· Viharnis Team · IT-säkerhet · 6 min read
Personuppgiftsbiträdesavtal 2025: Komplett guide för svenska företag
Vad är ett PUB-avtal och när krävs det? Här är guiden med mallar, exempel och minimikrav enligt GDPR. Säkra ditt företag mot sanktionsavgifter och onödiga risker.
Att anlita externa leverantörer för tjänster som löneadministration, molnbaserad lagring eller digital marknadsföring utgör idag en grundpelare i de flesta svenska företags verksamhet. När dessa leverantörer hanterar personuppgifter för din räkning uppstår dock ett juridiskt ansvar som kräver formell reglering. Att underlåta att upprätta ett korrekt avtal innebär inte bara en bristande efterlevnad av lagstiftningen, utan exponerar även organisationen för betydande operativa och juridiska risker.
Bristfälliga eller saknade biträdesavtal tillhör de vanligaste punkterna som Integritetsskyddsmyndigheten (IMY) anmärker på vid sina tillsyner. Konsekvenserna sträcker sig bortom enbart administrativa sanktionsavgifter; utan ett juridiskt bindande ramverk riskerar företaget att förlora rådigheten över sin data och skada förtroendet hos såväl kunder som anställda.
I den här guiden går vi igenom allt du behöver veta om personuppgiftsbiträdesavtal. Vi reder ut när lagen kräver ett avtal och ger dig praktiska verktyg för att se till att ditt företag uppnår fullständig GDPR efterlevnad för svenska företag.
Vad är pub (personuppgiftsbiträdesavtal)?
Ett personuppgiftsbiträdesavtal (ofta förkortat PUB-avtal eller bara biträdesavtal) är ett juridiskt bindande kontrakt som reglerar ansvarsfördelningen mellan två parter:
- Personuppgiftsansvarig: Du (eller ditt företag) som bestämmer varför och hur personuppgifterna ska behandlas.
- Personuppgiftsbiträde: Den externa part som behandlar uppgifterna för din räkning.
Enligt artikel 28 i GDPR är detta gdpr biträdesavtal obligatoriskt när du överlåter behandling av personuppgifter till en extern part. Avtalet säkerställer att leverantören (gdpr personuppgiftsbiträde) endast hanterar datan enligt dina instruktioner och upprätthåller rätt säkerhetsnivå. Ett korrekt utformat pub avtal är en förutsättning för riskminimerad datahantering.
Snabbkoll: När behöver du ett biträdesavtal?
Grundregeln är enkel: Om en leverantör kan se eller lagra personuppgifter som du ansvarar för, behövs ett avtal.
| Scenario | Behöver du PUB-avtal? | Orsak |
|---|---|---|
| Du använder en molntjänst för kunddata | Ja | Leverantören lagrar datan åt dig |
| Din revisor har tillgång till lönedata | Ja | Revisorn behandlar uppgifter på ditt uppdrag |
| Du anlitar en digital marknadsföringsbyrå | Ja | Byrån hanterar ofta kundlistor/cookies |
| Du skickar nyhetsbrev via ex. Mailchimp | Ja | Systemleverantören är ett biträde |
| Din anställde hanterar kunddata | Nej | Detta regleras inom anställningen, ej via PUB |
Konkreta exempel: Så fungerar det i praktiken
Det är inte alltid uppenbart vem som är biträde. Här är tre vanliga situationer för svenska företag:
Exempel på biträdessituationer
- Prenumerationstjänster: En tidning anlitar ett externt tryckeri och distributionsföretag. För att kunna leverera tidningen måste distributionsföretaget ha tillgång till prenumerantregistret. Här agerar distributionsföretaget som ett avtal personuppgiftsbiträde.
- Kundklubbar: En butikskedja vill skicka riktad reklam och anlitar en analysfirma. Firman får tillgång till köphistorik och kunddata. Analysfirman blir då biträde åt butikskedjan.
- IT-drift: Ett företag lägger ut sin serverdrift på en extern part. Även om IT-leverantören sällan går in och läser i filerna, har de teknisk tillgång till lagringen. Detta kräver ett biträdesavtal.
Vad är ett GDPR underbiträde?
Ditt personuppgiftsbiträde kan ibland behöva anlita egna leverantörer för att utföra tjänsten åt dig. Dessa kallas för underbiträden.
Ett vanligt exempel är en svensk webbyrå (ditt biträde) som i sin tur hyr serverkapacitet av Amazon Web Services (underbiträde).
Viktigt att veta: Ditt biträde får aldrig anlita ett underbiträde utan ditt skriftliga tillstånd. Detta regleras normalt i huvudavtalet genom antingen:
- Särskilt tillstånd: Du godkänner varje nytt underbiträde individuellt.
- Allmänt tillstånd: Biträdet får anlita underbiträden, men måste informera dig i förväg så att du har möjlighet att invända.
Vad ska ett personuppgiftsbiträdesavtal innehålla?
Kraven på innehållet är strikta och regleras i artikel 28.3 i dataskyddsförordningen. För dig som undrar vad ska ett personuppgiftsbiträdesavtal innehålla, så måste ett giltigt avtal specificera behandlingens art, ändamål, varaktighet samt typer av personuppgifter.
Därutöver finns det åtta minimikrav som måste finnas med:
De 8 minimikraven enligt GDPR
| Krav | Innebörd |
|---|---|
| 1. Dokumenterade instruktioner | Biträdet får endast behandla data enligt dina skriftliga instruktioner. |
| 2. Sekretess | Personal hos biträdet måste omfattas av tystnadsplikt. |
| 3. Säkerhet | Biträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. |
| 4. Underbiträden | Krav på skriftligt tillstånd för att anlita underleverantörer. |
| 5. Registrerades rättigheter | Biträdet ska hjälpa dig att svara på begäran om registerutdrag och radering. |
| 6. Bistånd vid incidenter | Biträdet måste hjälpa till vid personuppgiftsincidenter (t.ex. dataintrång). |
| 7. Gallring | Vid avtalets slut ska all data antingen raderas eller återlämnas. |
| 8. Granskning (Audit) | Du har rätt att granska biträdet för att kontrollera att avtalet följs. |
Biträdesavtal mall och standardavtalsklausuler (SCC)
Du behöver sällan skriva ett eget personuppgiftsbiträdesavtal mall från noll. För att underlätta för företag finns färdiga dokument som är godkända av tillsynsmyndigheter. Att använda en korrekt biträdesavtal mall sparar både tid och juridiska resurser.
De vanligaste alternativen är:
- EU-kommissionens standardklausuler: Används främst vid överföring av data till land utanför EU/EES, men finns även för relationer inom EU.
- Datatilsynets standardavtal: Det danska dataskyddsmyndigheten har tagit fram en mall som även svenska IMY har bedömt som giltig. Denna är mycket populär i Norden.
Var hittar jag mallarna?
Observera att standardklausuler inte får ändras i sin grundtext om de ska behålla sin status som standardavtal.
Vanliga misstag att undvika
Trots tydliga regler är det många som missar detaljerna. Här är de vanligaste fallgroparna:
| Misstag | Konsekvens |
|---|---|
| Inget avtal | Direkt brott mot GDPR. Både ansvarig och biträde kan bötfällas. |
| Generiska mallar | Att använda en mall utan att specificera vilka uppgifter som faktiskt behandlas gör avtalet verkningslöst. |
| Missad kontroll av underbiträden | Du vet inte var din data faktiskt hamnar (t.ex. servrar i osäkra tredjeländer). |
| Ingen rutin vid avslut | Data ligger kvar hos leverantören efter avslutat samarbete, vilket ökar risken för läckor. |
Checklista: Så säkrar du ditt personuppgiftsbiträdesavtal
För att säkerställa att ditt företag följer reglerna bör du gå igenom följande steg:
- Inventera: Lista alla leverantörer, molntjänster och byråer ni samarbetar med.
- Kartlägg data: Notera vilka personuppgifter respektive leverantör har tillgång till.
- Granska avtalen: Finns det befintliga avtal? Uppfyller de kraven ovan? Om inte – kontakta leverantören.
- Upprätta nya avtal: Använd standardklausuler där avtal saknas.
- Följ upp: Gör en årlig översyn. Har leverantören bytt underbiträden eller ändrat sina rutiner?
Behöver ni stöd i avtalsarbetet?
Att hålla reda på juridiken kring GDPR tar tid från kärnverksamheten, men är nödvändigt för att bygga förtroende mot kunder och anställda.
På Viharnis hjälper vi svenska företag att få struktur på sitt dataskyddsarbete. Vi erbjuder allt från enskilda avtalsgranskningar till helhetslösningar för GDPR-efterlevnad.
Våra tjänster:
| Tjänst | Beskrivning | Pris (exkl. moms) |
|---|---|---|
| GDPR-statuskoll | Vi identifierar vilka avtal ni saknar | Kostnadsfritt |
| Avtalspaket | Upprättande av korrekta PUB-avtal | från 9 900 kr |
| Externt Dataskyddsombud | Löpande stöd och övervakning | från 2 400 kr/mån |
Boka en kostnadsfri genomgång av era behov här
Sammanfattning
- Ett PUB-avtal krävs alltid när en extern part behandlar personuppgifter åt er.
- Du som personuppgiftsansvarig är skyldig att säkerställa att dina biträden följer lagen.
- Var noga med att reglera hanteringen av underbiträden.
- Använd gärna standardavtalsklausuler för att spara tid och säkerställa juridisk korrekthet.
Har du specifika frågor om er situation? Kontakta oss för rådgivning.
Källor: IMY – Personuppgiftsbiträdesavtal, EU-kommissionen, Datatilsynet
