I en tidsalder, hvor data og personoplysninger er afgørende for virksomheders drift, er det vigtigt at forstå, hvordan man udarbejder en korrekt databehandleraftale for at sikre overholdelse af GDPR. En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler, der fastlægger rammerne for behandling af personoplysninger. Denne aftale er essentiel for at sikre, at data behandles korrekt og beskyttes mod misbrug.
Herunder får du et overblik over, hvad en databehandleraftale er, hvorfor du skal have en samt hvad den med fordel kan indeholde.
Hvad er en databehandleraftale?
En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler, der fastlægger vilkår og betingelser for behandling af personoplysninger. Aftalen er designet til at sikre, at begge parter forstår deres respektive roller og ansvar i forbindelse med behandling af personoplysninger og overholder gældende databeskyttelseslovgivning. Denne aftale er nødvendig for at beskytte både organisationens data og de registreredes rettigheder.
LÆS OGSÅ: Tilsyn med databehandler
Databehandler vs. dataansvarlig
For at forstå essensen af en databehandleraftale er det vigtigt at kende forskellen på databehandler og dataansvarlig. Begge parter har forskellige roller og ansvar i forhold til behandling af personoplysninger.
1. Hvad er en dataansvarlig?
Dataansvarlige er virksomheder eller enkeltpersoner, der bestemmer formålet med og midlerne til behandling af personoplysninger. De har det primære ansvar for at sikre, at behandlingen af personoplysninger overholder databeskyttelseslovgivningen.
2. Hvad er en databehandler?
Databehandlere er virksomheder, der behandler personoplysninger på vegne af en dataansvarlig. Databehandlere udfører behandlingsaktiviteter efter instruktion fra dataansvarlige og har ikke autonomi til at bestemme formålet med eller midlerne til behandling af personoplysningerne.
Kort sagt: Den dataansvarlig bestemmer, hvorfor og hvordan personoplysninger skal behandles, mens databehandler er den part, der udfører selve behandlingen efter instruktioner fra dataansvarlige. Begge parter har ansvar for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med gældende databeskyttelseslovgivning og under hensyntagen til den registreredes rettigheder.
Hvad skal en databehandleraftale indeholde?
En databehandleraftale skal indeholde en beskrivelse af den dataansvarliges såvel som databehandlerens rettigheder og forpligtelser i forhold til behandling af personoplysninger – typisk indeholder aftalen følgende elementer:
- Formål og omfang
Aftalen bør klart beskrive formålet med databehandlingen, hvilke typer af personoplysninger der behandles, og den kategori af registrerede personer, hvis data behandles. For eksempel kan formålet være, at en databehandler opbevarer ansattes løn- og ansættelsesoplysninger på vegne af en dataansvarlig.
- Instruktioner
Aftalen bør angive, at databehandleren kun må behandle personoplysninger efter de instruktioner, som dataansvarlige giver. Dette inkluderer instruktioner om opbevaring, overførsel og sletning af data.
- Sikkerhedsforanstaltninger
Aftalen bør kræve, at databehandleren træffer passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne mod uautoriseret adgang, tab, ødelæggelse, ændring eller offentliggørelse. Dette kan inkludere kryptering af data, adgangskontrol, sikkerhedskopiering af data og regelmæssige sikkerhedsrevisioner
- Underdatabehandlere
Aftalen bør specificere, om databehandleren har tilladelse til at bruge underdatabehandlere, og hvordan dataansvarlige skal informeres om sådanne underdatabehandlere, herunder krav om skriftlig godkendelse. Det bør også sikres, at underdatabehandlere er underlagt de samme forpligtelser som databehandleren, herunder overholdelse af GDPR og beskyttelse af personoplysninger.
- Revision og kontrol
Aftalen bør indeholde bestemmelser om revision og kontrol af databehandlerens overholdelse af databeskyttelseslovgivningen og aftalens vilkår. Dette kan inkludere retten for dataansvarlige eller en tredjepart til at gennemføre regelmæssige revisioner, inspicere databehandlerens faciliteter og vurdere databehandlerens praksis for at sikre overholdelse af GDPR.
- Bistand og samarbejde
Aftalen bør kræve, at databehandleren bistår dataansvarlige med at opfylde deres forpligtelser i forhold til registreredes rettigheder og overholdelse af databeskyttelseslovgivningen, såsom at reagere på anmodninger om indsigt i data, rettelse, sletning og dataportabilitet.
- Underretning om sikkerhedsbrud
Aftalen bør kræve, at databehandleren underretter den dataansvarlige hurtigst muligt og senest inden for et fastsat tidsrum, efter at databehandleren opdager et sikkerhedsbrud, som involverer personoplysninger. Underretningen bør indeholde detaljer om bruddet, herunder hvilken type data der er berørt, omfanget af bruddet og de trufne afhjælpende foranstaltninger
- Overførsel af data til tredjelande
Hvis databehandleren eller en underdatabehandler overfører personoplysninger til lande uden for EU/EØS, bør databehandleraftalen indeholde bestemmelser om, hvordan overførslerne skal foregå i overensstemmelse med GDPR og andre relevante databeskyttelsesregler.
- Varighed og opsigelse
Aftalen bør specificere varigheden af databehandlingen og betingelserne for opsigelse af aftalen, herunder krav om, at databehandleren skal slette eller returnere personoplysningerne til dataansvarlige efter opsigelse af aftalen.
Skabelon til databehandleraftale
Virker det uoverskueligt at få udarbejdet en databehandleraftale helt fra bunden, kan du finde en skabelon på Datatilsynets hjemmeside her.
Husk dog, at skabelonen kun er et udgangspunkt og bør tilpasses for at imødegå organisationens specifikke behov og situation. Det kan være en god idé at konsultere en juridisk rådgiver med erfaring inden for databeskyttelseslovgivning for at sikre, at databehandleraftalen er korrekt.
Hvornår skal du have en databehandleraftale?
Du skal have en databehandleraftale, hvis du som dataansvarlig benytter dig af en databehandler – altså en ekstern part – til at udføre behandling af personoplysninger på dine vegne.
Nedenfor er en række eksempler på, hvornår en databehandleraftale er nødvendig:
- Hvis en virksomhed outsourcer HR- eller lønfunktioner til en ekstern leverandør, der behandler personoplysninger om virksomhedens ansatte.
- Hvis en virksomhed benytter sig af en ekstern tjeneste til at håndtere kundesupport og behandler kundeoplysninger som en del af denne service.
- Hvis en virksomhed bruger en cloud-tjenesteudbyder til at lagre og behandle personoplysninger, som virksomheden indsamler fra sine kunder eller brugere.
- Hvis en organisation benytter sig af en ekstern marketingtjeneste, der behandler personoplysninger om potentielle kunder og leads.
I alle disse situationer – og mange andre – skal der indgås en databehandleraftale mellem dig som dataansvarlig og databehandleren for at sikre overholdelse af databeskyttelseslovgivningen og beskytte personoplysningerne.
Implementering af databehandleraftale
En veludført implementering af databehandleraftaler i organisationen kan ikke blot mindske risikoen for overtrædelser af databeskyttelseslovgivningen, men også styrke organisationens omdømme og tillid blandt kunder og samarbejdspartnere.
Først og fremmest er det vigtigt at identificere og vurdere alle de databehandlere, I samarbejder med, og kortlægge de forskellige tjenester og processer, hvor personoplysninger behandles.
Derefter skal der udarbejdes en databehandleraftale, der nøje beskriver de roller, ansvar og forpligtelser, som hver part har i forbindelse med behandlingen af personoplysninger. Aftalen skal tilpasses hver enkelt databehandler og tage højde for de specifikke databehandlingsaktiviteter, der udføres på vegne af organisationen.
Som en del af implementeringsprocessen bør der også etableres procedurer for løbende overvågning og evaluering af databehandlerne – fx regelmæssige revisioner, kontrolbesøg og rapportering fra databehandleren om deres aktiviteter og eventuelle tiltag, der er truffet for at forbedre databeskyttelsen.
Endelig skal alle relevante medarbejdere i organisationen uddannes og informeres om databehandleraftaler og deres betydning for virksomhedens databeskyttelsesstrategi. Det kan inkludere at udarbejde interne retningslinjer og procedurer for samarbejdet med databehandlere og håndtering af eventuelle sikkerhedsbrud eller andre problemer, der måtte opstå i forbindelse med behandlingen af personoplysninger.
