Hoppa till sidans innehåll

Personuppgiftsbiträdesavtal, PUB-avtal

Information om när ett personuppgiftsbiträdesavtal behövs och vilka delar det ska bestå av, samt om hur avtal utformas. Personuppgiftsbiträdesavtal kallas även PUB-avtal.

Då behövs PUB-avtal

Ett personuppgiftsbiträdesavtal behövs när ett personuppgiftsbiträde behandlar personuppgifter för en personuppgiftsansvarigs räkning. Innan personuppgiftsbiträdesavtal tecknas behöver det alltså vara klarlagt att det förhållande som ska regleras verkligen innebär att någon part behandlar personuppgifter och gör för den andra partens räkning.

Den personuppgiftsansvarige bestämmer ändamålen med behandlingen (varför behandlingen sker) och medlen för behandlingen (hur behandlingen sker). Den personuppgiftsansvarige kan anlita ett personuppgiftsbiträde för att utföra hela eller delar av behandlingen. Den personuppgiftsansvarige behöver då ge personuppgiftsbiträdet instruktioner för behandlingen, som biträdet måste följa.

En uppdragstagare som ensam bestämmer över behandlingens ändamål och medel har dock ett eget personuppgiftsansvar och är personuppgiftsansvarig för den aktuella behandlingen.

Funktionell bedömning av roller

Det behöver göras en funktionell bedömning av vilken roll som respektive avtalspart har inför varje behandling av personuppgifter. Det är inte möjligt att med bindande verkan avtala att en part ska vara personuppgiftsansvarig och att en annan part ska vara personuppgiftsbiträde, om det inte överensstämmer med de faktiska förhållandena.

Mer information angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR finns i Europeiska dataskyddsstyrelsens (EDPB) Riktlinjer 07/2020 (Version 2.0, antaget den 7 juli 2021).

EDPB:s Riktlinjer 07/2020, Europakommissionens webbplats Länk till annan webbplats.

Att undvika PUB-avtal eller använda ett felaktigt

Att inte använda ett personuppgiftsbiträdesavtal när ett sådant behövs, eller att använda ett som inte uppfyller dataskyddsförordningens krav på innehåll, strider mot förordningen och innebär onödiga risker för både den personuppgiftsansvarige och personuppgiftsbiträdet.

Avtal och mallar

SKR, Adda AB och Inera AB har gemensamt tagit fram mallar som behövs för personuppgiftsbiträdesavtal och dess tillhörande dokument, samt en vägledning till hur du arbetar med och använder avtal och mallar. Avtalet ska vara ett neutralt och kvalitetssäkrat instrument som såväl enskilda kommuner och regioner som SKR, Adda och Inera kan använda.

Det huvudsakliga arbetet med PUB-avtalet består av att fylla i två mallar: Instruktion och Lista över underbiträden. Dessa utgör bilagor till det färdiga PUB-avtalet, och ingår i avtalsdokumentet. Kompletteringarna av mallarna utgör beskrivningen av behandlingens särskilda karaktär. Avsikten är att själva PUB-avtalet inte ska ändras.

Mall för instruktionen innehåller fält för sådana uppgifter som är obli­gatoriska enligt dataskyddförordningen. Det är helt avgörande att den används och fylls i och kompletteras på ett korrekt och ändamålsenligt sätt.

Observera att den engelska versionen inte är en officiell översättning. Den är avsedd att vara ett stöd för personuppgiftsansvariga och biträden som behöver upprätta avtal på engelska. En rättad version av det engelska underlaget publicerades den 4 juli 2025.

Reglemente istället för PUB-avtal

Reglemente kan i vissa fall användas i stället för personuppgiftsbiträdesavtal, PUB-avtal, för reglering av personuppgiftsansvar mellan nämnder i kommun eller region. Här finns ett förslag malltext att använda i reglementets paragraf.

I en kommunal verksamhet är personuppgiftsansvaret enligt dataskyddsförordningens bestämmelser knutet till respektive nämnd för de personuppgifter som förekommer i den egna verksamheten. Men en kommun eller regions nämnder är ofta sammanlänkade i betydande omfattning genom gemensamma IT-system. Det medför ofta situationer där en nämnd enligt dataskyddsförordningen får anses behandla personuppgifter för en annan nämnds räkning.

Av dataskyddsförordningen följer att sådana relationer ska regleras skriftligt, antingen i ett personuppgiftsbiträdesavtal (PUB-avtal), eller genom en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt (art 28.3 dataskyddsförordningen).

Eftersom det inte är möjligt för kommunala nämnder att teckna civilrättsligt bindande avtal med andra nämnder inom samma kommun, måste förhållandet i stället regleras i en så kallad rättsakt.

Ett kommunalt reglemente är en rättsakt som kan användas för att klargöra vilka nämnder som, nämnderna emellan, är personuppgiftsansvariga respektive personuppgiftsbiträden för olika behandlingar.

Av europeiska dataskyddsstyrelsen riktlinjer följer att reglering av interna biträdesrelationer inom en organisation inte behöver vara lika detaljerad som en relation med en extern part.

Förslag till malltext för paragraf i kommunalt reglemente avseende personuppgiftsansvar

Följande text kan användas som mall när du upprättar paragrafen. Kopiera, klistra in i kommunens dokumentmall och byt ut XX mot nämndens namn.

Förslag på text att kopiera och klistra in

Nämnden XX är personuppgiftsansvarig för de register och andra behandlingar av personuppgifter som sker i nämndens verksamhet.

Om nämnden XX behandlar personuppgifter i ett för flera nämnder gemensamt system är nämnden gemensamt personuppgiftsansvarig tillsammans med de andra nämnderna. Hanteringen ska då regleras av en överenskommelse.

Om en nämnd behandlar personuppgifter på en annan nämnds uppdrag utgör nämnden personuppgiftsbiträde. Den personuppgiftsansvariga nämnden ska utfärda instruktioner för personuppgiftsbehandlingen. Av instruktionen ska föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade framgå.

När nämnden XX utgör personuppgiftsbiträde ska hanteringen ske i enlighet med uppställda krav i artikel 28.3 a-h i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016.

Publiceringsinformation

Innehåll på sidan

Till toppen av sidan