När krävs ett personuppgiftsbiträdesavtal enligt GDPR?

OKATEGORISERAD • 28 maj 2025

Personuppgiftsbiträdesavtal är inte en rekommendation eller “bra att ha” – det är ett lagkrav enligt dataskyddsförordningen (GDPR) när personuppgifter hanteras på uppdrag av en personuoppgiftsansvarig. Utan ett personuppgiftsbiträdesavtal får personuppgifter inte behandlas av någon annan än den personuppgiftsansvarige.

Ett personuppgiftsbiträdesavtal krävs alltid när en extern part behandlar personuppgifter för den personuppgiftsansvariges räkning. Typiska exempel är leverantörer av IT-, HR- eller molntjänster. Avtalet måste uppfylla de formella kraven i artikel 28 i GDPR och bland annat reglera säkerhetsåtgärder, underbiträden och instruktioner för behandlingen.

Avsaknad av ett korrekt avtal mellan personuppgiftsansvarig och personuppgiftsbiträde utgör ett brott mot GDPR och kan leda till sanktionsavgifter. Det gäller även om själva behandlingen i övrigt sker i enlighet med reglerna.

Hur du vet om ett biträdesavtal behövs

Avgörande för om ett biträdesavtal behövs är inte hur parterna själva benämner samarbetet, utan de faktiska omständigheterna kring hur personuppgifterna behandlas. GDPR gör ingen skillnad mellan små och stora företag eller om företagen är del av samma koncern – samma regler gäller alla.

Det behövs ett personuppgiftsbiträdesavtal om:

  • En part behandlar personuppgifter för en annan parts räkning, exempelvis som del av en tjänst eller ett uppdrag.
  • Den som bestämmer ändamål och medel för behandlingen inte är densamma som den som utför den.
  • Den behandlande parten saknar självständigt inflytande över syftet med eller utformningen av behandlingen.

På Morling Consulting hjälper våra dataskyddsjurister företag att säkerställa rättsligt hållbara avtal med leverantörer som behandlar personuppgifter.