Databehandleraftale

Hvad er en databehandleraftale?

En databehandler er som regel en virksomhed, der behandler personoplysninger på andres vegne. Den virksomhed, som får behandlet kunders personoplysninger af en databehandler, er den dataansvarlige. En databehandleraftale er således en skriftlig aftale mellem to virksomheder, der beskriver, hvordan databehandleren må behandle data for den dataansvarlige.

Hvad er databehandlerens opgave?

Det er databehandlerens opgave at hjælpe den dataansvarlige med at behandle personoplysningerne. Databehandleren gør dette ved at sørge for, at der bliver gennemført foranstaltninger, som sikrer personoplysningernes beskyttelse. Databehandleren skal generelt sørge for, at behandlingen af personoplysningerne efterlever den dataansvarliges krav til behandlingssikkerheden.

Hvornår skal du lave en databehandleraftale?

Du skal indgå en databehandleraftale, hvis din virksomhed får en anden virksomhed til at opbevare personlig data. Dette kan eksempelvis være tilfældet, hvis din virksomhed får en anden virksomhed til at opbevare jeres kunders personoplysninger. Personoplysninger er private oplysninger såsom navn, CPR-nummer, køn og alder. Du har som dataansvarlig det endelige ansvar for, hvordan kundernes personoplysninger bliver behandlet.

Se hvordan Legal Desk virker. Artiklen fortsætter under videoen.

Hvorfor skal du lave en databehandleraftale?

Kravet om, at virksomheder skal udarbejde databehandleraftaler, følger af EU’s databeskyttelsesforordning. Ifølge databeskyttelsesforordningen, stilles der strenge krav til virksomheders behandling af kunders personlige data, hvilket også er grunden til, at der stilles et krav om, at den dataansvarlige fører tilsyn med databehandleren. 

Tilsyn med databehandleren

Det er ikke nok blot at indgå en databehandleraftale. Det er nemlig også et krav, at den dataansvarlige fører tilsyn med, at databehandleren efterlever databehandleraftalen. Der kan føres tilsyn på forskellige måder, blandt andet ved at databehandleren selv stiller en uafhængig tilsynsrapport til rådighed ved, at den dataansvarlige hyrer en uafhængig tredjepart til at føre tilsyn eller selv gennemfører tilsynet.

Kravene til, hvor ofte der skal føres tilsyn, er forskellige afhængig af, hvor følsomme personoplysninger, der bliver behandlet. Hvis der er tale om behandling af en stor mængde følsomme personoplysninger, vil det indebære en høj risiko for de omfattede, hvorfor der vil skulle føres tilsyn ofte, eksempelvis hver sjette måned. Hvis der derimod er tale behandling af en begrænset mængde almindelige personoplysninger, kan den dataansvarlige nøjes med at føre tilsyn én enkelt gang hvert år eller hvert andet år.

Hvad skal databehandleraftalen indeholde?

Der stilles en række krav til, hvad databehandleraftalen skal indeholde, herunder at databehandleraftalen skal leve op til databeskyttelsesforordningens minimumskrav. Disse krav omfatter blandt andet følgende:

• Databehandleren må kun behandle personoplysninger efter den dataansvarliges instruks.
• Det skal sikres, at den autoriserede databehandler har fortroligheds- og tavshedspligt.
• Alle personoplysningerne slettes eller tilbageleveres til den dataansvarlige ved tjenestens ophør, efter den dataansvarliges ønske herom.
• Den dataansvarlige bruger kun databehandlere, som kan garantere, at databehandlingen sker på en passende måde, der opfylder kravene i databeskyttelsesforordningen.
• Databehandleren er fuldt ud ansvarlig over for den dataansvarlige, hvis databehandleren vælger at benytte en underdatabehandler for at opfylde sine forpligtelser.
• Databehandleren kan blive forpligtet til at betale erstatning eller bøde, hvis vedkommende ikke opfylder sine forpligtelser.

Lav hemmeligholdelsesaftale med Legal Desk

Vi kan desværre ikke tilbyde dig hjælp med at udarbejde en databehandleraftale, men du kan finde en skabelon her. Vi tilbyder dog hemmeligholdelsesaftaler til, når din virksomhed skal give andre adgang til din virksomheds fortrolige oplysninger, såsom kundelister eller opfindelser.

Du kan læse mere om vores hemmeligholdelsesaftale her.