GDPR för SaaS- och techbolag präglas av en dubbelroll: företaget är personuppgiftsbiträde för de kunddata som kunderna lägger i tjänsten, men personuppgiftsansvarigt för uppgifterna om sina egna användare, leads och anställda. Att hålla isär dessa roller är utgångspunkten för hela dataskyddsarbetet, eftersom skyldigheterna skiljer sig åt. Ovanpå det kommer den kedja av underbiträden – hostingleverantörer, analysverktyg, supportsystem – som ett modernt SaaS-bolag bygger på, och som ofta sträcker sig till USA. För svenska techbolag är dataskydd dessutom allt oftare ett säljkrav: enterprise-kunder granskar leverantörens efterlevnad innan avtal skrivs.
Viktigaste punkterna
- Ett SaaS-bolag är biträde för kundernas data och ansvarigt för egna användar-, lead- och personaldata – rollerna styr skyldigheterna.
- Som biträde krävs ett personuppgiftsbiträdesavtal med varje kund och kontroll över hela underbiträdeskedjan (art. 28.4).
- Underbiträden i USA kräver en giltig överföringsmekanism efter Schrems II – EU–USA:s dataskyddsramverk eller standardavtalsklausuler med bedömning.
- Produktanalys som skickar data till tredje land berörs direkt av IMY:s Google Analytics-beslut.
- Inbyggt dataskydd är inte bara ett krav enligt art. 25 utan ett konkurrensargument i upphandlingar.
Dubbelrollen: biträde och ansvarig
Den enskilt viktigaste distinktionen för ett SaaS-bolag är vem som bestämmer ändamålen. För de personuppgifter som kunden lägger in i tjänsten – kundens egna kunder, anställda, kontakter – är det kunden som bestämmer ändamål och medel. SaaS-bolaget behandlar dem bara enligt kundens instruktioner och är därmed personuppgiftsbiträde. För uppgifterna om SaaS-bolagets egna användare, webbplatsbesökare, leads och anställda bestämmer bolaget självt ändamålen och är personuppgiftsansvarigt.
| Datakategori | Bolagets roll |
|---|---|
| Kundens data i tjänsten | Personuppgiftsbiträde |
| Egna kontoinnehavare/användare | Personuppgiftsansvarig |
| Leads och marknadsföring | Personuppgiftsansvarig |
| Anställda | Personuppgiftsansvarig |
| Produktanalys och loggar | Beror på ändamål – ofta ansvarig |
Konsekvensen är att bolaget behöver två spår i sitt dataskyddsarbete: biträdesspåret (avtal, instruktioner, underbiträden, säkerhet) och det egna ansvarsspåret (rättslig grund, information, gallring). Att blanda ihop dem är ett vanligt fel – till exempel att tro att kundens biträdesavtal täcker bolagets egen marknadsföring.
Gränsdragningen får också praktiska följder för hur bolaget svarar på registrerades förfrågningar. Om en av kundens användare begär tillgång till eller radering av sina uppgifter är det kunden – den personuppgiftsansvarige – som ska besvara begäran, medan SaaS-bolaget bara ska bistå enligt biträdesavtalet. Men om det gäller bolagets egen användare eller lead är bolaget självt ansvarigt och ska svara direkt. Ett bolag som inte har klart för sig vilken roll det har i varje enskilt fall riskerar antingen att agera utan grund på kundens data eller att missa sin egen skyldighet. Att kartlägga dataflödena och rollerna för varje kategori är därför den första och viktigaste övningen ett växande SaaS-bolag bör göra.
Biträdesavtal och underbiträden
Som biträde ska bolaget teckna ett personuppgiftsbiträdesavtal med varje kund, och avtalet ska binda bolaget vid de skyldigheter artikel 28.3 räknar upp. Den känsligaste punkten är underbiträden: bolaget får inte anlita ett underbiträde utan kundens tillstånd, och samma dataskyddsskyldigheter ska åläggas underbiträdet genom avtal (art. 28.4). Ett SaaS-bolag har i praktiken alltid underbiträden – molnhosting, e-postutskick, support, betalning, analys – och måste därför föra en aktuell förteckning över dem och en process för att informera kunderna om ändringar. Kunderna, som är personuppgiftsansvariga, förlitar sig på att denna kedja är dokumenterad och laglig.
Tredjelandsöverföring efter Schrems II
Den vanligaste dolda risken i ett SaaS-bolags underbiträdeskedja är att ett led finns i USA. Efter EU-domstolens Schrems II-dom krävs för överföring till tredjeland en giltig mekanism och ofta en kompletterande bedömning av mottagarlandets skyddsnivå. Sedan EU–USA:s dataskyddsramverk (Data Privacy Framework) trädde i kraft 2023 kan överföringar till certifierade amerikanska mottagare vara lagliga, men bolaget måste kontrollera att just dess underbiträde omfattas och komplettera med standardavtalsklausuler där så inte är fallet. Reglerna behandlas i vår guide om tredjelandsöverföring.
IMY:s beslut mot Tele2 (12 miljoner kronor) och CDON (300 000 kronor) 2023 gällde just överföring av personuppgifter till USA via Google Analytics. För ett SaaS-bolag är detta direkt relevant på två sätt: dels för den egna produktanalysen, dels för att bolagets kunder ställer samma fråga om bolagets tjänst. Att kunna redogöra för var data behandlas och vilken mekanism som gäller är därför både en efterlevnads- och en säljfråga.
Privacy by design som säljargument
För ett techbolag är inbyggt dataskydd enligt artikel 25 inte bara en rättslig skyldighet utan ett affärskrav. Enterprise-kunder och offentliga upphandlare skickar allt oftare säkerhets- och dataskyddsfrågeformulär innan de köper: hur hanteras åtkomst, kryptering, gallring, loggning och datalokalisering? Ett bolag som byggt in dataskydd från start – dataminimering, kryptering, EU-baserad lagring som förval, dokumenterade underbiträden – klarar dessa granskningar snabbare och vinner affärer. Ett bolag som inte gjort det fastnar i due diligence eller tappar affären. Dataskydd är alltså inte bara en kostnad utan en kvalificeringsfaktor i B2B-försäljning.
För att hantera både biträdes- och ansvarsspåret, hålla underbiträdesförteckningen aktuell och kunna svara på kundernas granskningar behöver bolaget struktur. En plattform som Legiscope kan samla registerförteckningen, biträdesavtalen och underbiträdeskedjan på ett ställe, vilket både sänker efterlevnadsrisken och gör det snabbare att svara enterprise-kunders säkerhetsfrågor. Kostnadsbilden beskrivs i vår kostnadsguide.
Säkerhet, incidenter och loggning
Som biträde är ett SaaS-bolag skyldigt att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 och att bistå kunderna vid incidenter. I praktiken innebär det att bolaget måste ha en incidentberedskap som fungerar dygnet runt: en säkerhetsincident i tjänsten drabbar alla kunder samtidigt, och varje kund är personuppgiftsansvarig med en egen 72-timmarsfrist mot sin tillsynsmyndighet. Bolaget måste därför kunna upptäcka, bedöma och rapportera en incident till sina kunder snabbt nog att de i sin tur hinner anmäla till IMY i tid. Ett biträdesavtal som utlovar “utan onödigt dröjsmål” räcker inte om det inte finns en rutin bakom.
Loggning är en annan central punkt. För att kunna utreda incidenter och visa efterlevnad behöver bolaget logga åtkomst till kunddata – men loggarna är i sig personuppgifter som ska minimeras och gallras. Ett väl designat SaaS-bolag bygger in loggning, kryptering i vila och i transit, rollbaserad åtkomst och separation mellan kunders data som grundfunktioner, inte som tillval. Detta är inbyggt dataskydd i praktiken, och det är precis dessa åtgärder enterprise-kunderna granskar innan de köper. En incidentrutin som är dokumenterad, testad och kopplad till kundavtalen är därför både en efterlevnads- och en förtroendefråga.
Vanliga frågor
Är vårt SaaS-bolag biträde eller ansvarigt?
Båda, för olika data. För de uppgifter kunderna lägger in i tjänsten är ni personuppgiftsbiträde, eftersom kunden bestämmer ändamålen. För uppgifterna om era egna användare, leads och anställda är ni personuppgiftsansvariga. Håll de två spåren åtskilda i dataskyddsarbetet.
Behöver vi tillstånd från kunderna för våra underleverantörer?
Ja. Som biträde får ni inte anlita ett underbiträde utan kundens tillstånd, och ni ska ålägga underbiträdet samma dataskyddsskyldigheter genom avtal (art. 28.4). I praktiken hanteras detta genom en förteckning över underbiträden i biträdesavtalet och en process för att informera kunderna om ändringar.
Får vi använda amerikanska molntjänster som underbiträden?
Ja, om överföringen har en giltig mekanism. Efter Schrems II krävs att den amerikanska leverantören omfattas av EU–USA:s dataskyddsramverk eller att ni tecknat standardavtalsklausuler och gjort en bedömning av skyddsnivån. Ni måste kunna redogöra för var data behandlas och vilken mekanism som gäller.
Slutsats
GDPR för SaaS- och techbolag börjar med dubbelrollen: biträde för kundernas data, ansvarig för de egna. Teckna biträdesavtal med varje kund, håll underbiträdeskedjan dokumenterad och laglig, säkra tredjelandsöverföringarna efter Schrems II och bygg in dataskydd från start – det senare är både ett krav enligt artikel 25 och ett säljargument i enterprise-affärer. Grunden finns i dataskyddsförordningen och i IMY:s vägledning, och överföringsreglerna preciseras av EDPB.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial