Gratis mall för personuppgiftsbiträdesavtal (DPA)
Ett personuppgiftsbiträdesavtal (DPA) är ett lagstadgat krav enligt GDPR Art. 28 när en personuppgiftsansvarig anlitar en leverantör som behandlar personuppgifter. Skapa ditt DPA och ladda ned som PDF.
Kungsgatan 20, 111 35 Stockholm
dataskydd@handelsforetaget.se
Kontakt: Maria Lindqvist (Dataskyddsombud)
Teknikvägen 5, 412 63 Göteborg
dpa@cloudtech.se
Kontakt: Anders Berg (Security Officer)
| Ändamål | Hosting av kundregister och e-handelssystem, e-postutskick, kundtjänstverktyg och analysverktyg för försäljningsstatistik |
| Behandlingens art | Lagring, strukturering, överföring, framtagning och radering av personuppgifter. Back-up och återställning. Åtkomstloggning. |
| Kategorier av personuppgifter | identitetsuppgifter (namn, personnummer), kontaktuppgifter (adress, e-post, telefon), finansiella uppgifter (kontonummer, betalningshistorik), tekniska uppgifter (IP-adress, cookies, loggdata) |
| Kategorier av registrerade | kunder, webbplatsbesökare |
| Varaktighet | så länge huvudavtalet gäller från 1 mars 2026 |
| Behandlingsland | EU/EES |
(a) Behandla personuppgifter endast enligt den Ansvariges dokumenterade instruktioner, inklusive överföringar av personuppgifter till ett tredje land eller en internationell organisation, såvida inte sådan behandling krävs enligt unionsrätt eller nationell rätt.
(b) Säkerställa att personer som är behöriga att behandla personuppgifterna har förbundit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
(c) Vidta alla åtgärder som krävs enligt GDPR Artikel 32 avseende säkerhet för behandlingen.
(d) Bistå den Ansvarige med att fullgöra skyldigheten att svara på begäranden om utövande av de registrerades rättigheter enligt GDPR Art 15–22 (insyn, rättelse, radering, dataportabilitet, begränsning och invändning).
(e) Bistå den Ansvarige med att säkerställa efterlevnad av skyldigheterna enligt GDPR Art 32–36 avseende säkerhet, anmälan av personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd med tillsynsmyndighet (IMY).
(f) Tillhandahålla all information som krävs för att påvisa efterlevnad av GDPR Art 28 samt möjliggöra och bidra till granskningar, inbegripet inspektioner.
Befintliga godkända underbiträden:
Amazon Web Services EMEA SARL (Luxemburg) — hosting infrastruktur
Sendgrid / Twilio Inc. (USA) — e-postutskick (med SCC 2021/914)
MongoDB Atlas Ireland Ltd. (Irland) — databas
Vid anlitande av underbiträde ska Biträdet genom ett skriftligt avtal ålägga underbiträdet samma dataskyddsförpliktelser som följer av detta Biträdesavtal, särskilt tillräckliga säkerhetsgarantier enligt GDPR Art 28.4. Biträdet förblir fullt ansvarigt gentemot den Ansvarige för underbiträdets fullgörande av dessa skyldigheter.
(a) Förbud mot otillåten överföring: Personuppgifter får inte överföras till tredjeland utan lämpliga skyddsåtgärder. EU-domstolens dom Schrems II (C-311/18, 2020) ogiltigförklarade Privacy Shield och skärpte kraven för dataöverföringar till USA.
(b) Lämpliga skyddsåtgärder: Biträdet ska, vid överföringar till tredjeland, säkerställa att en av följande mekanismer tillämpas:
(i) Adekvansbeslut från EU-kommissionen (för närvarande täcker bl.a. UK, Schweiz, Japan, Sydkorea, Israel, EU-US Data Privacy Framework för certifierade amerikanska företag).
(ii) Standard Contractual Clauses (SCC) enligt EU-kommissionens beslut 2021/914/EU. Vid behov ska de nya SCC:erna implementeras inom 18 månader från ikraftträdandet.
(iii) Binding Corporate Rules (BCR) godkända av tillsynsmyndighet (Art 47 GDPR).
(iv) Certifieringsmekanism godkänd enligt Art 42 GDPR.
(c) Transfer Impact Assessment (TIA): Före varje överföring till tredjeland ska Biträdet genomföra en Transfer Impact Assessment för att bedöma destinationslandets lagstiftning och om SCC:erna är tillräckliga. Vid risk för myndighets-/övervakningsåtgärder krävs kompletterande tekniska åtgärder (Schrems II): kryptering med nycklar hos den Ansvarige, pseudonymisering, eller säker enklavt-teknik.
(d) Dokumentation: Biträdet ska upprätthålla en aktuell lista över samtliga tredjelandsöverföringar, lämpliga skyddsåtgärder och relevanta TIA-rapporter. Lista ska göras tillgänglig för den Ansvarige på begäran.
(e) Brexit och UK: Vid överföringar till UK gäller EU-kommissionens adekvansbeslut 2021/1772, men separat UK International Data Transfer Agreement (IDTA) kan krävas för UK-baserade underbiträden.
(f) Återkallelse vid förändringar: Om adekvansbeslut återkallas eller praxis ändras väsentligt har den Ansvarige rätt att kräva omedelbart upphörande av tredjelandsöverföringen.
(a) Kryptering vid överföring (TLS/SSL) och vid lagring (AES-256 eller likvärdig)
(b) Behörighetskontroll, rollbaserad åtkomst och systematisk loggning
(c) Regelbunden säkerhetskopiering med testade återställningsrutiner
(d) Pseudonymisering av personuppgifter där det är möjligt
(e) Regelbundna penetrationstester och sårbarhetsskanningar
(f) ISO 27001-certifiering eller likvärdig säkerhetsstandard
(g) Regelbunden dataskyddsutbildning för personal med åtkomst till personuppgifter
Biträdet ska regelbundet utvärdera och vid behov uppdatera dessa åtgärder för att säkerställa en för risken lämplig säkerhetsnivå. Tekniska och organisatoriska åtgärder ska testas, utvärderas och bedömas regelbundet.
(a) En beskrivning av personuppgiftsincidentens art, inklusive om möjligt de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs.
(b) Namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där ytterligare information kan erhållas.
(c) En beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten.
(d) En beskrivning av de åtgärder som har vidtagits eller föreslås för att åtgärda personuppgiftsincidenten och mildra dess potentiella negativa effekter.
Biträdet ska samarbeta med den Ansvarige och vidta rimliga åtgärder för att avhjälpa incidenten. Den Ansvarige ansvarar för eventuell anmälan till Integritetsskyddsmyndigheten (IMY) enligt GDPR Art 33.1.
Granskning ska ske med minst 30 dagars skriftlig förvarning och genomföras på ett sätt som inte oskäligt stör Biträdets verksamhet. Biträdet ska samarbeta fullt ut och ge den Ansvarige tillgång till relevant information, lokaler och system. Kostnader för granskning bärs av den Ansvarige, om inte granskningen påvisar väsentliga brister i Biträdets efterlevnad.
Om den Ansvarige åläggs att betala skadestånd till en registrerad på grund av Biträdets behandling i strid med detta Biträdesavtal eller GDPR, har den Ansvarige rätt att kräva regress från Biträdet. Bestämmelserna i GDPR Art 82 om rätt till ersättning och skadeståndsansvar tillämpas i den mån det är relevant.
Biträdet ska på den Ansvariges begäran skriftligen intyga att radering eller återlämning har skett. Skyldigheten att radera gäller även eventuella underbiträdens kopior av personuppgifterna.
Tvist som uppstår i anledning av detta Biträdesavtal ska i första hand lösas genom förhandling mellan parterna. Om enighet inte kan nås inom trettio (30) dagar ska tvisten avgöras av allmän domstol med Stockholms tingsrätt som första instans.
(a) DPIA-skyldighet: Vid behandlingar som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (Art 35.1) ska den Ansvarige genomföra en DPIA. Detta inkluderar systematisk profilering, storskalig behandling av särskilda kategorier, eller systematisk övervakning av allmänt tillgängliga platser (Art 35.3). IMY:s vägledning och WP 248 ger ytterligare exempel.
(b) Biträdets stöd: Biträdet förbinder sig att, på den Ansvariges begäran och utan oskäligt dröjsmål, tillhandahålla all teknisk och organisatorisk information som krävs för att DPIA:n ska kunna genomföras. Detta inkluderar:
(i) Detaljerad beskrivning av behandlingens art, omfattning, sammanhang och ändamål.
(ii) Information om underbiträden och tredjelandsöverföringar.
(iii) Tekniska och organisatoriska säkerhetsåtgärder som vidtagits.
(iv) Riskbedömningar och åtgärder för att mildra identifierade risker.
(c) Förhandssamråd (Art 36): Om DPIA:n visar att behandlingen skulle leda till en hög risk om den Ansvarige inte vidtog åtgärder för att begränsa den, ska den Ansvarige förhandssamråda med IMY innan behandlingen påbörjas. Biträdet ska stödja den Ansvarige med detta förfarande.
(d) Dokumentation: Biträdet ska bistå med att upprätta och uppdatera register över behandling (RoPA) enligt GDPR Art 30 i den utsträckning detta gäller Biträdet. Biträdets eget register ska göras tillgängligt för den Ansvarige på begäran.
(e) Översyn: DPIA:n och förhandssamråd ska ses över vid väsentliga förändringar i behandlingen. Biträdet ska informera den Ansvarige om förändringar i behandlingsmiljön som kan påverka riskbedömningen.
(f) Kostnader: Biträdets stöd ingår normalt i Biträdets ordinarie tjänster utan extra avgift. Vid extremt omfattande DPIA-arbete kan rimliga timkostnader debiteras enligt separat överenskommelse.
(a) GDPR Art 22: Den registrerade har rätt att inte bli föremål för ett beslut som uteslutande grundas på automatiserad behandling, inbegripet profilering, som har rättsliga följder eller på liknande sätt i betydande grad påverkar personen. Biträdet ska säkerställa att behandlingen är förenlig med denna rättighet.
(b) Lagliga grunder för automatiserat beslutsfattande: Sådana beslut är tillåtna endast vid (i) avtal med den registrerade, (ii) tillåtelse enligt unionsrätt eller medlemsstats nationella rätt med lämpliga skyddsåtgärder, eller (iii) den registrerades uttryckliga samtycke. Vid behandling av särskilda kategorier (Art 9) krävs strängare grunder enligt Art 22.4.
(c) Transparenskrav: Den Ansvarige (med Biträdets stöd) ska informera registrerade om förekomsten av automatiserat beslutsfattande, meningsfull information om logiken bakom samt om dess betydelse och förväntade följder (Art 13.2 f, 14.2 g, 15.1 h).
(d) Mänskligt ingripande: Biträdet ska tekniskt möjliggöra för den Ansvarige att, efter den registrerades begäran, ordna mänskligt ingripande, möjlighet att uttrycka sin åsikt och bestrida automatiserade beslut.
(e) EU AI Act (förordning 2024/1689): Om AI-systemet är klassificerat som högrisk enligt bilaga III till AI Act (rekrytering, kreditprövning, biometri, m.fl.) gäller särskilda krav på riskhantering, datakvalitet, transparens, mänsklig övervakning och loggning. Tillämpning från augusti 2026 (högrisksystem), augusti 2025 (allmänna AI-modeller).
(f) Bias och rättvisa: Biträdet ska aktivt arbeta för att minimera diskriminerande effekter (bias) i AI-modellerna och vid behov genomföra Fundamental Rights Impact Assessment (FRIA) enligt AI Act Art 27 för relevanta system.
(g) AI-leverantörsavtal: Vid användning av tredjepartsleverantörer för AI-modeller (t.ex. OpenAI, Anthropic, Google) ska Biträdet säkerställa att leverantörens villkor är förenliga med GDPR och inte tillåter att personuppgifter används för träning av offentliga modeller utan den Ansvariges samtycke.
Vad är ett personuppgiftsbiträdesavtal?
Ett personuppgiftsbiträdesavtal (engelska: Data Processing Agreement, DPA) är ett bindande avtal mellan en personuppgiftsansvarig (den organisation som bestämmer ändamål och medel för behandlingen) och ett personuppgiftsbiträde (en leverantör eller tjänsteleverantör som behandlar personuppgifter för den ansvariges räkning). GDPR Art. 28 kräver uttryckligen att all behandling som ett biträde utför ska regleras av ett bindande avtal som specificerar behandlingens föremål, varaktighet, art och ändamål, typ av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter.
Utan ett DPA bryter båda parter mot GDPR, vilket kan leda till sanktionsavgifter från Integritetsskyddsmyndigheten (IMY) på upp till 10 miljoner euro eller 2 % av global omsättning (Art. 83.4 GDPR). Typiska situationer som kräver ett DPA: ett företag anlitar ett molntjänstföretag (exvis AWS, Microsoft Azure) som lagrar kunddata, ett bolag använder en marknadsföringsplattform (exvis Mailchimp, HubSpot) som behandlar e-postadresser och beteendedata, ett löneutbetalningstjänstföretag behandlar anställdas löneuppgifter för en arbetsgivares räkning, eller ett call center hanterar kundsamtal och ärenden.
DPA:n reglerar ett flertal obligatoriska krav: biträdet ska behandla personuppgifter enbart på instruktion från den ansvarige, säkerställa att behörig personal har tystnadsplikt, vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (Art. 32), biträda den ansvarige vid uppfyllande av registrerades rättigheter, anmäla personuppgiftsincidenter, radera eller återlämna uppgifter vid avtalets slut, och inte anlita underbiträden utan den ansvariges godkännande. Dessa krav i Art. 28.3 är icke-förhandlingsbara och måste återspeglas i DPA:ns text.
Vad täcker mallen?
Doxunos DPA-mall uppfyller alla krav i GDPR Art. 28 och är utformad för svenska personuppgiftsansvariga och biträden.
Parter och roller
Identifikation av personuppgiftsansvarig och personuppgiftsbiträde.
Behandlingens föremål och ändamål
Specificering av vad och varför personuppgifter behandlas.
Typ av uppgifter och kategorier
Vilka personuppgifter som behandlas och vilka registrerade det rör.
Behandling på instruktion (Art. 28.3 a)
Biträdet behandlar enbart personuppgifter på den ansvariges dokumenterade instruktion.
Tystnadsplikt (Art. 28.3 b)
Säkerställande att behörig personal har avtalad eller lagstadgad tystnadsplikt.
Tekniska och organisatoriska åtgärder (Art. 32)
Kryptografi, pseudonymisering, tillgångskontroll och incidenthantering.
Underbiträden (Art. 28.2)
Krav på godkännande och lista över godkända underbiträden.
Registrerades rättigheter (Art. 28.3 e)
Biträdets skyldighet att bistå vid utövande av rättigheter (tillgång, radering etc.).
Personuppgiftsincidenter (Art. 33)
Anmälningsskyldighet till personuppgiftsansvarig utan onödigt dröjsmål.
Radering och återlämnande (Art. 28.3 g)
Vad som händer med uppgifterna vid avtalets upphörande.
Revision och insyn (Art. 28.3 h)
Den ansvariges rätt att granska biträdets GDPR-efterlevnad.
Tredjelandsöverföringar (Art. 46)
Villkor och skyddsåtgärder för överföring utanför EU/EES.
Så skapar du ditt personuppgiftsbiträdesavtal
Skapa ett GDPR-kompatibelt DPA med Doxunos guide och säkerställ en lagstadgad grund för din databehandling.
- 1
Identifiera parterna och behandlingens karaktär
Ange personuppgiftsansvariges och personuppgiftsbiträdets fullständiga firma, organisationsnummer och adress. Specificera behandlingens ändamål (exvis "tillhandahållande av molnlagringstjänst för hantering av kundärenden"), varaktighet (avtalstiden), art (lagring, åtkomst, kommunikation), typ av personuppgifter (namn, e-post, IP-adresser) och kategorier av registrerade (kunder, anställda).
- 2
Specificera instruktioner och säkerhetsåtgärder
Beskriv den dokumenterade instruktionen — den vägledning från den ansvarige som anger exakt hur biträdet ska behandla uppgifterna. Ange de tekniska och organisatoriska åtgärder (TOA) som biträdet har implementerat: kryptering i vila och under transport, pseudonymisering, åtkomstkontroll, loggning, incidenthanteringsrutin och backuprutiner. Specificera nivån av TOA som krävs (ISO 27001, SOC 2 eller liknande).
- 3
Reglera underbiträden
Ange om biträdet behöver anlita underbiträden — exvis molntjänstleverantörer, datacenter eller IT-supportföretag. Den ansvarige ska ge specifikt eller generellt godkännande för underbiträden. Lista godkända underbiträden i en bilaga och ange att biträdet ska informera den ansvarige om ändringar och ge möjlighet att invända. Biträdet ansvarar fullt ut för underbiträdenas GDPR-efterlevnad.
- 4
Definiera incidentrapportering och registrerades rättigheter
Ange att biträdet ska anmäla misstänkta eller bekräftade personuppgiftsincidenter till den ansvarige utan onödigt dröjsmål — idealt inom 24–48 timmar — så att den ansvarige kan uppfylla sin 72-timmars anmälningsskyldighet till IMY (GDPR Art. 33). Biträdet ska också bistå vid utövande av registrerades rättigheter: tillgång, rättelse, radering, portabilitet och invändning.
- 5
Reglera upphörande och underteckna
Ange att biträdet vid avtalets upphörande ska radera eller återlämna alla personuppgifter och eventuella kopior, om inte lagstiftning kräver att uppgifterna bevaras. Specificera en tidsram — exvis 30 dagar. Underteckna DPA:n av behöriga firmatecknare hos båda parter och bifoga som bilaga till det övergripande tjänsteavtalet. Ladda ned det färdiga dokumentet som PDF.
Juridiska överväganden
DPA:n är ett krav i lag, inte ett val. Nedan redogörs för de viktigaste juridiska aspekterna för personuppgiftsansvariga och biträden.
Denna mall tillhandahålls i informationssyfte och utgör inte juridisk rådgivning. För behandling av känsliga personuppgifter i stor skala, hälsodata eller behandlingar som kräver konsekvensbedömning (DPIA) rekommenderas att ett dataskyddsombud eller en GDPR-jurist anlitas.
Granskat av dataskyddsjurister. Mallens innehåll har granskats av svenska jurister med specialisering på GDPR och dataskyddsrätt.
Art. 28 GDPR — obligatoriska klausuler
GDPR Art. 28.3 räknar upp åtta obligatoriska krav som ett DPA måste reglera: (a) instruktionskravet, (b) tystnadsplikt, (c) säkerhetsåtgärder (Art. 32), (d) underbiträdesreglerna (Art. 28.2–4), (e) biträdesbistånd vid registrerades rättigheter, (f) biträdesbistånd vid den ansvariges GDPR-skyldigheter, (g) radering/återlämnande vid avtalsslutet, och (h) revisionsrätt och insyn. EU-kommissionen har publicerat standardavtalsklausuler för DPA (2021/915/EU) som kan användas direkt eller som utgångspunkt för förhandling.
IMY:s tillsyn och sanktioner
IMY har befogenhet att granska DPA-avtal som del av sin tillsyn. Avsaknad av DPA, ett ofullständigt DPA eller ett DPA som inte efterlevs i praktiken kan leda till sanktionsavgift på upp till 10 miljoner euro eller 2 % av global omsättning (Art. 83.4 GDPR). Biträdet kan hållas direkt ansvarigt för sanktionsavgifter om det behandlar personuppgifter på sätt som strider mot GDPR eller på instruktioner det visste var olagliga. Dokumentera DPA:ns existens och biträdets efterlevnad i er behandlingsförteckning (Art. 30).
Underbiträden och kedjeansvar
Biträdet ansvarar fullt ut gentemot den ansvarige för underbiträdenas GDPR-efterlevnad. Det innebär att biträdet måste ingå egna DPA-avtal med alla underbiträden med minst samma skyddsnivå som det huvud-DPA som finns med den ansvarige. Vanliga underbiträdeskedjan: SaaS-leverantör (biträde) → molnleverantör (underbiträde) → datacenter (under-underbiträde). Den ansvarige ska ha tillgång till en uppdaterad underbiträdeslista och ha rätt att invända mot ändringar.
Tredjelandsöverföringar och standardavtalsklausuler
Om biträdet eller underbiträdet är beläget utanför EU/EES, eller om data routas via servrar utanför EU/EES, triggas GDPR kap. V:s krav på överföringsverktyg. Det vanligaste alternativet är EU-kommissionens standardavtalsklausuler (SCC, 2021/914/EU) kompletterade med en Transfer Impact Assessment (TIA) för det aktuella tredjelandet. EU-US Data Privacy Framework (2023) möjliggör överföring till DPF-certifierade US-organisationer utan SCC, men bör kombineras med kontraktuellt stöd.
Vanliga frågor
Kom i GDPR-linje med ett komplett DPA
Fyll i dina uppgifter och ladda ned ett GDPR-kompatibelt personuppgiftsbiträdesavtal på några minuter. Gratis grundversion — ingen registrering krävs.
Free · Instant PDF · No account required