0kr 0

Varukorg

Inga produkter i varukorgen.

PUB-avtal – trygg hantering av personuppgifter enligt GDPR

När företag låter en extern part behandla personuppgifter, till exempel genom molntjänster, HR-system eller andra leverantörer, kräver GDPR att det finns ett personuppgiftsbiträdesavtal (PUB-avtal). Avtalet är avgörande för att fastställa ansvarsfördelningen och säkerställa att personuppgifterna hanteras på ett lagligt och säkert sätt.

Ett korrekt PUB-avtal minskar risken för dataintrång, sanktionsavgifter och otydliga ansvarsförhållanden mellan parterna.

 

Boka rådgivning

Vad är ett PUB-avtal?

Ett PUB-avtal är ett juridiskt bindande avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde.
 Den personuppgiftsansvarige bestämmer syftet och medlen för behandlingen av personuppgifter, medan biträdet behandlar uppgifterna på uppdrag av den ansvarige.

Avtalet reglerar hur uppgifterna får användas, vilka säkerhetsåtgärder som ska vidtas, och vilka rättigheter och skyldigheter parterna har. Syftet är att skydda individernas integritet och säkerställa att behandlingen sker i enlighet med dataskyddsförordningen (GDPR).

 

När krävs ett PUB-avtal?

Ett PUB-avtal krävs så snart en extern part behandlar personuppgifter för någon annans räkning.
 Det gäller till exempel när företag:

  • använder moln- eller IT-tjänster som lagrar kund- eller personaldata

  • outsourcar lönehantering, kundsupport eller marknadsföring

  • anlitar byråer som hanterar e-postlistor eller kundregister

  • använder externa system för rekrytering, HR eller CRM

Många företag har fler personuppgiftsbiträden än de tror – vilket gör det viktigt att se över alla leverantörer som på något sätt hanterar personuppgifter.

 

Ansvarsfördelning mellan personuppgiftsansvarig och biträde

Enligt GDPR är det den personuppgiftsansvarige som bär det yttersta ansvaret för att personuppgifterna behandlas lagligt. Det innebär att företaget som bestämmer syftet med behandlingen också ansvarar för att välja ett säkert och seriöst biträde.

Det personuppgiftsbiträdet som utför behandlingen måste följa instruktionerna i PUB-avtalet och får inte använda uppgifterna för egna ändamål.
 Om biträdet anlitar underleverantörer – så kallade underbiträden – krävs det att detta är godkänt av den personuppgiftsansvarige.

Ett välskrivet PUB-avtal ska därför tydligt beskriva vem som gör vad, hur uppgifterna får användas och vilka säkerhetskrav som gäller.

 

Boka rådgivning

Vad ska ett PUB-avtal innehålla?

Artikel 28 i GDPR ställer krav på vad ett PUB-avtal måste innehålla. Några centrala delar är:

  • Syfte och omfattning: vilken behandling som ska ske och varför.
  • Typ av personuppgifter: exempelvis namn, personnummer eller kontaktuppgifter.
  • Säkerhetsåtgärder: tekniska och organisatoriska krav, som kryptering och åtkomstkontroll.
  • Underbiträden: regler för eventuella tredje parter som får behandla uppgifterna.
  • Överföringar till tredjeland: hur uppgifter hanteras utanför EU/EES.
  • Incidenthantering: rutiner vid dataintrång eller felaktig behandling.
  • Revision och kontroll: rätt för den personuppgiftsansvarige att granska biträdets arbete.

Att använda en färdig mall utan anpassning kan vara riskabelt – varje organisation har egna förutsättningar och olika typer av personuppgifter som kräver särskilt skydd.

Vanliga misstag i PUB-avtal

Trots att kraven är tydliga, är det vanligt att PUB-avtal brister i viktiga delar. Några vanliga misstag är:

  • att ansvaret mellan parterna inte är tydligt definierat

  • att säkerhetskraven är för generella eller inte uppfyller GDPR

  • att underbiträden anlitas utan godkännande

  • att avtalen inte täcker dataöverföringar till länder utanför EU

  • att avtalet inte uppdateras vid förändringar i verksamheten

Sådana brister kan leda till att företaget bryter mot GDPR – även om felet sker hos leverantören.

 

PUB-avtal vid användning av molntjänster

Molntjänster är praktiska men medför särskilda juridiska risker. Många leverantörer lagrar eller behandlar data utanför EU, vilket kräver särskilda skyddsåtgärder och standardavtalsklausuler.

Ett PUB-avtal ska tydligt reglera var uppgifterna lagras, hur de skyddas och vem som har åtkomst. Det är också viktigt att leverantören kan visa att de uppfyller kraven på säkerhet och integritet enligt GDPR.

 

Trygghet genom rätt avtal och juridisk kontroll

Att ha ett genomarbetat PUB-avtal är inte bara en juridisk skyldighet – det är en trygghetsfråga för hela verksamheten. Allt om Juridik hjälper vi företag och organisationer att skapa ordning och reda i sina personuppgiftsavtal. Vi kombinerar juridisk expertis med praktisk förståelse för IT-rätt och affärsverksamhet, så att du slipper osäkerhet och kan känna dig trygg i din databehandling.

Vi hjälper dig med frågor inom affärsjuridik

 

  • Trygghet i varje beslut – Vi säkerställer att du följer lagen och undviker kostsamma misstag.
  • Tydliga svar utan krångel – Du får konkret rådgivning som går att agera på direkt.
  • Tillgänglig expertis – Våra jurister finns till för dig - hör av dig så berättar vi mer.

 

Boka rådgivning

Börja med ett samtal med en av våra rådgivare, förutsättningslöst och kostnadsfritt.

Vanliga frågor om PUB-avtal

Ett PUB-avtal, eller personuppgiftsbiträdesavtal, är ett juridiskt avtal mellan den som bestämmer syftet med behandlingen av personuppgifter (personuppgiftsansvarig) och den som behandlar uppgifterna för dennes räkning (personuppgiftsbiträde).

Ett PUB-avtal krävs varje gång ett företag anlitar en extern part som behandlar personuppgifter – till exempel molntjänster, IT-leverantörer, HR-system eller marknadsplattformar.

Avtalet ska enligt GDPR bland annat innehålla: syfte och omfattning, säkerhetsåtgärder, regler för underbiträden, rutiner vid incidenter, samt villkor för överföring av uppgifter utanför EU/EES.

Det är alltid den personuppgiftsansvarige som bär det yttersta ansvaret för att behandlingen sker enligt GDPR – även om incidenten sker hos leverantören eller IT-tjänsten.

Den ska bland annat innehålla namn, person- eller organisationsnummer, adress, antal aktier och datum för ägarförändringar.

Ja, alla molntjänster där leverantören hanterar personuppgifter kräver ett PUB-avtal. Det är särskilt viktigt att avtalet tydliggör var uppgifterna lagras och hur de skyddas.

Fler tjänster inom GDPR och IT-rätt

Användarvillkor
Cookie policy
Distansavtal
Force majeure-klausul
Informationssäkerhet
Köpvillkor
Personuppgiftsincident
Personuppgiftspolicy
Registerförteckning
Rådgivning
Min bolagsjurist Ombud
Avtalshantering
Avtalsportalen Testa kostnadsfritt
Utbildning
Kurser Kurspaket Abonnemang Webbinarium
Kunskapsbank
Guider Avtalsmallar Nyheter Ordlista
Kontakt
Kontakt Kvalitet & hållbarhet
Logga in
Mina sidor Avtalsportalen
Allt om Juridik
Om oss Kundcase Karriär Partners
Integritetspolicy Allmänna villkor Köpevillkor
© 2026 Allt Om Juridik, en del av Blendow Group AB Org.nummer 556744-7858 - All rights reserved.

Bli gratismedlem!

Registrera dig och få tillgång till avtalsmallar, webbinarium
och nyhetsbrev.
1
Kontaktuppgifter
2
Välj ditt lösenord
Samtycke*

Logga in

Bli gratismedlem!

Registrera dig och få tillgång till avtalsmallar, webbinarium
och nyhetsbrev.
1
Kontaktuppgifter
2
Välj ditt lösenord
Samtycke*