Många företagsledare och IT-ansvariga utgår från att ett personuppgiftsbiträdesavtal är frivilligt, eller något man ordnar “när det känns nödvändigt.” Verkligheten är den motsatta. Frågan om måste vi ha ett personuppgiftsbiträdesavtal DPA besvaras direkt av GDPR: ja, avtalet är obligatoriskt och måste finnas på plats innan behandlingen påbörjas. Saknar du ett giltigt avtal med din molntjänstleverantör, lönebyrå eller IT-konsult, bryter du mot lagen redan från dag ett. Den här guiden reder ut exakt vad ett DPA är, när det krävs, vad det ska innehålla och vilka risker du tar om du skippar det.
Innehållsförteckning
- Viktiga punkter
- Personuppgiftsansvarig och biträde: vad är skillnaden?
- När krävs ett DPA enligt GDPR?
- Vad ett DPA måste innehålla
- Risker med att sakna ett giltigt DPA
- Varför många signerar DPA utan att förstå den
- Min syn på DPA-arbetet i svenska organisationer
- Trustview hjälper dig ta kontroll över dina DPA-avtal
- Vanliga frågor om DPA
Viktiga punkter
| Punkt | Detaljer |
|---|---|
| DPA är obligatoriskt enligt lag | Artikel 28 i GDPR kräver ett avtal innan extern part börjar behandla personuppgifter åt dig. |
| Ansvaret stannar hos dig | Även om biträdet orsakar ett dataintrång bär du som personuppgiftsansvarig det yttersta juridiska ansvaret. |
| Flera vanliga tjänster kräver DPA | Microsoft 365, lönesystem, CRM-system och IT-support utlöser alla ett krav på DPA. |
| Att signera räcker inte | Många företag skriver under DPA utan att förstå klausuler om tredjelandsöverföringar och underbiträden. |
| Löpande uppföljning krävs | DPA är inte ett engångsdokument. Det måste uppdateras och följas upp regelbundet. |
Personuppgiftsansvarig och biträde: vad är skillnaden?
Att förstå rollerna är grunden för att förstå när ett DPA krävs. Personuppgiftsansvarig är den organisation som bestämmer varför och hur personuppgifter behandlas. Personuppgiftsbiträdet är den externa part som behandlar uppgifterna på uppdrag av den ansvarige, under dennes instruktioner.
Konkreta exempel gör skillnaden tydlig:
- Molntjänst (Microsoft 365, Google Workspace): Du är ansvarig. Tjänsteleverantören är biträde och lagrar dina anställdas e-post och filer.
- Lönebyrå: Du bestämmer vilka anställda som ska ha lön och hur mycket. Byrån behandlar uppgifterna åt dig.
- CRM-system (Salesforce, HubSpot): Du äger kundrelationerna och syftena. CRM-leverantören är biträde.
- IT-supportföretag: Om konsulten får åtkomst till system med personuppgifter är de ett biträde.
- Extern HR-plattform: Plattformen hanterar anställdas data på ditt uppdrag.
Den kritiska juridiska principen är instruktionsprincipen. Biträdet får bara agera enligt de instruktioner du som ansvarig ger. Börjar biträdet behandla uppgifter för egna syften, kliver det över gränsen och kan anses bli självständigt personuppgiftsansvarigt, med allt vad det innebär.
Det finns en missuppfattning som dyker upp regelbundet: att ansvaret kan delegeras till leverantören. Så fungerar det inte. Du kan delegera utförandet, men inte ansvaret. Om din lönebyrå råkar ut för ett dataintrång är det du som ansvarig som ska anmäla det till IMY och hantera konsekvenserna.
Proffstips: Innan du anlitar en ny leverantör, ställ dig frågan: kommer de att behandla personuppgifter åt oss? Om svaret är ja krävs ett DPA. Gör det till en del av er inköpsprocess.
När krävs ett DPA enligt GDPR?
Kravet på DPA regleras i artikel 28 i GDPR och är inte öppet för tolkning. Så snart en extern part behandlar personuppgifter för din räkning, under dina instruktioner, krävs ett skriftligt avtal. Här är de vanligaste scenarierna i prioriterad ordning:
- Molntjänster och SaaS: Varje SaaS-leverantör som lagrar eller behandlar personuppgifter, till exempel Microsoft 365, Slack, eller ett projekthanteringsverktyg, är ett biträde.
- Lönehantering: Lönebyråer och lönesystem som Visma Lön eller Hogia behandlar känsliga uppgifter om anställda, inklusive personnummer och bankkontonummer.
- CRM-system: Kunddata i Salesforce eller liknande system hanteras av leverantören. Deras datacenters, ofta utanför EU, gör detta extra komplicerat.
- IT-support och konsulter: En extern IT-konsult med fjärråtkomst till era servrar har per definition tillgång till personuppgifter.
- Molnlagring: Dropbox, SharePoint eller andra lagringstjänster räknas in, oavsett om ni ser det som “bara fillagring.”
När räcker inte DPA?
Det finns situationer där ett DPA inte är rätt avtal. Skillnaden mot datadelningsavtal är väsentlig: om en annan part behandlar personuppgifter för egna syften och inte under dina instruktioner, är de inte biträde utan självständigt personuppgiftsansvarig. Då gäller artikel 26 om gemensamt personuppgiftsansvar, eller ett separat datadelningsavtal.
| Situation | Rätt avtalstyp |
|---|---|
| Leverantör behandlar data åt er, under era instruktioner | Personuppgiftsbiträdesavtal (DPA) |
| Två parter delar ansvar för samma behandling | Avtal om gemensamt ansvar (artikel 26) |
| Extern part behandlar data för egna syften | Datadelningsavtal, ingen DPA |
| Enbart tillgång, ingen faktisk behandling | Sekretessavtal kan räcka |
Vad ett DPA måste innehålla
Artikel 28 i GDPR specificerar vad ett DPA ska reglera. Nedan är de obligatoriska komponenterna samt vad de faktiskt innebär i praktiken:
- Syfte och omfattning: Varför behandlas uppgifterna, vilka kategorier av registrerade berörs och vilken typ av personuppgifter hanteras.
- Säkerhetsåtgärder: Tekniska och organisatoriska skyddsåtgärder anpassade till behandlingens risknivå. Acceptans av generiska säkerhetsklausuler från leverantörens standardavtal är ofta otillräckligt, särskilt vid molntjänster.
- Underbiträden: Biträdet måste informera dig om anlitade underbiträden, och du ska ha rätt att invända mot förändringar. Kraven du ställer på biträdet ska flöda ned i kedjan.
- Incidenthantering: Biträdet ska utan onödigt dröjsmål meddela dig vid dataintrång eller incidenter. Definiera konkreta SLA-tider i avtalet, exempelvis 24 eller 48 timmar.
- Revisionsrätt: Du ska ha rätt att granska biträdets efterlevnad. Reglera vem som bär kostnaden för revision, annars riskerar du oväntade avgifter när du väl begär en granskning.
- Avslut av avtalet: Vad händer med uppgifterna när avtalet upphör? Biträdet ska radera eller återlämna data och lämna ett skriftligt intyg.
- Tredjelandsöverföringar: Om data behandlas utanför EU och EES krävs ytterligare skyddsmekanismer, till exempel standardavtalsklausuler (SCC).
Vid molntjänster tillkommer specifika tekniska krav. Geografisk placering av data, failover-lösningar och hantering av säkerhetsloggar bör specificeras för att uppfylla GDPR:s artikel 32.
Proffstips: Be alltid leverantören specificera exakt vilka underbiträden de använder. Stora SaaS-leverantörer kan ha dussintals underbiträden. Varje förändring i den listan ska meddelas dig i förväg.
Risker med att sakna ett giltigt DPA
Att inte ha ett DPA på plats, eller att ha ett otillräckligt sådant, är inte bara ett formellt regelbrott. Det är ett affärsproblem med konkreta konsekvenser.
- Böter och sanktioner: IMY och övriga europeiska dataskyddsmyndigheter kan utfärda böter på upp till 10 miljoner euro eller 2 procent av global omsättning för brott mot artikel 28.
- Ansvaret stannar hos dig: Du kan inte peka på leverantören om något går fel. Ansvaret för laglig behandling ligger alltid kvar hos den personuppgiftsansvarige.
- Bristande kontroll vid incidenter: Utan ett DPA vet du inte vilka skyldigheter din leverantör har vid ett dataintrång. Du kan missa 72-timmarsfristen för anmälan till IMY.
- Oklara ansvarsfördelningar: Om det saknas ett avtal saknas även klara instruktioner, vilket ökar risken för att biträdet behandlar uppgifter på ett sätt du inte godkänt.
Ett konkret exempel belyser riskerna. En spansk kemikalietillverkare bötfälldes med 310 000 euro delvis just för att de saknade ett giltigt biträdesavtal. Bristerna handlade inte om att data hade stulits med vilje. Problemet var strukturellt.
“Det är ett vanligt misstag att tro att ett dataintrång hos leverantören frigör er från ansvar. Tvärtom: ni är skyldiga att ha kontrollerat att leverantören uppfyller GDPR, och det bevisas med ett korrekt DPA.”
En annan vanlig fallgrop är att förlita sig på leverantörens egna standardvillkor. De flesta leverantörer har DPA-dokument som är utformade för att skydda dem, inte för att ge dig tillräcklig kontroll och tydliga rättigheter.
Varför många signerar DPA utan att förstå den
Det är mer regel än undantag att företag formellt skriver under DPA utan att ha läst eller förstått innehållet. Trycket är högt: leverantören skickar ett 20-sidigt avtal, legal-resurser saknas och deadline för driftsättning närmar sig. Resultatet är en signatur utan substans.
De kritiska delarna som vanligtvis förbises:
- Tredjelandsöverföringar: Klausuler om dataöverföring till USA eller andra länder utanför EU är ofta gömda i bilagor. Om leverantörens datacenter ligger i USA gäller amerikanska lagar parallellt med GDPR, vilket skapar komplexa rättsliga situationer. Kontrollera alltid om SCC eller andra skyddsmekanismer faktiskt är ifyllda och uppdaterade.
- Underbiträden: Många DPA-avtal innehåller en formulering som ger leverantören rätt att anlita valfria underbiträden utan förvarning. Det är en klausul som i praktiken omöjliggör verklig kontroll.
- Ansvarsbegränsningar: Leverantörens ansvarsbegränsning kan vara satt till ett bråk av avtalets värde, exempelvis ett månadsarvode. Om ett dataintrång orsakar er skada på miljontals kronor täcker den begränsningen ingenting.
Många företag missar just dessa tre delar vid signering, vilket skapar en falsk trygghet. Du tror att du har ett avtal. I praktiken har du ett papper.
Hur du granskar en DPA ordentligt:
- Läs alltid bilaga med lista över underbiträden, och kontrollera om ni faktiskt har rätt att invända.
- Identifiera om data behandlas utanför EU, och verifiera att giltiga SCC finns på plats.
- Kontrollera ansvarsbegränsningens tak. Är det rimligt i relation till er riskexponering?
- Säkerställ att incidentrapportering har definierade tider, inte bara “utan onödigt dröjsmål.”
- Kontrollera att revisionsrätten är verklig och att kostnadsfördelningen är specificerad.
DPA är navet mellan juridik och teknik, och det kräver att både IT-ansvariga och jurister är inblandade vid granskning. Att enbart låta inköp hantera avtalet räcker inte.
Proffstips: Sätt upp en intern process där varje ny leverantör som behandlar personuppgifter genomgår en kort checklista innan signering. Det tar 30 minuter och kan bespara er månader av utredningsarbete vid en incident.
Det är också viktigt att förstå att ett DPA inte är ett statiskt dokument. Uppdaterade register över biträden är centralt vid IMY:s tillsyn, och avtalen måste ses över när leverantörer byter underbiträden, expanderar geografiskt eller förändrar sina tjänster.
Min syn på DPA-arbetet i svenska organisationer
Jag har sett hur DPA-frågan hanteras i hundratals svenska organisationer, och det finns ett mönster som är svårt att ignorera. Det juridiska ramverket är välkänt. Ändå behandlas DPA-avtal som ett kryssruta i ett onboarding-flöde, inte som ett levande kontrollverktyg.
Det som bekymrar mig mest är inte de företag som saknar DPA helt. De vet att de har ett problem. Det som bekymrar mig är de som tror att de har ordning på det. De har signerat leverantörens standardavtal, lagt dokumentet i en mapp och glömt det. Sedan anlitar leverantören fem nya underbiträden, flyttar data till ett datacenter i Singapore, och ingen reagerar.
Jag har lärt mig att den verkliga risken inte primärt är böterna från IMY. Den är förlust av kontroll. När ett dataintrång inträffar och du inte vet var dina uppgifter faktiskt finns, vem som har haft åtkomst och vad din leverantör är skyldig att göra, befinner du dig i ett informationsunderskott precis när du behöver tydlighet som mest.
Min rekommendation till IT-ansvariga är konkret: behandla DPA-arbetet som en del av er leverantörshantering, inte som ett juridikprojekt. Koppla det till ert register över behandlingsaktiviteter och gör löpande uppföljning till en schemalagd aktivitet, inte ett svar på en incident.
Det kräver inte att ni är jurister. Det kräver att ni har en process.
— Jesper
Trustview hjälper dig ta kontroll över dina DPA-avtal
Att ha ett korrekt DPA på plats är ett krav. Att ha kontroll över samtliga DPA-avtal i din organisation är en annan sak helt. Trustview är byggt för just det: att hjälpa dig hålla reda på leverantörer, avtal och behandlingsaktiviteter i ett och samma system.
Med Trustview kan du koppla leverantörer direkt till era behandlingsaktiviteter, följa upp att avtal är aktuella och identifiera när ny granskning krävs. Du slipper hantera detta i kalkylark som aldrig är uppdaterade. Plattformen är utformad för att hjälpa företag bygga en hållbar compliance-process som faktiskt håller vid en granskning. Vill du se hur det fungerar i din verksamhet? Läs mer om vad Trustview erbjuder och ta nästa steg mot ett strukturerat dataskyddsarbete.
Vanliga frågor om DPA
Måste alla företag ha ett personuppgiftsbiträdesavtal?
Ja, alla organisationer som låter en extern part behandla personuppgifter för deras räkning måste ha ett DPA. Det gäller oavsett företagets storlek och är obligatoriskt enligt artikel 28 i GDPR.
Vad händer om vi saknar ett DPA med vår molntjänstleverantör?
Du bryter mot GDPR och kan drabbas av sanktioner från IMY. Dessutom bär du det fulla juridiska ansvaret om ett dataintrång inträffar, även om intrånget sker hos leverantören.
Räcker leverantörens standardavtal som DPA?
Inte alltid. Leverantörens standardavtal är utformat för att skydda leverantören och kan sakna viktiga klausuler för tredjelandsöverföringar, underbiträden och revisionsrätt. Granska alltid innehållet mot GDPR:s krav.
Vad skiljer ett DPA från ett datadelningsavtal?
Ett DPA används när en extern part behandlar data åt er under era instruktioner. Ett datadelningsavtal, eller avtal enligt artikel 26, används när två parter delar ansvar för samma behandling eller behandlar för egna syften.
Hur ofta behöver vi uppdatera våra DPA-avtal?
DPA-avtal bör ses över vid varje förändring av behandlingen, vid byte av underbiträden och minst en gång per år. Ett löpande uppdaterat register över biträden stärker er position vid eventuell tillsyn från IMY.
Rekommendation
- GDPR-Efterlevnad: Spanska DPA Bötfäller Kemikalietillverkare €310 000 för Dataintrång och Saknat Biträdesavtal – TrustView
- GDPR Efterlevnad: Rumänska DPA Bötfäller Tandklinik för Bristande Samarbete vid Dataintrångsutredning – TrustView
- Italienska DPA Bötfäller Läkare för Olagligt Utlämnande av Patientdata på Sociala Medier – En Efterlevnadsvarning – TrustView
- Franska DPA bötfäller personuppgiftsbiträde med €1M för GDPR-brott: Viktiga efterlevnadslärdomar för företag – TrustView
