Personuppgiftsbiträdesavtal (PUB-avtal)
Senast uppdaterad: 1 maj 2026 · Gäller från: 1 maj 2026 · Version 2026-05-01
1. Parter
Detta personuppgiftsbiträdesavtal (“PUB-avtalet”) ingås mellan:
- Personuppgiftsansvarig: Den förening, organisation eller annan juridisk person (“Kunden”) som har registrerat ett konto i Sportlio och accepterat detta avtal.
- Personuppgiftsbiträde: RNSTRM Solutions AB, org.nr 559578-0536, Stjärngatan 37, 195 58 Märsta, Sverige (“Sportlio”).
Avtalet reglerar hur Sportlio behandlar personuppgifter för Kundens räkning i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), artikel 28.
2. Behandlingens syfte och art
Sportlio behandlar personuppgifter på Kundens uppdrag för att tillhandahålla tjänsten Sportlio — en digital plattform för idrottsföreningar som inkluderar hantering av medlemmar, lag, aktiviteter, kommunikation, närvaro, betalningar, dokument och relaterade funktioner.
| Kategori | Typer av registrerade | Personuppgifter |
|---|---|---|
| Medlemmar | Spelare, tränare, ledare, funktionärer | Namn, e-post, telefon, adress, personnummer (krypterat), foto, lagstillhörighet, närvaro |
| Vårdnadshavare | Föräldrar/vårdnadshavare till minderåriga | Namn, e-post, telefon, relation till barn |
| Betalningar | Betalande medlemmar | Betalningsreferenser, fakturastatus (inga kortuppgifter lagras av Sportlio) |
| Kommunikation | Alla registrerade användare | Meddelanden, nyheter, push-notiser, e-postloggar |
3. Instruktioner
Sportlio behandlar personuppgifter enbart i enlighet med dokumenterade instruktioner från Kunden, inklusive vad som anges i detta avtal och i Allmänna villkor. Sportlio behandlar inte personuppgifter för egna syften utan Kundens uttryckliga tillåtelse.
Om Sportlio enligt EU- eller medlemsstatslagstiftning är skyldig att behandla personuppgifter utöver Kundens instruktioner, ska Sportlio informera Kunden om detta (om det är rättsligt tillåtet).
4. Säkerhet
Sportlio vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstöring eller skada. Dessa åtgärder inkluderar:
- Kryptering av personuppgifter under överföring (TLS 1.2+)
- Kryptering av känsliga uppgifter i vila (personnummer AES-256)
- Åtkomstkontroll baserad på roller (RBAC)
- Regelbundna säkerhetskopieringar med geografisk redundans
- Loggning och övervakning av åtkomst till personuppgifter
- Pseudonymisering där det är lämpligt
- Rutiner för incidenthantering och dataintrångsrapportering
5. Underbiträden
Kunden ger generellt tillstånd för Sportlio att anlita underbiträden. Sportlio ansvarar för att underbiträden uppfyller motsvarande krav som i detta avtal.
Aktuella underbiträden:
| Biträde | Syfte | Land |
|---|---|---|
| Hetzner Online GmbH | Webbhotell och serverinfrastruktur | Tyskland / EU |
| Stripe, Inc. | Betaltjänster (Stripe Ireland Ltd. för EU) | Irland / EU |
| Amazon Web Services (SES) | E-postleverans (transaktionell) | EU-region |
| Redis Ltd. / Upstash | Sessionscache och köhantering | EU-region |
Sportlio meddelar Kunden om förändringar av underbiträden senast 30 dagar i förväg, vilket ger Kunden möjlighet att invända. Kunden kan invända mot ett nytt underbiträde om det finns välgrundade skäl som rör dataskydd.
6. Tredjelandsöverföringar
Sportlio behandlar personuppgifter primärt inom EU/EES. Om personuppgifter undantagsvis överförs till tredjeland säkerställs lämpliga skyddsåtgärder enligt GDPR kapitel V, såsom EU:s standardavtalsklausuler (SCC).
7. Konfidentialitet
Sportlio säkerställer att all personal som är auktoriserad att behandla personuppgifter har ingått sekretessförbindelser eller lyder under lagstadgad sekretess. Sportlio begränsar åtkomsten till personuppgifter till den personal som behöver den för att utföra sina arbetsuppgifter.
8. Bistånd till Kunden
Sportlio bistår Kunden att uppfylla sina skyldigheter som personuppgiftsansvarig, inklusive:
- Hantering av registrerades rättigheter (tillgång, rättelse, radering, portabilitet)
- Säkerhetsåtgärder enligt artikel 32
- Anmälan av personuppgiftsincidenter till tillsynsmyndigheten (artikel 33)
- Konsekvensbedömningar avseende dataskydd (artikel 35) vid behov
Kunden kan skicka förfrågningar om registrerades rättigheter till privacy@sportlio.se.
9. Personuppgiftsincidenter
Sportlio meddelar Kunden utan onödigt dröjsmål — och senast inom 72 timmar — efter att ha fått kännedom om en personuppgiftsincident som rör personuppgifter som behandlas för Kundens räkning. Meddelandet innehåller såvitt möjligt den information som krävs enligt GDPR artikel 33.3.
10. Revision och insyn
Sportlio tillhandahåller Kunden all information som krävs för att visa att skyldigheterna i artikel 28 GDPR uppfylls, och möjliggör och bidrar till revisioner och inspektioner som Kunden eller en av Kunden utsedd revisor utför. Sportlio kan begära att revisionen sker under former som skyddar konfidentialiteten för andra kunders uppgifter.
11. Radering och återlämning
Vid avtalets upphörande raderar eller återlämnar Sportlio alla personuppgifter som behandlats på uppdrag av Kunden, i enlighet med Kundens instruktioner, om inte EU-lagstiftning eller medlemsstatslagstiftning kräver fortsatt lagring. Kunden kan begära dataexport inom 30 dagar efter avtalets upphörande. Därefter raderas uppgifterna permanent.
12. Ikraftträdande och acceptans
Detta PUB-avtal träder i kraft när Kunden accepterar det i samband med registrering eller uppgradering av ett betalt abonnemang i Sportlio. Acceptansen dokumenteras med tidsstämpel och versionsnummer i systemet.
PUB-avtalet gäller så länge Kunden använder Sportlios tjänster och löper parallellt med Allmänna villkor. Vid konflikt mellan detta PUB-avtal och Allmänna villkor gäller PUB-avtalets bestämmelser avseende personuppgiftsbehandling.
13. Kontakt
Frågor om detta PUB-avtal eller personuppgiftsbehandling riktas till:
RNSTRM Solutions AB
Dataskyddsansvarig
Stjärngatan 37, 195 58 Märsta