Fastigheter.se

Personuppgiftsbiträdesavtal (DPA)

Gäller från 2026-03-12

Senast uppdaterad: 2026-03-12

1. Parter

Personuppgiftsansvarig ("Kunden"):
Den fastighetsägare eller förvaltare som tecknar avtal om användning av Fastigheter.se och som ansvarar för de personuppgifter som behandlas i tjänsten.

Personuppgiftsbiträde ("Licensgivaren"):
Svenska Fastighetssystem AB
Organisationsnummer: 559111-0738
E-post: privacy@fastigheter.se
Webbplats: fastigheter.se

2. Bakgrund och syfte

2.1. Licensgivaren tillhandahåller en digital plattform för fastighetsförvaltning ("Tjänsten") enligt villkor reglerade i Allmänna förvaltningsvillkoren eller, för förvaltningsbyråer, Byråvillkoren.

2.2. Inom ramen för Tjänsten behandlar Licensgivaren personuppgifter på uppdrag av Kunden. Kunden är personuppgiftsansvarig för de personuppgifter som behandlas. Licensgivaren agerar som personuppgiftsbiträde.

2.3. Detta Personuppgiftsbiträdesavtal ("DPA") reglerar parternas skyldigheter avseende behandlingen av personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR") och övrig tillämplig dataskyddslagstiftning.

2.4. Detta DPA utgör en integrerad del av avtalet mellan parterna i enlighet med Allmänna förvaltningsvillkoren avsnitt 19.1 respektive Byråvillkoren avsnitt 13.

3. Definitioner

Termer som används i detta DPA och som inte definieras häri har den betydelse som anges i GDPR eller i parternas övriga avtal (Allmänna förvaltningsvillkoren, Byråvillkoren, Integritetspolicy).

  • Personuppgifter — all information som direkt eller indirekt kan hänföras till en identifierad eller identifierbar fysisk person.
  • Behandling — varje åtgärd som vidtas med personuppgifter, exempelvis insamling, registrering, lagring, bearbetning, överföring, radering.
  • Registrerad — den fysiska person vars personuppgifter behandlas.
  • Personuppgiftsincident — en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.
  • Underbiträde — tredje part som Licensgivaren anlitar för att behandla personuppgifter på Kundens uppdrag.

4. Behandlingens föremål och varaktighet

4.1. Varaktighet. Behandlingen pågår under hela Avtalstiden enligt det huvudavtal som parterna ingått, inklusive eventuell Exportperiod om 90 dagar efter avtalets upphörande (Allmänna förvaltningsvillkoren avsnitt 7.3).

4.2. Art och ändamål. Licensgivaren behandlar personuppgifter i syfte att tillhandahålla Tjänstens funktioner, innefattande men inte begränsat till:

  • Hyresadministration och avisering
  • Felanmälningshantering och ärendeuppföljning
  • Kontraktshantering och digital signering
  • Ekonomisk rapportering och betalningsuppföljning
  • Kommunikation med hyresgäster (notifieringar, avier, meddelanden)

4.3. Behandlingens art omfattar: insamling, registrering, organisering, strukturering, lagring, bearbetning, framtagning, läsning, användning, utlämning genom överföring, spridning, begränsning och radering — allt inom ramen för Tjänstens funktionalitet.

5. Kategorier av registrerade och personuppgifter

5.1. Kategorier av registrerade:

  • Hyresgäster (privatpersoner och kontaktpersoner för juridiska personer)
  • Kontaktpersoner hos hyresgäster, leverantörer och samarbetspartners

5.2. Kategorier av personuppgifter som behandlas: Kontakt- och identifieringsuppgifter, ekonomiska uppgifter, avtalsinformation, ärendedata samt bankuppgifter. Vilka specifika uppgifter som behandlas beror på Kundens konfiguration och användning av Tjänsten.

5.3. Känsliga personuppgifter. Tjänsten är inte avsedd för behandling av särskilda kategorier av personuppgifter enligt GDPR art. 9 (t.ex. hälsodata, etniskt ursprung, fackföreningstillhörighet). Kunden ansvarar för att inte registrera sådana uppgifter i Tjänsten utan föregående skriftlig överenskommelse med Licensgivaren.

6. Kundens instruktioner

6.1. Licensgivaren behandlar personuppgifter uteslutande i enlighet med Kundens dokumenterade instruktioner. Kundens instruktioner framgår av:

  • (a) detta DPA;
  • (b) Allmänna förvaltningsvillkoren respektive Byråvillkoren;
  • (c) Kundens konfiguration och användning av Tjänsten;
  • (d) skriftliga tilläggsinstruktioner som Kunden lämnar till Licensgivaren.

6.2. Licensgivaren behandlar inte personuppgifter för egna ändamål (Allmänna förvaltningsvillkoren avsnitt 8.3).

6.3. Om Licensgivaren anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning ska Licensgivaren omedelbart informera Kunden. Licensgivaren har rätt att avvakta med behandlingen till dess att Kunden bekräftar eller ändrar instruktionen.

6.4. Om Licensgivaren enligt EU-rätt eller svensk lag är skyldig att behandla personuppgifter på annat sätt än enligt Kundens instruktioner, ska Licensgivaren informera Kunden om detta rättsliga krav före behandlingen, såvida inte informationen är förbjuden enligt lag.

7. Konfidentialitet

7.1. Licensgivaren säkerställer att personer som är behöriga att behandla personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lagenlig tystnadsplikt.

7.2. Konfidentialitetsåtagandet gäller även efter att detta DPA och det underliggande avtalet har upphört.

8. Säkerhetsåtgärder

8.1. Licensgivaren ska vidta lämpliga tekniska och organisatoriska åtgärder i enlighet med GDPR art. 32 för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Åtgärderna omfattar minst:

Kryptering:

  • TLS/SSL-kryptering (minimum TLS 1.2) för all dataöverföring
  • Kryptering av personuppgifter vid lagring där det är säkerhetsmässigt motiverat
  • Lösenord lagras aldrig i klartext utan hashas med starka algoritmer

Åtkomstkontroll:

  • Principen om minsta behörighet — anställda och underleverantörer ges enbart tillgång till personuppgifter som är nödvändiga för deras arbetsuppgifter
  • All åtkomst till personuppgifter loggas
  • Flerfaktorsautentisering (MFA) för systemadministration

Organisatoriska åtgärder:

  • Regelbundna säkerhetsgranskningar och sårbarhetsanalyser
  • Sekretessåtaganden för samtliga anställda och underleverantörer
  • Utbildning i dataskydd och informationssäkerhet

Dataminimering:

  • Enbart personuppgifter som är nödvändiga för det specificerade ändamålet samlas in
  • Regelbunden granskning och radering av uppgifter som inte längre behövs

Dataseparation (förvaltningsbyråer):

  • Logisk separation av varje Uppdragsgivares data i Systemet (Byråvillkoren avsnitt 6.5)
  • Separata partitioner per Uppdragsgivare — data är inte åtkomlig för andra Uppdragsgivare

8.2. Licensgivaren ska på Kundens begäran tillhandahålla dokumentation som visar vilka säkerhetsåtgärder som vidtagits.

9. Underbiträden

9.1. Generellt godkännande. Kunden ger härmed sitt generella förhandsgodkännande till att Licensgivaren anlitar underbiträden för att fullgöra sina åtaganden enligt detta DPA, under förutsättning att Licensgivaren uppfyller kraven i avsnitt 9.2–9.5.

9.2. Aktuella underbiträden. En aktuell förteckning över Licensgivarens underbiträden finns på fastigheter.se/villkor/underbitraden.

9.3. Nya underbiträden. Licensgivaren informerar Kunden om ändringar i förteckningen över underbiträden via uppdatering på fastigheter.se/villkor/underbitraden. Om Kunden inte accepterar ett nytt underbiträde har Kunden rätt att säga upp avtalet i enlighet med gällande uppsägningsvillkor.

9.4. Licensgivaren tecknar avtal med sina underbiträden som ålägger dem motsvarande dataskyddsskyldigheter som i detta DPA, i enlighet med GDPR art. 28.4.

10. Överföring till tredje land

10.1. Licensgivaren lagrar Kunddata inom EU/EES. Vissa underbiträden och tjänster (exempelvis AI-baserad analys och OCR) kan innebära att personuppgifter behandlas utanför EU/EES.

10.2. Vid överföring utanför EU/EES säkerställer Licensgivaren att lämpliga skyddsåtgärder finns på plats i enlighet med GDPR kapitel V, exempelvis beslut om adekvat skyddsnivå (art. 45) eller standardavtalsklausuler (art. 46.2 c).

10.3. Aktuell information om vilka underbiträden som behandlar data utanför EU/EES och vilka skyddsåtgärder som tillämpas finns på fastigheter.se/villkor/underbitraden.

11. Bistånd till Kunden

11.1. Licensgivaren tillhandahåller de tekniska funktionerna i Tjänsten (export, radering, sökning) som Kunden behöver för att hantera registrerades rättigheter enligt GDPR art. 15–22. Förfrågningar från registrerade som inkommer direkt till Licensgivaren vidarebefordras till Kunden.

11.2. Licensgivaren bistår Kunden vid personuppgiftsincidenter och konsekvensbedömningar i den utsträckning som krävs enligt GDPR art. 32–36.

12. Personuppgiftsincidenter

12.1. Licensgivaren ska underrätta Kunden utan onödigt dröjsmål och senast inom 24 timmar efter att en personuppgiftsincident har upptäckts (Byråvillkoren avsnitt 6.8).

12.2. Underrättelsen ska innehålla minst:

  • (a) en beskrivning av incidentens art, innefattande de kategorier av och det ungefärliga antalet registrerade som berörs;
  • (b) namn och kontaktuppgifter till dataskyddsansvarig eller annan kontaktpunkt;
  • (c) en beskrivning av de sannolika konsekvenserna av incidenten;
  • (d) en beskrivning av de åtgärder som vidtagits eller föreslagits för att hantera incidenten och begränsa dess konsekvenser.

12.3. Om fullständig information inte kan lämnas inom 24 timmar ska Licensgivaren lämna informationen i omgångar utan ytterligare onödigt dröjsmål.

12.4. Kunden ansvarar för att, vid behov, anmäla incidenten till Integritetsskyddsmyndigheten (IMY) inom 72 timmar samt informera berörda registrerade.

13. Radering och återlämnande

13.1. Vid avtalets upphörande ska Kunden ha tillgång till Tjänstens exportfunktion under en Exportperiod om 90 kalenderdagar (Allmänna förvaltningsvillkoren avsnitt 7.3).

13.2. Exportformat. Kunddata kan exporteras i CSV och JSON (Allmänna förvaltningsvillkoren avsnitt 7.2).

13.3. Radering. Efter Exportperiodens utgång raderar Licensgivaren permanent all Kunddata, inklusive personuppgifter, från sina system och eventuella säkerhetskopior inom 30 kalenderdagar (Allmänna förvaltningsvillkoren avsnitt 7.5).

13.4. Licensgivaren bekräftar genomförd radering skriftligen till Kunden på begäran.

13.5. Undantag. Licensgivaren har rätt att behålla personuppgifter i den utsträckning som krävs enligt tvingande lag (exempelvis bokföringslagen), under den lagstadgade lagringsperioden. Sådana uppgifter ska hållas isolerade och inte användas för andra ändamål (Allmänna förvaltningsvillkoren avsnitt 7.6).

14. Revision och granskning

14.1. Licensgivaren ska på Kundens begäran tillhandahålla den information som krävs för att visa att skyldigheterna i GDPR art. 28 efterlevs.

14.2. Licensgivaren möjliggör revisioner i enlighet med GDPR art. 28.3(h). Revision sker på Kundens bekostnad och efter skäligt varsel.

15. Särskilda bestämmelser för förvaltningsbyråer

15.1. Kedjad biträdesstruktur. När Kunden är en förvaltningsbyrå som agerar personuppgiftsbiträde åt sina Uppdragsgivare (fastighetsägare), agerar Licensgivaren som underbiträde i förhållande till respektive Uppdragsgivare (Byråvillkoren avsnitt 6.1).

I denna struktur gäller:

AvtalParterAnsvar
DPA 1Uppdragsgivare ↔ FörvaltningsbyrånFörvaltningsbyråns ansvar att upprätta
DPA 2 (detta avtal)Förvaltningsbyrån ↔ LicensgivarenReglerar Licensgivarens behandling som underbiträde

15.2. Förvaltningsbyrån ansvarar självständigt för att upprätta och ingå DPA 1 med respektive Uppdragsgivare (Byråvillkoren avsnitt 6.4).

15.3. Förvaltningsbyrån ansvarar för att informera sina Uppdragsgivare om Licensgivarens underbiträden och inhämta eventuellt erforderligt godkännande (Byråvillkoren avsnitt 6.7).

15.4. Vid personuppgiftsincident ska Förvaltningsbyrån vidarebefordra Licensgivarens incidentrapport till berörd Uppdragsgivare, som i sin tur ansvarar för eventuell anmälan till IMY och information till registrerade (Byråvillkoren avsnitt 6.8).

16. Ansvar och skadestånd

16.1. Vardera parten ansvarar för den skada som uppstår till följd av behandling som strider mot GDPR, i enlighet med GDPR art. 82.

16.2. Licensgivarens totala ansvar under detta DPA begränsas till de belopp som anges i ansvarsbegränsningarna i det underliggande huvudavtalet (Allmänna förvaltningsvillkoren respektive Byråvillkoren), såvida inte tvingande lag föreskriver annat.

17. Avtalstid och uppsägning

17.1. Detta DPA gäller från det datum Kunden accepterar Tjänstens användarvillkor och löper så länge det underliggande avtalet är i kraft, inklusive eventuell Exportperiod.

17.2. De bestämmelser i detta DPA som till sin natur ska överleva avtalets upphörande (avsnitt 7, 13 och 14) fortsätter att gälla även efter avtalstidens slut.

18. Ändringar

18.1. Licensgivaren har rätt att uppdatera detta DPA vid förändringar i tillämplig dataskyddslagstiftning, myndighetspraxis eller Licensgivarens tekniska åtgärder. Väsentliga ändringar meddelas Kunden skriftligen minst 30 dagar i förväg.

18.2. Om Kunden inte accepterar ändringarna har Kunden rätt att säga upp avtalet i enlighet med uppsägningsvillkoren i det underliggande huvudavtalet.

19. Tillämplig lag och tvistelösning

19.1. Detta DPA lyder under och tolkas i enlighet med svensk lag.

19.2. Tvister som uppstår i anledning av detta DPA ska avgöras i enlighet med tvistlösningsbestämmelserna i det underliggande huvudavtalet.

20. Kontakt

Dataskyddsfrågor:
Svenska Fastighetssystem AB
E-post: privacy@fastigheter.se
Webbplats: fastigheter.se