GDPR: Ny standardkontrakt fra Datatilsynet gør livet lettere for virksomheder
Hvis I skal i gang med at lave eller revidere databehandleraftaler med leverandører, så start med at kigge på den nye skabelon.
Databehandleraftaler regulerer samarbejdet mellem en dataansvarlig og dennes databehandler(e), så det lever op til kravene i databeskyttelsesforordningen, GDPR. Det skrev vi en artikel om i 2018, og den giver en nyttig introduktion til databehandleraftaler, hvem der skal lave dem og hvorfor. I denne artikel vil vi til gengæld koncentrere os om de vigtigste ændringer i Datatilsynets nye skabelon, samt hvilken betydning det har, at der er tale om en standardkontrakt.
Den nye standardkontrakt har en særligt bindende juridisk karakter
Muligheden for at give skabelonen karakter af standardkontrakt er beskrevet i selve forordningen. Det indebærer, at skabelonen skal godkendes af det Europæiske Databeskyttelsesråd, og det skete i efteråret 2019, og hermed er Danmark det første land, som har en standardkontrakt. Standardkontrakten har en juridisk bindende status, der betyder, at Datatilsynet f.eks. i forbindelse med et tilsynsbesøg ikke vil efterprøve det allerede fastlagte indhold.
Man kan sige, at Datatilsynet ved, at aftalen er korrekt lavet, når standardkontrakten anvendes, og at de derfor ikke har behov for at tjekke yderligere. For aftaleparterne er der en stor sikkerhed i at vide, at aftalen vil kunne stå model til et tilsyn og naturligvis også sparede ressourcer, når man ikke selv skal lave eller få lavet en skabelon.
Skal vi nu lave vores databehandleraftaler om?
Det er en fordel at bruge Datatilsynets nye standardkontrakt, men det er ikke et krav. Der er dog ifølge databeskyttelsesforordningen en række minimumskrav til en databehandleraftale, og de skal opfyldes uanset hvilken skabelon, man anvender.
Hvis man har brugt Datatilsynets gamle skabelon, vil Datatilsynet ”i vidt omfang og som et udgangspunkt fortsat acceptere (sådanne) aftaler”, når der er tale om aftaler indgået før den 10. december 2019, hvor standardkontrakten blev udgivet.
Hvis man ikke har brugt Datatilsynets gamle skabelon, kan det anbefales at undersøge, om gældende aftaler lever op til den nye standardkontrakt.
Væsentlige ændringer i den nye standardkontrakt
Ændringerne afspejler de første par års erfaringer med databeskyttelsesforordningen og omhandler bl.a.:
- Hvor præcist man skal beskrive de behandlede personoplysninger. Det er nu blevet præciseret, at personoplysningerne skal beskrives så specifikt som muligt. Det er ikke tilstrækkeligt blot at skrive ”personoplysninger” eller at angive, hvilken kategori af oplysninger (artikel 6, 9 eller 10), der behandles
- Ændring i bestemmelser om, hvordan den dataansvarlige fører tilsyn med evt. underdatabehandlere
- Den dataansvarliges ansvar for behandlingssikkerheden, bl.a. skal sikkerhedsforanstaltninger beskrives.
Den nye standardkontrakt kan downloades på dansk og engelsk fra Datatilsynets hjemmeside.
Podcast for SMV'er om GDPR-regler
Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.