03 jul Databehandleraftalen: 7 punkter du skal være opmærksom på
3. juli 2023
Databehandleraftaler kan være komplekse og fyldt med juridiske terminologier. Men de udgør en afgørende kontrakt mellem dataansvarlige og databehandlere, der er bindende for begge parter. I denne artikel præsenterer DPO Danmark 7 vigtige punkter som databehandleraftalen bør indeholde, og som du bør være særligt opmærksom på.
En databehandleraftale opfattes ofte som en labyrint af afsnit, krav og juridiske vendinger. Men i samarbejdet mellem dataansvarlige og databehandlere skal der indgås en kontrakt, der er bindende for parterne. Krav om indgåelse af databehandleraftale følger direkte af Databeskyttelsesforordningens (GDPR) artikel 28, stk. 3.
Nedenfor gennemgår DPO Danmark 7 punkter som databehandleraftalen bør indeholde og som du bør være særligt opmærksom på. Denne artikel er skrevet med Datatilsynets skabelon til databehandleraftaler in mente, hvorfor du også kan finde referencer til, hvor i Datatilsynets skabelon punktet findes.
1. Instruks til databehandleren
Det er vigtigt at instruksen fremgår klart af databehandleraftalen. Instruksen fungerer som den bemyndigelse der gives fra den dataansvarlige til databehandleren, hvorfor denne også er databehandlerens behandlingsgrundlag. Uden en instruks kan det være svært at bevise lovlig behandling af personhenførbare data.
I Datatilsynets skabelon kan du finde mere om instruks i afsnit 2, punkt 3. (beskrivelse af hvilken tjeneste databehandleren leverer), afsnit 4 (generelle regler for instruksen) og bilag A (konkrete oplysninger om instruksen).
Bilag A bør indeholde en detaljeret gennemgang af følgende områder:
- Formålet med behandlingen (hvorfor ønsker den dataansvarlige hjælp til denne behandling)
- Karakteren af behandlingen (hvilken type behandling skal databehandleren udføre)
- Typer af personoplysninger (almindelige, følsomme, fortrolige)
- Kategorier af registrerede (specifikke grupper, evt. sårbare registrerede)
- Varighed af behandlingen (tidsmæssig længde, databehandleren har lov til at behandle i)
2. Anvendelse af underdatabehandlere
Langt de fleste databehandlere gør i dag brug af underdatabehandlere. Hvor databehandleren støtter den dataansvarlige, fungerer underdatabehandlere som støtte til databehandleren. Her er der alene tale om de underdatabehandlere der anvendes til at støtte behandling af personhenførbare data efter instruks fra den dataansvarlige, dvs. de systemer og leverandører som relaterer sig til denne opgave. Det er vigtigt at databehandlerens overblik over underdatabehandlere er opdateret, og at underdatabehandlere vælges med omhu. En underdatabehandler kan hurtigt gå fra lempe til ulempe, hvis der er mismatch mellem krav fra den dataansvarlige og krav til underdatabehandleren.
Gode overvejelser ved valg af underdatabehandlere:
- Typen af personoplysninger der er omfattet (Bilag A: almindelige, følsomme, fortrolige)
- Mængden af personer, der behandles oplysninger om (Bilag A: under 1.000, 1.000-10.000, over 10.000)
- Geografisk lokation, herunder underdatabehandlerens etableringsland og hostingland (Bilag B og C)
- Underdatabehandlerens mulighed for at ændre eller tilføje nye underunderdatabehandlere
- Tilsynsmuligheder med underdatabehandleren (ISAE 3000 erklæring, certificering, mm.)
- Underdatabehandlerens overblik over egne tekniske og organisatoriske sikkerhedsforanstaltninger
Specifikke krav til databehandlerens anvendelse af underdatabehandlere fremgår af Datatilsynets skabelon til databehandleraftaler afsnit 7, Bilag B og C.
3. Overførsel til tredjelande eller internationale organisationer
Det er vigtigt at tage stilling til tredjelandsoverførsler i databehandleraftalen. Dette kan både være fordi du som databehandler er etableret eller har moderselskab i et tredjeland udenfor EU/EØS, eller hvis du anvender underdatabehandlere til f.eks. hosting eller andet, som opbevarer data i et tredjeland.
I Datatilsynets skabelon til databehandleraftale afsnit 8 fremgår, at databehandleren ikke må overføre, overlade til eller behandle personoplysninger i et tredjeland uden dokumenteret instruks fra den dataansvarlige. De forskellige lokaliteter for behandling af persondata skal fremgå af Bilag C, afsnit 5 i Datatilsynets skabelon. Hvorvidt der er instruks og et eventuelt overførselsgrundlag for denne bør fremgå af Bilag C, afsnit 6 i Datatilsynets skabelon.
Et overførselsgrundlag til et tredjeland eller en international organisation skal danne grundlag for overførelsen for at lovliggøre behandlingen. Overførselsgrundlag kan f.eks. være hvad der kaldes en ”tilstrækkelighedsafgørelse” fra EU Kommissionen eller begrundes i tiltrædelse af de Europæiske Standardkontraktklausuler (SCC) med tilhørende transfer impact assessment (TIA) og supplerende sikkerhedsforanstaltninger.
4. Henvendelser fra de registrerede
Som databehandler er det et krav, at du bistår og støtter den dataansvarlige med opfyldelse af deres forpligtigelse med opfyldelse af de registreredes rettigheder. De personer der behandles data om, har et sæt af rettigheder som fremgår af GDPR kapitel 3. Det kan for eksempel være ret til indsigt, korrigering eller sletning af personoplysninger.
Datatilsynets skabelon afsnit 9, punkt 1 oplister hvilke pligter databehandleren forventes at bistå med. Desuden kan I med fordel aftale hvem der hos den dataansvarlige skal kontaktes i tilfælde af anmodninger og hvad der skal oplyses, f.eks. om mailen bare skal videresendes med et bestemt emnefelt eller lignende.
5. Brud på persondatasikkerheden
Udover at bistå de dataansvarlige med henvendelser fra registrerede der hører under deres dataansvar, skal du som databehandler også underrette om brud på persondatasikkerheden. Et brud defineres som en hændelse “der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet.” Er du som databehandler usikker på om der er tale om et brud, anbefaler vi, at du så hurtigt som muligt fremsender oplysninger om bruddet til den dataansvarlige, og enten sammen eller overladt til dem vurderer om der er tale om et brud. Vær opmærksom på at en sikkerhedshændelse som konkluderes at være et brud, som udgangspunkt skal anmeldes til Datatilsynet inden 72 timer efter at den dataansvarlige er blevet bekendt med bruddet.
I Datatilsynets skabelon afsnit 6, punkt 3 og afsnit 9, punkt 2 beskrives dine forpligtelser som databehandler til at bistå den dataansvarlige i tilfælde af brud på persondatasikkerheden. I skabelonens afsnit 10 fastsættes en specifik tidsramme for hvornår du som databehandler skal underrette den dataansvarlige, og hvilke oplysninger du skal knytte til underretningen. Dette kan specificeres yderligere i Bilag C, afsnit 3.
6. Behandlingssikkerhed
I databehandleraftalen skal der tages stilling til om databehandleren forventes at have et højt sikkerhedsniveau, alternativt et begrænset sikkerhedsniveau. I den forbindelse listes ofte et minimum af tekniske og organisatoriske foranstaltninger, som den dataansvarlige kræver af databehandleren.
I Datatilsynets skabelon fremgår dette af Bilag C, afsnit 2. Den dataansvarlige kan have en standardiseret liste, som de forventer, at databehandleren efterlever. Alternativt kan du som databehandler skrive din egen standard, om ikke andet for at sammenligne, så du sikrer at kunne efterleve de krav der stilles.
7. Tilsyn med databehandleren og underdatabehandlerne
Et emne der ofte bliver glemt i forhandlingen med den dataansvarlige, er tilsynsmetoden. Det kan enten være, hvordan den dataansvarlige fører tilsyn med dig som databehandler eller hvordan du som databehandler fører tilsyn med dine underdatabehandlere.
Vi anbefaler, at du som databehandler, gør dig bekendt med de seks tilsynskoncepter, som Datatilsynet henviser til i deres Vejledning om tilsyn med databehandlere. Det kan være, at du allerede får eller planlægger at få udarbejdet en erklæring fra en uafhængig revisor, f.eks. en ISAE 3000 GDPR erklæring, som kan anvendes efter tilsynskoncept 5.
I Datatilsynets skabelon kan du finde bestemmelsen om den dataansvarliges tilsyn med dig som databehandler i Bilag C, afsnit 7 og om kravene til dine tilsyn med underdatabehandlerne i Bilag C, afsnit 8. Det er vigtigt, at du undersøger, om du faktiske kan efterleve den dataansvarliges krav til tilsyn.
DPO Danmark hjælper dig gerne i mål med forhandlinger med dataansvarlige, overblik over underdatabehandlere og procedurer for compliance med databehandleraftaler. Kontakt os, hvis du vil høre mere.