I en verden, hvor data er en uvurderlig ressource, er det vigtigt for organisationer at forstå deres ansvar i forbindelse med behandling af personoplysninger. Databehandleraftaler (på engelsk Data Processing Agreement) er et centralt element i den forbindelse, da de definerer de juridiske rammer for, hvordan data må behandles af en databehandler på vegne af en dataansvarlig.
Herunder får du et overblik over, hvad en databehandleraftale er, hvorfor du skal have en samt hvad den med fordel kan indeholde.
Databehandler vs. dataansvarlig
En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler. For at forstå essensen af en databehandleraftale er det vigtigt at forstå, at der er forskel på at være databehandler og dataansvarlig – det er to forskellige roller med hvert sit ansvar i forbindelse med behandling af personoplysninger.
Dataansvarlige er virksomheder eller enkeltpersoner, der bestemmer formålet med og midlerne til behandling af personoplysninger. De har det primære ansvar for at sikre, at behandlingen af personoplysninger overholder databeskyttelseslovgivningen (GDPR).
Databehandlere er virksomheder, der behandler personoplysninger på vegne af en dataansvarlig. Databehandlere udfører behandlingsaktiviteter efter instruktion fra dataansvarlige og har ikke autonomi til at bestemme formålet med eller midlerne til behandling af personoplysningerne.
Kort sagt – en dataansvarlig er den part, der bestemmer, hvorfor og hvordan personoplysninger skal behandles, mens en databehandler er den part, der udfører selve behandlingen efter instruktioner fra dataansvarlige. Begge parter har ansvar for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med gældende databeskyttelseslovgivning og under hensyntagen til den registreredes rettigheder.
Hvad er en databehandleraftale?
En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler, der fastlægger vilkår og betingelser for behandling af personoplysninger. Aftalen er designet til at sikre, at begge parter forstår deres respektive roller og ansvar i forbindelse med behandling af personoplysninger og overholder gældende databeskyttelseslovgivning.
LÆS OGSÅ: Tilsyn med databehandler
Hvad skal en databehandleraftale indeholde?
En databehandleraftale skal indeholde en beskrivelse af den dataansvarliges såvel som databehandlerens rettigheder og forpligtelser i forhold til behandling af personoplysninger – typisk indeholder aftalen følgende elementer:
- Formål og omfang
Aftalen bør klart beskrive formålet med databehandlingen, hvilke typer af personoplysninger der behandles, og den kategori af registrerede personer, hvis data behandles.
- Instruktioner
Aftalen bør angive, at databehandleren kun må behandle personoplysninger efter de instruktioner, som dataansvarlige giver. Dette inkluderer instruktioner om opbevaring, overførsel og sletning af data.
- Sikkerhedsforanstaltninger
Aftalen bør kræve, at databehandleren træffer passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne mod uautoriseret adgang, tab, ødelæggelse, ændring eller offentliggørelse.
- Underdatabehandlere
Aftalen bør specificere, om databehandleren har tilladelse til at bruge underdatabehandlere, og hvordan dataansvarlige skal informeres om sådanne underdatabehandlere. Derudover skal det sikres, at underdatabehandlere er underlagt de samme forpligtelser som databehandleren i henhold til databehandleraftalen.
- Revision og kontrol
Aftalen bør indeholde bestemmelser om revision og kontrol af databehandlerens overholdelse af databeskyttelseslovgivningen og aftalens vilkår, herunder retten for dataansvarlige eller en tredjepart til at inspicere databehandlerens faciliteter og praksis.
- Bistand og samarbejde
Aftalen bør kræve, at databehandleren bistår dataansvarlige med at opfylde deres forpligtelser i forhold til registreredes rettigheder og overholdelse af databeskyttelseslovgivningen, såsom at reagere på anmodninger om indsigt i data, rettelse, sletning og dataportabilitet.
- Underretning om sikkerhedsbrud
Aftalen bør kræve, at databehandleren underretter den dataansvarlige hurtigst muligt og senest inden for et fastsat tidsrum, efter at databehandleren opdager et sikkerhedsbrud, som involverer personoplysninger.
- Overførsel af data til tredjelande
Hvis databehandleren eller en underdatabehandler overfører personoplysninger til lande uden for EU/EØS, bør databehandleraftalen indeholde bestemmelser om, hvordan overførslerne skal foregå i overensstemmelse med GDPR og andre relevante databeskyttelsesregler.
- Varighed og opsigelse
Aftalen bør specificere varigheden af databehandlingen og betingelserne for opsigelse af aftalen, herunder krav om, at databehandleren skal slette eller returnere personoplysningerne til dataansvarlige efter opsigelse af aftalen.
Skabelon til databehandleraftale
Virker det uoverskueligt at få udarbejdet en databehandleraftale helt fra bunden, kan du finde en skabelon på Datatilsynets hjemmeside her.
Husk dog, at skabelonen kun er et udgangspunkt og bør tilpasses for at imødegå organisationens specifikke behov og situation. Det kan være en god idé at konsultere en juridisk rådgiver med erfaring inden for databeskyttelseslovgivning for at sikre, at databehandleraftalen er korrekt.
Hvornår skal du have en databehandler aftale?
Du skal have en databehandleraftale, hvis du som dataansvarlig benytter dig af en databehandler – altså en ekstern part – til at udføre behandling af personoplysninger på dine vegne.
Nedenfor er en række eksempler på, hvornår en databehandleraftale er nødvendig:
- Hvis en virksomhed outsourcer HR- eller lønfunktioner til en ekstern leverandør, der behandler personoplysninger om virksomhedens ansatte.
- Hvis en virksomhed benytter sig af en ekstern tjeneste til at håndtere kundesupport og behandler kundeoplysninger som en del af denne service.
- Hvis en virksomhed bruger en cloud-tjenesteudbyder til at lagre og behandle personoplysninger, som virksomheden indsamler fra sine kunder eller brugere.
- Hvis en organisation benytter sig af en ekstern marketingtjeneste, der behandler personoplysninger om potentielle kunder og leads.
I alle disse situationer – og mange andre – skal der indgås en databehandleraftale mellem dig som dataansvarlig og databehandleren for at sikre overholdelse af databeskyttelseslovgivningen og beskytte personoplysningerne.
Implementering af databehandleraftale
En veludført implementering af databehandleraftaler i organisationen kan ikke blot mindske risikoen for overtrædelser af databeskyttelseslovgivningen, men også styrke organisationens omdømme og tillid blandt kunder og samarbejdspartnere.
Først og fremmest er det vigtigt at identificere og vurdere alle de databehandlere, I samarbejder med, og kortlægge de forskellige tjenester og processer, hvor personoplysninger behandles.
Derefter skal der udarbejdes en databehandleraftale, der nøje beskriver de roller, ansvar og forpligtelser, som hver part har i forbindelse med behandlingen af personoplysninger. Aftalen skal tilpasses hver enkelt databehandler og tage højde for de specifikke databehandlingsaktiviteter, der udføres på vegne af organisationen.
Som en del af implementeringsprocessen bør der også etableres procedurer for løbende overvågning og evaluering af databehandlerne – fx regelmæssige revisioner, kontrolbesøg og rapportering fra databehandleren om deres aktiviteter og eventuelle tiltag, der er truffet for at forbedre databeskyttelsen.
Endelig skal alle relevante medarbejdere i organisationen uddannes og informeres om databehandleraftaler og deres betydning for virksomhedens databeskyttelsesstrategi. Det kan inkludere at udarbejde interne retningslinjer og procedurer for samarbejdet med databehandlere og håndtering af eventuelle sikkerhedsbrud eller andre problemer, der måtte opstå i forbindelse med behandlingen af personoplysninger.
