Personuppgiftsbiträdesavtal – föreningen behöver veta detta
Publicerad 2026-07-01 · Av Mikael Andersson
Använder föreningen ett molnbaserat medlemssystem, en mejltjänst för utskick eller något annat verktyg för att hålla koll på medlemsdata? Då behöver ni ett personuppgiftsbiträdesavtal, ofta kallat PUB-avtal. Det låter krångligt och byråkratiskt, men i grunden är det bara en rimlig överenskommelse som skyddar både föreningen och medlemmarna. GDPR kräver det rätt och slätt, det finns ingen genväg — men det är samtidigt betydligt enklare att ordna än vad namnet antyder. I den här guiden går vi igenom vad avtalet är, när ni behöver det och vad det ska innehålla, utan att göra det värre än det är.
Vad är ett personuppgiftsbiträdesavtal?
Ett personuppgiftsbiträdesavtal är en överenskommelse mellan två parter: föreningen (som juridiskt kallas personuppgiftsansvarig) och tjänsteleverantören (personuppgiftsbiträdet). Avtalet reglerar vad leverantören faktiskt får göra med de uppgifter ni skickar dit, och hur de ska skydda dem. Det är ett direkt krav i GDPR, och utan avtalet på plats bryter föreningen mot lagen — så enkelt är det tyvärr. Men lugn: det betyder inte att styrelsen behöver bli GDPR-jurister över en natt. Det handlar bara om att när ni lämnar ut medlemsuppgifter till en extern tjänst, ska det finnas svart på vitt vem som ansvarar för vad och hur uppgifterna skyddas.
När behöver föreningen ett PUB-avtal?
Grundregeln är enkel: så fort en extern tjänst — inte er egen dator eller server hemma — lagrar eller bearbetar medlemsuppgifter åt er, behöver ni ett avtal. Bra nyheter: de flesta seriösa leverantörer har redan ett standardavtal klart, ofta kallat "Data Processing Agreement" eller DPA. Ni behöver sällan förhandla något, bara bekräfta att avtalet finns och gäller er förening.
- Medlemssystem — både digitala medlemsregister och webbaserade lösningar
- Mejltjänster för utskick, till exempel Brevo, Mailchimp eller MailerLite
- Faktureringssystem och program för ekonomi- och medlemshantering
- Anmälningsformulär på hemsidan, för läger, kurser eller medlemsansökan
- Molnlagring av dokument, som Google Drive, Dropbox eller OneDrive
- SMS-tjänster för påminnelser och medlemskommunikation
- Webhooks och API-integrationer mellan olika system
Vad ska PUB-avtalet innehålla?
GDPR ställer faktiskt en hel del konkreta krav på vad avtalet ska reglera. Ni behöver inte lära er punkterna utantill — det gör de flesta moderna leverantörer redan åt er — men det är skönt att veta vad man faktiskt tittar på:
- Ämne och varaktighet: vilken data det gäller, hur länge, och när avtalet upphör att gälla
- Omfattning: vilka typer av uppgifter — namn, mejladress, personnummer, medlemsstatus och liknande
- Art och syfte: exakt vad leverantören gör med uppgifterna (lagrar, bearbetar, fakturerar, skickar utskick)
- Sekretess och säkerhet: hur data skyddas, till exempel kryptering, åtkomstbegränsningar och brandväggar
- Underleverantörer: om leverantören i sin tur anlitar andra tjänster, som molnhosting
- Rättigheter och kontroll: hur föreningen kan granska datan, och vad som händer om ni säger upp tjänsten
De flesta väl skötta tjänster har redan detta inbyggt i sina användarvillkor eller som ett färdigt standardavtal — ni behöver sällan förhandla eller skriva något själva. Men om en leverantör inte kan visa upp ett PUB-avtal när ni frågar, ta det som en varningssignal. Då är det läge att fundera en extra gång på om just den tjänsten ska få hand om medlemmarnas uppgifter.
Vem är personuppgiftsansvarig och vem är biträde?
Här är det som förvirrar de flesta föreningar, så låt oss reda ut rollerna en gång för alla.
Personuppgiftsansvarig = Föreningen
Det är ni som bestämmer varför uppgifterna samlas in, vad de ska användas till, hur länge de sparas och vem som får se dem. Ni bär huvudansvaret gentemot medlemmarna, och det är ni som i slutänden måste kunna visa att föreningen följer GDPR — inte leverantören.
Personuppgiftsbiträde = Tjänsteleverantören
Leverantören hanterar uppgifterna åt er, men bara på det sätt ni bestämt. De får inte sälja vidare data, använda den för egna syften, eller spara den längre än vad som behövs. Sker det en incident — säg ett intrång — är de dessutom skyldiga att meddela er om det.
Ett konkret exempel: använder föreningen Medlemsfaktura för medlemsregister och fakturering, är föreningen personuppgiftsansvarig och Medlemsfaktura personuppgiftsbiträde. Medlemsfaktura lagrar och bearbetar data åt er, men det är föreningen som sätter reglerna för hur.
Praktiska steg för föreningen
Så här kan ni faktiskt greppa det här utan att det tar en hel styrelsekväll:
- Kartlägg vilka tjänster som rör medlemsdata: medlemssystem, mejltjänst, faktureringsprogram, anmälningsformulär, molnlagring — allt som innehåller något om en enskild medlem.
- Kontakta varje leverantör: be om deras PUB-avtal eller DPA. De flesta har det klart och skickar det så fort ni frågar. Är de osäkra på vad ni menar är det ett observandum i sig.
- Läs igenom avtalet: ni behöver inte förstå varje formulering. Det viktiga är att avtalet finns, att det ser ut att uppfylla GDPR, och att ni vet vad som faktiskt händer med uppgifterna.
- Spara avtalen: lägg dem tillsammans med föreningens övriga dokumentation. Vid en eventuell granskning vill ni kunna plocka fram dem snabbt.
- Berätta för medlemmarna: ofta räcker en kort rad i stadgarna eller på hemsidan — "Vi använder [tjänst] för att hantera dina uppgifter enligt GDPR" — så vet alla var de har er.
Vill ni gräva djupare i hur föreningen hanterar medlemsdata säkert och lagligt, ta en titt på vår guide om medlemsregister och GDPR. Vi har också en bredare GDPR-guide för föreningar som går igenom hela dataskyddet från grunden.
Medlemsfaktura och dataskydd
Använder ni Medlemsfaktura för medlemsregister och fakturering, är all data krypterad både under överföring och i lagring. Medlemsfaktura tillhandahåller ett fullständigt PUB-avtal som uppfyller GDPR, och systemet är byggt med svenska föreningar i åtanke — både tekniskt och juridiskt. Ni kan lägga energin på föreningsarbetet istället för dataskyddspappersarbete, eftersom avtalet redan finns på plats från dag ett. Nyfiken på vem som egentligen äger uppgifterna? Läs gärna vårt inlägg om vem som äger föreningsdata.
Vanliga frågor
Kan vi använda ett medlemssystem utan PUB-avtal?
Nej, inte enligt GDPR. Så fort leverantören hanterar medlemsdata åt er behövs avtalet — det är ett lagkrav, ingen rekommendation. Det löses dock oftast med ett enda mejl till leverantören.
Kostar PUB-avtalet något extra?
Nej, det ska ingå i tjänsten. Om en leverantör vill ta extra betalt för avtalet är det märkligt och värt att ifrågasätta. De flesta har det redan klart och skickar det direkt på begäran.
Vad händer om vi bryter mot GDPR?
Det kan i värsta fall bli böter, men för en mindre förening som gör sitt bästa handlar det oftast om en påpekan eller varning från Integritetsskyddsmyndigheten (IMY). Huvudsaken är att ni visar att ni försöker göra rätt och har avtalen sparade.
Är det bara medlemsdata som omfattas?
Nej. Ni behöver avtal för all personuppgiftsbehandling — medlemmar, givare, kontaktpersoner, allt. Så fort informationen går att koppla till en person gäller samma regler.
« Tillbaka till bloggen eller läs fler guider för föreningar.