Personuppgiftsbiträdesavtal mellan koncernbolag – vad säger GDPR?

Se som Markdown
2 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 25 augusti 2025
  1. När krävs biträdesavtal mellan koncernbolag?

En vanlig missuppfattning är att bolag inom samma koncern inte behöver upprätta personuppgiftsbiträdesavtal sinsemellan. Men enligt dataskyddsförordningen (GDPR) är det inte koncernstrukturen som avgör om ett sådant avtal krävs – utan om ett bolag behandlar personuppgifter för ett annat bolags räkning.

Det kan exempelvis handla om en koncernintern funktion som tillhandahåller IT, HR eller ekonomi. Den koncerninterna funktionen kommer då att agera i rollen som personuppgiftsbiträde om funktionen är organiserad i ett separat företag. I sådana fall krävs ett personuppgiftsbiträdesavtal enligt artikel 28 GDPR, även om båda bolagen ingår i samma koncern eller annars har gemensam ägare.

IMY och andra europeiska tillsynsmyndigheter har varit tydliga: det är den faktiska rollen i behandlingen, inte det legala ägandet, som avgör skyldigheterna enligt dataskyddsförordningen. Avsaknad av avtal i dessa fall kan leda till att behandlingen anses bryta mot GDPR:s krav – med risk för sanktionsavgifter.

När krävs biträdesavtal mellan koncernbolag?

I praktiken är det vanligt att koncernbolag delar resurser över organisationsgränser, men det förändrar inte kraven enligt GDPR. Om ett bolag inom koncernen får tillgång till eller behandlar personuppgifter för ett annat företags räkning krävs det att rollerna tydligt definieras och regleras. Ett biträdesavtal fungerar då som ett formellt bevis på att ansvarsförhållandena är klargjorda och att behandlingen sker enligt GDPR:s krav.

Ett personuppgiftsbiträdesavtal krävs mellan bolag i samma koncern om:

  • Ett bolag behandlar personuppgifter för ett annat bolags räkning.
  • Det behandlande bolaget inte själv bestämmer över ändamålen med behandlingen.
  • Det föreligger ett uppdragsförhållande mellan bolagen, exempelvis genom en servicefunktion.
  • Behandlingen sker exempelvis genom gemensamma IT-system eller molntjänster.
  • Det saknas gemensamt personuppgiftsansvar enligt artikel 26 GDPR.

Interna rutiner och policies räcker inte – det måste finnas ett formellt biträdesavtal som uppfyller kraven i artikel 28. Det är särskilt viktigt i koncerner som är geografiskt spridda eller verkar i olika branscher med olika regulatoriska krav.

På Morling Consulting hjälper våra GDPR-jurister företag att analysera personuppgiftsflöden inom koncerner och säkerställa att avtalen uppfyller dataskyddsförordningens krav.

Senaste inlägg

Illustration av processen för efterlevnad av Konsumentkreditlagen 2026 med skärpta krav för kreditgivare, kreditförmedlare och handlare.

15 januari 2026

Ny konsumentkreditlag 2026 – skärpta krav för kreditgivare, kreditförmedlare och handlare
Läs mer
Två jurister granskar ett avtal tillsammans vid ett konferensbord i en ljus, modern miljö som signalerar professionalism, struktur och samarbete.

15 januari 2026

Skriva avtal mellan företag: 8 konkreta tips när du ska skriva på 
Läs mer
Illustrerad jurist i kostym framför skrivbord med cirkulärt AML-flöde, dokumentikoner för riskbedömning, kundkännedom och rapportering för bokföringsbyrå.

14 januari 2026

AML för bokföringsbyråer – praktiska krav och fallgropar
Läs mer