Kort svar: Ett PUB-avtal är ett skriftligt avtal mellan dig (personuppgiftsansvarig) och en leverantör (personuppgiftsbiträde) som behandlar personuppgifter åt dig. Du måste ha ett så fort en extern part hanterar personuppgifter för din räkning – det är ett krav i GDPR, inte en frivillighet.

Vad är ett PUB-avtal?

PUB står för personuppgiftsbiträde. Ett personuppgiftsbiträde är ett företag som behandlar personuppgifter åt någon annan, utan att bestämma varför uppgifterna behandlas. Tänk på det så här: du äger datan och bestämmer ändamålet, leverantören är en betrodd hantverkare som jobbar med datan på ditt uppdrag.

Ett PUB-avtal (ibland kallat databehandlaravtal eller DPA, Data Processing Agreement) är det skriftliga avtal som beskriver exakt vad leverantören får och inte får göra med uppgifterna. Det krävs enligt artikel 28 i GDPR, EU:s dataskyddsförordning.

När måste jag ha ett PUB-avtal?

Du behöver ett PUB-avtal så fort en extern part hanterar personuppgifter för din räkning. Vanliga exempel:

  • Molntjänster och hosting – där din kunddata lagras.

  • Bokförings- och lönesystem – som hanterar anställdas och kunders uppgifter.

  • CRM och e-postutskick – med kontaktlistor och kunddata.

  • Webbyrå eller IT-konsult – som har åtkomst till din webbplats databas.

  • Supportverktyg och chattjänster – som lagrar konversationer med kunder.

Tumregeln är enkel: om en leverantör kan se eller lagra namn, mejladresser, personnummer eller annan information om verkliga personer – då behövs ett avtal.

När behövs det inte?

Om leverantören själv bestämmer ändamålet med behandlingen är de inte ditt biträde, utan självständigt personuppgiftsansvariga. Då gäller andra regler. Ett tydligt exempel är när du skickar uppgifter till Skatteverket – de bestämmer själva över sin behandling.

Vad måste avtalet innehålla?

GDPR är specifik om vad ett PUB-avtal ska reglera. De viktigaste punkterna:

  • Föremål och syfte – vilka uppgifter som behandlas, varför och hur länge.

  • Instruktioner – biträdet får bara behandla uppgifterna enligt dina dokumenterade instruktioner.

  • Tystnadsplikt – alla som hanterar uppgifterna ska vara bundna av sekretess.

  • Säkerhetsåtgärder – tekniska och organisatoriska skydd, till exempel kryptering och behörighetsstyrning.

  • Underbiträden – biträdet får inte anlita egna underleverantörer utan ditt godkännande.

  • Hjälp vid incidenter – biträdet ska bistå dig om det sker ett dataintrång eller om en kund begär ut sina uppgifter.

  • Radering eller återlämning – vad som händer med uppgifterna när samarbetet upphör.

  • Granskning – din rätt att kontrollera att biträdet följer avtalet.

Vad händer om jag inte har ett PUB-avtal?

Då bryter du mot GDPR – även om inget faktiskt läckt ut. Integritetsskyddsmyndigheten (IMY) är den svenska myndighet som granskar och kan utfärda sanktionsavgifter. Avgifterna kan i allvarliga fall uppgå till stora belopp, och bristande biträdesavtal är en av de saker IMY faktiskt tittar på vid en granskning.

Ett vanligt missförstånd är att leverantörens standardvillkor räcker. Ansvaret att se till att ett giltigt avtal finns ligger alltid hos dig som personuppgiftsansvarig – inte hos leverantören.

Så kommer du igång – tre steg

  1. Kartlägg dina leverantörer. Lista alla externa tjänster som rör personuppgifter.

  2. Begär in avtal. De flesta seriösa leverantörer har ett färdigt PUB-avtal – be om det och läs igenom det.

  3. Dokumentera. Spara avtalen samlat så att du kan visa upp dem vid en granskning.

Behöver du hjälp att få ordning på det?

Att hålla koll på personuppgifter, avtal och säkerhet blir snabbt rörigt när företaget växer. På ZORC hjälper vi företag att bygga och driva webbplatser, system och AI-lösningar med dataskydd inbyggt från start – och vi reder gärna ut vilka PUB-avtal just ditt företag behöver. Hör av dig till oss på ZORC så går vi igenom din situation och pekar ut vad som behöver vara på plats.