HemJuridiskt & dataskydd
Juridiskt & dataskydd

Avtal, integritet, säkerhet
— samlat och granskningsbart.

Allt du behöver för att granska Laglig.se som leverantör: våra villkor, hur vi behandlar personuppgifter, vilka underbiträden vi använder och hur PuB-avtalet ser ut.

Senast uppdaterad 2026-05-06

Personuppgiftsbiträdesavtal

PuB-mall (Art. 28 GDPR) som utgör bilaga till Användarvillkoren när Kunden är personuppgiftsansvarig.

Mellan:

Personuppgiftsansvarig ("Kunden"): den juridiska person som har tecknat abonnemang på Tjänsten.

Personuppgiftsbiträde ("Laglig.se"): Grro Technologies AB, org.nr 559498-1903, Stallmästarevägen 17, 254 84 Helsingborg. Kontakt: dev@laglig.se.

1. Bakgrund och syfte

1.1 Kunden har tecknat avtal med Laglig.se om användning av tjänsten på laglig.se ("Tjänsten") enligt Användarvillkoren ("Huvudavtalet").

1.2 Vid Kundens användning av Tjänsten kommer Laglig.se att behandla personuppgifter för Kundens räkning. Detta personuppgiftsbiträdesavtal ("PuB" eller "Avtalet") reglerar Laglig.ses behandling enligt artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR").

1.3 Vid motstridighet mellan PuB och Huvudavtalet har PuB företräde i frågor som rör personuppgiftsbehandling.

2. Föremål, varaktighet, art och ändamål

Föremål för behandlingenPersonuppgifter som Kunden eller dess användare laddar upp till, skapar i, eller behandlar via Tjänsten.
VaraktighetSå länge Huvudavtalet löper plus den period som krävs för export och radering enligt avsnitt 9.
Behandlingens artInsamling, lagring, strukturering, tillhandahållande, säkerhetskopiering, radering.
ÄndamålAtt tillhandahålla Tjänsten enligt Huvudavtalet, inklusive AI-funktioner, samarbete, lagring av laglistor och styrdokument samt aviseringar.
Typ av personuppgifterKontaktuppgifter (namn, e-post, telefon), användardata (inloggning, IP, aktivitet), innehåll i Kunddata (laglistor, anteckningar, uppladdade dokument), uppgifter om personer hos Kunden som är användare.
Kategorier av registreradeKundens anställda, konsulter, uppdragstagare och andra användare som Kunden ger åtkomst till Tjänsten.

Inga särskilda kategorier av personuppgifter (Art. 9) eller uppgifter om brott (Art. 10) ska behandlas av Laglig.se utan föregående skriftlig överenskommelse.

3. Kundens skyldigheter

3.1 Kunden är personuppgiftsansvarig och svarar för att:

  • behandlingen har laglig grund;
  • de registrerade har informerats enligt Art. 13–14 GDPR;
  • instruktioner till Laglig.se är förenliga med GDPR och svensk lag;
  • inga personuppgifter laddas upp som inte ryms inom syftet med Tjänsten.

3.2 Kunden ansvarar för konfigurationen av åtkomst, behörigheter och delning inom Tjänsten.

4. Laglig.ses skyldigheter

Laglig.se ska:

a) endast behandla personuppgifter på Kundens dokumenterade instruktioner. Huvudavtalet och denna PuB utgör Kundens initiala instruktion;

b) säkerställa att personer med åtkomst till personuppgifterna har förbundit sig till sekretess eller omfattas av lagstadgad tystnadsplikt;

c) vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt Bilaga 2;

d) bistå Kunden, så långt det är möjligt med hänsyn till behandlingens art, med att besvara förfrågningar från registrerade enligt kapitel III i GDPR (Art. 15–22);

e) bistå Kunden i att uppfylla skyldigheterna enligt Art. 32–36 GDPR (säkerhet, incidentanmälan, konsekvensbedömning);

f) på Kundens val radera eller återlämna personuppgifter när tjänsterna upphört enligt avsnitt 9, om inte unionsrätten eller medlemsstats nationell rätt kräver att uppgifterna lagras;

g) ge Kunden tillgång till information som krävs för att visa att skyldigheterna i Art. 28 efterlevs, samt möjliggöra och bidra till granskning enligt avsnitt 8.

5. Underbiträden

5.1 Kunden ger Laglig.se ett allmänt skriftligt förhandstillstånd att anlita underbiträden. En aktuell förteckning finns på /underbitraden.

5.2 Innan ett nytt underbiträde anlitas, eller ett befintligt byts ut, ska Laglig.se meddela Kunden minst trettio (30) dagar i förväg, antingen via e-post eller via uppdatering av förteckningen i kombination med notifiering i Tjänsten.

5.3 Kunden får inom denna period invända mot det nya underbiträdet av sakliga skäl. Om parterna inte kan nå en lösning får Kunden säga upp Huvudavtalet utan kostnad för innevarande period.

5.4 Laglig.se ska sluta avtal med varje underbiträde som ålägger underbiträdet motsvarande skyldigheter som de som åvilar Laglig.se enligt detta PuB.

5.5 Laglig.se ansvarar gentemot Kunden för underbiträdens fullgörande av sina skyldigheter på samma sätt som för sina egna åtgärder.

6. Överföring till tredjeland

6.1 Vid överföring av personuppgifter till land utanför EU/EES ska Laglig.se säkerställa att överföringen sker med stöd av:

a) ett beslut om adekvat skyddsnivå enligt Art. 45 GDPR (t.ex. EU-US Data Privacy Framework där tillämpligt); eller

b) lämpliga skyddsåtgärder enligt Art. 46 GDPR, primärt EU-kommissionens standardavtalsklausuler (Beslut (EU) 2021/914), kompletterade med tekniska och organisatoriska skyddsåtgärder vid behov.

6.2 Laglig.se gör en bedömning av tredjelandets rättsläge ("Transfer Impact Assessment") där så krävs.

7. Personuppgiftsincident

7.1 Vid en personuppgiftsincident som Laglig.se får kännedom om ska Laglig.se utan onödigt dröjsmål och senast inom 48 timmar anmäla incidenten till Kunden via e-post till den adress Kunden angett som incidentkontakt (eller, vid avsaknad, till kontoadministratörens e-post).

7.2 Anmälan ska, så långt möjligt, innehålla:

  • Beskrivning av incidentens art, inklusive berörda kategorier och ungefärliga antal registrerade samt personuppgiftsposter.
  • Kontaktuppgifter till Laglig.ses incidentansvarig.
  • Beskrivning av sannolika konsekvenser.
  • Beskrivning av vidtagna eller föreslagna åtgärder.

7.3 Laglig.se bistår Kunden med information som krävs för Kundens anmälan till tillsynsmyndighet enligt Art. 33 GDPR.

8. Granskning och revision

8.1 Kunden har rätt att, en gång per kalenderår och med minst trettio (30) dagars varsel, granska Laglig.ses efterlevnad av denna PuB. Granskningen får inte hindra Laglig.ses normala verksamhet eller äventyra andra kunders säkerhet.

8.2 Laglig.se kan uppfylla granskningsskyldigheten genom att tillhandahålla dokumentation såsom:

  • Sammanfattning av senaste säkerhetsbedömning eller penetrationstest.
  • Tillämpliga certifieringar (om sådana finns, t.ex. ISO 27001).
  • Underbiträdesförteckning och DPA-bekräftelser.
  • Säkerhetsåtgärder enligt Bilaga 2.

8.3 Om Kunden, eller tillsynsmyndighet, kräver granskning på plats står Kunden för rimliga kostnader för Laglig.ses medverkan, om inte granskningen sker som en följd av ett verifierat avtalsbrott från Laglig.ses sida.

9. Återlämnande och radering vid Avtalets upphörande

9.1 Vid Huvudavtalets upphörande ska Laglig.se, enligt Kundens val:

a) återlämna personuppgifter i ett vanligt förekommande maskinläsbart format (export-funktionen i Tjänsten); eller

b) radera personuppgifter.

9.2 Kunden har trettio (30) dagar från upphörandedagen att begära export eller radering. Därefter raderar Laglig.se personuppgifterna inom ytterligare nittio (90) dagar, med undantag för säkerhetskopior som raderas i takt med deras retention-cykel.

9.3 Personuppgifter som Laglig.se måste behålla enligt unionsrätt eller svensk lag (t.ex. bokföringslagen) får behållas under den lagstadgade tiden, men endast för det ändamålet.

10. Övrigt

10.1 PuB löper så länge Huvudavtalet är i kraft.

10.2 Ändringar i denna PuB sker genom skriftlig överenskommelse, undantaget uppdatering av underbiträdesförteckningen som sker enligt avsnitt 5.

10.3 Svensk lag tillämpas. Tvist hanteras enligt Huvudavtalet.

Bilaga 1 — Behandlingsbeskrivning

(Se avsnitt 2 ovan.)

Bilaga 2 — Tekniska och organisatoriska säkerhetsåtgärder

Laglig.se vidtar minst följande åtgärder:

Konfidentialitet

  • TLS 1.2+ för all trafik mellan användare och Tjänsten samt mellan Tjänstens komponenter.
  • Kryptering i vila av databas (AES-256, hanterad av Supabase).
  • Lösenord lagras hashade med branschstandard (bcrypt eller motsvarande).
  • Row Level Security (RLS) i databasen — kunddata åtkomstbegränsad per arbetsyta.
  • Access Control: rollbaserad behörighet inom Tjänsten, princip om minsta behörighet för intern personal.
  • Tvåfaktorsautentisering för administrativ åtkomst.

Integritet

  • Versionshanterad källkod, kodgranskning innan ändringar driftsätts.
  • Migrationer i databas körs med separata privilegier.
  • Loggning av administrativa åtgärder.

Tillgänglighet

  • Dagliga säkerhetskopior av databasen, lagrade i en separat region.
  • Övervakning av drift och felmonitorering (Sentry).
  • Återställningstest (kvartalsvis).

Säkerhetsorganisation

  • Incidenthanteringsrutin.
  • Personalåtagande om sekretess.
  • Underbiträden granskas innan de tas i bruk.
  • Säkerhetspatchning av beroenden enligt rutin.

Pseudonymisering och dataminimering

  • Felloggar i Sentry skrubbas på PII där det är möjligt.
  • Endast nödvändiga fält samlas in från Kunden.