Fråga: Behövs ett DPA även om jag endast behandlar kundens e-postadress
Min kund kräver att jag signerar ett Data Processing Agreement som innebär att jag är personuppgiftsbiträde även om jag endast behandlar kundens e-postadress för administration av kundens användarkonto, hur ska jag bemöta det och vad gäller?
Legalbuddy svarar

Hej, och stort tack för att du vänder dig till oss med din fråga!

 

All behandling av personuppgifter träffas av regelverket GDPR. Med behandling menas exempelvis användning, samling, lagring och överföring av data. Till personuppgifter räknas all data som direkt eller indirekt kan kopplas till en levande fysisk person, exempelvis namn, e-postadress och alla andra uppgifter som ensamt eller tillsammans med andra uppgifter kan kopplas till en person. Det ställs högre krav för så kallade känsliga personuppgifter, exempelvis information om etniskt ursprung, sexuell läggning eller politisk övertygelse. Om datan däremot är anonymiserad så utgör det inte personuppgifer. Börja med att reda ut vilka typer av uppgifter ni behandlar och om de utgör personuppgifter enligt GDPR.

 

Behandling av kundens e-postadress räknas därmed som behandling av personuppgifter om det kan knytas till en specifik person (exempelvis förnamn.efternamn@företag.se). Vid behandling av personuppgifter så kräver GDPR att ni som leverantör har en laglig grund för behandling av personuopgifter. Det kan till exempel vara att det krävs för fullgörande av avtal eller att kunden har samtyckt till att ni samlar in deras e-mail.

 

I det fall att ni som leverantör endast behandlar kundens kontaktuppgifter så ses ni som personuppgiftsansvarig (controller) eftersom ni bestämmer syfte och medel för behandlingen av datan som samlas i SaaS-lösningen. Det ställer krav på att ni upprättar ett privacy notice som förklarar hur ni behandlar personuppgifter och upprättat en privacy policy som förklarar hur ni jobbar med dataskydd internt i er organisation. Behöver ni hjälp att komma igång med GDPR eller har andra frågor om dataskydd så är ni varmt välkomna att boka ett gratis coachingmöte. Länk paket

 

I det fall att kunden samlar data i tjänsten så är rollerna annorlunda – kunden ses som personuppgiftsansvarig och ni som leverantör ses som personuppgiftsbiträde eftersom ni behandlar datan för kundens räkning. (Om ni har svårt att avgöra vem som ses som personuppgiftsansvarig och personuppgiftsbiträde enligt GDPR så kan ni läsa mer här. I detta scenario är det viktigt att ni säkerställer att kunden har laglig grund för behandlingen och ingår ett Data Processing Agreement (DPA).

 

Sammanfattning

Börja med att reda ut vilka typer av uppgifter ni behandlar, i vilket syfte ni behandlar uppgifterna och vilket ansvar det innebär. Om ni endast behandlar kundens kontaktuppgifter så behöver ni upprätta ett privacy notice och en privacy policy – för att förklara hur ni behandlar data och hur ni jobbar med dataskydd i er organisation. För att säkerställa säker hantering av personuppgifter och att ni följer GDPR så är det viktigt att ni upprättar ett Data Processing Agreement med med kunden om denne samlar data i tjänsten. Läs mer och skapa ett DPA i Legalbuddy Plus.

Prata med en av våra affärsjurister i 30 minuter (gratis).

Skapa ett biträdesavtal när du processar data för någon annans räkning. OBS gratistjänst

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image
Plus
Behöver du snabbare svar?
Testa Legalbuddy Plus gratis i en månad och få snabbare svar, möjligheten att ställa frågor privat och tillgång till vår juridiska avdelning.

Behöver du juridiska muskler i din verksamhet?

Testa vår digitala bolagsjurist gratis i 1 månad
- Juridiskt stöd och avtalshantering för företag

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan