bara utifrån appens hjälptext och användarens fråga. Personnummer och bankuppgifter skickas aldrig dit.

Vi meddelar i förväg om vi planerar att byta eller lägga till underbiträde, och du kan då invända.

6. Säkerhet

Uppgifterna lagras i EU och krypteras under överföring (TLS). Åtkomst styrs av radnivåsäkerhet i databasen så att varje förening bara når sin egen data. Lösenord lagras krypterade. Åtkomsten till produktionsmiljön är begränsad till det som är nödvändigt.

7. Personuppgiftsincidenter

Om en personuppgiftsincident inträffar underrättar vi föreningen utan onödigt dröjsmål efter att vi fått kännedom om den, med den information föreningen behöver för att uppfylla sin egen anmälningsskyldighet till Integritetsskyddsmyndigheten.

8. När avtalet upphör

När kontot avslutas raderas uppgifterna efter en ångerfrist på 90 dagar, om inte föreningen begär omedelbar radering eller export dessförinnan. Bokföringsunderlag kan behöva sparas så länge lagen kräver.

9. Överföring utanför EU

Lagringen sker inom EU. I den mån en underleverantör som Stripe innebär överföring till tredjeland sker den med lämpliga skyddsåtgärder, normalt EU-kommissionens standardavtalsklausuler.

10. Ändringar och tillämplig lag

Vid större ändringar i detta avtal meddelar vi föreningen i förväg. Svensk lag och dataskyddsförordningen gäller. Frågor besvaras via kontaktsidan.

Frågor? Kontakta oss Startsida