När krävs ett DPA enligt lag?

När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde för att hantera personuppgifter om EU- eller EES-invånare. Ansvariga och biträden utanför EU täcks likvärdigt om de behandlar EU-invånares uppgifter. Storbritannien har sin egen nästan identiska regim under UK GDPR.

Vad är skillnaden mellan ett DPA och ett serviceavtal?

Ett serviceavtal (eller ramavtal) täcker den kommersiella relationen — omfattning, pris, SLA. Ett DPA täcker specifikt dataskydd och kan vara ett fristående dokument, en bilaga eller en del av huvudavtalet. De flesta mogna SaaS-leverantörer använder ett fristående DPA som införlivas genom hänvisning.

Behöver jag ett nytt DPA för varje kund?

De flesta leverantörer underhåller en DPA-mall som de använder med alla kunder och förhandlar endast kundspecifika tillägg (t.ex. en specifik underbiträdeslista eller revisionsfrekvens). Ett standard-DPA skyndar på inköp; kundspecifika DPA:er bromsar affärer betydligt.

Personuppgiftsbiträdesavtal (DPA)

Data Processing Agreement · Artikel 28-avtal · GDPR DPA

Ett personuppgiftsbiträdesavtal (DPA) är ett avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde som definierar hur personuppgifter får behandlas för den ansvariges räkning. Enligt GDPR artikel 28 är ett DPA obligatoriskt när en ansvarig anlitar ett biträde och måste täcka föremål, varaktighet, omfattning och biträdets skyldigheter.

Vad ett DPA faktiskt gör

Ett DPA översätter GDPR:s abstrakta biträdesskyldigheter till konkreta avtalsåtaganden. Det definierar vilka uppgifter som behandlas och varför, hur länge, vem som räknas som underbiträde och hur de godkänns, vilka säkerhetsåtgärder som gäller, hur personuppgiftsincidenter rapporteras, hur revisionsrätter fungerar, vad som händer vid relationens slut och hur internationella överföringar hanteras. För varje SaaS-leverantör som lagrar eller behandlar personuppgifter för EU-riktade kunders räkning är ett kompliant DPA en säljförutsättning — inköpsteam skriver inte på utan. För kunder är DPA:t det som gör leverantören rättsligt ansvarig för de säkerhetsåtaganden som marknadssidorna utlovar.

Varför det spelar roll

GDPR-böter beräknas som en andel av global omsättning, och DPA:er är den primära avtalsmekanism ansvariga använder för att fördela efterlevnadsrisk. Ett svagt DPA lämnar den ansvarige exponerad om biträdet hanterar uppgifter felaktigt; ett starkt DPA tvingar fram konkreta säkerhetsåtaganden, revisionsrätter och snabb incidentrapportering. För leverantörer är DPA-kvalitet en prediktor för affärsstorlek: enterprise-kunder kräver mogna DPA:er med specifika underbiträdeslistor, revisionsrätter och definierade tidsfrister för incidentrapportering. En generisk mall klarar inte längre enterprise-inköp.

Vanliga fallgropar

1.Underbiträdeslistan saknas eller är inaktuell — GDPR kräver att den ansvarige vet vem som faktiskt rör deras uppgifter.
2.Tidsfristen för incidentrapportering är vag — "så snart som möjligt" ersätts med konkreta timantal (24, 48, 72) i mogna DPA:er.
3.Revisionsrätter saknas eller är rent hypotetiska — ansvariga behöver typiskt antingen platsrevision eller en aktuell SOC 2 / ISO 27001-rapport.
4.Överföringsmekanism för internationella överföringar är ospecificerad — efter Schrems II måste DPA:er namnge överföringsmekanismen (SCC, adekvansbeslut) och täcka kompletterande åtgärder.
5.Återlämning eller radering av uppgifter vid upphörande är frivillig — GDPR gör detta obligatoriskt; DPA:t bör specificera vilken och när.

Relaterade begrepp

Sekretessavtal (NDA)→Skadeslöshållning→Due diligence→

Vanliga frågor

När krävs ett DPA enligt lag?: När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde för att hantera personuppgifter om EU- eller EES-invånare. Ansvariga och biträden utanför EU täcks likvärdigt om de behandlar EU-invånares uppgifter. Storbritannien har sin egen nästan identiska regim under UK GDPR.
Vad är skillnaden mellan ett DPA och ett serviceavtal?: Ett serviceavtal (eller ramavtal) täcker den kommersiella relationen — omfattning, pris, SLA. Ett DPA täcker specifikt dataskydd och kan vara ett fristående dokument, en bilaga eller en del av huvudavtalet. De flesta mogna SaaS-leverantörer använder ett fristående DPA som införlivas genom hänvisning.
Behöver jag ett nytt DPA för varje kund?: De flesta leverantörer underhåller en DPA-mall som de använder med alla kunder och förhandlar endast kundspecifika tillägg (t.ex. en specifik underbiträdeslista eller revisionsfrekvens). Ett standard-DPA skyndar på inköp; kundspecifika DPA:er bromsar affärer betydligt.

Ditt DPA med Attorly är redo att granskas

Attorly levererar ett GDPR-artikel-28-kompliant DPA som täcker kryptering i vila och i transit, Bring-Your-Own-Key på Enterprise och incidentrapportering inom 72 timmar.

Se Attorlys DPA