Ett personuppgiftsbiträdesavtal — PUB-avtal eller DPA (Data Processing Agreement) på engelska — är ett lagkrav varje gång ni anlitar en extern part som behandlar personuppgifter för er räkning. Det gäller er löneadministratör, ert CRM-system, er molnbaserade bokföring och många fler.
Problemet är inte att bolag saknar PUB-avtal. Problemet är att de PUB-avtal som finns ofta är bristfälliga, inaktuella eller aldrig granskade.
Här är de fem vanligaste felen.
1. Ni har inget avtal alls
Det vanligaste felet är det enklaste: inget avtal existerar. Ofta för att leverantören inte självmant erbjudit ett, och köparen inte frågat.
Kontrollera era befintliga leverantörsrelationer. Börja med de som uppenbart hanterar personuppgifter: lönesystem, HR-system, CRM, ärendehantering, e-postmarknadsföring, support-chat. Om det inte finns ett PUB-avtal med dessa — ta fram ett.
De flesta SaaS-leverantörer av rang har ett standardavtal redo. Be om det.
2. Avtalet täcker inte vad leverantören faktiskt gör
Många PUB-avtal är generiska och beskriver inte vilka kategorier av personuppgifter som faktiskt behandlas, vilka ändamålen är, eller vilka behandlingsåtgärder som utförs. Det gör avtalet svårt att använda om något går fel.
Ett bra PUB-avtal specificerar: vilken typ av uppgifter (t.ex. namn, e-post, anställningsuppgifter), vilka registrerade det gäller (t.ex. era kunder eller anställda), och vad leverantören faktiskt gör med uppgifterna (lagrar, analyserar, vidarebefordrar?).
3. Underbiträden nämns inte
Nästan alla SaaS-leverantörer anlitar i sin tur underbiträden — molntjänster, supportverktyg, analysplattformar. Ni som personuppgiftsansvariga är ansvariga för hela kedjan.
Kontrollera att ert PUB-avtal reglerar hur leverantören hanterar sina underbiträden, och att ni har rätt att bli informerade när de byter eller lägger till underbiträden.
4. Tredjelandsöverföringar hanteras inte
Om er leverantör lagrar eller behandlar uppgifter utanför EU/EES — vilket är vanligt för amerikanska SaaS-bolag — måste det finnas en laglig grund för det. Vanligast är EU:s standardavtalsklausuler (SCC) eller att landet har ett adekvansbeslutet från EU-kommissionen.
Kontrollera om er leverantör använder amerikanska servrar eller tjänster, och hur de hanterar den juridiska grunden för överföringen. Detta ska framgå av PUB-avtalet eller kompletterande dokumentation.
5. Ni har inte granskat avtalet på länge
GDPR-krav, tekniska lösningar och leverantörers affärsmodeller förändras. Ett PUB-avtal som var korrekt 2019 kan ha luckor 2026.
Sätt en rutin för att gå igenom era PUB-avtal med de viktigaste leverantörerna minst en gång per år. Det behöver inte vara en juridisk djupdykning — men ni bör kontrollera att det fortfarande stämmer med verkligheten, att underbiträden är aktuella och att tredjelandsöverföringar hanteras korrekt.
Sammanfattning
PUB-avtal är inte en formalitet — de är en del av ert riskhanteringssystem. En leverantör som drabbas av en säkerhetsincident och behandlar era kunders personuppgifter utan ett korrekt avtal är ert problem lika mycket som deras. Ordning på PUB-avtalen minskar er exponering och stärker er ställning om något väl händer.