Internationella leverantörer och biträdesavtal – vad behöver anpassas? 

Se som Markdown
3 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 4 maj 2026
  1. Så håller du kontrollen över gränserna

När personuppgifter behandlas av leverantörer utanför EU/EES krävs det särskilda åtgärder enligt GDPR. För många svenska organisationer innebär det att granska, uppdatera och ibland omförhandla sina personuppgiftsbiträdesavtal – särskilt när behandling sker i så kallade tredjeländer.

En rättslig grund för överföringar till tredjeland kan vara Standard Contractual Clauses (SCC), som då behöver kompletteras med en bedömning av skyddsnivån i mottagarlandet. Denna bedömning, kallad Transfer Impact Assessment (TIA), måste vara dokumenterad och uppdaterad. SCC är dock bara en av flera möjliga rättsliga mekanismer enligt kapitel V i GDPR. Övriga rättsliga grunder för överföring till tredjeland inkluderar:

  • Adekvansbeslut från EU-kommissionen, där mottagarlandet anses ha en skyddsnivå som motsvarar GDPR. Detta gör överföringar möjliga utan ytterligare skyddsåtgärder.
  • Bindande företagsbestämmelser (Binding Corporate Rules, BCRs), som gäller inom koncerner och måste godkännas av tillsynsmyndigheter.
  • Avtalsklausuler som godkänts av en tillsynsmyndighet och EU-kommissionen, utöver SCC.
  • Rättsligt bindande och verkställbara instrument mellan myndigheter, i specifika offentliga sammanhang.
  • Undantag i särskilda situationer, exempelvis när den registrerade uttryckligen samtyckt till överföringen, eller när överföringen är nödvändig för att uppfylla ett avtal, rättslig skyldighet eller viktiga allmänintressen. Dessa undantag är dock restriktiva och bör inte användas för rutinmässiga överföringar.

För samtliga grunder, utom vid adekvansbeslut, krävs att den personuppgiftsansvarige gör en noggrann bedömning av om skyddsnivån i mottagarlandet är tillräcklig, samt vidtar kompletterande skyddsåtgärder om det behövs.

Så håller du kontrollen över gränserna

Internationell databehandling innebär även att tillsyn och uppföljning kan bli mer komplex. Personuppgiftsansvariga behöver ha rutiner för att kontinuerligt följa upp sina leverantörer när de agerar som personuppgiftsbiträden, även om dessa är baserade i jurisdiktioner utanför EU/EES.

Att tänka på vid användning av internationella biträden:

  • Säkerställ att SCC används och att TIA har genomförts och dokumenterats.
  • Ställ krav på underbiträden och transparens i leverantörskedjan.
  • Utvärdera om tekniska åtgärder (som kryptering) kan minska riskerna.
  • Följ upp hur biträdet bistår i hanteringen av rättigheter för registrerade, särskilt vid begäran om registerutdrag eller radering.

På Morling Consulting hjälper våra dataskyddsjurister företag att analysera, förhandla och följa upp sina biträdesavtal – både inom och utanför EU.

Porträtt av Felix Morling, jurist och legal consultant – författare till inlägget.

Artikel skriven av:

Felix Morling

Relaterade inlägg

Bilden visar en man i kostym framför ett nätverk som symboliserar juridiken.

14 april 2026

Så hanterar fintech-bolag känsliga personuppgifter rätt
Läs mer
bilden visar två jurister vid ett dokument och juridiska symboler.

8 april 2026

När är avtal en giltig rättslig grund enligt GDPR?
Läs mer
Bilden visar två jurister som står vid en jordglob med varningstecken som representerar personuppgiftsincidenter.

25 mars 2026

Incidentrapportering enligt biträdesavtal – vad gäller i praktiken?
Läs mer