Fråga: Måste återförsäljare av amerikansk mjukvara skriva biträdesavtal med svenska kunder?
Vi säljer en amerikansk mjukvara för digital marknadsföring och marketing automation på den svenska marknaden. Den amerikanska mjukvaran säljer vi direkt till slutkund. Min fråga är, om en kund skriver ett avtal med oss, och vi är återförsäljare av den här mjukvaran, bör de ha ett GDPR-avtal med oss eller med den amerikanska leverantören? Det är vi som är den som kunden skriver kontrakt med.
Legalbuddy svarar

Stort tack för att du vänder dig till oss med din fråga!


Vi inleder med den direkta avtalsfrågan. Något generellt GDPR-avtal finns inte, men om personuppgifter ska flyttas mellan kunden och den amerikanska leverantören behövs ett så kallat personuppgiftsbiträdesavtal.


Ett personuppgiftbiträdesavtal ska skrivas mellan den personuppgiftsansvarige, den som bestämmer ändamålet och tillvägagångssättet för personuppgiftsbehandlingen, och personuppgiftsbiträdet, den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Om tjänsten ni erbjuder innefattar personuppgiftsbehandling, alltså exempelvis kundregister, är era kunder att betrakta som personuppgiftsansvariga och den amerikanska leverantören att betrakta som personuppgiftsbiträde. Ett personuppgiftsbiträdesavtal bör alltså i detta fall ingås mellan dem. Om er funktion bara är att förmedla tjänsten, utan att vara en del av utförandet, behövs inget sådant avtal mellan er och kunden. Assisterar ni å andra sidan även driften av tjänsten, exempelvis genom att ni erbjuder serverutrymme eller en supportfunktion där personuppgifter skickas, behövs även ett personuppgiftsbiträdesavtal mellan er och kunden.


Eftersom vi behandlar en fråga om GDPR och eventuella kopplingar till USA måste vi dock också ha i åtanke att EU-domstolen sommaren 2020, i ett avgörande som går under namnet Schrems II, i stort underkände USA som land att hantera EU-medborgares personuppgifter. Domen har fått stora följder för amerikanska IT-jättar som Amazon, Google och Microsoft, vars tjänster nu inte kan nyttjas av alla företag eller offentliga aktörer inom EU i sammanhang där personuppgifter förekommer utan att man har vidtagit omfattande säkerhetsåtgärder. Detta påverkar inte er direkt så länge ni inte för över personuppgifter till det amerikanska bolaget, men för era potentiella kunder räcker sannolikt idag inte ett personuppgiftsbiträdesavtal för att de lagligen ska kunna nyttja mjukvaran om personuppgifter behandlas där. Det kan därför vara klokt att ta kontakt med en GDPR-kunnig jurist för en mer ingående genomgång av er verksamhet. På Legalbuddy erbjuder vi exempelvis ett GDPR-startpaket, vilket inkluderar ett gratis uppstartsmöte där du kan förklara er verksamhetsmodell för en av våra egna GDPR-experter.

Kickstarta ditt GDPR-arbete med ett fastpris-paket med viktiga dokument och rådgivning.

Prata med en av våra affärsjurister i 30 minuter (gratis).

Kommentarer

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image

Behöver du juridiska muskler i din verksamhet?

Testa vår digitala bolagsjurist gratis i 1 månad
- Juridiskt stöd och avtalshantering för företag

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan