Publicerad 24 juni 2024

Allmänt om personuppgiftsbiträdesavtal, PUB-avtal

Information om när ett personuppgiftsbiträdesavtal behövs och vilka delar det ska bestå av, samt om hur avtal utformas. Personuppgiftsbiträdesavtal kallas även PUB-avtal.

SKR, Adda AB och Inera AB har gemensamt tagit fram mallar som behövs för personuppgiftsbiträdesavtal och dess tillhörande dokument, samt en vägledning till hur du arbetar med och använder avtal och mallar. Avtalet ska vara ett neutralt och kvalitetssäkrat instrument som såväl enskilda kommuner och regioner som SKR, Adda och Inera kan använda.

Så använder du avtal och mallar

Det huvudsakliga arbetet med PUB-avtalet består av att fylla i två mallar: Instruktion och Lista över underbiträden. Dessa utgör bilagor till det färdiga PUB-avtalet, och ingår i avtalsdokumentet. Kompletteringarna av mallarna utgör beskrivningen av behandlingens särskilda karaktär. Avsikten är att själva PUB-avtalet inte ska ändras.

Mall för instruktionen innehåller fält för sådana uppgifter som är obli­gatoriska enligt dataskyddförordningen. Det är helt avgörande att den används och fylls i och kompletteras på ett korrekt och ändamålsenligt sätt.

Vägledande kommentarer, PUB-avtalsdokument

Då behövs PUB-avtal

Ett personuppgiftsbiträdesavtal behövs när ett personuppgiftsbiträde behandlar personuppgifter för en personuppgiftsansvarigs räkning. Innan personuppgiftsbiträdesavtal tecknas behöver det alltså vara klarlagt att det förhållande som ska regleras verkligen innebär att någon part behandlar personuppgifter och gör för den andra partens räkning.

Den personuppgiftsansvarige bestämmer ändamålen med behandlingen (varför behandlingen sker) och medlen för behandlingen (hur behandlingen sker). Den personuppgiftsansvarige kan anlita ett personuppgiftsbiträde för att utföra hela eller delar av behandlingen. Den personuppgiftsansvarige behöver då ge personuppgiftsbiträdet instruktioner för behandlingen, som biträdet måste följa.

En uppdragstagare som ensam bestämmer över behandlingens ändamål och medel har dock ett eget personuppgiftsansvar och är personuppgiftsansvarig för den aktuella behandlingen.

Funktionell bedömning av roller

Det behöver göras en funktionell bedömning av vilken roll som respektive avtalspart har inför varje behandling av personuppgifter. Det är inte möjligt att med bindande verkan avtala att en part ska vara personuppgiftsansvarig och att en annan part ska vara personuppgiftsbiträde, om det inte överensstämmer med de faktiska förhållandena.

Mer information angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR finns i Europeiska dataskyddsstyrelsens (EDPB) Riktlinjer 07/2020 (Version 2.0, antaget den 7 juli 2021).

EDPB:s Riktlinjer 07/2020, Europakommissionens webbplats

Att undvika PUB-avtal eller använda ett felaktigt

Att inte använda ett personuppgiftsbiträdesavtal när ett sådant behövs, eller att använda ett som inte uppfyller dataskyddsförordningens krav på innehåll, strider mot förordningen och innebär onödiga risker för både den personuppgiftsansvarige och personuppgiftsbiträdet.

Informationsansvarig

  • Pål Resare
    Förbundsjurist

Kontakta oss

Kontakta SKR

Välkommen att skicka in din organisations frågor

  • Vid akuta frågor, vänligen ring SKR:s kontaktcenter på 08-452 70 00.
  • Se till att frågan är väl förberedd innan du skickar in den.
  • Det ingår inte i SKR:s uppgifter att ge service till privatpersoner och privata företag.


Undvik känsliga personuppgifter när du beskriver ditt ärende.






Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.