GDPR och leverantörsavtal – vad ni måste ha på plats

Leverantörer och personuppgifter #

De flesta företag använder leverantörer som på ett eller annat sätt hanterar personuppgifter:

• Molntjänster – Microsoft 365, Google Workspace, Salesforce
• HR-system – Lönehantering, rekrytering
• Marknadsföringsverktyg – Nyhetsbrev, CRM
• IT-leverantörer – Drift, support, backup
• Ekonomisystem – Bokföring, fakturering

Enligt GDPR är ni som personuppgiftsansvarig ansvariga för hur era leverantörer (personuppgiftsbiträden) hanterar uppgifterna.

Vad säger GDPR? #

Artikel 28 i GDPR ställer tydliga krav:

“Behandling av ett personuppgiftsbiträde ska regleras av ett avtal […] som är bindande för personuppgiftsbiträdet”

Utan rätt avtal på plats bryter ni mot GDPR, oavsett hur bra leverantören faktiskt sköter sig.

Vad ska avtalet innehålla? #

GDPR specificerar vad ett personuppgiftsbiträdesavtal (PuB-avtal) minst måste innehålla:

1. Behandlingens omfattning #

• Vilka personuppgifter behandlas?
• Vilka kategorier av registrerade (anställda, kunder, etc.)?
• Syftet med behandlingen
• Behandlingens varaktighet

2. Instruktioner #

Biträdet får endast behandla uppgifter enligt era dokumenterade instruktioner.

3. Sekretess #

Personal hos biträdet ska vara bundna av sekretess.

4. Säkerhetsåtgärder #

Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.

5. Underbiträden #

• Får biträdet anlita underbiträden?
• Hur ska ni informeras om nya underbiträden?
• Samma krav ska ställas på underbiträden

6. Stöd vid rättigheter #

Biträdet ska hjälpa er hantera registrerades rättigheter (tillgång, radering, etc.).

7. Incidenthantering #

Biträdet ska meddela er utan onödigt dröjsmål vid personuppgiftsincidenter.

8. Revisionsrätt #

Ni ska ha rätt att granska eller låta granska biträdets behandling.

9. Avslut #

Vad händer med uppgifterna när avtalet upphör? Radering eller återlämnande?

Praktisk checklista #

Inventera era leverantörer #

Skapa en lista över alla leverantörer som hanterar personuppgifter:

Granska befintliga avtal #

Många leverantörer har redan standardavtal (Data Processing Agreement/DPA). Kontrollera att de:

• Uppfyller GDPR:s krav
• Är uppdaterade
• Faktiskt är signerade

Upprätta avtal där de saknas #

För leverantörer utan avtal:

1. Kontakta leverantören och be om deras standardavtal
2. Granska att det uppfyller kraven
3. Signera och arkivera

Hantera underbiträden #

Stora molnleverantörer har ofta hundratals underbiträden. Er skyldighet är att:

• Veta vilka underbiträden som används
• Ha möjlighet att invända mot nya
• Säkerställa att samma krav ställs på dem

Vanliga frågor #

“Räcker det med leverantörens standardavtal?” #

Oftast ja, för etablerade leverantörer. Men granska att det faktiskt uppfyller GDPR:s krav och är tillämpligt på er användning.

“Vad gör vi med amerikanska leverantörer?” #

Efter Schrems II-domen behövs extra åtgärder för överföringar till USA. EU-US Data Privacy Framework (2023) underlättar, men ni måste verifiera att leverantören är certifierad.

“Hur ofta ska vi granska leverantörer?” #

• Årlig översyn av leverantörslistan
• Riskbaserad granskning av kritiska leverantörer
• Vid incidenter eller betydande förändringar

“Vad händer om leverantören vägrar signera?” #

Då har ni ett val:

1. Acceptera deras standardvillkor (om de är tillräckliga)
2. Förhandla om anpassningar
3. Byta leverantör

Konsekvenser av bristande avtal #

Utan rätt avtal riskerar ni:

• Sanktionsavgifter – Upp till 20 miljoner EUR eller 4% av omsättningen
• Skadeståndskrav – Från registrerade som drabbas av incidenter
• Förtroendeskada – Negativ publicitet vid tillsyn eller läckor

Så hjälper vi #

Obrium kan stödja er med:

• Leverantörsinventering – Kartlägg alla personuppgiftsbiträden
• Avtalsgranskning – Verifiera att befintliga avtal uppfyller kraven
• Avtalsmallar – Anpassade PuB-avtal för era behov
• Underbiträdeshantering – Process för löpande kontroll

Boka ett samtal så diskuterar vi er situation.