Köra logotyp
Köra
Juridiskt

Personuppgiftsbiträdesavtal

DPA Version 1.0 — Gäller från 1 maj 2026

Data Processing Agreement (DPA) enligt GDPR Art. 28

Parter i detta avtal

Personuppgiftsbiträde: Hejnord AB, org.nr 559471-0047, info@kora.nu ("Köra")

Personuppgiftsansvarig: Det företag eller den organisation som accepterar detta avtal vid registrering på Köra-plattformen ("Företaget")

1. Bakgrund & Syfte

Köra driver en digital rekryteringsmarknadsplats där unga yrkespersoner ("Kandidater") kan hitta vikarie-, deltids- och extrajobb. När ett Företag med aktiv Pro- eller Enterprise-prenumeration söker bland Kandidaternas profiler behandlar Företaget personuppgifter för vilka Företaget är självständig personuppgiftsansvarig i enlighet med GDPR.

Detta Personuppgiftsbiträdesavtal ("DPA" eller "Avtalet") reglerar förutsättningarna för Köras behandling av personuppgifter å Företagets vägnar, i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR") Art. 28.

DPA accepteras automatiskt vid Företagets registrering på Köra. Datum, klockslag och version sparas i Köras databas.

2. Definitioner

  • "Personuppgifter" — Information som direkt eller indirekt kan identifiera en levande fysisk person (Kandidat).
  • "Behandling" — All hantering av personuppgifter, inklusive visning, lagring, filtrering, nedladdning och radering.
  • "Plattformen" — Köras webbdashboard och tjänster på kora.nu.
  • "Underbiträde" — Tredjepartsleverantör som Köra anlitar för att tillhandahålla Plattformen.

3. Kategorier av Personuppgifter

Via Plattformen kan Företaget se följande personuppgifter om Kandidater som har valt att vara synliga för företag:

UppgiftFöretaget kan se
Förnamn och efternamnJa
ProfilfotoJa (om Kandidaten har laddat upp ett)
Stad/ortJa (ingen exakt adress)
Färdigheter och kategorierJa
Betyg och omdömenJa (aggregerat snitt)
XP-nivå och genomförda uppdragJa
Tillgänglighet (vikarie/deltid)Ja
E-postadressEndast vid accepterad ansökan/inbjudan
TelefonnummerNej
PersonnummerNej
Exakt hemadressNej
Bankkonto- eller betalningsuppgifterNej
ID-handlingarNej

4. Ändamål med Behandlingen

Företaget får behandla de uppgifter som anges i §3 uteslutande för följande ändamål:

  • Utvärdering av Kandidaters lämplighet för utlysta tjänster
  • Kontakt med Kandidater som sökt eller blivit inbjudna till en tjänst
  • Rekrytering och anställning direkt mellan Företaget och Kandidaten

All annan behandling — inklusive marknadsföring, dataanalys, vidareförsäljning eller profilering utanför rekryteringsändamålet — är uttryckligen förbjuden.

5. Behandlingsgrund

Rättslig grund för Företagets behandling av Kandidaternas personuppgifter är berättigat intresse (GDPR Art. 6(1)(f)), nämligen Företagets intresse av att rekrytera lämplig personal. Köra har inhämtat Kandidaternas samtycke till att vara synliga för verifierade företag via opt-in-inställningen i appen.

6. Företagets Skyldigheter

Företaget åtar sig att:

  • Behandla personuppgifterna i enlighet med GDPR och tillämplig nationell dataskyddslagstiftning
  • Inte behandla personuppgifterna för andra ändamål än de i §4 angivna
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna mot obehörig åtkomst, förlust eller förstöring, inklusive att:
    • Begränsa tillgång till uppgifterna till personal med behov av åtkomst
    • Använda krypterad kommunikation vid överföring av uppgifterna
    • Inte lagra uppgifterna utanför Plattformen utan starka skäl
  • Inte vidareförsälja, dela eller överlåta Kandidaternas personuppgifter till tredje part
  • Radera alla Kandidatuppgifter som hämtats från Plattformen senast 30 dagar efter att de inte längre behövs för rekryteringsändamålet, eller på Kandidatens begäran
  • Rapportera eventuella personuppgiftsincidenter rörande Kandidatdata till Köra (info@kora.nu) och till Integritetsskyddsmyndigheten (IMY) inom 72 timmar
  • Bistå Köra med att besvara Kandidaters begäran om utövande av dataskyddsrättigheter (tillgång, rättelse, radering m.m.)

7. Köras Skyldigheter som Biträde

I den mån Köra behandlar personuppgifter å Företagets vägnar åtar sig Köra att:

  • Behandla personuppgifterna endast enligt Företagets dokumenterade instruktioner
  • Säkerställa att personal med tillgång till uppgifterna är bundna av konfidentialitetsåtaganden
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (se §8)
  • Informera Företaget om Köra anser att en instruktion bryter mot GDPR
  • Bistå Företaget med att uppfylla sina skyldigheter avseende dataskyddsrättigheter och konsekvensbedömningar
  • Radera eller returnera alla personuppgifter efter avtalets upphörande, enligt Företagets val
  • Tillhandahålla all information som krävs för att visa att skyldigheterna enligt Art. 28 GDPR uppfylls

8. Säkerhetsåtgärder

Köra tillämpar följande tekniska och organisatoriska åtgärder:

  • Kryptering av data i transit (TLS 1.3) och i vila (AES-256)
  • Row Level Security (RLS) i Supabase — säkerställer att Företaget endast kan se profiler av Kandidater med visible_to_companies = trueoch att Företaget har aktiv Pro- eller Enterprise-prenumeration
  • Åtkomstkontroll — Kandidatdata exponeras aldrig för ej verifierade företag
  • Regelbundna säkerhetsgranskning av Plattformens konfiguration
  • Säkerhetsloggar sparas i 12 månader
  • Incidenthanteringsprocess med 72-timmarsrapportering till IMY

9. Underbiträden

Köra anlitar följande godkända underbiträden för att tillhandahålla Plattformen:

UnderbiträdeÄndamålLandSkyddsåtgärd
Supabase Inc.Databas & autentiseringEU (Stockholm)EU-hosting, GDPR Art. 44 uppfyllt
Stripe Inc.BetalningshanteringUSA / EUSCCs + EU-US Data Privacy Framework
Vercel Inc.WebbhostingUSAEU Standard Contractual Clauses (SCCs)

Köra informerar Företaget om ändringar av underbiträdeslistan med minst 14 dagars förvarning. Företaget kan invända mot ändringar via e-post till info@kora.nu.

10. Kandidatens Rättigheter

Kandidater vars uppgifter Företaget behandlar har rätt att utöva sina dataskyddsrättigheter direkt mot Köra (som primär kontakt) och mot Företaget:

  • Tillgång: Kandidaten kan begära att se vilka Företag som tagit del av deras profil
  • Radering: Köra radering av en Kandidats profil innebär att Företaget omedelbart förlorar tillgång till uppgifterna. Företaget är skyldigt att radera eventuellt nedladdade kopior inom 30 dagar
  • Opt-out: Kandidater kan när som helst dölja sin profil för alla företag via inställningar i appen. Köra informerar inte Företaget om specifika opt-outs

11. Avtalets Giltighetstid

Detta DPA gäller under hela den tid Företaget har en aktiv prenumeration på Köra och tillgång till Kandidatprofiler. DPA upphör automatiskt när prenumerationen avslutas.

Företagets skyldigheter avseende radering (§6) och konfidentialitet kvarstår i 12 månader efter avtalets upphörande.

12. Tillsynsmyndighet

Ansvarig tillsynsmyndighet för Hejnord AB är Integritetsskyddsmyndigheten (IMY).

Integritetsskyddsmyndigheten (IMY)

Webb: www.imy.se

E-post: imy@imy.se

Telefon: 08-657 61 00

13. Kontakt & Dataskyddsombud

Hejnord AB

Org.nr 559471-0047

Dataskyddsfrågor: info@kora.nu

Webb: kora.nu

© 2026 Hejnord AB. Alla rättigheter förbehållna. DPA v1.0