Vad är ett personuppgiftsbiträdesavtal (PUB-avtal)?

Ett personuppgiftsbiträdesavtal är ett juridiskt bindande avtal mellan en personuppgiftsansvarig (den som bestämmer ändamål och medel för behandlingen) och ett personuppgiftsbiträde (den som behandlar uppgifterna på den ansvariges vägnar). Avtalet regleras i GDPR Artikel 28 och måste innehålla specifika minimikrav. Det förkortas ofta PUB-avtal eller biträdesavtal.

Måste PUB-avtalet vara skriftligt?

Ja. GDPR Art. 28.9 är explicit: avtalet ska upprättas skriftligen, inbegripet i elektroniskt format. Muntliga avtal är inte giltiga. Detta är en av få punkter där GDPR ställer formkrav på avtalets utformning.

Vilka åtta minimikrav måste avtalet innehålla?

Enligt GDPR Art. 28.3 ska avtalet reglera: (1) behandling endast på dokumenterade instruktioner från personuppgiftsansvarig, (2) konfidentialitet hos behandlande personal, (3) säkerhetsåtgärder enligt Art. 32, (4) villkor för anlitande av underbiträden, (5) hjälp till personuppgiftsansvarig att uppfylla registrerades rättigheter (Kap. III), (6) hjälp vid säkerhetsåtgärder, incidenter (Art. 33-34) och DPIA (Art. 35-36), (7) hantering av personuppgifter när tjänsten avslutas (radering eller återlämnande), och (8) tillgång till information som visar efterlevnad samt möjlighet till granskning. Dessutom ska avtalet beskriva behandlingens art, ändamål, varaktighet, typer av personuppgifter och kategorier av registrerade.

Vad är skillnaden mellan ett biträde och en gemensamt ansvarig?

Ett personuppgiftsbiträde behandlar uppgifter ENBART enligt den ansvariges instruktioner — biträdet bestämmer inte ändamål eller medel. En gemensamt ansvarig (Art. 26) deltar däremot i att bestämma ändamål och medel tillsammans med en annan ansvarig. Bedömningen görs utifrån faktiska omständigheter, inte hur parterna kallar sig i avtalet. Om ett biträde i praktiken får bestämma över ändamål eller medel, blir det enligt GDPR Art. 28.10 personuppgiftsansvarig för den behandlingen — oavsett vad avtalet säger.

Hur fungerar underbiträden?

Ett personuppgiftsbiträde får anlita ett underbiträde enbart med skriftligt förhandstillstånd från den personuppgiftsansvarige. Tillståndet kan vara specifikt (ett namngivet underbiträde) eller generellt (en kategori med skyldighet att informera om förändringar). Vid generellt tillstånd måste biträdet informera den ansvarige om planerade underbiträden så att invändning är möjlig. Underbiträdet måste åläggas SAMMA dataskyddsskyldigheter som biträdet via ett eget avtal. Det ursprungliga biträdet är FULLT ANSVARIGT gentemot den personuppgiftsansvarige om underbiträdet brister.

Räcker det att använda EU-kommissionens standardavtalsklausuler?

EU-kommissionen har publicerat standardavtalsklausuler för biträdesavtal (Beslut 2021/915) som täcker minimikraven i Art. 28.3. Att använda dem är inte obligatoriskt men praktiskt — IMY accepterar dem som giltigt biträdesavtal. Notera att dessa är separata från SCC för internationella överföringar (Beslut 2021/914), som behövs när uppgifter flyttas utanför EU/EES.

Vad gäller vid överföring av uppgifter utanför EU/EES?

Utöver biträdesavtalet krävs en separat överföringsmekanism. De vanligaste är: (a) EU-kommissionens standardavtalsklausuler för tredjelandsöverföringar (SCC 2021/914), (b) adekvansbeslut för länder som EU bedömt har likvärdig skyddsnivå (t.ex. UK, Schweiz, Sydkorea), eller (c) bindande företagsbestämmelser (BCR) för koncerninterna överföringar. För överföringar till USA är EU-U.S. Data Privacy Framework giltigt sedan juli 2023 för certifierade amerikanska företag. Hög-risk-överföringar kan kräva en Transfer Impact Assessment (TIA) efter Schrems II-domen.

Vad händer om vi saknar PUB-avtal?

Avsaknad av PUB-avtal är i sig en överträdelse av GDPR. IMY (Integritetsskyddsmyndigheten) kan utdöma sanktionsavgift upp till 10 miljoner EUR eller 2% av global årsomsättning för denna typ av överträdelse (Art. 83.4). Bristfälliga eller saknade biträdesavtal tillhör de vanligaste anmärkningspunkterna vid IMY:s tillsyn. Dessutom blir personuppgiftsansvarig fullt ansvarig för biträdets eventuella överträdelser eftersom någon dokumenterad rollfördelning inte finns.

Måste biträdet utse dataskyddsombud?

Inte automatiskt. Skyldigheten att utse dataskyddsombud (DSO) enligt Art. 37 gäller både ansvariga och biträden, men endast om: (a) verksamheten är en offentlig myndighet, (b) kärnverksamheten innebär regelbunden och systematisk övervakning i stor skala, eller (c) kärnverksamheten innebär omfattande behandling av särskilda kategorier (känsliga personuppgifter) eller brottsuppgifter. Ett molntjänstföretag som hanterar känsliga uppgifter för flera vårdgivare omfattas typiskt — en redovisningsbyrå som hanterar normala löneuppgifter gör det vanligen inte.

Personuppgiftsbiträdesavtal 2026: guide & mall

Q: När krävs ett PUB-avtal?

Alltid när en extern part behandlar personuppgifter för ditt företags räkning. Typiska exempel: molntjänstleverantörer (AWS, Microsoft 365, Google Workspace), lönesystem (Visma, Fortnox), CRM-system (HubSpot, Salesforce), e-postutskickstjänster (Mailchimp), supportverktyg (Intercom, Zendesk), redovisningsbyråer som hanterar löner, och konsulter som har åtkomst till era personuppgifter. Däremot krävs inget PUB-avtal mellan personuppgiftsansvarig och egna anställda, eller mellan två gemensamt ansvariga parter (då krävs istället ett gemensamt ansvarsavtal enligt Art. 26).

Att låta en extern leverantör hantera personuppgifter åt företaget är vardag — molntjänster, lönesystem, CRM, marknadsföringsverktyg, supportplattformar. Varje sådan relation kräver ett personuppgiftsbiträdesavtal (PUB-avtal) enligt GDPR Artikel 28. Saknas avtalet eller är det bristfälligt är det en överträdelse i sig — oavsett om den underliggande behandlingen i övrigt är korrekt.

Den här guiden bygger på GDPR:s författningstext, IMY:s vägledning om personuppgiftsbiträdesavtal och EDPB:s riktlinjer 07/2020 om begreppen personuppgiftsansvarig och personuppgiftsbiträde. I slutet finns en färdig svensk mall du kan kopiera och anpassa.

När krävs ett PUB-avtal?

Ett PUB-avtal krävs i två huvudsituationer enligt GDPR Art. 28:

Situation 1 (Art. 28.3): Mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Detta är huvudfallet — du anlitar en extern part som behandlar personuppgifter för din räkning.

Situation 2 (Art. 28.4): Mellan ett personuppgiftsbiträde och ett underbiträde. När biträdet i sin tur anlitar en tredje part måste samma skyldigheter åläggas underbiträdet.

Typiska situationer som kräver PUB-avtal i en svensk SMB:

Molntjänster och hosting: Microsoft 365, Google Workspace, AWS, Azure, Hetzner — när dessa lagrar e-post, dokument, databaser med personuppgifter
Lönesystem och redovisning: Visma, Fortnox, Hogia, externa redovisningsbyråer som hanterar löner
CRM och kunddata: HubSpot, Salesforce, Pipedrive, Lime — system där kunduppgifter hanteras
E-postutskick och marknadsföring: Mailchimp, ActiveCampaign, Apsis, Rule
Support och chatt: Intercom, Zendesk, Freshdesk, Drift
Konsulter och frilansare som har åtkomst till era personuppgifter
HR- och rekryteringssystem: Personio, Teamtailor, Varbi

När krävs det INTE?

Mellan personuppgiftsansvarig och egna anställda (anställda agerar för den ansvariges räkning, inte som självständig part)
När båda parter är gemensamt personuppgiftsansvariga enligt Art. 26 — då krävs istället ett gemensamt ansvarsavtal med tydlig rollfördelning
När en mottagare är självständig personuppgiftsansvarig för sin egen behandling (exempelvis när en revisor utför lagstadgad revision — revisorn är ansvarig för sin egen revisionsdokumentation)
Vid rena dataöverföringar utan behandling i biträdets system (mycket sällsynt i praktiken)

Vem är personuppgiftsansvarig och vem är biträde?

Detta är ofta missförstått. Bedömningen görs utifrån faktiska omständigheter, inte vad parterna kallar sig i avtalet.

Personuppgiftsansvarig är den som bestämmer ändamål (varför) och medel (hur, i grova drag) för behandlingen. Det är typiskt det företag som äger kundrelationen.

Personuppgiftsbiträde är den som behandlar uppgifterna för den ansvariges räkning och enligt dennes instruktioner. Biträdet får ha viss handlingsfrihet kring tekniska implementeringsdetaljer men inte kring varför eller huvudsakligen hur.

IMY:s exempel: Om en möbelbutik anlitar en webbyrå för att bygga och driva en webbutik, är möbelbutiken personuppgiftsansvarig och webbyrån personuppgiftsbiträde. Om webbyrån sedan anlitar ett analysföretag för att förstå kunders köpvanor blir analysföretaget underbiträde till webbyrån.

Risken med felklassificering

Om ett biträde i praktiken får bestämma över ändamål eller medel — exempelvis genom att fritt välja vad data ska användas till — blir biträdet enligt GDPR Art. 28.10 personuppgiftsansvarig för den behandlingen. Detta gäller oavsett vad avtalet säger. Den vanligaste fällan är när stora leverantörer (Google, Meta, etc.) använder kunddata för egna ändamål — då är de inte längre biträden utan självständigt ansvariga.

Avtalet måste reglera följande åtta punkter. Saknas någon är avtalet bristfälligt:

1. Dokumenterade instruktioner (Art. 28.3.a) Biträdet får ENDAST behandla personuppgifter enligt skriftliga, dokumenterade instruktioner från den personuppgiftsansvarige. Detta gäller även överföringar till tredjeland — biträdet får inte själv besluta att flytta uppgifter utanför EU/EES.

2. Konfidentialitet (Art. 28.3.b) Personer som behandlar uppgifterna hos biträdet ska ha åtagit sig konfidentialitet eller omfattas av lagstadgad tystnadsplikt. Detta är typiskt en bestämmelse i anställningsavtal eller separat tystnadsförbindelse.

3. Säkerhetsåtgärder enligt Art. 32 (Art. 28.3.c) Biträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder — pseudonymisering, kryptering, tillgänglighet och återställning, regelbunden testning. Säkerhetsnivån ska stå i proportion till risken.

För att kontrollera att en leverantör tar säkerhet på allvar kan du scanna deras webbplats med Northverify för att se grundläggande indikatorer som TLS-konfiguration, säkerhetsheaders, och om de exponerar känsliga endpoints.

4. Underbiträden (Art. 28.3.d) Villkor för biträdets anlitande av underbiträden. Vanligast: generellt tillstånd att anlita underbiträden förutsatt att den ansvarige informeras om förändringar med möjlighet till invändning, plus krav att underbiträdet binds av samma skyldigheter.

5. Hjälp vid registrerades rättigheter (Art. 28.3.e) Biträdet ska hjälpa den ansvarige att uppfylla registrerades rättigheter enligt Kapitel III — registerutdrag, rättelse, radering, dataportabilitet, invändningar. I praktiken kan det innebära API:er, export-funktioner eller manuella processer.

6. Säkerhetsåtgärder, incidenter och DPIA (Art. 28.3.f) Biträdet ska hjälpa den ansvarige med:

Säkerhetsåtgärder enligt Art. 32
Anmälan av personuppgiftsincident till tillsynsmyndighet (Art. 33) — vanligen ska biträdet rapportera incidenter till den ansvarige inom 24-48 timmar
Information till registrerade vid incident (Art. 34)
Konsekvensbedömning avseende dataskydd / DPIA (Art. 35)
Förhandssamråd med tillsynsmyndighet (Art. 36)

7. Hantering vid avtalets upphörande (Art. 28.3.g) Biträdet ska, efter den ansvariges val, antingen radera eller återlämna alla personuppgifter när tjänsten avslutas. Detta inkluderar att radera eventuella kopior — såvida unionsrätt eller medlemsstats nationell rätt inte kräver lagring (exempelvis bokföringslagen, som kräver 7 års bevarande av räkenskapsmaterial).

8. Information och granskning (Art. 28.3.h) Biträdet ska ge den ansvarige tillgång till all information som krävs för att visa efterlevnad av Art. 28-skyldigheterna, samt möjliggöra och bidra till granskningar och inspektioner. I praktiken är detta ofta certifieringsrapporter (ISO 27001, SOC 2) plus rätt till on-site-audit vid behov.

Utöver dessa åtta måste avtalet enligt Art. 28.3 inledningsvis beskriva:

Föremålet för behandlingen (vilken typ av tjänst)
Varaktigheten
Behandlingens art och ändamål
Typen av personuppgifter (vanliga, känsliga, brottsuppgifter)
Kategorier av registrerade (kunder, anställda, leverantörers kontaktpersoner)
Den personuppgiftsansvariges skyldigheter och rättigheter

Underbiträden — den vanligaste fällan

Underbiträden är källan till många bristfälliga PUB-avtal i svenska SMB-företag. Tre vanliga misstag:

Misstag 1: Otydligt tillstånd för underbiträden. Avtalet säger inget om huruvida biträdet får anlita underbiträden. Default enligt GDPR är att det INTE är tillåtet utan skriftligt tillstånd. Detta blockerar i praktiken normalt SaaS-användande (de flesta leverantörer använder sub-processors).

Misstag 2: Generellt tillstånd utan informationskrav. Avtalet ger generellt tillstånd men kräver inte att biträdet informerar om förändringar. Då har den ansvarige förlorat sin invändningsrätt — något IMY anser strider mot Art. 28.2.

Misstag 3: Inget eget avtal mellan biträde och underbiträde. Personuppgiftsbiträdet glömmer att skriva ett eget avtal med sina underbiträden som ålägger dem samma skyldigheter. Om underbiträdet brister blir biträdet fullt ansvarigt enligt Art. 28.4.

Best practice: generellt tillstånd + transparent lista

Den vanligaste lösningen idag är:

Avtalet ger generellt tillstånd att använda underbiträden
Biträdet publicerar en aktuell lista över underbiträden (typiskt på sin webbplats)
Biträdet meddelar den ansvarige minst 30 dagar i förväg om planerade ändringar
Den ansvarige har rätt att invända mot ändringen och i sista hand säga upp avtalet om invändningen kvarstår

Internationella överföringar — vad gäller utanför EU/EES?

PUB-avtalet i sig räcker inte för att överföra personuppgifter utanför EU/EES. Krävs ytterligare en överföringsmekanism:

Adekvansbeslut (Art. 45). EU-kommissionen har bedömt att vissa länder har likvärdig skyddsnivå. Per maj 2026 omfattar detta bland annat Storbritannien, Schweiz, Sydkorea, Japan, Argentina, Israel och Andorra. Adekvans räcker — ingen ytterligare mekanism krävs.

Standardavtalsklausuler / SCC (Art. 46.2.c). EU-kommissionens Standard Contractual Clauses (Beslut 2021/914) är de facto-mekanismen för de flesta överföringar utanför EU/EES. Det finns fyra moduler beroende på rollerna mellan exportör och importör.

EU-U.S. Data Privacy Framework. Sedan juli 2023 är USA åter en "adekvat" destination för certifierade amerikanska företag som anslutit sig till ramverket. Listan finns på dataprivacyframework.gov. För icke-certifierade företag krävs fortfarande SCC.

Bindande företagsbestämmelser / BCR (Art. 47). Används för koncerninterna överföringar inom multinationella företag.

Schrems II och Transfer Impact Assessment

Efter EU-domstolens dom i Schrems II (juli 2020) krävs en Transfer Impact Assessment (TIA) för överföringar till länder utan adekvansbeslut. TIA bedömer om destinationslandets lagstiftning (övervakningslagar, dataåtkomst för myndigheter) kan undergräva SCC:s skydd, och om ytterligare tekniska skyddsåtgärder krävs (typiskt kryptering med nycklar som hålls i EU).

För vanliga svenska SMB-företag som använder amerikanska SaaS-tjänster:

Är leverantören Data Privacy Framework-certifierad? → Adekvansbeslut räcker
Är de inte certifierade? → SCC + TIA + eventuellt tekniska skyddsåtgärder

Vanliga misstag i svenska SMB-PUB-avtal

Baserat på IMY:s tillsynsanmärkningar och praktiska erfarenheter:

Saknar PUB-avtal helt med leverantörer som hanterar HR-data, kunduppgifter eller bokföring
Använder mall utan anpassning — biträdets art, varaktighet och typer av uppgifter är inte specificerade
Otydlig fördelning av ansvar för incidenter — vem rapporterar till IMY inom 72 timmar?
Ingen reglering av underbiträden eller bristfälligt tillstånd
Saknar regler om radering vid avtalets slut — vad händer med datan när man byter leverantör?
Tar inte hänsyn till bokföringslagen — räkenskapsmaterial får inte raderas på 7 år, vilket måste klargöras
Internationella överföringar är inte adresserade — SCC eller adekvansbeslut nämns inte
Säkerhetsåtgärderna är inte specificerade — "lämpliga åtgärder" utan konkret beskrivning är otillräckligt vid tillsyn

Färdig svensk PUB-avtal-mall

Nedan är en mall som täcker GDPR Art. 28-kraven. Den är ett utgångsläge — anpassa till er specifika tjänst, behandlingens art, och eventuella branschspecifika krav (exempelvis patientdatalagen för vårdgivare).

``` PERSONUPPGIFTSBITRÄDESAVTAL

Mellan: [Företag AB], org.nr [XXXXXX-XXXX], [adress] ("Personuppgiftsansvarig") och [Leverantör AB], org.nr [XXXXXX-XXXX], [adress] ("Personuppgiftsbiträde")

BAKGRUND OCH SYFTE Personuppgiftsansvarig har anlitat Personuppgiftsbiträde för tillhandahållande av [TJÄNSTEN] enligt huvudavtal daterat [DATUM] ("Huvudavtalet"). Vid tillhandahållandet behandlar Personuppgiftsbiträde personuppgifter för Personuppgiftsansvarigs räkning. Detta avtal reglerar den behandlingen i enlighet med kraven i artikel 28 i EU:s dataskyddsförordning 2016/679 ("GDPR").
BEHANDLINGENS ART OCH OMFATTNING 2.1 Föremål: Personuppgiftsbiträdets tillhandahållande av [TJÄNSTEN] enligt Huvudavtalet. 2.2 Varaktighet: Detta avtal gäller så länge Personuppgiftsbiträde behandlar personuppgifter för Personuppgiftsansvarigs räkning under Huvudavtalet. 2.3 Art och ändamål: [Beskriv konkret — exempel: "Lagring och drift av e-postsystem för Personuppgiftsansvarigs anställdas e-postkommunikation"]. 2.4 Typer av personuppgifter: [Exempel: namn, e-postadress, telefonnummer, befattning, IP-adress, mejlinnehåll]. Inga särskilda kategorier av personuppgifter (Art. 9 GDPR) behandlas, såvida inte annat skriftligt överenskommes. 2.5 Kategorier av registrerade: [Exempel: anställda hos Personuppgiftsansvarig, kunder, leverantörers kontaktpersoner].
INSTRUKTIONER 3.1 Personuppgiftsbiträde får endast behandla personuppgifterna enligt dokumenterade instruktioner från Personuppgiftsansvarig. Detta avtal, Huvudavtalet och tjänstebeskrivningen utgör Personuppgiftsansvarigs fullständiga instruktion vid avtalets ingående. 3.2 Personuppgiftsbiträde ska omedelbart informera Personuppgiftsansvarig om en instruktion enligt Personuppgiftsbiträdes uppfattning strider mot GDPR eller annan tillämplig dataskyddslagstiftning. 3.3 Ändrade instruktioner ska lämnas skriftligen. Personuppgiftsbiträde har rätt till skälig ersättning för väsentligt ändrade instruktioner som medför ökad arbetsbörda.
KONFIDENTIALITET Personuppgiftsbiträde säkerställer att personer som behandlar personuppgifterna har åtagit sig konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt. Konfidentialiteten består även efter att anställning eller uppdrag upphört.
SÄKERHETSÅTGÄRDER 5.1 Personuppgiftsbiträde ska vidta lämpliga tekniska och organisatoriska åtgärder enligt artikel 32 GDPR för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Åtgärderna ska minst omfatta: (a) Pseudonymisering eller kryptering där lämpligt (b) Förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem (c) Förmåga att återställa tillgänglighet och åtkomst vid fysisk eller teknisk incident (d) Förfarande för regelbunden testning och utvärdering av åtgärdernas effektivitet 5.2 Specifika säkerhetsåtgärder framgår av Bilaga 1. 5.3 Personuppgiftsbiträde ska upprätthålla certifiering enligt [ISO/IEC 27001 eller motsvarande] eller på begäran kunna styrka motsvarande säkerhetsnivå.
UNDERBITRÄDEN 6.1 Personuppgiftsansvarig ger generellt tillstånd för Personuppgiftsbiträde att anlita underbiträden för utförande av tjänsten, förutsatt att villkoren i denna punkt 6 är uppfyllda. 6.2 En förteckning över aktuella underbiträden finns i Bilaga 2 (eller publiceras på [URL]). 6.3 Personuppgiftsbiträde ska skriftligen informera Personuppgiftsansvarig minst 30 dagar innan ändringar (tillägg eller byte av underbiträde). Personuppgiftsansvarig har rätt att inom 14 dagar från meddelandet skriftligen invända mot ändringen. Vid invändning ska parterna i god tro försöka hitta en lösning. Om ingen lösning nås har Personuppgiftsansvarig rätt att säga upp Huvudavtalet med omedelbar verkan. 6.4 Personuppgiftsbiträde ska genom skriftligt avtal med underbiträdet ålägga detta samma dataskyddsskyldigheter som åläggs Personuppgiftsbiträde enligt detta avtal. 6.5 Personuppgiftsbiträde är fullt ansvarigt gentemot Personuppgiftsansvarig för underbiträdets fullgörande av dataskyddsskyldigheter.
REGISTRERADES RÄTTIGHETER Personuppgiftsbiträde ska, med hänsyn till behandlingens art, hjälpa Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder att besvara begäran från registrerade enligt Kapitel III GDPR (rätt till information, åtkomst, rättelse, radering, begränsning, dataportabilitet och invändning). Personuppgiftsbiträde ska utan dröjsmål vidarebefordra eventuella begäran som kommer direkt till Personuppgiftsbiträde.
ASSISTANS VID INCIDENT, DPIA OCH FÖRHANDSSAMRÅD 8.1 Personuppgiftsbiträde ska utan onödigt dröjsmål och senast inom 48 timmar informera Personuppgiftsansvarig om personuppgiftsincident som drabbat behandlingen. 8.2 Anmälan ska innehålla minst: incidentens karaktär, kategorier och ungefärligt antal berörda registrerade och uppgiftsposter, sannolika konsekvenser, samt vidtagna eller föreslagna åtgärder. 8.3 Personuppgiftsbiträde ska hjälpa Personuppgiftsansvarig med: (a) Anmälan av incidenten till tillsynsmyndighet inom 72 timmar enligt Art. 33 (b) Information till berörda registrerade enligt Art. 34 vid hög risk (c) Konsekvensbedömning avseende dataskydd (DPIA) enligt Art. 35 (d) Förhandssamråd med tillsynsmyndighet enligt Art. 36
HANTERING VID AVTALETS UPPHÖRANDE 9.1 När Huvudavtalet eller behandlingen upphör ska Personuppgiftsbiträde enligt Personuppgiftsansvarigs val antingen återlämna alla personuppgifter till Personuppgiftsansvarig eller radera samtliga personuppgifter inklusive befintliga kopior. 9.2 Återlämning eller radering ska ske inom 30 dagar från Huvudavtalets upphörande. Personuppgiftsbiträde ska skriftligen bekräfta att åtgärden är slutförd. 9.3 Undantag gäller för uppgifter som unionsrätt eller medlemsstats nationell rätt kräver att Personuppgiftsbiträde bevarar — exempelvis räkenskapsmaterial enligt bokföringslagen (1999:1078). Sådana uppgifter får bevaras endast så länge lagkravet består och får inte användas för annat ändamål.
INFORMATION OCH GRANSKNING 10.1 Personuppgiftsbiträde ska på begäran ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att skyldigheterna enligt artikel 28 GDPR och detta avtal fullgjorts. 10.2 Personuppgiftsansvarig har rätt att, högst en gång per kalenderår och efter minst 30 dagars skriftligt förvarsel, genomföra eller låta tredje part genomföra granskning eller revision av Personuppgiftsbiträdes efterlevnad. Tredje part ska bindas av sekretess och får inte vara en konkurrent till Personuppgiftsbiträde. 10.3 Vid skälig misstanke om allvarlig överträdelse får granskning genomföras oftare och med kortare varsel. 10.4 Aktuella certifieringsrapporter (ISO 27001, SOC 2 Type II eller motsvarande) ska normalt godtas i stället för on-site-granskning.
INTERNATIONELLA ÖVERFÖRINGAR 11.1 Personuppgiftsbiträde får inte överföra personuppgifter utanför EU/EES utan att en av följande skyddsmekanismer är på plats: (a) Mottagarlandet omfattas av Europeiska kommissionens adekvansbeslut (b) EU-kommissionens standardavtalsklausuler (Beslut 2021/914) är ingångna mellan parterna och eventuella ytterligare tekniska skyddsåtgärder är implementerade i enlighet med Schrems II-domen (c) Mottagaren är certifierad enligt EU-U.S. Data Privacy Framework (d) Andra giltiga överföringsmekanismer enligt Art. 46 GDPR 11.2 Personuppgiftsbiträde ska på begäran tillhandahålla dokumentation som visar att vald skyddsmekanism är giltig.
ANSVAR OCH SANKTIONER 12.1 Vardera part ansvarar för skada som vållats genom överträdelse av detta avtal eller GDPR, i enlighet med artikel 82 GDPR. 12.2 Personuppgiftsbiträde är fullt ansvarigt gentemot Personuppgiftsansvarig för underbiträdens överträdelser. 12.3 Eventuella sanktionsavgifter som drabbar Personuppgiftsansvarig till följd av Personuppgiftsbiträdes (eller dess underbiträdes) överträdelse ska ersättas av Personuppgiftsbiträde, med beaktande av eventuella ansvarsbegränsningar i Huvudavtalet.
ÖVRIGT 13.1 Vid konflikt mellan detta avtal och Huvudavtalet avseende behandling av personuppgifter har detta avtal företräde. 13.2 Ändringar i detta avtal ska göras skriftligen och undertecknas av båda parter. 13.3 Detta avtal regleras av svensk rätt. Tvister ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.

Ort och datum: ___________________

För Personuppgiftsansvarig: För Personuppgiftsbiträde:

Namnförtydligande Namnförtydligande Befattning Befattning

BILAGA 1: Säkerhetsåtgärder BILAGA 2: Förteckning över underbiträden ```

Anpassa innan ni signerar. Mallen täcker minimikraven men varje behandling har egna nyanser. Vid tveksamhet — anlita jurist med dataskyddsspecialisering. Kostar typiskt 5 000–15 000 kr för en granskning, vilket är försumbart mot sanktionsrisken.

Hitta era PUB-avtals-luckor med en skanning

En automatisk genomgång av webbplatsen kan visa vilka tredjepartstjänster ni faktiskt använder — Google Analytics, Meta Pixel, Hotjar, Intercom, Mailchimp och andra. Varje sådan tjänst ska ha ett PUB-avtal. Northverify upptäcker dessa tjänster och flaggar de som saknar dokumenterad rättslig grund eller där sub-processor-disclosure saknas.

Gör en gratis skanning och få en lista över tredjepartstjänster på er sajt — ett enkelt sätt att börja PUB-avtalsinventeringen.

Relaterade artiklar

Om PUB-avtal är en del av er compliance-arbete bör ni också läsa om:

14 svenska lagar för webbplats-compliance 2026 — översikt över hela det svenska regelverket
NIS2 i Sverige 2026: Cybersäkerhetslagen — om er verksamhet omfattas av NIS2 ställs ytterligare krav på leverantörsbedömning
GDPR-statistik 2026 — siffror om sanktioner och incidenter på EU-nivå

Vanliga frågor

Se FAQ-sektionen längst ner på sidan för svar på de vanligaste frågorna om PUB-avtal.

Källor:

Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), särskilt Artikel 28
IMY (Integritetsskyddsmyndigheten): Personuppgiftsbiträdesavtal
IMY: Att tänka på som personuppgiftsbiträde
EDPB Riktlinjer 07/2020 om begreppen personuppgiftsansvarig och personuppgiftsbiträde
EU-kommissionens standardavtalsklausuler för biträdesavtal (Beslut 2021/915)
EU-kommissionens SCC för tredjelandsöverföringar (Beslut 2021/914)

Senast uppdaterad: 2026-05-17. Innehållet är allmän vägledning och utgör inte juridisk rådgivning för enskilda fall.

Personuppgiftsbiträdesavtal (PUB-avtal): komplett guide + mall 2026

När krävs ett PUB-avtal?

När krävs det INTE?

Vem är personuppgiftsansvarig och vem är biträde?

Risken med felklassificering

Underbiträden — den vanligaste fällan

Best practice: generellt tillstånd + transparent lista

Internationella överföringar — vad gäller utanför EU/EES?

Schrems II och Transfer Impact Assessment

Vanliga misstag i svenska SMB-PUB-avtal

Färdig svensk PUB-avtal-mall

Hitta era PUB-avtals-luckor med en skanning

Relaterade artiklar

Vanliga frågor

Skanna din webbplats — gratis

Relaterade artiklar

14 svenska lagar för webbplats-compliance 2026: komplett guide

NIS2 i Sverige 2026: Cybersäkerhetslagen, omfattning och vad du måste göra

GDPR-statistik 2026: 7,1 miljarder EUR i böter och 443 dataläckor per dag

När krävs ett PUB-avtal?

När krävs det INTE?

Vem är personuppgiftsansvarig och vem är biträde?

Risken med felklassificering

Åtta minimikrav enligt GDPR Art. 28.3

Underbiträden — den vanligaste fällan

Best practice: generellt tillstånd + transparent lista

Internationella överföringar — vad gäller utanför EU/EES?

Schrems II och Transfer Impact Assessment

Vanliga misstag i svenska SMB-PUB-avtal

Färdig svensk PUB-avtal-mall

Hitta era PUB-avtals-luckor med en skanning

Relaterade artiklar

Vanliga frågor

Skanna din webbplats — gratis

Relaterade artiklar

14 svenska lagar för webbplats-compliance 2026: komplett guide

NIS2 i Sverige 2026: Cybersäkerhetslagen, omfattning och vad du måste göra

GDPR-statistik 2026: 7,1 miljarder EUR i böter och 443 dataläckor per dag