Personuppgiftsbiträdesavtal (PUB-avtal) – mall och guide

Introduktion

Ett personuppgiftsbiträdesavtal (PUB-avtal) är ett avtal som enligt GDPR måste finnas mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Om ditt företag anlitar en extern leverantör som hanterar personuppgifter för din räkning – till exempel en molntjänst, ett lönesystem eller en e-postleverantör – behöver du ett PUB-avtal.

I denna guide förklarar vi vad ett PUB-avtal ska innehålla, när du behöver ett, hur du upprättar det och vilka misstag du bör undvika. Vi utgår från GDPR:s krav i artikel 28 och Integritetsskyddsmyndigheten (IMY) riktlinjer.

Personuppgiftsansvarig vs personuppgiftsbiträde

Innan vi går in på själva avtalet behöver vi förstå rollerna.

Personuppgiftsansvarig

Den personuppgiftsansvarige är den fysiska eller juridiska person som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Med andra ord: du som företag är personuppgiftsansvarig när du bestämmer varför och hur personuppgifter ska behandlas.

Exempel: Ditt företag samlar in kunduppgifter för att skicka fakturor och leverera tjänster. Du bestämmer vilka uppgifter som samlas in och varför – du är personuppgiftsansvarig.

Personuppgiftsbiträde

Ett personuppgiftsbiträde är en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Biträdet agerar på instruktion från den ansvarige och får inte använda uppgifterna för egna ändamål.

Exempel: Du använder en molnbaserad lönetjänst som hanterar dina anställdas löneuppgifter. Lönetjänsten behandlar personuppgifter på ditt uppdrag – de är personuppgiftsbiträde.

Underbiträde (sub-processor)

Ett underbiträde är en extern part som personuppgiftsbiträdet anlitar för att utföra en del av behandlingen. Exempelvis kan din lönetjänst använda en extern molnlagringsleverantör. Den leverantören är ett underbiträde.

Gemensamt personuppgiftsansvariga

I vissa fall bestämmer två eller flera parter gemensamt ändamål och medel för behandlingen. Då är de gemensamt personuppgiftsansvariga enligt artikel 26 GDPR och behöver ett separat avtal som reglerar deras respektive ansvar – inte ett PUB-avtal.

När behövs ett PUB-avtal?

Ett PUB-avtal krävs enligt artikel 28 GDPR varje gång en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. I praktiken behöver de flesta företag PUB-avtal med en rad leverantörer.

Vanliga situationer som kräver PUB-avtal

• Molntjänster – Office 365, Google Workspace, Dropbox, AWS
• Löne- och HR-system – Hogia, Visma, Fortnox
• CRM-system – Salesforce, HubSpot, Lime
• E-postmarknadsföring – Mailchimp, Apsis, Rule
• Webbhosting – Loopia, One.com, Binero
• Bokföring och redovisning – Extern redovisningsbyrå som hanterar personaluppgifter
• IT-support – Extern IT-leverantör med åtkomst till företagets system
• Betaltjänster – Klarna, Stripe (beroende på upplägg)

Situationer som inte kräver PUB-avtal

• Leverantörer som är personuppgiftsansvariga – Banker, försäkringsbolag och myndigheter som behandlar uppgifter för egna ändamål
• Överföring av personuppgifter – Om du lämnar ut uppgifter till en mottagare som själv bestämmer ändamålet
• Anställda – Personuppgiftsbehandling av egna anställda kräver inget PUB-avtal

Gränsdragningen kan vara svår. Läs mer om GDPR:s grundläggande principer i vår GDPR-guide för företag.

Vad ska ett PUB-avtal innehålla?

Artikel 28.3 GDPR listar vad avtalet minst ska innehålla. Nedan går vi igenom varje obligatorisk punkt.

Ändamål och varaktighet

Avtalet ska ange:

• Föremålet för behandlingen – Vilka personuppgifter som behandlas och varför
• Behandlingens varaktighet – Hur länge behandlingen pågår
• Behandlingens art – Vilken typ av behandling som utförs (lagring, registrering, överföring etc.)
• Kategorier av registrerade – Vilka personers uppgifter som behandlas (kunder, anställda, webbplatsbesökare etc.)
• Typer av personuppgifter – Namn, e-post, personnummer, hälsouppgifter etc.

Biträdets skyldigheter

Personuppgiftsbiträdet ska enligt avtalet:

Behandla uppgifter enligt instruktioner – Biträdet får bara behandla personuppgifter i enlighet med den personuppgiftsansvariges dokumenterade instruktioner. Om biträdet anser att en instruktion strider mot GDPR ska det informera den ansvarige.

Säkerställa konfidentialitet – Biträdet ska se till att personer som har åtkomst till personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt.

Vidta säkerhetsåtgärder – Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder enligt artikel 32 GDPR. Det inkluderar:

• Kryptering av personuppgifter
• Förmåga att säkerställa fortlöpande konfidentialitet, integritet och tillgänglighet
• Förmåga att återställa tillgängligheten vid en incident
• Rutiner för regelbunden testning och utvärdering av säkerhetsåtgärder

Underbiträden – Biträdet ska ha den personuppgiftsansvariges skriftliga förhandsgodkännande (specifikt eller generellt) för att anlita underbiträden. Vid generellt godkännande ska biträdet informera om planerade ändringar så att den ansvarige kan invända.

Bistå den ansvarige – Biträdet ska hjälpa den personuppgiftsansvarige med att:

• Uppfylla registrerades rättigheter (rätt till tillgång, radering, rättelse etc.)
• Genomföra konsekvensbedömningar (DPIA)
• Anmäla personuppgiftsincidenter till IMY inom 72 timmar

Radering eller återlämnande – När behandlingen upphör ska biträdet, enligt den ansvariges val, radera eller återlämna alla personuppgifter och radera befintliga kopior.

Revision och granskning – Biträdet ska ge den ansvarige tillgång till all information som krävs för att visa att skyldigheterna i artikel 28 uppfylls. Biträdet ska även möjliggöra och bidra till revisioner som utförs av den ansvarige eller en av denne utsedd revisor.

Tredjelandsöverföring

Om personuppgifter överförs till ett land utanför EU/EES måste avtalet reglera detta. Sedan EU-domstolens Schrems II-dom krävs att överföringen sker med stöd av:

• Adekvansbeslutet – EU-kommissionen har beslutat att skyddsnivån i det aktuella landet är tillräcklig. EU-US Data Privacy Framework gäller för certifierade amerikanska företag sedan juli 2023.
• Standardavtalsklausuler (SCC) – EU-kommissionens standardklausuler kan användas som överföringsverktyg
• Bindande företagsbestämmelser (BCR) – Godkända interna regler inom en koncern

Praktisk mall och vägledning

Nedan följer en checklista för att upprätta ett PUB-avtal:

Steg 1: Kartlägg dina leverantörer

Gå igenom alla leverantörer och tjänster som hanterar personuppgifter för din räkning. Skapa en lista med:

• Leverantörens namn och kontaktuppgifter
• Vilka personuppgifter som behandlas
• Ändamålet med behandlingen
• Var uppgifterna lagras (land)
• Eventuella underbiträden

Steg 2: Bedöm rollerna

För varje leverantör, avgör om det rör sig om:

• Personuppgiftsbiträde (behöver PUB-avtal)
• Personuppgiftsansvarig (behöver inte PUB-avtal)
• Gemensamt personuppgiftsansvarig (behöver avtal enligt artikel 26)

Steg 3: Upprätta eller granska avtalet

Många större leverantörer (som Microsoft, Google och Salesforce) tillhandahåller sina egna PUB-avtal. Granska dessa noggrant – de uppfyller ofta GDPR:s minimikrav men kan vara formulerade till leverantörens fördel.

För mindre leverantörer kan du behöva upprätta avtalet själv. Avtalet bör innehålla samtliga punkter som artikel 28.3 GDPR kräver (se ovan).

Steg 4: Hantera underbiträden

Se till att avtalet reglerar:

• Om biträdet har generellt eller specifikt godkännande att anlita underbiträden
• Hur du informeras om nya underbiträden
• Din rätt att invända mot nya underbiträden
• Att biträdet ålägger underbiträdet samma skyldigheter som i PUB-avtalet

Steg 5: Granska regelbundet

PUB-avtalen bör granskas regelbundet, minst en gång per år, för att säkerställa att de fortfarande är korrekta. Kontrollera särskilt:

• Har leverantören bytt underbiträden?
• Har lagring eller behandling flyttats till nytt land?
• Har leverantörens säkerhetsåtgärder förändrats?

Avtalet bör hanteras som en del av ditt övergripande avtalssystem. Se vår avtalsguide för mer om avtalshantering.

IMY:s krav och tillsynspraxis

Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen) är den svenska tillsynsmyndigheten för GDPR. IMY har i flera tillsynsärenden fokuserat på PUB-avtal.

Vanliga brister som IMY påpekat

• Avsaknad av PUB-avtal – Det allra vanligaste felet. Många företag anlitar personuppgiftsbiträden utan att ha ett PUB-avtal på plats.
• Ofullständiga avtal – PUB-avtal som inte innehåller alla obligatoriska delar enligt artikel 28.3.
• Otillräcklig kontroll av underbiträden – Den ansvarige har inte koll på vilka underbiträden som används.
• Bristfällig säkerhet – Avtal som inte specificerar tillräckliga tekniska och organisatoriska säkerhetsåtgärder.

Sanktioner

IMY kan utfärda administrativa sanktionsavgifter för brott mot GDPR. För brott mot artikel 28 kan sanktionsavgiften uppgå till 10 miljoner euro eller 2 procent av företagets globala årsomsättning, beroende på vilket belopp som är högst.

I praktiken har IMY utfärdat sanktionsavgifter på hundratusentals till miljontals kronor mot svenska företag och myndigheter för bristfällig hantering av personuppgiftsbiträdesavtal. Det är alltså inte en teoretisk risk utan en högst reell konsekvens.

Vanliga misstag att undvika

Att anta att leverantörens standardavtal räcker – Även om stora leverantörer erbjuder PUB-avtal bör du granska dem. Kontrollera att alla obligatoriska punkter finns med och att avtalet inte innehåller klausuler som begränsar dina rättigheter som personuppgiftsansvarig.

Att inte föra register – Enligt artikel 30 GDPR ska personuppgiftsansvariga föra register över sin behandling, inklusive vilka personuppgiftsbiträden som anlitas. Utan register är det svårt att ha kontroll.

Att glömma underbiträdeskedjan – Ditt personuppgiftsbiträde kanske anlitar flera underbiträden som i sin tur anlitar ytterligare leverantörer. Se till att hela kedjan omfattas av lämpliga avtal och säkerhetsåtgärder.

Att inte hantera tredjelandsöverföringar – Om personuppgifter överförs utanför EU/EES måste detta regleras i avtalet med stöd av en giltig överföringsmekanism. Det räcker inte att bara konstatera att uppgifterna lagras utomlands.

Att aldrig granska efterlevnaden – Att ha ett PUB-avtal på papper räcker inte – du har som personuppgiftsansvarig en skyldighet att säkerställa att biträdet faktiskt lever upp till sina åtaganden. Utnyttja din rätt till revision.

Om ditt företag hanterar känslig information bör du också överväga att komplettera med sekretessavtal som skyddar affärshemligheter utöver personuppgifter.

PUB-avtal vs andra avtal

Det är viktigt att förstå hur PUB-avtalet förhåller sig till andra avtal.

PUB-avtal och huvudavtalet

PUB-avtalet är normalt en bilaga till det kommersiella huvudavtalet med leverantören (till exempel ett tjänsteavtal eller licensavtal). PUB-avtalet reglerar enbart personuppgiftsbehandlingen, medan huvudavtalet reglerar övriga kommersiella villkor.

PUB-avtal och sekretessavtal

Ett PUB-avtal ersätter inte ett sekretessavtal. PUB-avtalet hanterar personuppgiftsbehandling enligt GDPR, medan ett sekretessavtal skyddar affärshemligheter och annan konfidentiell information. Många företag behöver båda.

PUB-avtal och servicenivåavtal (SLA)

Ett SLA reglerar tjänstens tillgänglighet och prestanda, medan PUB-avtalet fokuserar på dataskydd. Båda kan vara relevanta – en tjänst som är nedstängd påverkar ju även din möjlighet att uppfylla registrerades rättigheter.

Vanliga frågor om PUB-avtal

Behöver enskilda firmor också PUB-avtal?

Ja, GDPR gäller för alla som behandlar personuppgifter, oavsett företagsform. Om du driver enskild firma och anlitar en extern tjänst som hanterar personuppgifter (till exempel ett bokföringsprogram med kunduppgifter) behöver du ett PUB-avtal.

Kan jag använda leverantörens standardavtal?

Ja, om det uppfyller kraven i artikel 28.3 GDPR. Många stora leverantörer som Microsoft, Google och Amazon erbjuder standardiserade PUB-avtal (ofta kallade "Data Processing Agreements" eller DPA). Granska dem noggrant och komplettera vid behov.

Vad händer om mitt personuppgiftsbiträde drabbas av ett dataintrång?

Enligt GDPR ska personuppgiftsbiträdet utan onödigt dröjsmål meddela den personuppgiftsansvarige om en personuppgiftsincident. Det är sedan den personuppgiftsansvariges ansvar att, vid behov, anmäla incidenten till IMY inom 72 timmar och informera de registrerade. PUB-avtalet bör specificera exakt hur och inom vilken tidsfrist biträdet ska meddela dig.

Kan jag ha ett gemensamt PUB-avtal för flera leverantörer?

Nej, du bör ha separata PUB-avtal med varje personuppgiftsbiträde. Varje avtal ska specificera den specifika behandlingen som just den leverantören utför. Däremot kan du använda en standardmall som utgångspunkt och anpassa den för varje leverantör.

Hur ofta bör jag granska mina PUB-avtal?

Som minimum en gång per år. Du bör även granska avtalet när leverantören meddelar ändringar (nya underbiträden, ändrade lagringsplatser etc.), när din egen behandling förändras, eller när det kommer ny vägledning från IMY eller Europeiska dataskyddsstyrelsen (EDPB).

Sammanfattning

PUB-avtal är inte bara en juridisk formalitet – det är ett avgörande verktyg för att säkerställa att personuppgifter hanteras korrekt genom hela leverantörskedjan. Se till att du har avtal med alla leverantörer som behandlar personuppgifter för din räkning, att avtalen uppfyller GDPR:s krav och att du regelbundet granskar efterlevnaden.

Behöver du hjälp med att upprätta eller granska dina PUB-avtal? Hitta en rådgivare med expertis inom GDPR och dataskydd som kan säkerställa att ditt företag uppfyller alla krav.

---

Källor och referenser

• Riksdagen – Aktiebolagslagen
• Bolagsverket – Lagar och regler
• IMY – Dataskydd för företag