Publicerad 15 april 2025

Gemensamt personuppgiftsansvar enligt GDPR, avtal

SKR har tillsammans med Adda och Inera tagit fram en mall för avtal som kan användas i avtals- eller samarbetsförhållanden där parterna har ett gemensamt personuppgiftsansvar.

När två eller flera personuppgiftsansvariga gemensamt bestämmer ändamål och medel för en personuppgiftsbehandling, är de gemensamt personuppgiftsansvariga enligt GDPR (artikel 26). Enligt GDPR ska de olika personuppgiftsansvarigas ansvar i en sådan situation framgå av ett ”gemensamt arrangemang”.

Mall för avtal om gemensamt personuppgiftansvar

SKR-koncernen tagit fram är en mall för avtal som kan användas för att uppfylla kraven i artikel 26 vid behandlingar av personuppgifter som två eller flera personuppgiftsansvariga är gemensamt ansvariga för. Detta kan till exempel bli aktuellt inom ramen för verksamheten i en kommungemensam nämnd eller ett kommunalförbund.

Till avtalet hör även två bilagor som tydliggör uppgifter om respektive part samt behandlingens omfattning. Utgångspunkten är att ändringar i mallen inte får göras.

Mall avtal om gemensamt personuppgiftsansvar (Word) Word, 103 kB.

Bilaga 1 Mall parter till avtal om gemensamt personuppgiftsansvar (Excel) Excel, 21 kB.

Bilaga 2 Mall avtal om personuppgiftsansvar, behandlingens omfattning (Excel) Excel, 24 kB.

Vägledning – använda och förstå avtalet

I vägledningen finns kommentarer till några av de 16 avsnitten i mallen. Numreringen för respektive punkt i vägledningen har motsvarande numrering i avtalet.

I kommentarerna förklaras innebörden av vissa rättigheter och skyldigheter i avtalet och i vilka situationer dessa aktualiseras. Här finns även exempel på ytterligare avtalsreglering som kan behövas.

2. Definitioner

Utöver de begrepp som definieras i löptext, i detta avtal, ska dessa definitioner, oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.

Termer som förekommer i avtalet har samma innebörd som enligt GDPR, i den mån en term förekommer där. Detta innebär också att termernas konkreta innebörd kan komma att ändras över tid, i takt med utvecklingen av rättspraxis.

3. Bakgrund och syfte

3.7

Behandlingar som Part har ett självständigt Personuppgiftsansvar för regleras inte i detta avtal.

Avtalet gäller bara för sådana behandlingar som enligt huvudavtalet görs under gemensamt personuppgiftsansvar enligt artikel 26 i dataskyddsförordningen och som därmed faller under detta avtal. Om en av parterna behandlar personuppgifterna för något annat ändamål sker det på eget och självständigt personuppgiftsansvar och ansvarar ensam för att behandlingen är förenlig med dataskyddsförordningen och dataskyddsregelverket i övrigt. Vidare gäller inte avtalet i sådana behandlingar för vilken en part är personuppgiftsansvarig och en annan part endast genomför behandling som personuppgiftsbiträde åt den personuppgiftsansvarige parten. För sådana behandlingar ska istället ett separat personuppgiftsbiträdesavtal upprättas enligt artikel 28 i dataskyddsförordningen. Om behandlingen som parterna gemensamt personuppgiftsansvariga för kräver ett persongiftsbiträde bör båda parterna normalt underteckna ett sådant avtal. Det finns också möjlighet att ge den gemensamma kontaktpunkten enligt klausul 14.1 fullmakt att teckna PUB-avtal.

5. Giltighetstid

5.1

Detta avtal gäller från och med den tidpunkt det undertecknats av samtliga Parter och tills vidare. Parterna äger ömsesidig rätt att säga upp detta avtal med trettio (30) dagars varsel eller annan tid som Parterna kommer överens om.

Utgångspunkten är att avtalet har 30 dagars uppsägningstid. Dock kan parterna förkorta eller förlänga denna tid vid behov. Det kan t.ex. krävas längre tid än 30 dagar i vissa fall för interna beslutsprocesser hos avtalsparterna. Vidare kan tekniska åtgärder behövas för att säkerställa att den gemensamma behandlingen upphör, t.ex. om uppgifter lagras på en gemensam lagringsyta.

5.3

Parternas ansvar enligt punkt 13 gäller även för skada som uppstår efter det att detta avtal upphört att gälla, om skadan inträffat inom ramen för den gemensamma Behandlingen.

Det är inte alltid som negativa konsekvenser eller skador p.g.a. behandling av personuppgifter upptäcks direkt när skadan uppstår. Exempelvis kan en dataläcka eller annan personuppgiftsincident upptäckas först viss tid efteråt. Om uppkomsten av denna incident, eller annan behandling som gett upphov till skada, kan knytas till en tidpunkt då avtalet gällde, gäller alltså punkt 13 om ansvarsfördelning, även om tidpunkten för upptäckande inträffar efter att avtalet upphört.

6. Personuppgiftsansvarigas generella åtaganden

6.1

Part ska följa Dataskyddslagstiftningen vid Behandling av Personuppgifter enligt detta avtal.

Även om parterna gemensamt bestämt ändamål och medel för behandlingen, kan den rättsliga grunden skilja sig åt för de olika parterna. Detta bl.a. med anledning av att de rättsliga grunderna vara tillämpliga i olika utsträckning hos de potentiella avtalsparterna. Exempelvis kan verksamheter inom kommuner och regioner kan ofta stödja sig på artikel 6.1 e (allmänt intresse), medan privata aktörer oftare utför sin behandling med stöd av 6.1 f (berättigat intresse).

6.3

Respektive Part ska vidta tillräckliga åtgärder inom dennes verksamhet så att verksamheten bedrivs på ett sätt som säkerställer krav på lämpliga tekniska och organisatoriska åtgärder och skydd för den Registrerades rättigheter enligt Dataskyddslagstiftningen.

Kraven enligt GDPR på tekniska och organisatoriska åtgärder nämns i artikel 5, 24, 25 och 32. IMY har viss information om tänkbara åtgärder på sin webbplats.

Säkerhet för personuppgifter, IMY

Enskildas rättigheter framgår av artiklarna 12-22 i dataskyddsförordningen. Det kan också förekomma bestämmelser om detta i särskilda registerförfattningar, se t.ex. 8 kapitlet i patientdatalagen (2008:355).

6.5

Respektive Part garanterar att personer som får tillgång till Personuppgifter har åtagit sig att iaktta tystnadsplikt om personerna i fråga inte omfattas av lagstadgad tystnadsplikt.

För anställda och vissa andra uppdragstagare inom verksamheter som omfattas av offentlighets- och sekretesslagen (OSL) gäller ett förbud att röja uppgifter som omfattas av sekretess, se 2 kap. 1 § OSL). Vidare finns tystnadsplikt för bland andra anställda även inom enskilda verksamheter som inte omfattas av OSL i vissa fall, t.ex. enligt 6 kap 12 § patientsäkerhetslagen (2012:659) och 29 kap 14 § skollagen (2010:800). I den mån en part inte omfattas av någon sådan lagstadgad tystnadsplikt måste sekretessen upprätthållas på annat sätt, t.ex. genom avtal. Avtal måste dock i det enskilda fallet bedömas vara en tillräcklig åtgärd för att upprätthålla sekretessen, vilket t.ex. kan vara svårt om uppgifterna skyddas av stark sekretess med omvänt skaderekvisit (jfr JO 2015/16 s. 606, dnr 3032-2011).

7. Överföring till och Behandling av personuppgifter i tredje land

7.1

Om det inom ramen för Parternas gemensamma Behandling kommer att överföras Personuppgifter till Tredje land ansvarar Parterna gemensamt för att det finns en rättslig lösning enligt Dataskyddsförordningen till stöd för överföringen till och Behandling i det landet. I tillämpliga fall ska en Part som omfattas av offentlighets- och sekretesslagen (2009:400) ansvara för att det finns förutsättningar för överföring även enligt den lagen.

Tredje land definieras i avsnitt 2. Utgångspunkten är att överföringar inte får ske till Tredje land, men undantag kan göras i vissa fall, t.ex. om landet i fråga omfattas av ett beslut av EU-kommissionen om adekvat skyddsnivå. Om ett land inte omfattas av ett sådant s.k. adekvansbeslut, krävs andra typer av skyddsåtgärder för överföringen som i praktiken är väldigt resurskrävande. I vissa särskilda fall kan det vara tillåtet att föra över personuppgifter till ett land utanför EU/EES även om landet saknar ett beslut om adekvat skyddsnivå och trots att inte lämpliga skyddsåtgärder har vidtagits. Dessa undantag regleras i artikel 49 i GDPR.

Adekvat skyddsnivå, IMY

Lämpliga skyddsåtgärder vid tredjelandsöverföring | IMY

Särskilda situation och enstaka överföringar, IMY

En rättslig lösning kan t.ex. vara att det finns ett adekvansbeslut avseende landet i fråga, att EU-kommissionens standardklausuler (SCC) tillämpas eller att det finns möjlighet att göra överföringen med stöd av artikel 49 i GDPR.

Standard Contact Clauses, Europakommissionen

En fråga som uppmärksammats särskilt är möjligheten att överföra personuppgifter till USA, vilket kan ske t.ex. vid användandet av amerikanska molntjänster. Eftersom det finns ett giltigt adekvansbeslut gällande USA, kan sådana överföringar ske utan att vidta lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen (till exempel standardavtalsklausuler eller bindande företagsbestämmelser), under förutsättning att den mottagande organisationen ingår i förteckningen för ramen för dataskydd (EU–U.S. Data Privacy Framework, förkortad EU-US- DPF). Vilka dessa organisationer är framgår av information som publiceras av det amerikanska handelsdepartementet.

Advekansbeslut gällande USA, EU:s officiella tidning (PDF)

Organisationer inom ramen för dataskydd, Amerikanska handelsdepartementet

Överföringar till USA, IMY

Rättsläget kan komma att ändras om frågan prövas av EU-domstolen, som vid två tidigare tillfällen underkänt adekvansbeslut rörande överföringar av personuppgifter till USA som EU-kommissionen fattat beslut om. Det senaste adekvansbeslutet är dock alltjämt giltigt och kommer att vara det så länge det inte omprövas av EU-kommissionen enligt artikel 45.5 i dataskyddsförordningen, ogiltigförklaras av EU-domstolen eller frånträds av USA.

I den mån uppgifter som omfattas av sekretess enligt OSL kommer röjas i samband med överföring till en aktör i tredje land måste det finnas förutsättningar för att bryta sekretessen. En bestämmelse som kan bli aktuell att tillämpa är 10:2 a § OSL, om det är fråga om att aktören i tredje land endast ska ha tillgång till uppgifterna för teknisk bearbetning och teknisk lagring. Givetvis måste även övriga rättsliga förutsättningar för överföring av tredje land vara uppfyllda.

8. Registrerades rättigheter och information

8.1

Den Part som har kontaktats av en Registrerad ansvarar för att vidta erforderliga åtgärder avseende den Registrerades rättigheter för Parternas räkning. Detta ska göras med beaktande av typen av Behandling och den information som respektive Personuppgiftsansvarig har att tillgå.

Klausulen ålägger den part som kontaktas av en registrerad att ta initiativ för att den enskildes rättigheter ska tillgodoses. Detta innebär dock inte att denne part är ensamt ansvarig för detta. Initiativet kan t.ex. bestå i att kontakta övriga parter till avtalet, för att i samförstånd komma överens om hur den enskildes rättigheter ska tillgodoses.

8.2

Parterna ska hantera eventuella klagomål från Registrerade personer rörande Behandling som Parterna enligt detta avtal ansvarar för. Part som mottar ett klagomål som enligt detta avtal ska hanteras av en annan Part, ska så snart som möjligt vidarebefordra detta till Parten i fråga. Den Part som först mottagit klagomålet ska underrätta den Registrerade om att klagomålet hanteras av annan Part till detta avtal.

Liksom klausul 8.1 ålägger denna klausul den part som kontaktas av en registrerad att vidta vissa åtgärder, utan att det för den skull innebär att den part som kontaktats har det fulla ansvaret för att hantera frågan. Klagomålet ska hanteras av den eller de parter som är ansvariga för den specifika behandling som ifrågasätts. Det part som mottar klagomålet från den registrerade är dock ansvarig för att informera om innehållet i avtalet om gemensamt personuppgiftsansvar.

Den Registrerade måste, i samband med Parts överföring av ett klagomål eller en del därav, informeras av den mottagande Parten om det väsentliga innehållet i detta avtal.

8.3

Parterna har ett gemensamt ansvar för att fullgöra informationsplikten enligt artikel 12–14 i Dataskyddsförordningen.

Parterna kan sinsemellan komma överens om att en av parterna tar ansvar för att informera registrerade för alla parternas räkning. Detta bör i så fall dokumenteras på lämpligt sätt, t.ex. i en bilaga till avtalet om gemensamt personuppgiftsansvar, t.ex. i samma bilaga som kan behöva upprättas enligt klausul 14.1 d om gemensam kontaktpunkt.

9. Personuppgiftsincidenter

9.1

Den Part som i sin verksamhet upptäcker en Personuppgiftsincident rörande Personuppgifter som omfattas av detta avtal ska vidta åtgärder i enlighet med artikel 33 i Dataskyddsförordningen. Upptäcker Part Personuppgiftsincident hos annan Part ska den omedelbart informera den Parten om detta.

En av skyldigheterna kan vara att göra en anmälan om en personuppgiftsincident till IMY inom 72 timmar. En sådan skyldighet finns om det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Det kan vara lämplig att parterna bestämmer vilken av parterna som ska vara ansvarig för att göra en anmälan enligt artikel 33 i dataskyddsförordningen. Det kan t.ex. vara samma part som utses att informera de registrerade enligt klausul 8.3. Det kan också vid inträffade incidenter och under pågående incidenthantering finnas behov av kontinuerliga samråd mellan parterna för att hålla varandra informerade om omständigheter av betydelse för att uppfylla kraven i artikel 33 i dataskyddsförordningen.

9.2

Vid Personuppgiftsincidenter som omfattas av anmälningsplikt enligt artikel 33 i Dataskyddsförordningen och som påverkar den gemensamma Behandlingen av Personuppgifter, ska den Part som fått vetskap om incidenten utan onödigt dröjsmål skriftligen underrätta övriga Parter om incidenten. Part ska, med beaktande av typen av Behandling och den information som respektive Personuppgiftsansvarig har att tillgå, även tillhandahålla övriga Parter en skriftlig beskrivning av Personuppgiftsincidenten.

För det fall det är möjligt ska beskrivningen minst redogöra för:
1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
2. de sannolika konsekvenserna av Personuppgiftsincidenten, och
3. åtgärder som har vidtagits till följd av Personuppgiftsincidenten, förslag för att ytterligare åtgärda Personuppgiftsincidenten samt förslag på åtgärder för att mildra Personuppgiftsincidentens potentiella negativa effekter.

Beskrivningens innehåll överensstämmer med vad en anmälan till tillsynsmyndigheten (IMY) ska innehålla enligt artikel 33 i dataskyddsförordningen. Skrivningen om att viss information ska lämnas ”om det är möjligt” ger en ventil för att avvika från vad som ska ingå i beskrivningen, om det finns hinder mot att lämna ut viss information, t.ex. att den omfattas av sekretess enligt OSL.
Exempelvis kan uppgifter i denna typ av beskrivningar omfattas av sekretess i vissa fall enligt 18 kap. 8 § punkt 3 (information kan ändå lämnas till IMY med stöd av 10:17 OSL och överförs dit med stöd av 11:1 OSL). I dessa fall kan avtalsparter som omfattas av OSL behöva anpassa informationen för att inte bryta mot denna bestämmelse.

9.3

Om det inte är möjligt att tillhandahålla hela beskrivningen enligt punkt 9.2 samtidigt får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

I många fall kan det ta tid att utreda konsekvenserna av en personuppgiftsincident och att vidta relevanta åtgärder. Klausulen gör det möjligt att informera övriga avtalsparter vid flera tillfällen, t.ex. om ny information tillkommer som inte var känt vid första informationstillfället.

10. Tillsyn och revision

10.3

Part äger rätt att själv eller genom en utsedd oberoende tredje part följa upp att annan Part uppfyller detta avtal och Dataskyddsförordningens krav på lämpligt sätt. Part ska när det är möjligt tillmötesgå den granskande Partens önskemål om vilka åtgärder som ska vidtas för att genomföra granskningen.

Klausulen ger uttryck för att parterna åtar sig att samarbeta i de fall någon av parterna anser att en medavtalsparts efterlevnad av dataskyddsregleringen behöver granskas. Den part som blir föremål för granskning ska i möjligaste mån bistå den granskande parten. Det kan dock finnas begräsningar i vilka åtgärder som kan vidtas, t.ex. p.g.a. sekretess eller annan bindande lagstiftning. Den granskade parten bör inte ta initiativ till tillsyn som kräver alltför stora resurser från den part som ska granskas.

11. Skyldigheter efter detta avtals upphörande

11.1

Det åligger respektive Part att i samband med Huvudavtalets upphörande gallra personuppgifterna i enlighet med Dataskyddsförordningen, såvida fortsatt Behandling inte krävs enligt bindande regelverk, exempelvis tillämpliga författningar om arkiv. Bestämmelser om tystnadsplikt i punkt 6.5 ska fortsätta gälla även om detta avtal i övrigt upphör att gälla.

Klausulen är i linje med finalitetsprincipen och principen om uppgiftsminimering i GDPR (artikel 5). I den mån en part ändå fortsätter att behandla personuppgifter efter avtalets upphörande sker detta på eget och självständigt personuppgiftsansvar. Finalitetspricnipen, innebär att personuppgifter bara får behandlas för särskilt på förhand definierade ändamål och inte därefter behandlas på ett sätt som är oförenligt med dessa ändamål. I den mån det blir aktuellt att använda uppgifterna för andra ändamål än vad som uttryckts från början behöver noggranna överväganden göras. Sådana ytterligare behandlingsändamål kan också föranleda att den part som utför behandlingen gör detta som självständigt personuppgiftsansvarig (jfr kommentar till klausul 3.7.

12. Ändringar i detta avtal

12.1

Part har rätt att påkalla ändring av detta avtal. Påkallande av omförhandling enligt första meningen innebär inte att avtalet till någon del upphör att gälla utan endast att en omförhandling av det ska påbörjas.

Genom klausulen klargörs endast en rätt att påkalla förhandling om ändring av avtalet. Den ger inte någon part rätt att säga upp avtalet. Uppsägning regleras istället i avsnitt 5.

13. Ansvar för skada i samband med Behandling

13.1

Vid ersättning för skada i samband med Behandling som, genom lagakraftvunnet avgörande, skiljedom eller till följd av förlikning som godkänts av berörda Parter i detta avtal, utgått till den Registrerade på grund av överträdelse av bestämmelse i avtalet, och/eller bestämmelse i Dataskyddslagstiftningen, ska artikel 82 Dataskyddsförordningen tillämpas.


13.2

För det fall en Registrerad har bedömts berättigad till sådan ersättning som avses i punkt 13.1 ska Parterna i god anda diskutera orsaken till ersättningen och sinsemellan reglera den procentuella del av ersättningen som respektive Part ska vara ansvarig för. För det fall en Part hålls ansvarig för sådan överträdelse som avses i punkt 13.1 och överträdelsen uteslutande beror på den Parten ska övriga Parter hållas skadeslösa för kostnader, avgifter och andra förluster som de lider på grund av överträdelsen.

Artikel 82 i dataskyddsförordningen ger enskilda registrerade rätt att ersättning av personuppgiftsansvariga för behandling som påstås ha orsakat dem skada. I svensk kontext skulle detta i praktiken handla om att föra en skadeståndstalan i allmän domstol. Enskilda kan visserligen också ge in klagomål till IMY som kan leda till sanktionsavgifter enligt artikel 83, men en sådan sanktionsavgift tillfaller staten och inte den enskilde (6 kap, 5 § i lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning). Ansvaret för sanktionsavgifter regleras i klausul 13.3 i avtalet. En skadeståndstalan kommer att kunna riktas mot var och en av de gemensamt personuppgiftsansvariga (artikel 82.1 i dataskyddsförordningen). Den som talan riktas mot kan dock undgå ansvar genom att visa att den inte är ansvarig för uppkommen skada (artikel 82.3 i dataskyddsförordningen). Artikel 82.4 i GDPR innehåller en viktig regel som säger att personuppgiftsansvariga och personuppgiftsbiträden under vissa förutsättningar ska ha ett solidariskt ansvar i förhållande till den registrerade. Det krävs då att dessa har ”medverkat vid samma behandling” och dessutom ska anses vara ansvariga enligt punkterna 2 och 3 i artikeln. Den registrerade kan rikta sin talan mot endast av de personuppgiftsansvariga. Den part som har fått betala full ersättning ska därefter, enligt artikel 82.5 i dataskyddsförordningen, ha rätt att föra regresstalan mot de övriga medverkande. Dataskyddsförordningen verkar också ge utrymme för att i enlighet med nationell rätt fördela ansvar mellan olika personuppgiftsansvariga som är förenade i samma rättsliga förfarande (se skäl 146).

Klausul 13.1-13-.2 återspeglar att parterna, i enlighet med vad bedöms framgå av artikel 82 i dataskyddsförordningen, i förekommande fall betalar skadestånd till den registrerade i den utsträckning som motsvaras av deras respektive ansvar för uppkommen skada. Fördelningen av eventuellt skadeståndsansvar måste bedömas i varje enskilt fall efter överenskommelse mellan parterna. Om parterna inte kan komma överens gäller avtalets klausuler om tvist.
En part bör inte ingå förlikning med en registrerad utan föregående kontakt med övriga personuppgiftsansvariga. Om så ändå sker bör denne personuppgiftsansvariga anses ha tagit på sig ansvaret för skadan och ensam betala det i förlikningen fastställda beloppet.
Om innebörden av artikel 82 i dataskyddsförordningen, se Öman, Sören, Dataskyddsförordningen (GDPR) m.m., en kommentar, Utgåva 2, Norstedts juridik/JUNO digital lagkommentar och Frydlinger, David m.fl., GDPR - juridik, organisation och säkerhet enligt dataskyddsförordningen, version 1, Norstedts juridik/JUNO, s. 331 ff. (e-bok).

13.3

Sanktionsavgifter ska enligt artikel 83 Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till Dataskyddsförordningen bäras av de av detta avtals Parter som påförts en sådan avgift.

Det är IMY som beslutar om sanktionsavgifter och vilka personuppgiftsansvariga och personuppgiftsbiträden som blir ansvariga för att erlägga sådan avgift. Den part som påförs en sådan sanktionsavgift kan överklaga beslutet till domstol, men har inte enligt dataskyddsförordningen eller avtalet någon regressrätt mot övriga avtalsparter. (jfr klausul 13.1-13.2 om skadestånd).

13.5

Part som får kännedom om omständighet som kan leda till skada för någon annan Part ska omedelbart informera Parten i fråga om förhållandet och aktivt arbeta tillsammans med denne för att förhindra och minimera sådan skada

14. Gemensam kontaktpunkt för Personuppgiftsbiträden

14.1

Parterna ska bestämma att en av Parterna är gemensam kontaktpunkt mot Personuppgiftsbiträden.

Parternas överenskommelse om vilken av parterna som ska vara gemensam kontaktpunkt bör dokumenteras i en bilaga till avtalet. I de fall parterna utsett en part som ansvarig för att uppfylla informationsplikten enligt artikel 13-14 i dataskyddsförordningen (jfr klausul 8.3) kan dokumentationen göras i samma bilaga.

15. Tvistelösning

15.1

Vid tolkning och tillämpning av detta avtal gäller svensk rätt med undantag för lagvalsreglerna. Tvister ska avgöras av behörig svensk domstol.

En tillämpning av lagvalsreglerna skulle potentiellt sett kunna leda till att en eventuell tvist kan avgöras enligt något annat lands materiella lagstiftning. Genom klausulen säkerställs att eventuella tvister ska avgöras enligt svensk rätt och vid svensk domstol.

16. Parternas undertecknande av detta avtal

16.1

Detta avtal tillhandahålls antingen i digitalt format för elektroniskt undertecknande eller i pappersformat för egenhändigt undertecknande. I sistnämnda fall upprättas avtalet i flera likalydande exemplar, varav Parterna erhåller varsitt.

Avtalet bör undertecknas av samtliga personuppgiftsansvariga organisationer som omfattas av det gemensamma personuppgiftsansvaret. Om det är fler än två personuppgiftsansvariga organisationer behöver således antalet spalter med information om namn på organisation och utrymme för undertecknande utökas så antalet spalter motsvarar antalet parter.

16.2

Om avtalet undertecknas elektroniskt lämnas signatursidan utan avseende.

Informationsansvarig

  • Olof Widgren
    Förbundsjurist
  • Hampus Allerstrand
    Sektionschef

Kontakta oss

Kontakta SKR

Välkommen att skicka in din organisations frågor

  • Vid brådskande frågor, vänligen ring SKR:s kontaktcenter på 08-452 70 00. Frågor om utlämnande av allmän handling är i regel brådskande.
  • Se till att frågan är väl förberedd innan du skickar in den.
  • Det ingår inte i SKR:s uppgifter att ge service till privatpersoner och privata företag.


Undvik känsliga personuppgifter när du beskriver ditt ärende.






Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.

SKR använder ett ärendehanteringssystem för effektiva processer för dig som behöver rådgivning och service.

Vill du inte lämna dina personuppgifter går det bra att ringa oss i stället på telefon

08 452 70 00.

Det går också bra att kontakta oss om du vill att dina personuppgifter gallras i systemet.

https://skr.se/dataskydd

Så hanteras ditt ärende

Mer om oss

Sveriges Kommuner och Regioner

SKR är en medlems- och arbetsgivarorganisation för landets alla kommuner och regioner. Vi är en politiskt styrd organisation och vår styrelse består av förtroendevalda från kommuner och regioner.

Kontakta SKR

Adress och övrig kontaktinformation

08-452 70 00

info@skr.se

  • Evenemang

    Hitta och anmäl dig till SKR:s kurser, konferenser och andra evenemang.

  • Rapporter och skrifter

    Ladda ner, läs eller beställ SKR:s olika publikationer.

  • Cirkulär

    Här hittar du SKR:s cirkulär – exempelvis rekommendationer, tolkningar av nya lagar och information om avtal.

  • Handlingar och beslut

    Hitta handlingar och beslut från SKR.

  • Press

    Hitta nyheter, pressmeddelanden och debattartiklar i SKR:s pressrum.

  • Statistik

    Länkar till SKR:s statistik, analysrapporter, öppna jämförelser och ren data indelad efter ämnen.

  • Lärande exempel

    Ta del av hur kommuner och regioner har förbättrat sina verksamheter.

  • Bloggar

    Läs personliga betraktelser om aktuella ämnen.

Om SKR

Kommuner och regioner

Hjälp

Till toppen av sidan