Personuppgiftsbiträdesavtal – exempel

§ 1 Parterna och avtalets syfte

Detta personuppgiftsbiträdesavtal har ingåtts mellan Anna Andersson (org./pers.nr 556123-4567), med adress Storgatan 1, 111 22 Stockholm, nedan kallad den personuppgiftsansvarige, och Sofia Holm (org./pers.nr 556123-4567), med adress Storgatan 1, 111 22 Stockholm, nedan kallat personuppgiftsbiträdet. Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning och uppfyller kravet på skriftligt biträdesavtal enligt artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 (dataskyddsförordningen, GDPR). Vid motstridighet mellan detta avtal och övriga avtal mellan parterna ska detta avtal ha företräde i frågor som rör behandlingen av personuppgifter.

§ 1.1 Kontaktpunkter för dataskydd

Parternas kontaktpersoner för frågor som rör detta avtal och behandlingen av personuppgifter är, för den personuppgiftsansvarige Johan Berg (e-post exempel@email.se) och för personuppgiftsbiträdet Maria Nilsson (e-post exempel@email.se). Meddelanden, instruktioner, begäran om bistånd och granskning samt anmälan av personuppgiftsincidenter enligt detta avtal ska skickas till respektive parts kontaktperson. Part ska utan dröjsmål underrätta den andra parten om ändrade kontaktuppgifter.

§ 2 Behandlingens föremål, art och ändamål

Personuppgiftsbiträdet behandlar personuppgifter inom ramen för följande tjänst: Exempel: vilken tjänst eller behandling avser avtalet (föremål)?.. Behandlingens ändamål är: Exempel: ändamål med behandlingen.. Behandlingens art utgörs av de behandlingsåtgärder som är nödvändiga för att tillhandahålla tjänsten och uppnå detta ändamål, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning, läsning, användning, utlämning genom överföring, begränsning samt radering eller förstöring av personuppgifterna. Biträdet får endast behandla personuppgifterna för detta ändamål och inte för några egna syften. Den personuppgiftsansvarige ansvarar för att det finns en rättslig grund för behandlingen och att uppgifterna får lämnas ut till biträdet.

§ 3 Behandlingens varaktighet

Behandlingen enligt detta avtal påbörjas den 2026-01-15 och pågår så länge personuppgiftsbiträdet utför den tjänst som anges i § 2 åt den personuppgiftsansvarige. Avtalet gäller därmed under hela den tid behandlingen pågår och upphör när behandlingen avslutas och uppgifterna har hanterats enligt § 13.

§ 4 Kategorier av registrerade och personuppgifter

Behandlingen omfattar följande kategorier av registrerade: Exempel: kategorier av registrerade.. De kategorier av personuppgifter som behandlas är: Exempel: kategorier av personuppgifter..

§ 5 Behandling endast enligt dokumenterade instruktioner

Personuppgiftsbiträdet får behandla personuppgifterna endast på dokumenterade instruktioner från den personuppgiftsansvarige, vilket inbegriper detta avtal och de instruktioner som i övrigt lämnas under avtalstiden. Detsamma gäller överföring av personuppgifter till tredjeland eller en internationell organisation, om inte unionsrätten eller svensk rätt kräver det av biträdet; i så fall ska biträdet informera den personuppgiftsansvarige om det rättsliga kravet innan behandlingen sker, om inte sådan information är förbjuden enligt lag. Om biträdet anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning ska biträdet omedelbart informera den personuppgiftsansvarige.

§ 6 Sekretess

Personuppgiftsbiträdet ska säkerställa att de personer som är behöriga att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. Biträdet ska begränsa åtkomsten till personuppgifterna till de personer som behöver tillgång till dem för att utföra uppdraget.

§ 7 Säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta alla åtgärder som krävs enligt artikel 32 GDPR. Med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter och friheter ska biträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, bland annat avseende konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen.

§ 8 Underbiträden

Personuppgiftsbiträdet har den personuppgiftsansvariges generella skriftliga förhandsgodkännande att anlita underbiträden. Biträdet ska föra en förteckning över anlitade underbiträden och i förväg, dock senast inom skälig tid innan ändringen genomförs, underrätta den personuppgiftsansvarige om planerade förändringar avseende tillägg eller ersättning av underbiträden, så att den ansvarige ges möjlighet att invända. Invänder den ansvarige har biträdet inte rätt att anlita det aktuella underbiträdet för behandling av den ansvariges personuppgifter. Om parterna inte kan enas om det planerade underbiträdet har vardera parten rätt att säga upp den berörda delen av tjänsten med skäligt varsel, utan att det utgör avtalsbrott. Biträdet ska genom avtal ålägga varje underbiträde samma skyldigheter avseende dataskydd som de som anges i detta avtal och ansvarar gentemot den personuppgiftsansvarige för att underbiträdet fullgör sina skyldigheter.

§ 8.1 Godkända underbiträden vid avtalets ingående

Vid avtalets ingående har den personuppgiftsansvarige godkänt följande underbiträden: Exempel: vilka underbiträden är godkända vid avtalets ingående?.. Den personuppgiftsansvariges rätt enligt § 8 att invända mot tillägg eller ersättning av underbiträden gäller i förhållande till denna förteckning. Personuppgiftsbiträdet ska hålla förteckningen aktuell.

§ 9 Bistånd till den personuppgiftsansvarige

Personuppgiftsbiträdet ska, med hänsyn till behandlingens art, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder att fullgöra sin skyldighet att svara på begäran om utövande av de registrerades rättigheter enligt kapitel III GDPR. Biträdet ska även bistå den ansvarige med att säkerställa att skyldigheterna enligt artiklarna 32–36 GDPR fullgörs, med beaktande av behandlingens art och den information som biträdet har tillgång till, bland annat avseende säkerhet, anmälan av personuppgiftsincidenter, konsekvensbedömningar avseende dataskydd och föregående samråd med tillsynsmyndigheten. Biträdet har rätt till skälig ersättning för det bistånd och de granskningar som den personuppgiftsansvarige begär utöver vad som följer av lag, enligt biträdets vid var tid gällande prislista eller efter överenskommelse mellan parterna.

§ 10 Personuppgiftsincidenter

Personuppgiftsbiträdet ska utan onödigt dröjsmål, och senast inom 24 timmar efter att ha fått vetskap om en personuppgiftsincident, underrätta den personuppgiftsansvariges kontaktperson enligt § 1.1 om incidenten. Underrättelsen ska innehålla den information som den ansvarige rimligen behöver för att kunna fullgöra sina skyldigheter enligt artiklarna 33 och 34 GDPR, bland annat incidentens art, berörda kategorier och ungefärligt antal registrerade, sannolika konsekvenser och de åtgärder som har vidtagits eller föreslås. Biträdet ska bistå den ansvarige vid utredning, dokumentation och hantering av incidenten.

§ 10.1 Anmälan av incident till tillsynsmyndighet och registrerade

Det juridiska ansvaret att anmäla en personuppgiftsincident till tillsynsmyndigheten (IMY) enligt artikel 33 GDPR och att underrätta de registrerade enligt artikel 34 GDPR ligger hos den personuppgiftsansvarige. Personuppgiftsbiträdet får inte självt anmäla en incident till tillsynsmyndigheten eller underrätta de registrerade för den ansvariges räkning utan den ansvariges uttryckliga instruktion.

§ 11 Granskning och revision

Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att skyldigheterna enligt artikel 28 GDPR fullgörs samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som den ansvarige har bemyndigat. Granskning ska ske med skälig framförhållning, under normal arbetstid och utan att otillbörligt störa biträdets verksamhet eller åsidosätta biträdets sekretessåtaganden gentemot andra kunder.

§ 12 Överföring till tredjeland

Personuppgifterna ska behandlas inom EU/EES. Personuppgiftsbiträdet får inte överföra personuppgifter till ett tredjeland eller en internationell organisation utan föregående dokumenterad instruktion eller skriftligt godkännande från den personuppgiftsansvarige och endast om en giltig överföringsgrund enligt kapitel V GDPR föreligger.

§ 13 Åtgärder när behandlingen upphör

När tillhandahållandet av behandlingen upphör ska personuppgiftsbiträdet radera samtliga personuppgifter och radera befintliga kopior, om inte unionsrätten eller svensk rätt föreskriver att uppgifterna ska lagras. Biträdet ska på begäran skriftligen intyga att raderingen har genomförts.

§ 14 Ansvar

Vardera parten ansvarar enligt artikel 82 GDPR för skada som orsakats genom behandling som strider mot förordningen eller mot detta avtal. Har båda parter medverkat till samma skada svarar de i förhållande till varandra i den utsträckning de är ansvariga för den händelse som orsakade skadan. Personuppgiftsbiträdet ansvarar för skada som uppkommit till följd av att biträdet inte fullgjort de skyldigheter i GDPR som specifikt riktar sig till personuppgiftsbiträden eller handlat i strid med den ansvariges lagenliga instruktioner.

§ 15 Ändringar och fullständig reglering

Detta avtal utgör parternas fullständiga reglering av behandlingen av personuppgifter och ersätter alla tidigare överenskommelser i samma fråga. Ändringar och tillägg ska för att gälla göras skriftligen och undertecknas av båda parter, eller hanteras på det sätt som detta avtal i övrigt föreskriver för instruktioner och underbiträden.

§ 16 Tillämplig lag och tvist

På detta avtal tillämpas svensk rätt och dataskyddsförordningen (EU) 2016/679. Tvist med anledning av avtalet ska i första hand lösas genom förhandling mellan parterna och i annat fall avgöras av svensk allmän domstol med tingsrätten i Stockholm som första instans.

Underskrifter

Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt.

Ort och datum: Stockholm, 2026-01-15.

För personuppgiftsansvarig Anna Andersson (556123-4567) ____________________

För personuppgiftsbiträde Sofia Holm (556123-4567) ____________________

Ett personuppgiftsbiträdesavtal kräver inga vittnen, ingen registrering hos Skatteverket och inga andra särskilda formkrav – det räcker att det är skriftligt och undertecknat av behöriga firmatecknare. Vid digital signering med BankID styrks firmatecknarnas identitet och underskriftens tidpunkt elektroniskt, vilket uppfyller skriftlighetskravet och ersätter behovet av egenhändig namnteckning.