Är ett personuppgiftsbiträdesavtal obligatoriskt?

Ja, enligt GDPR Artikel 28 måste du ha ett skriftligt avtal med varje leverantör som behandlar personuppgifter åt dig. Avtalet ska vara på plats innan leverantören börjar behandla personuppgifter. Att sakna PUB-avtal kan leda till sanktionsavgifter från tillsynsmyndigheten.

Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?

Personuppgiftsansvarig är den som bestämmer syftet och medlen för behandlingen. Personuppgiftsbiträdet utför behandlingen på uppdrag av den ansvarige. Exempel: Du (ansvarig) använder ett CRM-system (biträde) för att lagra kunddata. Du bestämmer vad som lagras och varför, biträdet tillhandahåller bara tjänsten.

Kan ett PUB-avtal ingå i det vanliga serviceavtalet?

Ja, men det måste tydligt framgå vilka delar som reglerar personuppgiftsbehandlingen. Många leverantörer har PUB-villkor som en bilaga (Data Processing Agreement/DPA) till huvudavtalet. Det viktiga är att alla GDPR-krav i Artikel 28 är uppfyllda oavsett om det är ett separat dokument eller integrerat i huvudavtalet.

Vad händer om leverantören bryter mot PUB-avtalet?

Du som personuppgiftsansvarig är fortfarande ansvarig gentemot tillsynsmyndigheten och de registrerade. Om biträdet bryter mot GDPR riskerar både du och leverantören sanktionsavgifter. Därför är det kritiskt att ha rätt till revision, incidentrapportering och möjlighet att avsluta avtalet vid allvarliga överträdelser.

Måste jag ha PUB-avtal med alla leverantörer?

Nej, bara med de som faktiskt behandlar personuppgifter åt dig (personuppgiftsbiträden). En leverantör som bara säljer mjukvara som du installerar själv är inget biträde. Men molntjänster, CRM-system, e-postleverantörer, analyticstjänster och liknande kräver nästan alltid PUB-avtal eftersom de behandlar data på dina vägnar.

Vad är ett personuppgiftsbiträdesavtal (PUB-avtal)?

Ett personuppgiftsbiträdesavtal (PUB-avtal eller Data Processing Agreement/DPA) är ett skriftligt avtal som reglerar hur en leverantör får behandla personuppgifter på dina vägnar. Avtalet är obligatoriskt enligt EU:s dataskyddsförordning (GDPR) Artikel 28 och måste finnas på plats innan leverantören får börja behandla data.

Utan PUB-avtal bryter du mot GDPR, även om leverantören själv har bra säkerhetsrutiner.

Det här är ett av de vanligaste bristerna som Integritetsskyddsmyndigheten (IMY) upptäcker vid tillsyn. Saknas avtalet riskerar du sanktionsavgifter, oavsett om någon faktisk skada har uppstått.

Vad är ett personuppgiftsbiträde?

För att förstå när du behöver ett PUB-avtal måste du först förstå vad som räknas som ett personuppgiftsbiträde.

Personuppgiftsbiträde är en juridisk term för en leverantör som behandlar personuppgifter på dina instruktioner. Du bestämmer vad som ska göras med datan, leverantören utför behandlingen.

Typiska exempel på personuppgiftsbiträden:

Molnlagringstjänster (Google Drive, Dropbox, OneDrive)
CRM-system (HubSpot, Salesforce, Pipedrive)
E-posttjänster (Mailchimp, Klaviyo, SendGrid)
Bokningssystem och kalendertjänster
Fakturasystem och lönesystem
Analyticstjänster (Google Analytics, Hotjar)
Kundtjänstplattformar (Zendesk, Intercom)
Molnbaserade HR-system

Om leverantören har tillgång till personuppgifter och behandlar dem enligt dina instruktioner är de ett biträde. Detta gäller även om tillgången är begränsad eller automatiserad.

Vad som INTE är biträden: Leverantörer som bara säljer programvara som du installerar och driver själv (on-premise) räknas inte som biträden. Internetleverantörer som bara transporterar data är heller inga biträden, liksom brevbärare och paketleverantörer – de är självständigt ansvariga för sin egen behandling. Om leverantören behandlar data för sina egna syften är de personuppgiftsansvariga, inte biträden.

Är du osäker? Ställ frågan till leverantören: "Behandlar ni personuppgifter på våra instruktioner?" Om svaret är ja behöver ni ett PUB-avtal.

Varför krävs ett PUB-avtal?

GDPR bygger på principen om ansvarighet. Du som personuppgiftsansvarig ansvarar för att all behandling av personuppgifter sker enligt lagen, även när behandlingen utförs av tredje part.

Utan ett PUB-avtal kan du inte kontrollera vad leverantören gör med datan eller kräva säkerhetsstandarder. Du får inte heller rapporter om säkerhetsincidenter, kan inte granska hur data faktiskt hanteras eller säkerställa att data raderas när avtalet upphör.

Det skriftliga avtalet är inte bara en formalitet. Det är ditt enda verktyg för att juridiskt styra och kontrollera tredjepartens hantering av personuppgifter.

Vad måste ingå i ett PUB-avtal?

GDPR Artikel 28.3 listar exakt vad ett personuppgiftsbiträdesavtal måste innehålla. Detta är obligatoriskt, inte frivilligt.

1. Behandlingens art, ändamål och varaktighet

Avtalet måste specificera exakt vilken typ av behandling som ska ske och varför.

Exempel på konkret formulering:

"Biträdet ska behandla personuppgifter i syfte att tillhandahålla CRM-funktionalitet, inklusive lagring av kontaktuppgifter, kommunikationshistorik och affärsanteckningar för den personuppgiftsansvariges kunder och prospekt."

Undvik vaga formuleringar som "nödvändig behandling" eller "behandling enligt tjänstebeskrivning". Var specifik.

2. Typ av personuppgifter och kategorier av registrerade

Lista vilka typer av data som kommer behandlas och vilka grupper av personer det gäller.

Exempel:

Kategorier av registrerade: Kunder, potentiella kunder, användare av webbplatsen
Typer av personuppgifter: Namn, e-postadress, telefonnummer, IP-adress, företagsnamn, köphistorik, kommunikationsloggar

Om känsliga personuppgifter (hälsodata, etniskt ursprung, biometriska data etc.) ska behandlas måste detta anges explicit och kräver extra säkerhetsåtgärder.

3. Biträdets skyldigheter och rättigheter

Avtalet måste tydliggöra att biträdet endast får behandla personuppgifter enligt den personuppgiftsansvariges dokumenterade instruktioner.

Obligatoriska klausuler: Biträdet får endast behandla data enligt skriftliga instruktioner och måste omedelbart informera om en instruktion strider mot GDPR. Biträdet får inte använda personuppgifterna för egna ändamål. När avtalet upphör måste biträdet återlämna eller radera all data.

4. Säkerhetsåtgärder (Artikel 32)

Avtalet måste specificera vilka tekniska och organisatoriska åtgärder biträdet ska implementera för att skydda personuppgifterna.

Konkreta exempel på krav:

Kryptering av data
Tvåfaktorsautentisering för administrativ åtkomst
Rollbaserad åtkomstskontroll (endast behöriga får tillgång)
Regelbunden säkerhetskopiering med krypterade backuper
Loggning av åtkomst till personuppgifter
Årliga penetrationstester eller sårbarhetsscanningar
Dokumenterade rutiner för patch-hantering

Undvik vaga formuleringar som "adekvat säkerhet" eller "branschstandard". Specificera konkreta åtgärder.

5. Underleverantörer (underbiträden)

Biträdet får inte anlita underleverantörer utan ditt skriftliga godkännande.

Två modeller:

Specifikt godkännande: Varje underleverantör måste godkännas individuellt innan de börjar behandla data
Generellt godkännande med informationsskyldighet: Du godkänner i förväg att biträdet får använda underleverantörer, men de måste informera dig före varje ny underleverantör och ge dig möjlighet att invända

Oavsett modell måste samma skyldigheter som gäller biträdet också gälla underleverantören.

Praktiskt exempel: Om du använder ett CRM-system (biträde) som i sin tur använder AWS för hosting (underbiträde), måste både CRM-leverantören och AWS ha åtaganden som motsvarar GDPR:s krav.

6. Bistånd till den personuppgiftsansvarige

Biträdet måste hjälpa dig att uppfylla dina skyldigheter enligt GDPR.

Konkreta exempel: Biträdet ska bistå vid hantering av begäran från registrerade, som registerutdrag, rättelse och radering. De ska hjälpa till vid genomförande av konsekvensbedömningar (DPIA) om det behövs och bistå vid tillsynsmyndighetens granskningar. De måste också tillhandahålla nödvändig information för att visa compliance.

Detta kan innebära tekniska funktioner som export av användardata eller processer för rapportering av incidenter.

7. Incidentrapportering

Biträdet måste utan onödigt dröjsmål rapportera alla personuppgiftsincidenter till dig.

Vad som måste ingå i incidentrapporten: Rapporten ska innehålla en beskrivning av incidenten och typ av intrång, antal och kategorier av drabbade registrerade samt vilka personuppgifter som påverkats. Den måste också redogöra för troliga konsekvenser och vidtagna eller planerade åtgärder.

Eftersom du enligt GDPR har 72 timmar på dig att rapportera allvarliga incidenter till IMY måste biträdet rapportera till dig mycket snabbare. Idealt inom 24 timmar.

8. Rätt till granskning (audit rights)

Du måste ha rätt att granska att biträdet verkligen följer avtalet.

Två modeller: Den första modellen är direkt revisionsrätt, där du eller en oberoende revisor får genomföra revisioner på plats. Den andra modellen innebär att biträdet tillhandahåller regelbundna certifikat som ISO 27001 eller SOC 2 för att visa efterlevnad.

Större molntjänster använder ofta den andra modellen eftersom de inte kan låta varje kund genomföra separata revisioner. Mindre leverantörer bör acceptera faktiska revisioner.

9. Radering eller återlämnande av data

När avtalet upphör måste biträdet radera all personuppgiftsdata eller återlämna den till dig.

Praktisk formulering:

"Inom 30 dagar efter avtalets upphörande ska biträdet antingen (1) radera alla personuppgifter och bekräfta raderingen skriftligen, eller (2) återlämna alla personuppgifter i ett strukturerat, maskinläsbart format. Personuppgifter får endast behållas om det krävs enligt tillämplig lagstiftning."

Detta är särskilt viktigt vid leverantörsbyten eller när ett avtal avslutas.

Vanliga misstag med PUB-avtal

Många företag tror att de har PUB-avtal i ordning, men gör ändå kritiska misstag.

1. Att sakna avtal helt

Det vanligaste misstaget är att inte ha något avtal alls. Detta händer ofta med gratistjänster ("det är ju gratis så det spelar ingen roll"), små leverantörer ("vi litar på dem"), interna system som köpts in utan juridisk granskning eller tjänster som IT har börjat använda utan att informera juridik.

Detta gäller för alla leverantörer som behandlar personuppgifter, oavsett storlek eller kostnad.

2. Att använda leverantörens standardavtal okritiskt

Många molntjänster har standardiserade DPA (Data Processing Agreement). Problemet är att dessa ofta är skrivna för att skydda leverantören, inte dig. De saknar ofta vissa obligatoriska GDPR-klausuler, innehåller alltför generösa begränsningar av leverantörens ansvar och ger oklara rättigheter vid incidenter.

Kontrollera alltid mot GDPR Artikel 28.3 innan du signerar.

3. Att inte uppdatera gamla avtal

Många företag har avtal som tecknades före GDPR (25 maj 2018) eller tidigt under övergångsperioden. Dessa innehåller ofta hänvisningar till gamla personuppgiftslagen (PUL), otillräckliga säkerhetskrav, ingen rätt till incidentrapportering och inga klausuler om underleverantörer.

Gamla avtal måste uppdateras för att uppfylla GDPR:s krav.

4. Felaktig rollfördelning

Ibland är det oklart vem som är personuppgiftsansvarig och vem som är biträde. Detta skapar förvirring om vem som ansvarar för vad.

Tumregel: Den som bestämmer varför och hur personuppgifter behandlas är personuppgiftsansvarig. Den som behandlar data på instruktioner är biträde.

Om båda parter är självständigt ansvariga (joint controllers) gäller andra regler enligt Artikel 26.

5. Att inte ha kontroll på underleverantörer

Många leverantörer använder underleverantörer (underbiträden) utan att du vet om det. Detta är särskilt vanligt med molnleverantörer som använder AWS, Azure eller GCP för hosting, SaaS-tjänster som använder tredjepartstjänster för e-post, betalning eller analys samt outsourcade IT-tjänster som i sin tur använder externa specialister.

Om du inte har koll på hela kedjan kan data hamna hos okända parter i okända länder. Kräv transparens: leverantören måste lista alla underleverantörer och var data lagras.

Konsekvenser vid bristande efterlevnad

Att sakna eller ha bristfälliga PUB-avtal är en direkt GDPR-överträdelse.

Sanktioner enligt GDPR:

Upp till 10 miljoner euro eller 2% av global årsomsättning (Artikel 83.4)
Gäller både personuppgiftsansvarig och biträde

Verkliga exempel från IMY: Stockholms stad fick kritik 2019 för bristande personuppgiftsbiträdesavtal med IT-leverantörer. Google fick samma år 50 miljoner euro i Frankrike, delvis för otydliga instruktioner till biträden.

Utöver böter riskerar du förlust av kundförtroende, skadeståndsanspråk från registrerade vid dataintrång, krav på åtgärder från tillsynsmyndigheten och negativ publicitet.

Det är betydligt billigare att göra rätt från början än att hantera konsekvenserna efteråt.

Praktisk checklista: Vad du ska göra nu

1. Inventera dina leverantörer

Gör en fullständig genomgång av alla system och tjänster som behandlar personuppgifter:

CRM-system
E-posttjänster och marknadsföringsverktyg
Molnlagring
Faktureringssystem och ekonomisystem
HR- och lönesystem
Analyticstjänster
Kundtjänstplattformar

Använd ett centralt leverantörsregister för att hålla koll.

2. Klassificera leverantörer

Avgör vilka som är personuppgiftsbiträden (kräver PUB-avtal), personuppgiftsansvariga (ansvarar själva för sin behandling) eller joint controllers (gemensamt personuppgiftsansvariga med dig).

3. Granska befintliga avtal

För varje biträde, kontrollera att avtalet innehåller alla obligatoriska punkter från GDPR Artikel 28.3:

Behandlingens art, ändamål och varaktighet
Typ av personuppgifter och kategorier av registrerade
Biträdets skyldigheter och rättigheter
Specifika säkerhetsåtgärder
Regler för underleverantörer
Skyldighet att bistå vid förfrågningar från registrerade
Incidentrapportering
Rätt till granskning
Radering eller återlämnande av data

4. Förhandla eller komplettera bristfälliga avtal

Om befintliga avtal saknar obligatoriska klausuler ska du först kontakta leverantören och begära tillägg (addendum). Om leverantören vägrar bör du överväga att byta leverantör. Dokumentera alla kommunikationer.

De flesta etablerade molntjänster har standardiserade GDPR-tillägg som de kan signera.

5. Implementera process för nya leverantörer

Säkerställ att alla nya leverantörer granskas innan de får tillgång till personuppgifter. GDPR-granskning är obligatorisk vid leverantörsutvärdering, och PUB-avtal måste vara signerat innan onboarding. Dokumentera beslut och ansvarig för varje leverantör.

6. Följ upp regelbundet

Ett PUB-avtal är inte "set and forget". Du måste granska att biträdet faktiskt följer avtalet, helst årligen för kritiska leverantörer. Uppdatera avtalet när behandlingen ändras, dokumentera alla incidenter och hur de hanterades samt följ upp nya underleverantörer.

Internationella dataöverföringar

Om ditt personuppgiftsbiträde behandlar data utanför EU/EES måste du också ha mekanismer för laglig dataöverföring.

Tre huvudsakliga mekanismer: Den första mekanismen är adequacy decision, där landet har beslut från EU-kommissionen om adekvat skyddsnivå (t.ex. Storbritannien, Schweiz, Japan). Den andra är Standard Contractual Clauses (SCC), EU:s standardavtalsklausuler för internationella överföringar. Den tredje är Binding Corporate Rules (BCR) för stora koncerner med intern dataöverföring.

För överföringar till USA efter Schrems II-domen måste du även göra en Transfer Impact Assessment (TIA). Detta för att bedöma om amerikansk lagstiftning som FISA 702 påverkar dina datas säkerhet.

Om din leverantör har servrar i USA eller överför data dit ska du kräva att de har undertecknade Standard Contractual Clauses, genomfört en Transfer Impact Assessment och kan visa dokumentation på tekniska säkerhetsåtgärder som kryptering.

Sammanfattning

Ett personuppgiftsbiträdesavtal är obligatoriskt enligt GDPR Artikel 28 när en leverantör behandlar personuppgifter på dina instruktioner.

Avtalet måste innehålla:

Behandlingens art, ändamål och varaktighet
Typer av personuppgifter och registrerade
Biträdets skyldigheter och instruktioner
Konkreta säkerhetsåtgärder
Regler för underleverantörer
Skyldighet att bistå vid GDPR-förfrågningar
Incidentrapportering
Rätt till granskning
Radering vid avtalets slut

Bristande PUB-avtal kan leda till:

Sanktionsavgifter upp till 10 miljoner euro eller 2% av global omsättning
Skadeståndsanspråk vid dataintrång
Förtroendeskador och negativ publicitet

Gör detta nu:

Inventera alla leverantörer som behandlar personuppgifter
Granska befintliga avtal mot GDPR Artikel 28.3
Komplettera eller förhandla om bristfälliga avtal
Implementera process för nya leverantörer
Följ upp regelbundet att biträden följer avtalen

Ett välskrivet PUB-avtal är inte bara juridiskt skydd – det är ett konkret verktyg för att styra och kontrollera hur dina viktigaste tillgångar (personuppgifter) hanteras av tredje part.

För mer om hur du granskar leverantörer systematiskt, läs vår guide om leverantörshantering.