Så skriver du ett juridiskt hållbart personuppgiftsbiträdesavtal

3 minuter läsning • Vilgot Sahlholm • OKATEGORISERAD • 4 juli 2025
  1. Vad ska ett personuppgiftsbiträdesavtal innehålla?

För små och medelstora företag som anlitar externa leverantörer för IT-tjänster, molnlagring eller support är ett korrekt upprättat personuppgiftsbiträdesavtal (PUB-avtal) avgörande. Enligt GDPR måste varje sådant samarbete regleras genom ett skriftligt avtal som tydligt klargör ansvar, skyldigheter och gränser mellan parterna.

Ett juridiskt bristfälligt biträdesavtal kan leda till sanktionsavgifter eller otydliga ansvar vid incidenter, även om felet ligger hos leverantören. Att granska eller upprätta avtalet rätt från början minskar risker, stärker integritetsskyddet och ger trygghet i samarbetet mellan kund, biträde och eventuella underbiträden.

Vad ska ett personuppgiftsbiträdesavtal innehålla?

Ett PUB-avtal ska reglera hur personuppgifter får behandlas, vad biträdet får och inte får göra, samt vilka säkerhetsåtgärder som ska vidtas. Det ska också tydligt beskriva förhållandet mellan personuppgiftsansvarig och eventuella underbiträden. I praktiken är det många avtal som brister i dessa delar.

Här är en checklista med nyckelpunkter du bör gå igenom:

  • Behandlingsinstruktioner: Finns det en tydlig beskrivning av ändamål, typ av uppgifter och kategorier av registrerade?
  • Sekretess och säkerhet: Har biträdet förbundit sig att vidta lämpliga tekniska och organisatoriska åtgärder?
  • Underbiträden: Krävs det godkännande från den personuppgiftsansvarige innan underbiträden anlitas?
  • Plats för behandling: Framgår det var personuppgifterna behandlas geografiskt? Om tredjeland – finns skyddsåtgärder?
  • Rätt till revision: Har den personuppgiftsansvarige rätt att granska och kontrollera biträdets efterlevnad?
  • Återlämnande eller radering: Regleras vad som ska ske med uppgifterna när avtalet upphör?
  • Ansvarsfördelning: Klargörs hur och när en personuppgiftsincident ska rapporteras till den personuppgiftsansvarige.

Att arbeta med denna checklista är ett första steg mot att säkerställa regelefterlevnad. För företag som använder standardavtal från leverantörer är det särskilt viktigt att kontrollera att dessa avtal inte enbart gynnar biträdet eller lämnar ansvarsfördelningen oklar, eller ännu värre att avtalet inte ens lever upp till GDPR:s krav.

På Morling Consulting erbjuder vi juridisk granskning och anpassning av personuppgiftsbiträdesavtal – både för den som är personuppgiftsansvarig och den som agerar som biträde eller underbiträde. Vi hjälper dig att säkra dina avtal och skydda din verksamhet mot integritetsrisker.

Senaste inlägg

En man som håller i en dator och en kamerasymbol, bredvid en kvinna och ett streck som symboliserar den nya gränsdragningen som inlägget beskriver

11 juli 2025

Publicering av brottmålsdomar online – ska GDPR eller yttrandefriheten styra?
Läs mer

10 juli 2025

Mallar räcker inte – därför måste biträdesavtalet anpassas
Läs mer
Tre personer sitter vid ett bord och diskuterar gdpr-revision.

9 juli 2025

Kunders krav på GDPR – revision som konkurrensfördel
Läs mer