Databiträdesavtal (DPA)

Detta avtal gäller mellan Lagkrav AB, org.nr 559XXX-XXXX ("Databiträdet") och den organisation som tecknat avtal om Lagkravs utbildningstjänster ("Personuppgiftsansvarig").

Databiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige i syfte att tillhandahålla utbildningstjänster. Behandlingen omfattar:

• Namn och e-postadress till deltagare
• Kursframsteg, provresultat och utbildningsbevis
• ID06-nummer (om tillämpligt)
• Avdelnings- och företagstillhörighet

Databiträdet anlitar följande underbiträden. Den Personuppgiftsansvarige godkänner dessa genom att teckna avtal.

• Kryptering i vila (AES-256) och under överföring (TLS 1.3)
• Row-Level Security (RLS) i databasen
• Multifaktor-autentisering tillgänglig för administratörer
• Automatisk session-timeout och CSRF-skydd
• Regelbundna säkerhetskopior med Point-in-Time Recovery
• Loggning av admin-åtgärder via audit trail

Databiträdet bistår den Personuppgiftsansvarige vid tillgodoseende av registrerades rättigheter enligt GDPR kapitel III (rätt till tillgång, rättelse, radering, dataportabilitet, invändning).

Databiträdet underrättar den Personuppgiftsansvarige inom 48 timmar efter upptäckt av personuppgiftsincident. Meddelande skickas till den kontaktadress som registrerats vid avtalstecknande.

Vid avtalets upphörande raderar Databiträdet alla personuppgifter inom 30 dagar, om inte lagstiftning kräver fortsatt lagring. Den Personuppgiftsansvarige kan begära en fullständig dataexport före raderingen.

Frågor om detta avtal ställs till dpa@lagkrav.se.