Hur kan personuppgiftsansvar mellan parter se ut och regleras?
Fråga 1: Hur kan personuppgiftsansvar mellan parter se ut och regleras?
Svar: Det finns tre alternativ för hur personuppgiftsansvaret kan se ut och regleras mellan parter som hanterar varandras personuppgifter:
- En part är personuppgiftsansvarig och den andra personuppgiftsbiträde.
I dessa fall ska personuppgiftsbiträdesavtal (PUB-avtal) ingås vid samarbetet. - Personuppgiftsansvaret är gemensamt mellan parterna.
Gemensamt personuppgiftsansvar uppstår när ett företag eller en organisation tillsammans med en eller flera andra företag eller organisationer gemensamt bestämmer ”varför” och ”hur” personuppgifter ska behandlas. Vid gemensamt ansvar ska ett avtal om gemensamt personuppgiftsansvar, även kallat datadelningsavtal, ingås mellan parterna. - Personuppgiftsansvaret är ”delat” mellan parterna.
Delat personuppgiftsansvar innebär att varje part är självständigt ansvarig för sin egen personuppgiftsbehandling. Vid delat ansvar behövs inget PUB-avtal, men det måste tydligt anges i avtalet att båda parterna är självständigt ansvariga för sin personuppgiftsbehandling.
Fråga 2: Är det rätt att ingå datadelningsavtal vid delat personuppgiftsansvar?
Svar: Man ska inte ingå datadelningsavtal vid ”delat” personuppgiftsansvar. Datadelningsavtal, även kallat avtal om gemensamt personuppgiftsansvar, ska enbart ingås när ansvaret mellan parterna är gemensamt.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 31 mar 2026
Mari Heidenberg Östholm
Rådgivare, jurist
JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.
