Vad är ett personuppgiftsbiträdesavtal och när är de avgörande?

Se som Markdown
3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 15 december 2025
  1. PUB-avtalets grundläggande funktion
  2. Ett strategiskt verktyg i dataskyddsarbetet

När ett företag anlitar externa leverantörer för att behandla personuppgifter, kräver GDPR att relationen regleras i ett personuppgiftsbiträdesavtal (PUB-avtal). Det är inte bara en formell skyldighet – ett väl utformat PUB-avtal är en nyckelkomponent i företagets övergripande strategi för informationssäkerhet och regelefterlevnad.

PUB-avtalets grundläggande funktion

Ett personuppgiftsbiträdesavtal är ett avtal mellan den personuppgiftsansvarige och ett personuppgiftsbiträde – det vill säga en part som behandlar personuppgifter för den ansvariges räkning. Avtalet ska säkerställa att biträdet endast behandlar uppgifterna enligt den ansvariges instruktioner och i enlighet med GDPR:s krav.

Enligt artikel 28 i dataskyddsförordningen måste avtalet bland annat specificera:

  • Ändamålet med behandlingen.
  • Typen av personuppgifter och kategorier av registrerade.
  • Varaktigheten för behandlingen.
  • De skyldigheter och rättigheter som gäller för den personuppgiftsansvarige.
  • Vilka tekniska och organisatoriska säkerhetsåtgärder som ska tillämpas.

Det är också avgörande att reglera hur och under vilka förutsättningar biträdet får anlita underbiträden. Den personuppgiftsansvarige ska i sådana fall ges möjlighet att godkänna dessa i förväg. Utan en tydlig reglering av dessa delar riskerar avtalet att underkännas vid en tillsyn, vilket kan leda till både sanktioner och förtroendeförluster.

Ett strategiskt verktyg i dataskyddsarbetet

Förutom att möta de legala minimikraven kan ett PUB-avtal användas strategiskt för att minska risk och skapa tydliga ramar för samarbeten där personuppgifter hanteras. Många verksamheter outsourcar i dag delar av sin IT-drift, kundtjänst, marknadsföring eller datalagring. Varje sådan relation innebär ett potentiellt riskmoment om personuppgifter behandlas.

Genom att anpassa PUB-avtalet efter den specifika behandlingen och verksamhetens risknivå, skapas förutsättningar för ett strukturerat dataskyddsarbete. Några viktiga komponenter som stärker den strategiska funktionen:

  • Instruktioner om behandlingen: Det ska klart framgå vilken behandling biträdet ska göra.
  • Specifika krav på säkerhetsåtgärder: I stället för allmänna formuleringar om ”lämpliga tekniska och organisatoriska åtgärder” bör konkreta åtgärder anges – såsom kryptering, åtkomstkontroll eller loggning.
  • Rätt till insyn och revision: Företaget behöver ha möjlighet att granska eller låta granska biträdets efterlevnad.

Utöver rollen som riskhanteringsverktyg har PUB-avtalet även affärsstrategisk betydelse. För vissa uppdrag, särskilt inom offentlig sektor eller bland större företagskunder, är ett korrekt och fullständigt biträdesavtal ett grundvillkor för att kunna komma ifråga som leverantör. Krav på dokumenterad efterlevnad av GDPR är ofta en del av processen i en upphandling. Ett genomarbetat PUB-avtal kan därför fungera som en kvalitetsmarkör och konkurrensfördel, särskilt i sektorer där dataskydd är affärskritiskt.

Morling Consulting har erfarna GDPR-jurister som hjälper till att granska, upprätta och anpassa personuppgiftsbiträdesavtal utifrån både regelverk och affärsbehov.

Senaste inlägg

Bilden visar en jurist som står vid juridiska symboler,

22 januari 2026

Roll och ansvar för AML-specialisten – complianceperspektiv
Läs mer
Illustration av jurist i kostym vid skrivbord med digital skärm som visar strukturerad regelefterlevnad, interna kontroller och AML-processer för finansiella verksamheter.

21 januari 2026

Undantag för finansiella verksamheter, förhandsanmälan och interna kontroller enligt AMLR
Läs mer
En jurist svarar på frågor kring juridik.

20 januari 2026

När du vill fråga en jurist för snabbare svar till lägre kostnad 
Läs mer