Fråga: Underleverantörs lagring av data utanför EU för SaaS-tjänst
Vi erbjuder en mjukvarulösning som SaaS och använder oss av underleverantörer för lagring av data utanför EU, vad behöver vi tänka på när vi ingår avtal med kunder?
Legalbuddy svarar

Hej, och stort tack för att du vänder dig till oss med din fråga!

 

All behandling av personuppgifter träffas av regelverket GDPR. Med behandling menas exempelvis användning, samling, lagring och överföring av data. Till personuppgifter räknas all data som direkt eller indirekt kan kopplas till en levande fysisk person, exempelvis namn, e-postadress och alla andra uppgifter som ensamt eller tillsammans med andra uppgifter kan kopplas till en person. Det ställs högre krav för så kallade känsliga personuppgifter, exempelvis information om etniskt ursprung, sexuell läggning eller politisk övertygelse. Om datan däremot är anonymiserad så utgör det inte personuppgifter. Börja med att reda ut vilka typer av uppgifter ni behandlar och om de utgör personuppgifter enligt GDPR.

 

Behandling av kundens e-postadress räknas därmed som behandling av personuppgifter om det kan knytas till en specifik person (exempelvis förnamn.efternamn@företag.se). Vid behandling av personuppgifter så kräver GDPR att ni som leverantör har en laglig grund för behandling av personuppgifter. Det kan till exempel vara att det krävs för fullgörande av avtal eller att kunden har samtyckt till att ni samlar in deras e-mail.

 

I det fall att ni som leverantör endast behandlar kundens kontaktuppgifter så ses ni som personuppgiftsansvarig (controller) eftersom ni bestämmer syfte och medel för behandlingen av datan som samlas i SaaS-lösningen. Det ställer krav på att ni upprättar ett privacy notice som förklarar hur ni behandlar personuppgifter och upprättat en privacy policy som förklarar hur ni jobbar med dataskydd internt i er organisation. Behöver ni hjälp att komma igång med GDPR eller har andra frågor om dataskydd så lan vi hjälpa er genom vår tjänst GDPR-startpaket.

 

I det fall att kunden samlar data i tjänsten så är rollerna annorlunda – kunden ses som personuppgiftsansvarig och ni som leverantör ses som personuppgiftsbiträde eftersom ni behandlar datan för kundens räkning. (Om ni har svårt att avgöra vem som ses som personuppgiftsansvarig och personuppgiftsbiträde enligt GDPR så kan ni läsa mer här). I detta scenario är det viktigt att ni säkerställer att kunden har laglig grund för behandlingen och ingår ett Data Processing Agreement (DPA).

 

För att sammanfatta, börja med att reda ut vilka typer av uppgifter ni behandlar, i vilket syfte ni behandlar uppgifterna och vilket ansvar det innebär. Om ni endast behandlar kundens kontaktuppgifter så behöver ni upprätta ett privacy notice och en privacy policy – för att förklara hur ni behandlar data och hur ni jobbar med dataskydd i er organisation. För att säkerställa säker hantering av personuppgifter och att ni följer GDPR så är det viktigt att ni upprättar ett Data Processing Agreement med med kunden om denne samlar data i tjänsten. Läs mer och skapa ett DPA i Legalbuddy Plus


Upprätta ett SaaS-avtal som reglerar rättigheter och skyldigheterna mellan leverantör och kund. 

Få hjälp att skapa ett SaaS-avtal med hjälp av erfarna jurister till fast pris.

Kommentarer

Kickstarta ditt GDPR-arbete med ett fastpris-paket med viktiga dokument och rådgivning.

Friendly image
Plus
Behöver du snabbare svar?
Testa Legalbuddy Plus gratis i en månad och få snabbare svar, möjligheten att ställa frågor privat och tillgång till vår juridiska avdelning.

Behöver du juridiska muskler i din verksamhet?

Testa vår digitala bolagsjurist gratis i 1 månad
- Juridiskt stöd och avtalshantering för företag

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan