Databehandleraftale - læs om alle reglerne her

Databehandleraftale. Hvad er det? Hvornår skal du have sådan en? Hvad skal den indeholde?

Du skal lave en databehandleraftale, hvis der er en databehandlersituation mellem dig som dataansvarlig og en anden part. Læs mere herunder om databehandlersituationen og databehandleraftalen.

Hvad er en databehandleraftale?

En databehandleraftale er en aftale mellem dig som ansvarlig for data og en anden, der behandler personoplysninger på dine vegne.

Du kan se vores video herunder, der kort (1:18) forklarer, hvad en databehandleraftale er:

(Artiklen fortsætter under videoen...)

Hvis du som dataansvarlig benytter en databehandler, skal du lave en databehandleraftale med databehandleren.

Med en databehandleraftale sikrer du dig og dine personoplysninger som dataansvarlig. Du sikrer, at databehandleren behandler personoplysninger efter reglerne i GDPR (Databeskyttelsesforordningen/persondataforordningen).

Det betyder bl.a. at databehandleren skal passe godt på dine personoplysninger. Hvis det er nødvendigt, skal databehandleren for eksempel have installeret antivirus og firewall, fordi databehandleren skal foretage ’passende tekniske og organisatoriske foranstaltninger’, da det står i forordningen.

Derudover er der forskellige krav alt afhængig af, om du er dataansvarlig eller databehandler.

Databehandleraftale hvornår?

Det store spørgsmål er så, hvornår skal der laves en databehandleraftale?

Se videoen herunder, der forklarer, hvornår man skal lave en databehandleraftale (den varer kun 1:51):

(Artiklen fortsætter under videoen...)

Det kedelige svar er, at det afhænger af en konkret vurdering. I vurderingen er der flere faktorer, der kan tale for og imod en databehandlersituation.

Når du skal finde ud af, om en anden er databehandler, skal du særligt vurdere følgende:

1. Ydelsen som parterne skal levere
2. Hvem bestemmer formål og hjælpemidler?

Lad os se lidt nærmere på, hvad der menes med ’ydelsen’ og ’formål og hjælpemidler’.

1. Ydelsen som parterne skal levere

Du skal lave en databehandleraftale, hvis en aftale mellem dig og en anden, går ud på, at den anden skal behandle personoplysninger efter instruks fra dig som dataansvarlig.

Med behandle menes indsamle, opbevare, videregive, slette osv.

Datatilsynet nævner også, at aftalen skal dreje sig om levering af en ydelse, som består af behandling af personoplysninger.

En håndværkerydelse består ikke i behandling af personoplysninger. Benytter din virksomhed en håndværker, skal du derfor normalt ikke lave en databehandleraftale med håndværkeren.

En lønkørselsydelse vil normalt bestå af behandling af personoplysninger. Hvis du for eksempel bruger en behandler såsom Danløn, Bluegarden eller lignende til at køre løn, skal du derfor normalt have lavet en databehandleraftale med dem.

2. Hvem bestemmer formål og hjælpemidler?

For det andet skal du også lægge vægt på, om du bestemmer følgende:

1. Med hvilke formål personoplysningerne må behandles (formålet)
2. Hvordan personoplysningerne må behandles (hjælpemidlerne)

Bestemmer du så som dataansvarlig selv med hvilket formål personoplysningerne må behandles, og hvordan personoplysningerne må behandles taler det for, at du er dataansvarlig, og den anden part er databehandler.

Hvis den anden part dog selv bestemmer formål og hjælpemidlerne i forbindelse med behandling af personoplysninger, taler det for, at den anden part er selvstændig dataansvarlig og selv er ansvarlig for de modtagne oplysningerne.

Hvis den anden part ved lov eller lignende er pålagt at foretage en behandling af personoplysninger, vil den anden part naturligt anses for værende dataansvarlig.

Eksempler på hvornår der skal laves en databehandleraftale

Datatilsynet er kommet med en række eksempler på, hvornår der skal laves en aftale mellem den dataansvarlige og databehandleren, og hvornår der ikke skal laves en aftale.

Tømrermesteren:

Datatilsynet har bl.a. givet et eksempel med en tømrer, der skal montere et greb for en kommune hos en borger. Kommunen giver tømreren personoplysninger i form af navn og adresse på borgeren. Det er nødvendigt for at tømreren kan vide, hvor han skal montere grebene henne.

Her skriver Datatilsynet, at tømreren ikke er databehandler (og dermed skal der ikke laves databehandleraftale). Det skyldes, at ydelsen, som tømreren leverer, ikke drejer sig om behandling af personoplysninger - det er blot en almindelig håndværksydelse.

Fitnesskæden:

I et andet eksempel nævner Datatilsynet en fitnesskæde, der behandler oplysninger såsom medlemmernes navne, personnumre, e-mailadresser og lignende. Fitness A indtaster oplysningerne i et system hos et webbureau. I denne situation bestemmer fitnesskæden selv med hvilke formål, der skal behandles personoplysninger, og hvordan oplysningerne skal behandles.

Derfor er fitnesskæden i dette eksempel dataansvarlige, mens webbureauet er databehandlere, fordi webbureauet skal levere en ydelse, der består i at behandle personoplysninger.

Hvad skal der stå i en databehandleraftale?

Hvis du har fundet ud af, at du sender personoplysninger videre til en part, som er databehandler, så skal der indgås en databehandleraftale.

Det er en kontrakt eller et andet retligt dokument, som er bindende for databehandleren.

Det er et krav, at databehandleraftalen er skriftlig og skal kunne forevises elektronisk.

Der er en udmærket skabelon til en aftale på Datatilsynets hjemmeside, som i mange tilfælde kan benyttes.

Aftalen skal dog bl.a. indeholde:

• Oplysninger om genstanden for behandlingen
• Varigheden af behandlingen
• Behandlingens karakter
• Formål med behandlingen
• Typen af personoplysninger
• Dine forpligtelser og rettigheder som dataansvarlig
• Pligter som databehandleren har i forhold til at varetage opgaven

Du kan i mange tilfælde bruge Datatilsynets skabelon til databehandleraftale.

Underdatabehandler - hvis en databehandler også benytter en databehandler

I visse tilfælde vil en databehandler benytte en anden databehandler. Det er også dette, man kalder for underdatabehandlere.

Se vores video herunder, der forklarer om brugen af underdatabehandlere.

(Artiklen fortsætter under videoen...)

Det er for eksempel tilfældet, hvis dit lønkørselssystem (som databehandler) - lad os sige Danløn - benytter sig af en IT-leverandør som databehandler. I det tilfælde vil IT-leverandøren være underdatabehandler.

Hvis en databehandler brug af en underdatabehandler, skal databehandleren have specifik eller generel skriftlig godkendelse fra den dataansvarlige. Databehandleren skal desuden lave en kontrakt med underdatabehandlerne.

Fælles dataansvar

I visse tilfælde, kan der opstå situationer, hvor to parter i fællesskab er dataansvarlige.

Det er for eksempel tilfældet, hvis to eller flere bestemmer hvorfor der skal behandles personoplysninger, og hvordan de skal behandles.

I dette tilfælde vil begge parter bestemme:

• Formål
• Hjælpemidler

Dermed vil de være fælles ansvarlige for behandlingen.

Hvis du er fælles dataansvarlig med en anden part, skal du lave en aftale eller lignende, hvor I får afgrænset, hvem der har ansvaret for hvad. Oftest vil mange beslutninger dog blive taget i fællesskab.

Databehandleraftale skabelon

Datatilsynet har lavet en skabelon til databehandleraftale.

Skabelonen kan bruges i mange tilfælde. Der skal blandt andet beskrives en række oplysninger om behandlingen (formål, karakter, typen, kategori, varighed osv.).

Du kan downloade skabelonen på Datatilsynets hjemmeside under "Skabeloner".

Brug for hjælp til bl.a. databehandleraftalerne?

Har du brug for mere hjælp efter at have læst denne gratis artikel?

Her på Persondatakonsulenterne.dk hjælper vi vores klienter med både at udfærdige databehandleraftaler og indgå de nødvendige databehandleraftaler. 

Kontakt os ved at klikke herunder for at høre nærmere om, hvordan vi kan hjælpe dig.

Kontakt os her for at få hjælp

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.