Hoppa till innehåll
SIAX.io

Personuppgiftsbiträdesavtal (DPA)

Det här är en mall för det personuppgiftsbiträdesavtal som reglerar hur personuppgifter behandlas när jag utför ett uppdrag åt en kund. Den följer kraven i dataskyddsförordningen (GDPR) artikel 28 och fylls i med uppdragets faktiska uppgifter innan den undertecknas.

Senast granskad: 31 maj 2026

Detta är en mall och inte juridisk rådgivning. Texten ska anpassas till det enskilda uppdraget och bör granskas av jurist innan den undertecknas. Uppgifter om avtalsparter och underskrift fylls i per avtal.

Parter och definitioner

Avtalet ingås mellan kunden, som är personuppgiftsansvarig, och mig som personuppgiftsbiträde. Den personuppgiftsansvarige bestämmer ändamålen med och medlen för behandlingen; biträdet behandlar personuppgifter endast enligt dokumenterade instruktioner från den ansvarige.

Begrepp som personuppgift, behandling, registrerad, personuppgiftsincident och tredje land har samma innebörd som i dataskyddsförordningen (EU) 2016/679. Vid eventuell motstridighet mellan detta avtal och huvudavtalet om uppdraget har detta avtal företräde i frågor som rör behandling av personuppgifter.

Biträdet behandlar inte personuppgifter för egna ändamål och överför dem inte till tredje land utan att ett giltigt överföringsmekanism finns på plats och den ansvarige har informerats.

Behandlingens art, ändamål och varaktighet

Behandlingen sker uteslutande för att fullgöra det avtalade uppdraget - exempelvis utveckling, drift, förvaltning, felsökning eller rådgivning kring de system där personuppgifter förekommer. Biträdet utför ingen behandling som går utöver vad uppdraget kräver.

Behandlingens varaktighet följer uppdragets löptid. När uppdraget avslutas upphör behandlingen, och uppgifterna raderas eller återlämnas enligt avsnittet om radering och återlämning. Art, ändamål och varaktighet preciseras per uppdrag i Bilaga A.

Kategorier av personuppgifter och registrerade

Vilka kategorier av personuppgifter och registrerade som omfattas beror på det enskilda systemet och anges i Bilaga A. Typiskt rör det sig om uppgifter om kundens egna användare, kunder eller anställda som redan finns i de system uppdraget avser.

Biträdet eftersträvar dataminimering och behandlar inte fler kategorier än vad uppdraget kräver. Om särskilda kategorier av personuppgifter (artikel 9) kan förekomma anges det uttryckligen i Bilaga A tillsammans med de skyddsåtgärder som då gäller.

Säkerhetsåtgärder (artikel 32)

Biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en skyddsnivå som är anpassad till risken, i enlighet med artikel 32 i dataskyddsförordningen. Åtgärderna beskrivs närmare i Bilaga A och ses över löpande.

  • Kryptering av personuppgifter i vila och under överföring.
  • Åtkomststyrning enligt minsta rättighet och flerfaktorsautentisering där det är möjligt.
  • Loggning och spårbarhet för åtkomst till och förändring av uppgifter.
  • Rutiner för att återställa tillgänglighet och åtkomst efter en incident.
  • Regelbunden utvärdering av att åtgärderna är ändamålsenliga.

Vid en personuppgiftsincident underrättas den personuppgiftsansvarige utan onödigt dröjsmål efter att biträdet fått kännedom om den, med den information som behövs för att den ansvarige ska kunna fullgöra sin egen anmälningsskyldighet.

Underbiträden

Biträdet anlitar underbiträden - exempelvis moln- och driftleverantörer - endast med den personuppgiftsansvariges generella förhandsgodkännande och åläggs då samma skyldigheter i fråga om dataskydd som följer av detta avtal. En aktuell förteckning över underbiträden hålls tillgänglig.

Den ansvarige informeras om planerade förändringar av underbiträden och ges möjlighet att invända innan en ny underleverantör tas i bruk. Biträdet ansvarar gentemot den ansvarige för att underbiträdet fullgör sina skyldigheter.

  • Aktuell förteckning finns på sidan Underleverantörer.

Bistånd, radering och återlämning

Biträdet bistår den personuppgiftsansvarige med lämpliga åtgärder så att den ansvarige kan svara på registrerades begäran om att utöva sina rättigheter - exempelvis tillgång, rättelse, radering och dataportabilitet - samt vid konsekvensbedömningar och förhandssamråd när det är relevant.

När uppdraget avslutas raderar eller återlämnar biträdet, enligt den ansvariges val, samtliga personuppgifter och raderar befintliga kopior, om inte lagring krävs enligt unionsrätt eller svensk rätt. Återlämning sker i ett vedertaget format som parterna kommer överens om.

Revision och granskning

Biträdet tillhandahåller den personuppgiftsansvarige den information som behövs för att visa att skyldigheterna enligt artikel 28 fullgörs och möjliggör samt bidrar till granskningar, inklusive inspektioner, som genomförs av den ansvarige eller en av denne utsedd granskare.

Granskning aviseras i rimlig tid i förväg, genomförs så att den inte stör driften i onödan och omfattas av sekretess. Befintlig dokumentation och eventuella tredjepartsrapporter används i första hand för att undvika upprepade och betungande revisioner.

Bilaga A - tekniska och organisatoriska åtgärder

Bilaga A preciserar, för det enskilda uppdraget, behandlingens art och ändamål, kategorier av registrerade och personuppgifter, godkända underbiträden samt de tekniska och organisatoriska säkerhetsåtgärder som tillämpas. Bilagan utgör en integrerad del av avtalet.

Åtgärderna utgår från de säkerhetsprinciper som beskrivs på säkerhetssidan och anpassas efter uppgifternas känslighet och den aktuella risken. Bilagan uppdateras vid väsentliga förändringar i behandlingen eller i åtgärderna.

Behöver du ett personuppgiftsbiträdesavtal inför ett uppdrag, eller vill du stämma av mallen mot din verksamhet?

Kontakta migUnderleverantörerSäkerhetIntegritetspolicy