ArenaIQ
Personuppgiftsbiträdesavtal (DPA)
Detta DPA är en integrerad del av ArenaIQ:s Användarvillkor och gäller automatiskt mellan ArenaIQ (personuppgiftsbiträde) och kunden (personuppgiftsansvarig) när kunden accepterar Användarvillkoren. Ingen separat signering krävs.
Senast uppdaterad: juli 2026 · Version 1.0
1. Parter
Personuppgiftsansvarig (Kunden): den organisation vars användare har registrerat konto och/eller ingått prenumeration i ArenaIQ. Personuppgiftsbiträde (Leverantören): ArenaIQ, som tillhandahåller tjänsten på arenaiq.se. Kunden är personuppgiftsansvarig för de personuppgifter som läggs in i tjänsten (bl.a. sponsorernas kontaktpersoner). Leverantören behandlar dessa uppgifter enbart på Kundens uppdrag.
2. Föremål, varaktighet och ändamål
Föremål: Leverantörens behandling av personuppgifter för att tillhandahålla ArenaIQ-tjänsten till Kunden. Varaktighet: Så länge Kundens konto/prenumeration är aktiv, plus en avvecklingsperiod om högst 30 dagar efter uppsägning (se punkt 10). Ändamål: Lagring, analys, AI-baserad bearbetning, kommunikation och rapportering kring Kundens sponsorer, avtal och aktiviteter, samt drift och support av tjänsten.
3. Behandlingens art (Bilaga 1)
Kategorier av registrerade: • Kundens interna användare (klubbens/organisationens personal) • Kundens sponsorer och prospekt (kontaktpersoner hos företag och organisationer) Typer av personuppgifter: • Identitets- och kontaktuppgifter (namn, e-post, telefonnummer, adress, roll) • Organisationsdata (företagsnamn, org.nummer, bransch) • Kommunikations- och avtalsdata (e-postkorrespondens, kontraktsutkast, aktiveringar, anteckningar) • Ekonomisk data kopplad till sponsoravtal (avtalsvärde, förnyelsedatum) • Teknisk data om Kundens användare (IP, session, inloggningstidpunkter) Särskilda kategorier (art. 9 GDPR): Behandlas inte. Kunden ska inte ladda upp känsliga personuppgifter till tjänsten.
4. Kundens (den personuppgiftsansvariges) skyldigheter
Kunden ansvarar för att: • Ha en laglig grund enligt art. 6 GDPR för all behandling som Kunden initierar i tjänsten. • Informera de registrerade (bl.a. sponsorernas kontaktpersoner) om behandlingen i enlighet med art. 13-14 GDPR. • Endast lägga in personuppgifter som är nödvändiga och relevanta för ändamålet. • Inte ladda upp särskilda kategorier av personuppgifter eller uppgifter om lagöverträdelser. • Hantera de registrerades förfrågningar (åtkomst, rättelse, radering) i första hand själv.
5. Leverantörens (personuppgiftsbiträdets) skyldigheter
Leverantören ska: • Endast behandla personuppgifter enligt Kundens dokumenterade instruktioner (Användarvillkoren och detta DPA utgör dokumenterade instruktioner). • Säkerställa att personer som behandlar uppgifterna har åtagit sig sekretess. • Vidta de tekniska och organisatoriska säkerhetsåtgärder som anges i Bilaga 2 (punkt 7). • Bistå Kunden med att svara på registrerades förfrågningar (art. 12-22 GDPR) med lämpliga tekniska och organisatoriska åtgärder. • Bistå Kunden med säkerhetsåtgärder, incidentanmälningar och konsekvensbedömningar (art. 32-36 GDPR). • Radera eller återlämna personuppgifter enligt punkt 10 efter avtalets slut. • På begäran ge Kunden den information som behövs för att visa att skyldigheterna enligt art. 28 GDPR uppfylls.
6. Underbiträden (Bilaga 3)
Kunden ger Leverantören generellt förhandsgodkännande att anlita följande underbiträden: • Supabase Inc. (EU-region) – databas, autentisering och fillagring. • Stripe Payments Europe Ltd. – betalning och fakturering. Standardavtalsklausuler tillämpas för överföring till USA. • Resend Inc. – utgående e-post. Standardavtalsklausuler tillämpas. • Cloudflare Inc. – CDN, DNS och säkerhetsproxy för arenaiq.se. • Lovable AB (via Lovable AI Gateway) – AI-modellanrop för assistentfunktioner. Personuppgifter minimeras enligt punkt 6 i GDPR-policyn (pseudonymisering av sponsorkontakter). • Firecrawl – webbanrikning vid Kundens prospektsökningar. Aktuell lista publiceras på denna sida. Leverantören ska underrätta Kunden minst 30 dagar innan ett nytt underbiträde tas i bruk eller byts ut. Om Kunden har sakliga invändningar kan Kunden säga upp avtalet i förtid.
7. Säkerhetsåtgärder (Bilaga 2)
Leverantören tillämpar bland annat följande tekniska och organisatoriska säkerhetsåtgärder (art. 32 GDPR): • Kryptering i transit (TLS/HTTPS) och at rest hos underliggande leverantörer. • Isolering av kunddata per organisation via Row Level Security (RLS) direkt i databasen. • Rollbaserad åtkomstkontroll internt i organisationen (t.ex. vem som ser fakturor och prenumerationsdata). • Multifaktorautentisering för administrativ åtkomst till produktionsmiljön. • Loggning av administrativa händelser i produktionsmiljön. • Regelbundna backuper med definierade återställningstider. • Pseudonymisering av sponsorkontakter innan data skickas till AI-modeller. • Segregerade utvecklings-, test- och produktionsmiljöer. • Avtal med underbiträden som säkerställer motsvarande skyddsnivå. Leverantören utvärderar och uppdaterar åtgärderna löpande.
8. Tredjelandsöverföring
Personuppgifter lagras primärt inom EU/EES. När en tjänst från ett underbiträde innebär överföring till tredje land (t.ex. USA) tillämpas EU-kommissionens standardavtalsklausuler (SCC) samt eventuella kompletterande åtgärder som krävs enligt Schrems II och EDPB:s rekommendationer.
9. Personuppgiftsincidenter
Vid en personuppgiftsincident som drabbar Kundens data ska Leverantören underrätta Kunden utan onödigt dröjsmål efter att incidenten upptäckts, så att Kunden hinner uppfylla sin skyldighet att anmäla till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Meddelandet ska innehålla tillgänglig information om typ av incident, kategorier och antal berörda registrerade, sannolika konsekvenser samt åtgärder som vidtagits eller föreslås.
10. Radering och återlämning
Vid avtalets slut ska Leverantören, enligt Kundens val, återlämna eller radera alla personuppgifter som behandlats för Kundens räkning, senast inom 30 dagar. Underliggande transaktions- och faktureringsdata kan behöva sparas längre för att uppfylla svensk bokföringslag (upp till 7 år). Kunden kan när som helst begära export av sin data i strukturerat format.
11. Revision och information
Kunden har rätt att en gång per år, med rimligt förhandsvarsel, begära dokumentation som visar att Leverantören uppfyller sina skyldigheter enligt detta DPA (t.ex. sammanställningar av säkerhetsåtgärder, underbiträdesförteckning, incidentrutiner). Fysiska revisioner på plats kan avtalas separat och sker på Kundens bekostnad, om inte annat följer av tvingande lag.
12. Ansvar och tvister
Ansvarsbegränsningar och tvistelösning följer det som anges i Användarvillkoren. Svensk lag ska tillämpas på detta DPA. Tvister ska avgöras av allmän domstol i Sverige.
13. Ändringar
Leverantören kan uppdatera detta DPA för att spegla lagändringar, nya underbiträden eller förbättrade rutiner. Väsentliga ändringar meddelas via e-post och/eller notis i tjänsten minst 30 dagar innan de träder i kraft. Aktuell version anges alltid överst på denna sida.
14. Behöver ni ett signerat exemplar?
För de flesta kunder är detta DPA – i kombination med accepterade Användarvillkor – juridiskt tillräckligt enligt art. 28 GDPR. Om er upphandling eller interna policy kräver ett separat undertecknat dokument kan ni kontakta oss så skickar vi en signeringsklar version.
