K Kassaapparaten Tillbaka till startsidan

Personuppgiftsbiträdesavtal

Version 1.0 — gäller från 2026-05-18

Vad är detta? Om er förening eller ert företag använder Kassaapparaten för att behandla personuppgifter (t.ex. anställda som loggar in, eller om ni knyter kundnamn till order) är ni personuppgifts­ansvariga och vi är personuppgifts­biträde. GDPR Art. 28 kräver att vi har ett skriftligt avtal som reglerar hur vi får hantera era data.

Avtalet nedan är vår standardmall. Skicka ett mejl till hej@kassaapparat.se med kontaktperson och organisationsnamn så bekräftar vi via e-postsignatur — utan extra kostnad.

1. Parter

Personuppgiftsansvarig ("Kunden"): Den juridiska person (förening, trossamfund, företag eller motsvarande) som har ett aktivt konto i Kassaapparaten enligt sina registrerade uppgifter.

Personuppgiftsbiträde ("Leverantören"): Kassaapparaten — fullständig juridisk identitet uppges på begäran och i avtals­bekräftelsen.

2. Föremål

Avtalet reglerar Leverantörens behandling av personuppgifter på Kundens vägnar inom ramen för kassa­tjänsten (app.kassaapparat.se och tillhörande API). Avtalet gäller så länge Kunden har ett aktivt konto.

3. Behandlingens natur, syfte och varaktighet

  • Natur: Lagring, sökning, presentation och säkerhetskopiering av kassa- och användardata.
  • Syfte: Tillhandahålla Kunden ett kassasystem för försäljnings­hantering, rapportering och bokföringsunderlag.
  • Varaktighet: Hela avtalstiden plus den retention som anges i Integritetspolicyn (typiskt 30 dagar efter avtalets upphörande, eller 7 år för bokförings­underlag enligt bokföringslagen).

4. Kategorier av registrerade och uppgifter

Registrerade: Kundens anställda, förtroendevalda eller volontärer (kassörer, administratörer). I förekommande fall även Kundens egna kunder, om Kunden själv väljer att knyta kunduppgifter till order eller medlems­hantering.

Uppgifter: Namn, e-postadress, lösenordshash, TOTP-hemlighet, roll, inloggningstid och IP. Eventuella fritextfält som Kunden lägger in i produkt­namn, ordernoteringar eller kundregister.

Inga särskilda kategorier (hälsa, etnicitet, biometri, m.m.) behandlas av Leverantörens system. Kunden ansvarar för att inte mata in sådana uppgifter i fritextfält.

5. Leverantörens skyldigheter

  • Behandla endast personuppgifter enligt Kundens dokumenterade instruktioner (avtalet och tjänstens normala användning räknas som instruktioner).
  • Säkerställa att personal som har tillgång till uppgifterna omfattas av sekretess­förpliktelse.
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt GDPR Art. 32 (se § 7).
  • Bistå Kunden vid begäran från registrerade (tillgång, rättelse, radering, portabilitet) och vid eventuell konsekvens­bedömning.
  • Anmäla personuppgifts­incidenter till Kunden utan onödigt dröjsmål, senast inom 48 timmar från upptäckt.
  • På Kundens begäran radera eller återlämna alla personuppgifter efter avtalets upphörande, om inte rättslig skyldighet kräver fortsatt lagring.

6. Underbiträden

Kunden godkänner att Leverantören anlitar följande underbiträden:

  • Microsoft Ireland Operations Ltd / Microsoft Sweden AB — molninfrastruktur (Azure, Sweden Central).
  • Stripe Payments Europe Ltd — abonnemangs- och faktura­hantering (endast för betal-planer).

Vid byte eller tillägg av underbiträde informeras Kunden via e-post minst 30 dagar i förväg. Kunden kan invända; vid invändning kan Leverantören välja mellan att inte använda underbiträdet eller säga upp avtalet med tre månaders varsel.

7. Säkerhetsåtgärder

  • All trafik krypteras med TLS 1.2+ (HTTPS).
  • Lösenord lagras som bcrypt-hash. Klartextlösenord behandlas aldrig efter inloggnings­ögonblicket.
  • Tvåfaktorsinloggning (TOTP) erbjuds; kan göras obligatorisk per Kund.
  • Logisk tenant-isolering via `company_id` i alla queries.
  • Dagliga säkerhetskopior med 14 dagars retention.
  • Begränsad åtkomst till produktions­data (endast Leverantörens systemadministratör).
  • Säkerhetspatchning av OS och beroenden minst månadsvis.

8. Tredjelandsöverföring

Inga personuppgifter överförs till länder utanför EU/EES av Leverantören eller dess underbiträden inom ramen för denna tjänst. All lagring sker i Sverige (Azure Sweden Central).

9. Audit-rätt

Kunden har rätt att en gång per år, efter rimlig framförhållning (minst 30 dagar), begära skriftlig redogörelse över Leverantörens efterlevnad av detta avtal. Mer omfattande revision (inkl. on-site) kan begäras vid skälig misstanke om avvikelse och bekostas av Kunden, om inte revisionen påvisar väsentlig avvikelse.

10. Återlämning och radering

Vid avtalets upphörande får Kunden inom 30 dagar exportera alla sina data via tjänstens inbyggda backup-funktion (JSON). Därefter raderar Leverantören Kundens uppgifter, med undantag för sådant som krävs enligt lag (typiskt bokförings­underlag i 7 år enligt bokföringslagen).

11. Ansvar och ersättning

Vardera parten ansvarar för sanktionsavgifter, viten och skadestånd som rör den egna parten enligt GDPR Art. 82–83. Leverantörens skadestånds­ansvar är begränsat till de avgifter Kunden betalat under de senaste 12 månaderna, utom vid uppsåt eller grov oaktsamhet.

12. Tillämplig lag

Svensk rätt. Tvister avgörs av allmän domstol med Stockholms tingsrätt som första instans.

13. Hur ni tecknar avtalet

Mejla hej@kassaapparat.se från en behörig firmatecknare med:

  • Organisationens fullständiga namn
  • Org.nr (om tillämpligt)
  • Kontaktperson för dataskyddsfrågor (namn + e-post)
  • Bekräftelse: "Vi godkänner DPA version 1.0 daterad 2026-05-18"

Leverantören svarar inom fem arbetsdagar med motsvarande bekräftelse. Den e-postväxlingen utgör det fullt giltiga avtalet.