Avtalsmall · Version 1.0 · Giltigt från 2026-04-17

Avtal om gemensamt personuppgiftsansvar

Mellan Destination Östanå ("Destinationen") och [Aktörens fullständiga företagsnamn] ("Aktören").

1. Bakgrund

Destination Östanå är en bokningsportal som samlar upplevelser, boende och restauranger kring Östanå Slott och Roslagen i en gemensam webbplats. Aktören är en självständig verksamhet som ansluter sig till paraplyet och erbjuder sina tjänster för bokning via portalen.

Parterna är gemensamt personuppgiftsansvariga (joint controllers) enligt artikel 26 i dataskyddsförordningen (EU) 2016/679 ("GDPR") för de personuppgifter som behandlas när en kund bokar Aktörens tjänster via portalen.

2. Syfte och omfattning

Avtalet reglerar parternas gemensamma behandling av följande personuppgifter om kunder som bokar via portalen:

• Namn, e-postadress och eventuellt telefonnummer
• Bokade tjänster, datum, tid, antal personer och övriga önskemål
• Bokningsreferens, status, pris och eventuella meddelanden

3. Ändamål med behandlingen

1. Att möjliggöra bokning av Aktörens tjänster via portalen.
2. Att hantera bokningen, bekräftelse, påminnelse, avbokning och eftervård.
3. Att utveckla destinationen och rapportera aggregerad statistik till båda parter.
4. Att ge Aktören tillgång till sin egen kundkommunikation.

4. Rättslig grund

Behandlingen grundar sig på fullgörande av avtal med den registrerade (GDPR art. 6.1.b) och i vissa fall samtycke (art. 6.1.a) för marknadsföring.

5. Parternas ansvar och uppdelning

Destinationen ansvarar för:

1. Drift av portalen, webbplatsen och IT-miljön samt teknisk säkerhet.
2. Att tillhandahålla information till registrerade om behandlingen (privacy notice).
3. Att svara på förfrågningar från registrerade om deras rättigheter (rätt till information, tillgång, rättelse, radering, begränsning, dataportabilitet och invändning).
4. Att hantera personuppgiftsincidenter och anmäla dessa till Integritetsskyddsmyndigheten vid behov.

Aktören ansvarar för:

1. Att korrekt fullgöra den bokade tjänsten och hantera bokningen i sitt eget system.
2. Att behandla personuppgifter enbart för de ändamål som anges i detta avtal.
3. Att inte dela personuppgifter vidare till tredje part utan Destinationens godkännande.
4. Att radera eller återlämna uppgifter när syftet upphört, eller senast 24 månader efter senaste bokningen.

6. Registrerades rättigheter

Den registrerade kan utöva sina rättigheter gentemot vilken som helst av parterna. Den part som mottar en begäran ska informera den andra parten inom 5 arbetsdagar och svara den registrerade inom en månad. Primär kontaktpunkt för registrerade är dataskydd@destinationostana.se.

7. Säkerhet

Båda parter ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot obehörig åtkomst, förändring eller förstörelse. Detta inkluderar åtminstone lösenordshashning (bcrypt), krypterad överföring (TLS) och loggning av administrativ åtkomst.

8. Incidenter

Vid personuppgiftsincident ska den upptäckande parten meddela den andra parten utan dröjsmål, dock senast inom 24 timmar från upptäckten. Destinationen ansvarar för formell anmälan till Integritetsskyddsmyndigheten och berörda registrerade.

9. Lagringstid

Personuppgifter sparas så länge de behövs för att fullgöra ändamålen, dock längst 24 månader efter senaste bokningen. Därefter anonymiseras eller raderas uppgifterna automatiskt.

10. Underleverantörer

Destinationen använder följande underbiträden för driften: Open Source Cloud AB (hosting, EU), 46elks AB (SMS, Sverige) samt Anthropic (AI, USA med standardavtalsklausuler). Aktören godkänner dessa underbiträden och informeras om eventuella ändringar minst 30 dagar innan de träder i kraft.

11. Avtalets ikraftträdande och uppsägning

Avtalet gäller från den dag det undertecknas av båda parter och löper tills vidare. Vardera parten kan säga upp avtalet med 3 månaders uppsägningstid. Vid uppsägning ska uppgifter om bokningar som avser perioden fram till uppsägningsdatumet behandlas enligt detta avtal tills de raderas enligt punkt 9.

12. Tvist

Tvist mellan parterna ska i första hand lösas genom förhandling. Om parterna inte kan enas ska tvisten prövas vid svensk allmän domstol med Stockholms tingsrätt som första instans. Svensk rätt tillämpas på avtalet.

Detta är en avtalsmall. Båda parter rekommenderas att låta sin jurist granska texten innan underskrift. Eventuella ändringar ska göras skriftligen och undertecknas av båda parter.