Ny skabelon til databehandleraftale fra Datatilsynet
Datatilsynet har udarbejdet en standard-databehandleraftale, som har til formål at hjælpe dataansvarlige og databehandlere med at efterleve kravene til databehandleraftaler i Databeskyttelsesforordningen.
Mange virksomheder og myndigheder har svært ved at vurdere, hvornår man er henholdsvis dataansvarlig og databehandler samt hvilket ansvar, man efter Databeskyttelsesforordningen er underlagt som dataansvarlig og databehandler.
Endvidere stiller Databeskyttelsesforordningens en række detaljerede krav til en databehandleraftales indhold.
Derfor har Datatilsynet udarbejdet en udførlig vejledning om dataansvarlige og databehandlere og nu også en standard-databehandleraftale.
Formålet med denne "pakke" er at give virksomheder og myndigheder nogle værktøjer til at afklare, hvornår der foreligger en databehandlerkonstruktion, hvilke roller og ansvar den dataansvarlige og databehandleren har efter forordningen og hvad en databehandleraftale skal indeholde.
Datatilsynets bud på en databehandleraftale er en skabelon, som virksomheder og myndigheder kan vælge, om de vil benytte, eventuelt blot tjekliste for deres egen databehandleraftale. Datatilsynets standardaftale er med andre ord ikke obligatorisk at benytte; man skal blot sikre sig, at aftalen opfylder kravene i forordningens artikel 28, stk. 3.
Databeskyttelsesforordningens artikel 28, stk. 3
I henhold til artikel 28, stk. 3 skal en databehandlers behandling være reguleret af en skriftlig aftale, der som minimum skal opfylde nedenstående krav:
- Genstanden for behandlingen og typen af personoplysninger
- Varigheden af behandlingen
- Hvilken form for behandling der skal foretages og til hvilket formål
- Hvilke kategorier af registrerede de behandlede personoplysninger vedrører
- Den dataansvarliges rettigheder og forpligtelser
- At databehandleren kun må behandle personoplysningerne på baggrund af dokumenterede instruktioner fra den dataansvarlige
- At personer hos databehandleren, der er autoriseret til at behandle oplysningerne, er underlagt en fortrolighedsforpligtelse
- At databehandleren etablerer passende sikkerhedsforanstaltninger
- At databehandleren overholder betingelserne i Forordningen for at bruge underdatabehandlere
- At databehandleren bistår den dataansvarlige med at opfylde dennes forpligtelser over for de registrerede
- At databehandleren skal bistå den dataansvarlige med at sikre dennes overholdelse af forpligtelserne i Forordningens artikel 32-36 om bl.a. sikkerhedsforanstaltninger, anmeldelse ved sikkerhedsbrud, udarbejdelse af risikoanalyser, herunder eventuelt en DPIA og eventuel konsultation med databeskyttelsesmyndighederne
- At databehandleren på den dataansvarliges anmodning og efter den dataansvarliges valg sletter eller returnerer de behandlede personoplysninger ved behandlingens ophør
- At databehandleren udleverer alle nødvendige informationer med henblik på, at den dataansvarlige kan dokumentere, at behandlingen hos databehandleren lever op til forpligtelserne, samt tillader og medvirker til kontrol og audits heraf. Herunder skal databehandleren være forpligtet til at informere den dataansvarlige, såfremt det er databehandlerens opfattelse, at en instruks er ulovlig.
Standard-databehandleraftalens opbygning
Standardaftalen fra Datatilsynet er opdelt i to dele: en generel og en specifik del.
Den generelle del af aftalen indeholder en standardtekst, hvor det ikke er nødvendigt at tilrette teksten fra aftaleforhold til aftaleforhold bortset fra at indsætte de relevante parters navne og titel på hovedaftalen.
Den specifikke del, som omfatter aftalens bilag, skal derimod udfyldes individuelt. Bilagene indeholder blandt andet en nærmere instruks om behandlingen, den aftalte behandlingssikkerhed, den dataansvarliges godkendelse af eventuelle underdatabehandlere og procedurer for tilsynet med databehandleren og dennes eventuelle underdatabehandlere.
Find standard-databehandleraftalen under "Nationale skabeloner" og Datatilsynets vejledning om dataansvarlige og databehandlere her.
