Två vanliga misstag i personuppgiftsbiträdesavtal

3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 30 oktober 2025
  1. 1. Avtalet saknar tydliga instruktioner
  2. 2. Underbiträden hanteras felaktigt

Ett personuppgiftsbiträdesavtal är inte bara en formell bilaga till ett avtal – det är ett uttryckligt krav enligt artikel 28 i GDPR och en central del av att visa att personuppgifter hanteras lagligt. Trots detta visar granskningar ofta att biträdesavtal är slarvigt skrivna, ofullständiga eller direkt felaktiga, vilket kan medföra att behandlingen strider mot GDPR och att båda parter riskerar sanktioner. Här beskriver vi två vanliga misstag som organisationer bör undvika och som kan rättas till med en väl genomtänkt avtalsstruktur.

1. Avtalet saknar tydliga instruktioner

En grundläggande princip i GDPR är att personuppgiftsbiträdet endast får behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige. Om avtalet är allmänt formulerat eller saknar tydliga instruktioner kring syfte, kategorier av uppgifter och säkerhetsåtgärder riskerar biträdet att agera utanför sitt mandat. Det kan leda till att biträdet betraktas som en självständig personuppgiftsansvarig för en del av behandlingen – med fullt juridiskt ansvar och sanktionsrisker som följd. För att undvika detta ska avtalet i detalj beskriva vilka uppgifter som får behandlas, i vilket syfte och vilka säkerhetskrav som ställs. Det är också klokt att ange detta i en bilaga som enkelt kan uppdateras när behandlingen förändras, istället för att behöva förhandla om hela avtalet.

2. Underbiträden hanteras felaktigt

Underbiträden är en annan vanlig fallgrop. GDPR kräver att ett personuppgiftsbiträde inte får anlita ett underbiträde utan föregående specifikt eller allmänt godkännande från den personuppgiftsansvarige.

Trots detta saknar många biträdesavtal en tydlig process för hur nya underbiträden godkänns, vilka villkor som gäller och hur information om ändringar kommuniceras. Utan tydlig reglering riskerar företaget att tappa kontrollen över var och hur personuppgifter behandlas, särskilt om underbiträden är etablerade utanför EU/EES. Ett korrekt avtal ska därför innehålla krav på att biträdet i god tid informerar om avsikten att anlita nya underbiträden och att den ansvarige ges möjlighet att invända. Dessutom ska avtalet reglera att överföringar till tredje land sker i enlighet med GDPR:s kapitel V, exempelvis med standardavtalsklausuler eller andra tillåtna mekanismer.

På Morling Consulting hjälper våra erfarna dataskyddsjurister till att identifiera och åtgärda vanliga brister i personuppgiftsbiträdesavtal. Vi ser till att ansvarsfrågor och instruktioner är tydligt reglerade så att den behandling som biträdet ska och får utföra är dokumenterad.

Senaste inlägg

Bilden visar en jurist som analyserar ett avtal.

6 november 2025

Vad gör en GDPR-advokat?
Läs mer
Bilden visar en man som står brerdvid ett när som representerar gdpr.

5 november 2025

GDPR-audit i praktiken – så testar du din efterlevnad innan IMY gör det
Läs mer
En illustration i Material Design-stil som visar en server där binärkod rinner ut som ett digitalt läckage. Runt servern finns en transparent sköld med ett vitt paragraftecken (§), som symboliserar juridiskt skydd mot dataläckage. Bilden går i ljusa blå toner med inslag av turkos och små orangea detaljer.

4 november 2025

IMY inleder granskning efter Miljödata-läckan
Läs mer