PUB-avtal
Även känt som: DPA, Data Processing Agreement, Personuppgiftsbiträdesavtal
Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde enligt GDPR. Krävs när du anlitar extern part (till exempel webbhotell) som behandlar personuppgifter åt dig.
PUB-avtal (personuppgiftsbiträdesavtal) är ett juridiskt dokument som reglerar hur en extern part — oftast din leverantör av hosting, e-post eller mjukvara — får behandla personuppgifter åt dig. Avtalet är obligatoriskt enligt artikel 28 GDPR när du delar personuppgifter med externa parter.
Viktiga delar i ett PUB-avtal: (1) syfte med behandlingen, (2) typ av personuppgifter som behandlas, (3) säkerhetsåtgärder leverantören åtar sig, (4) hur tvångsmässiga förfrågningar från myndigheter hanteras, (5) procedur för dataincidenter, (6) rätten att få ut eller radera data vid avtalets slut, (7) lista över underbiträden (leverantörer leverantören använder).
I Sverige har HostUp, GleSYS och One.com publicerat sina PUB-avtal som PDF direkt på sajten — vilket är "bäst-i-klass" för transparens. Inleed, Loopia och andra tillhandahåller PUB-avtal på begäran. För företagskunder i känsliga branscher (hälsovård, juridik, finans) är det en stor fördel att leverantörens PUB-avtal är öppet tillgängligt.