Hoppa till innehåll
GDPR

Vad är Personuppgiftsbiträdesavtal?

Munkavle på papper för alla som hanterar dina kunders data åt dig. Krångligt ord, enkel idé: du bestämmer, de lovar sköta sig.

Ett personuppgiftsbiträdesavtal (ofta förkortat PUB-avtal, på engelska Data Processing Agreement eller DPA) är ett avtal mellan dig och en leverantör som hanterar personuppgifter åt dig. Det låter byråkratiskt, men idén är enkel: när någon annan behandlar dina kunders eller anställdas data på ditt uppdrag, ska det finnas ett papper som slår fast vad de får och inte får göra.

I GDPR-språk är du "personuppgiftsansvarig" – du bestämmer varför och hur uppgifterna används. Leverantören som utför själva jobbet, till exempel din e-postleverantör, ditt bokföringsprogram eller din webbyrå, är "personuppgiftsbiträde". Tänk på dig som chefen och biträdet som en anlitad hantverkare som lovar följa dina instruktioner.

Avtalet reglerar sådant som: vilka uppgifter som behandlas, i vilket syfte, hur länge, hur de skyddas, om de får anlita underleverantörer, och vad som händer om det sker en incident. Det ger dig kontroll och en tydlig ansvarsfördelning om något går fel.

Varför är personuppgiftsbiträdesavtal viktigt för ditt företag?

Enligt GDPR är det ett krav att ha PUB-avtal med alla som behandlar personuppgifter åt dig. Saknar du dem bryter du mot lagen, oavsett hur bra leverantören är. Det kan leda till sanktionsavgifter och göra dig ansvarig om leverantören slarvar.

Lika viktigt: avtalet skyddar dig. Om din leverantör orsakar en läcka står det svart på vitt vem som ansvarade för vad. Utan avtal riskerar du att sitta med hela skulden.

Personuppgiftsbiträdesavtal i praktiken

Säg att du driver ett företag och använder ett nyhetsbrevsverktyg för att mejla dina kunder. Verktyget lagrar dina kunders namn och mejladresser – alltså personuppgifter. Då behöver du ett PUB-avtal med den leverantören.

De flesta seriösa molntjänster erbjuder ett färdigt avtal som du godkänner i inställningarna. Ditt jobb är att hålla koll på vilka tjänster som hanterar personuppgifter och se till att avtal finns för varje. En enkel lista över dina leverantörer och deras avtal gör dig redo den dag någon frågar.

Vanliga frågor om Personuppgiftsbiträdesavtal

Vad är ett personuppgiftsbiträdesavtal?

Det är ett avtal enligt GDPR mellan dig och en leverantör som hanterar personuppgifter åt dig. Avtalet slår fast vad leverantören får och inte får göra med uppgifterna, och hur de ska skyddas.

När behöver man ett PUB-avtal?

Du behöver ett PUB-avtal när en extern part behandlar personuppgifter för din räkning, till exempel molntjänster, bokföringsbyråer eller nyhetsbrevsverktyg. Det är ett lagkrav enligt GDPR.

Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?

Den personuppgiftsansvarige bestämmer varför och hur uppgifterna används, medan biträdet utför behandlingen på uppdrag av den ansvarige. Ditt företag är oftast ansvarig, och dina leverantörer är biträden.

Relaterade termer

← Hela ordlistan