GDPR och era avtal: Vilka krav ställs och hur uppfyller ni dem?

GDPR ställer tydliga krav på hur personuppgifter hanteras — även i avtal. Har ni koll på vilka av era avtal som berör persondata, och om de uppfyller kraven?

Vilka avtal berörs?

Alla avtal där personuppgifter behandlas berörs av GDPR. Det inkluderar inte bara uppenbara fall som HR-system och kundregister, utan även leverantörsavtal där underleverantörer hanterar data å era vägnar.

• ✓ IT-leverantörer och molntjänster
• ✓ Löneadministration och HR-system
• ✓ Marknadsföringsverktyg och CRM
• ✓ Konsulter med tillgång till interna system
• ✓ Städ, vakter och andra serviceleverantörer med tillgång till lokaler

Personuppgiftsbiträdesavtal (PUB-avtal)

När en tredje part behandlar personuppgifter för er räkning krävs ett personuppgiftsbiträdesavtal (PUB-avtal eller DPA). Avtalet ska specificera vilka uppgifter som behandlas, syftet, lagringsperiod och säkerhetsåtgärder.

Utan PUB-avtal bryter ni mot GDPR — oavsett om leverantören faktiskt hanterar data korrekt eller inte.

Vanliga brister

• ✗ Saknade PUB-avtal — avtal finns men biträdesavtalet saknas eller är föråldrat
• ✗ Otydlig datalagring — avtalet anger inte var data lagras (EU/tredjeland)
• ✗ Inga rutiner för radering — avtalet saknar instruktioner för vad som ska ske med data vid avtalets slut
• ✗ Underleverantörer utan stöd — leverantören använder underleverantörer utan att det regleras i avtalet

Hur Tagd hjälper med GDPR-compliance

Tagd kan identifiera vilka av era avtal som sannolikt berör personuppgifter och flagga om PUB-avtal saknas. AI:n granskar klausuler relaterade till dataskydd, lagringsplats och säkerhetsåtgärder.

"Vi trodde vi hade PUB-avtal med alla leverantörer. Tagd visade att vi saknade dem för 12 av 45 — inklusive vår största IT-leverantör."