Gratis mall för personuppgiftsbiträdesavtal (DPA)
Ett personuppgiftsbiträdesavtal (DPA) är ett lagstadgat krav enligt GDPR Art. 28 när en personuppgiftsansvarig anlitar en leverantör som behandlar personuppgifter. Skapa ditt DPA och ladda ned som PDF.
| Ändamål | Hosting av kundregister och e-handelssystem, e-postutskick, kundtjänstverktyg och analysverktyg för försäljningsstatistik |
| Behandlingens art | Lagring, strukturering, överföring, framtagning och radering av personuppgifter. Back-up och återställning. Åtkomstloggning. |
| Kategorier av personuppgifter | identitetsuppgifter (namn, personnummer), kontaktuppgifter (adress, e-post, telefon), finansiella uppgifter (kontonummer, betalningshistorik), tekniska uppgifter (IP-adress, cookies, loggdata) |
| Kategorier av registrerade | kunder, webbplatsbesökare |
| Varaktighet | så länge huvudavtalet gäller från 1 mars 2026 |
| Behandlingsland | EU/EES |
(a) Behandla personuppgifter endast enligt den Ansvariges dokumenterade instruktioner, inklusive överföringar av personuppgifter till ett tredje land eller en internationell organisation, såvida inte sådan behandling krävs enligt unionsrätt eller nationell rätt.
(b) Säkerställa att personer som är behöriga att behandla personuppgifterna har förbundit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
(c) Vidta alla åtgärder som krävs enligt GDPR Artikel 32 avseende säkerhet för behandlingen.
(d) Bistå den Ansvarige med att fullgöra skyldigheten att svara på begäranden om utövande av de registrerades rättigheter enligt GDPR Art 15–22 (insyn, rättelse, radering, dataportabilitet, begränsning och invändning).
(e) Bistå den Ansvarige med att säkerställa efterlevnad av skyldigheterna enligt GDPR Art 32–36 avseende säkerhet, anmälan av personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd med tillsynsmyndighet (IMY).
(f) Tillhandahålla all information som krävs för att påvisa efterlevnad av GDPR Art 28 samt möjliggöra och bidra till granskningar, inbegripet inspektioner.
Befintliga godkända underbiträden:
Amazon Web Services EMEA SARL (Luxemburg) — hosting infrastruktur
Sendgrid / Twilio Inc. (USA) — e-postutskick (med SCC 2021/914)
MongoDB Atlas Ireland Ltd. (Irland) — databas
Vid anlitande av underbiträde ska Biträdet genom ett skriftligt avtal ålägga underbiträdet samma dataskyddsförpliktelser som följer av detta Biträdesavtal, särskilt tillräckliga säkerhetsgarantier enligt GDPR Art 28.4. Biträdet förblir fullt ansvarigt gentemot den Ansvarige för underbiträdets fullgörande av dessa skyldigheter.
(a) Kryptering vid överföring (TLS/SSL) och vid lagring (AES-256 eller likvärdig)
(b) Behörighetskontroll, rollbaserad åtkomst och systematisk loggning
(c) Regelbunden säkerhetskopiering med testade återställningsrutiner
(d) Pseudonymisering av personuppgifter där det är möjligt
(e) Regelbundna penetrationstester och sårbarhetsskanningar
(f) ISO 27001-certifiering eller likvärdig säkerhetsstandard
(g) Regelbunden dataskyddsutbildning för personal med åtkomst till personuppgifter
Biträdet ska regelbundet utvärdera och vid behov uppdatera dessa åtgärder för att säkerställa en för risken lämplig säkerhetsnivå. Tekniska och organisatoriska åtgärder ska testas, utvärderas och bedömas regelbundet.
(a) En beskrivning av personuppgiftsincidentens art, inklusive om möjligt de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs.
(b) Namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där ytterligare information kan erhållas.
(c) En beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten.
(d) En beskrivning av de åtgärder som har vidtagits eller föreslås för att åtgärda personuppgiftsincidenten och mildra dess potentiella negativa effekter.
Biträdet ska samarbeta med den Ansvarige och vidta rimliga åtgärder för att avhjälpa incidenten. Den Ansvarige ansvarar för eventuell anmälan till Integritetsskyddsmyndigheten (IMY) enligt GDPR Art 33.1.
Granskning ska ske med minst 30 dagars skriftlig förvarning och genomföras på ett sätt som inte oskäligt stör Biträdets verksamhet. Biträdet ska samarbeta fullt ut och ge den Ansvarige tillgång till relevant information, lokaler och system. Kostnader för granskning bärs av den Ansvarige, om inte granskningen påvisar väsentliga brister i Biträdets efterlevnad.
Om den Ansvarige åläggs att betala skadestånd till en registrerad på grund av Biträdets behandling i strid med detta Biträdesavtal eller GDPR, har den Ansvarige rätt att kräva regress från Biträdet. Bestämmelserna i GDPR Art 82 om rätt till ersättning och skadeståndsansvar tillämpas i den mån det är relevant.
Biträdet ska på den Ansvariges begäran skriftligen intyga att radering eller återlämning har skett. Skyldigheten att radera gäller även eventuella underbiträdens kopior av personuppgifterna.
Tvist som uppstår i anledning av detta Biträdesavtal ska i första hand lösas genom förhandling mellan parterna. Om enighet inte kan nås inom trettio (30) dagar ska tvisten avgöras av allmän domstol med Stockholms tingsrätt som första instans.
Vad är ett personuppgiftsbiträdesavtal?
Ett personuppgiftsbiträdesavtal (engelska: Data Processing Agreement, DPA) är ett bindande avtal mellan en personuppgiftsansvarig (den organisation som bestämmer ändamål och medel för behandlingen) och ett personuppgiftsbiträde (en leverantör eller tjänsteleverantör som behandlar personuppgifter för den ansvariges räkning). GDPR Art. 28 kräver uttryckligen att all behandling som ett biträde utför ska regleras av ett bindande avtal som specificerar behandlingens föremål, varaktighet, art och ändamål, typ av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter.
Utan ett DPA bryter båda parter mot GDPR, vilket kan leda till sanktionsavgifter från Integritetsskyddsmyndigheten (IMY) på upp till 10 miljoner euro eller 2 % av global omsättning (Art. 83.4 GDPR). Typiska situationer som kräver ett DPA: ett företag anlitar ett molntjänstföretag (exvis AWS, Microsoft Azure) som lagrar kunddata, ett bolag använder en marknadsföringsplattform (exvis Mailchimp, HubSpot) som behandlar e-postadresser och beteendedata, ett löneutbetalningstjänstföretag behandlar anställdas löneuppgifter för en arbetsgivares räkning, eller ett call center hanterar kundsamtal och ärenden.
DPA:n reglerar ett flertal obligatoriska krav: biträdet ska behandla personuppgifter enbart på instruktion från den ansvarige, säkerställa att behörig personal har tystnadsplikt, vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (Art. 32), biträda den ansvarige vid uppfyllande av registrerades rättigheter, anmäla personuppgiftsincidenter, radera eller återlämna uppgifter vid avtalets slut, och inte anlita underbiträden utan den ansvariges godkännande. Dessa krav i Art. 28.3 är icke-förhandlingsbara och måste återspeglas i DPA:ns text.
Vad täcker mallen?
Doxunos DPA-mall uppfyller alla krav i GDPR Art. 28 och är utformad för svenska personuppgiftsansvariga och biträden.
Parter och roller
Identifikation av personuppgiftsansvarig och personuppgiftsbiträde.
Behandlingens föremål och ändamål
Specificering av vad och varför personuppgifter behandlas.
Typ av uppgifter och kategorier
Vilka personuppgifter som behandlas och vilka registrerade det rör.
Behandling på instruktion (Art. 28.3 a)
Biträdet behandlar enbart personuppgifter på den ansvariges dokumenterade instruktion.
Tystnadsplikt (Art. 28.3 b)
Säkerställande att behörig personal har avtalad eller lagstadgad tystnadsplikt.
Tekniska och organisatoriska åtgärder (Art. 32)
Kryptografi, pseudonymisering, tillgångskontroll och incidenthantering.
Underbiträden (Art. 28.2)
Krav på godkännande och lista över godkända underbiträden.
Registrerades rättigheter (Art. 28.3 e)
Biträdets skyldighet att bistå vid utövande av rättigheter (tillgång, radering etc.).
Personuppgiftsincidenter (Art. 33)
Anmälningsskyldighet till personuppgiftsansvarig utan onödigt dröjsmål.
Radering och återlämnande (Art. 28.3 g)
Vad som händer med uppgifterna vid avtalets upphörande.
Revision och insyn (Art. 28.3 h)
Den ansvariges rätt att granska biträdets GDPR-efterlevnad.
Tredjelandsöverföringar (Art. 46)
Villkor och skyddsåtgärder för överföring utanför EU/EES.
Så skapar du ditt personuppgiftsbiträdesavtal
Skapa ett GDPR-kompatibelt DPA med Doxunos guide och säkerställ en lagstadgad grund för din databehandling.
- 1
Identifiera parterna och behandlingens karaktär
Ange personuppgiftsansvariges och personuppgiftsbiträdets fullständiga firma, organisationsnummer och adress. Specificera behandlingens ändamål (exvis "tillhandahållande av molnlagringstjänst för hantering av kundärenden"), varaktighet (avtalstiden), art (lagring, åtkomst, kommunikation), typ av personuppgifter (namn, e-post, IP-adresser) och kategorier av registrerade (kunder, anställda).
- 2
Specificera instruktioner och säkerhetsåtgärder
Beskriv den dokumenterade instruktionen — den vägledning från den ansvarige som anger exakt hur biträdet ska behandla uppgifterna. Ange de tekniska och organisatoriska åtgärder (TOA) som biträdet har implementerat: kryptering i vila och under transport, pseudonymisering, åtkomstkontroll, loggning, incidenthanteringsrutin och backuprutiner. Specificera nivån av TOA som krävs (ISO 27001, SOC 2 eller liknande).
- 3
Reglera underbiträden
Ange om biträdet behöver anlita underbiträden — exvis molntjänstleverantörer, datacenter eller IT-supportföretag. Den ansvarige ska ge specifikt eller generellt godkännande för underbiträden. Lista godkända underbiträden i en bilaga och ange att biträdet ska informera den ansvarige om ändringar och ge möjlighet att invända. Biträdet ansvarar fullt ut för underbiträdenas GDPR-efterlevnad.
- 4
Definiera incidentrapportering och registrerades rättigheter
Ange att biträdet ska anmäla misstänkta eller bekräftade personuppgiftsincidenter till den ansvarige utan onödigt dröjsmål — idealt inom 24–48 timmar — så att den ansvarige kan uppfylla sin 72-timmars anmälningsskyldighet till IMY (GDPR Art. 33). Biträdet ska också bistå vid utövande av registrerades rättigheter: tillgång, rättelse, radering, portabilitet och invändning.
- 5
Reglera upphörande och underteckna
Ange att biträdet vid avtalets upphörande ska radera eller återlämna alla personuppgifter och eventuella kopior, om inte lagstiftning kräver att uppgifterna bevaras. Specificera en tidsram — exvis 30 dagar. Underteckna DPA:n av behöriga firmatecknare hos båda parter och bifoga som bilaga till det övergripande tjänsteavtalet. Ladda ned det färdiga dokumentet som PDF.
Juridiska överväganden
DPA:n är ett krav i lag, inte ett val. Nedan redogörs för de viktigaste juridiska aspekterna för personuppgiftsansvariga och biträden.
Denna mall tillhandahålls i informationssyfte och utgör inte juridisk rådgivning. För behandling av känsliga personuppgifter i stor skala, hälsodata eller behandlingar som kräver konsekvensbedömning (DPIA) rekommenderas att ett dataskyddsombud eller en GDPR-jurist anlitas.
Granskat av dataskyddsjurister. Mallens innehåll har granskats av svenska jurister med specialisering på GDPR och dataskyddsrätt.
Art. 28 GDPR — obligatoriska klausuler
GDPR Art. 28.3 räknar upp åtta obligatoriska krav som ett DPA måste reglera: (a) instruktionskravet, (b) tystnadsplikt, (c) säkerhetsåtgärder (Art. 32), (d) underbiträdesreglerna (Art. 28.2–4), (e) biträdesbistånd vid registrerades rättigheter, (f) biträdesbistånd vid den ansvariges GDPR-skyldigheter, (g) radering/återlämnande vid avtalsslutet, och (h) revisionsrätt och insyn. EU-kommissionen har publicerat standardavtalsklausuler för DPA (2021/915/EU) som kan användas direkt eller som utgångspunkt för förhandling.
IMY:s tillsyn och sanktioner
IMY har befogenhet att granska DPA-avtal som del av sin tillsyn. Avsaknad av DPA, ett ofullständigt DPA eller ett DPA som inte efterlevs i praktiken kan leda till sanktionsavgift på upp till 10 miljoner euro eller 2 % av global omsättning (Art. 83.4 GDPR). Biträdet kan hållas direkt ansvarigt för sanktionsavgifter om det behandlar personuppgifter på sätt som strider mot GDPR eller på instruktioner det visste var olagliga. Dokumentera DPA:ns existens och biträdets efterlevnad i er behandlingsförteckning (Art. 30).
Underbiträden och kedjeansvar
Biträdet ansvarar fullt ut gentemot den ansvarige för underbiträdenas GDPR-efterlevnad. Det innebär att biträdet måste ingå egna DPA-avtal med alla underbiträden med minst samma skyddsnivå som det huvud-DPA som finns med den ansvarige. Vanliga underbiträdeskedjan: SaaS-leverantör (biträde) → molnleverantör (underbiträde) → datacenter (under-underbiträde). Den ansvarige ska ha tillgång till en uppdaterad underbiträdeslista och ha rätt att invända mot ändringar.
Tredjelandsöverföringar och standardavtalsklausuler
Om biträdet eller underbiträdet är beläget utanför EU/EES, eller om data routas via servrar utanför EU/EES, triggas GDPR kap. V:s krav på överföringsverktyg. Det vanligaste alternativet är EU-kommissionens standardavtalsklausuler (SCC, 2021/914/EU) kompletterade med en Transfer Impact Assessment (TIA) för det aktuella tredjelandet. EU-US Data Privacy Framework (2023) möjliggör överföring till DPF-certifierade US-organisationer utan SCC, men bör kombineras med kontraktuellt stöd.
Vanliga frågor
Kom i GDPR-linje med ett komplett DPA
Fyll i dina uppgifter och ladda ned ett GDPR-kompatibelt personuppgiftsbiträdesavtal på några minuter. Gratis grundversion — ingen registrering krävs.
Free · Instant PDF · No account required