Databehandleraftaler - hvornår?
Dels intern dokumentation og fortegnelser, dels aftaler med en eventuel ekstern databehandler.
Hvis I anvender en databehandler til at behandle personoplysninger, skal I normalt have tre forskellige aftaler:
- Hovedkontrakten eller -aftalen – det overordnede, primært kommercielle, dokument
- Databehandleraftalen – sikrer, at databeskyttelsesforordningens minimumskrav overholdes
- Instruks – beskriver i detaljen, hvordan databehandleren skal behandle data.
Denne artikel handler om databehandleraftaler.
Databehandleraftalen – hvem tager initiativ?
Det er jer som dataansvarlig virksomhed, der skal sørge for, at I har en gyldig databehandleraftale med de databehandlere, I samarbejder med. Databehandlere findes i mange afskygninger, fra brede leverandører af hosting- og cloudydelser til mere smalle leverandører af regnskabsprogrammer, CRM- eller ERP-systemer ”som en service” (SaaS), dvs. både program og data ligger fysisk hos leverandøren og tilgås af den dataansvarlige over nettet. Så hvis du f.eks. bruger E-conomic online, Office 365, et lønbureau eller ganske enkelt får hostet al din it hos en ekstern leverandør – ja, så skal samarbejdet være dækket af en databehandleraftale.
Når databehandleren laver aftalen
Ansvaret for en gyldig databehandleraftale ligger hos den dataansvarlige, men praksis har vist, at det mindst lige så ofte er databehandleren, der tager initiativet. Mange dataansvarlige og databehandlere har mange samarbejder, hvilket betyder mange databehandleraftaler, og det er naturligvis lettest at have så ensartede aftaler som muligt, uanset hvilken ende af relationen du sidder i.
Det er forskelligt, hvordan databehandlere håndterer databehandleraftalen. Tendensen er, at de store leverandører indarbejder den i deres generelle betingelser, dvs. at I som kunde selv skal sørge for at tjekke ”det med småt” for at finde den. I vil også kunne opleve, at jeres leverandør beder jer udfylde hvilke typer og kategorier af personoplysninger, I får behandlet hos dem, og at den information bliver indarbejdet i aftalen.
Hvad skal databehandleraftalen indeholde – og findes der en skabelon?
Hvis din databehandler ikke er kommet med et forslag til en aftale, så må du selv til tasterne. Heldigvis har Datatilsynet lavet en skabelon, som sikrer, at du overholder databeskyttelsesforordningens minimumskrav. Datatilsynet har lagt vægt på, at aftalen er praktisk anvendelig og i sig selv skaber mest mulig klarhed over parternes forskellige ansvar og rolle i databehandlingen.
Skabelonen er opbygget med en generel del og en specifik del/bilag. Den generelle del kan fungere som den dataansvarliges standardtekst, mens bilagene skal udfyldes særskilt fra aftaleforhold til aftaleforhold. Bilagene omhandler bl.a. den aftalte behandlingssikkerhed og den dataansvarliges godkendelse af evt. underdatabehandlere. Skabelonen kan downloades i Word-format her - hvor du også finder Datatilsynets vejledning i at bruge skabelonen.
Podcast for SMV'er om GDPR-regler
Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.