Ett personuppgiftsbiträdesavtal (PUB-avtal) är det skriftliga avtal som artikel 28 i dataskyddsförordningen kräver varje gång en personuppgiftsansvarig anlitar ett personuppgiftsbiträde – det vill säga någon som behandlar personuppgifter för den ansvariges räkning. Det gäller molnleverantörer, lönebyråer, IT-drift, e-postplattformar, CRM-system och praktiskt taget varje extern SaaS-tjänst som hanterar era personuppgifter. Avtalet ska bland annat reglera behandlingens föremål, varaktighet, art och ändamål, biträdets skyldigheter, säkerhetsåtgärder, hantering av underbiträden och biträdets stöd till den ansvarige. Utan ett giltigt PUB-avtal är själva överlämnandet av uppgifter olagligt. Den här guiden går igenom vad avtalet ska innehålla och hur du hanterar det i praktiken.
Ansvarig eller biträde? Skilj på rollerna
Innan avtalet skrivs måste rollerna klargöras. Den personuppgiftsansvarige bestämmer ändamålen med och medlen för behandlingen. Ett personuppgiftsbiträde behandlar uppgifter enbart på den ansvariges instruktioner. En lönebyrå som behandlar era anställdas uppgifter enligt era instruktioner är biträde; en bank som behandlar samma uppgifter för egna rättsliga ändamål är själv ansvarig. Felaktig rollklassificering är ett vanligt fel som gör avtalet verkningslöst; se personuppgiftsansvarig kontra biträde för hur gränsen dras. Rollerna ska framgå av er registerförteckning, som listar mottagarna för varje behandling.
Obligatoriska klausuler enligt artikel 28.3
Avtalet ska enligt artikel 28.3 binda biträdet vid följande skyldigheter:
| Klausul | Innebörd |
|---|---|
| Dokumenterade instruktioner | Biträdet behandlar endast enligt den ansvariges instruktioner |
| Konfidentialitet | Personer med behörighet har tystnadsplikt |
| Säkerhet (art. 32) | Lämpliga tekniska och organisatoriska åtgärder |
| Underbiträden | Får anlitas endast med tillstånd och på samma villkor |
| Stöd till den ansvarige | Bistå med registrerades rättigheter (art. 12–22) |
| Stöd vid incidenter | Bistå med säkerhet, incidentanmälan och DPIA (art. 32–36) |
| Radering eller återlämnande | Vid uppdragets slut raderas eller återlämnas uppgifterna |
| Granskning | Biträdet möjliggör revisioner och inspektioner |
Saknas någon av dessa klausuler uppfyller avtalet inte artikel 28 och den ansvarige riskerar sanktioner även om biträdet är den som brister.
Underbiträden: den vanligaste fallgropen
Biträdet får inte anlita ett underbiträde utan den ansvariges tillstånd, och när ett underbiträde anlitas ska samma dataskyddsskyldigheter åläggas det genom avtal (art. 28.4). I praktiken innebär det att ni behöver en aktuell förteckning över era biträdens underleverantörer och en process för att invända mot nya. Moderna molnkedjor kan omfatta flera led av underbiträden, och den ansvarige förblir ytterst ansvarig för hela kedjan.
Detta är också kopplat till internationella överföringar: om ett underbiträde finns utanför EU/EES krävs en giltig överföringsmekanism, exempelvis standardavtalsklausuler. IMY har utfärdat 12 miljoner kronor mot Tele2 och 300 000 kronor mot CDON för olaglig överföring av personuppgifter till USA via ett tredjepartsverktyg – ett exempel på att bristande kontroll av leverantörskedjan får konsekvenser.
Praktisk hantering och mall
Ett PUB-avtal behöver inte skrivas från grunden varje gång – de flesta större leverantörer tillhandahåller ett standardavtal. Utmaningen är att granska dessa avtal: uppfyller de alla klausuler i artikel 28.3, hur regleras underbiträden och vilka överföringar sker? Att granska varje avtal manuellt tar tid, och det är här ett verktyg gör skillnad. Plattformar som Legiscope granskar ett biträdesavtal på några minuter och flaggar klausuler som inte lever upp till kraven, vilket ersätter timmar av juridisk genomgång per avtal.
Ett hållbart arbetssätt: för en förteckning över samtliga biträden kopplad till registerförteckningen, granska varje nytt avtal mot artikel 28.3, håll koll på underbiträden och överföringar, och se över avtalen återkommande. För organisationer med många leverantörer är detta en av de mest tidskrävande delarna av dataskyddsarbetet – och en av de som lönar sig mest att automatisera. Om ni är osäkra på hur mycket resurser detta kräver, väg in det i bedömningen av om ni behöver ett dataskyddsombud.
Internationella överföringar i biträdeskedjan
Den vanligaste dolda risken i ett biträdesavtal är att ett underbiträde befinner sig utanför EU/EES. Om så är fallet krävs en giltig överföringsmekanism – oftast Europeiska kommissionens standardavtalsklausuler (SCC) – och i många fall en kompletterande bedömning av mottagarlandets skyddsnivå efter EU-domstolens Schrems II-dom. Många amerikanska molntjänster erbjuder EU-baserad lagring, men det räcker inte alltid: om det amerikanska moderbolaget kan få åtkomst till data kvarstår överföringsfrågan. Ett biträdesavtal bör därför inte bara nämna underbiträden utan också ange var varje underbiträde behandlar data och vilken mekanism som tillämpas. IMY:s avgifter mot Tele2 och CDON för överföringar till USA via Google Analytics visar att detta inte är en teoretisk risk.
Checklista vid granskning av ett biträdesavtal
Innan ni undertecknar en leverantörs standardavtal, kontrollera att det:
- binder biträdet vid att endast följa era dokumenterade instruktioner,
- innehåller en tystnadspliktsklausul,
- beskriver konkreta säkerhetsåtgärder enligt artikel 32,
- reglerar underbiträden och ger er möjlighet att invända mot nya,
- anger var data behandlas och vilken överföringsmekanism som gäller,
- förpliktar biträdet att bistå er med registrerades rättigheter och incidenter,
- reglerar radering eller återlämnande vid avtalets slut, och
- ger er rätt till granskning och revision.
Saknas någon punkt bör ni begära en ändring eller ett tilläggsavtal innan uppgifter lämnas över. Denna granskning bör dokumenteras och kopplas till motsvarande post i er registerförteckning, så att ni vid en tillsyn kan visa att varje leverantörsrelation är kontrollerad.
Vanliga frågor
När krävs ett personuppgiftsbiträdesavtal?
Varje gång ni anlitar någon som behandlar personuppgifter för er räkning – molntjänster, lönebyråer, IT-drift, CRM, e-post och liknande. Avtalet måste finnas på plats innan uppgifterna lämnas över. Utan avtal är överlämnandet i sig en överträdelse av artikel 28.
Vad kostar det att hantera biträdesavtal?
Manuell granskning kostar juristtid – ofta flera timmar per avtal. En plattform som automatiserar granskningen ingår oftast i en SME-prenumeration på 15 000–40 000 kronor per år; se vår kostnadsguide. För organisationer med många leverantörer är besparingen betydande.
Vem är ansvarig om biträdet orsakar en incident?
Den personuppgiftsansvarige förblir ytterst ansvarig gentemot de registrerade och tillsynsmyndigheten, men artikel 82 möjliggör regress mot biträdet i den mån biträdet brustit i sina skyldigheter. Ett väl utformat avtal med tydlig ansvarsfördelning är därför avgörande.
När det är gemensamt personuppgiftsansvar i stället
Alla externa relationer är inte biträdesförhållanden. Om två parter gemensamt fastställer ändamålen med och medlen för en behandling är de i stället gemensamt personuppgiftsansvariga enligt artikel 26, och då krävs ett annat slags avtal – ett arrangemang som fördelar ansvaret för de registrerades rättigheter mellan parterna, inte ett biträdesavtal. Ett vanligt exempel är två bolag som driver en gemensam kampanj och tillsammans beslutar hur deltagarnas uppgifter ska användas. Att felaktigt behandla ett gemensamt ansvar som ett biträdesförhållande, eller tvärtom, leder till fel avtalstyp och en oklar ansvarsfördelning. Klargör därför alltid först vem som bestämmer ändamålen: den som gör det är ansvarig, den som bara utför är biträde, och när båda bestämmer tillsammans är det gemensamt ansvar. Denna klassificering bör framgå redan av er registerförteckning.
Biträdesavtalet i den bredare efterlevnaden
Personuppgiftsbiträdesavtalet står inte fritt utan är en del av ett sammanhängande system. Grunden är artikel 28 i dataskyddsförordningen, men avtalen får sitt praktiska värde först när de kopplas till registret, till kontrollen av internationella överföringar och till incidentberedskapen. IMY prövar i sin tillsyn just denna helhet: finns avtal på plats, är underbiträdena kända, och är överföringarna lagliga? En organisation som hanterar biträdesavtalen isolerat, utan koppling till registret, missar ofta att en enskild leverantör förekommer i flera behandlingar med olika krav. Att samla avtalen, registret och överföringskontrollen i samma plattform är därför inte bara en effektivitetsfråga utan också ett sätt att undvika de luckor som en tillsyn letar efter.
Slutsats
Personuppgiftsbiträdesavtalet är den rättsliga grunden för att över huvud taget få anlita externa tjänster som hanterar era personuppgifter. Artikel 28.3 räknar upp de klausuler som måste finnas, och den vanligaste fallgropen är bristande kontroll av underbiträden och internationella överföringar. Klargör rollerna, granska varje avtal mot samtliga obligatoriska klausuler och håll en aktuell förteckning kopplad till registret. För organisationer med många leverantörer är avtalsgranskningen tidskrävande nog att motivera ett verktyg som automatiserar den.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial