Databehandleraftale

databehandler-aftaler

Den nye Persondataforordning arbejder med to primære roller: Dataansvarlig og databehandler. Uanset hvilken rolle du har, så skal du vide, at hvis der gøres brug af en eller flere databehandlere, så skal der laves en skriftlig databehandleraftale.

 

Forskellen på dataansvarlig og databehandler

Persondataforordningens definition af de to roller er denne:

 

Dataansvarlig: Den, der afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af persondata. Der kan både være tale om en juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ.

 

Databehandler: En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der har til opgave at behandle persondata på vegne af den dataansvarlige.

 

Groft sagt er den dataansvarlige den, som bestemmer og har det endelige ansvar, mens databehandleren er den, som primært arbejder med data. Netop fordi den dataansvarlige i den sidste ende altid skal stå på mål for, hvad der sker med data, er det nødvendigt at lave en specifik aftale med databehandleren om behandlingen. Og databehandleren skulle gerne sikre sig, at den dataansvarlige ikke prøver at tørre ansvaret af.

 

Helt overordnet set må en databehandler kun behandle data på basis af instruksen fra den dataansvarlige. Databehandleren kan altså ikke bare f.eks. sælge data til højstbydende eller uden videre lade nogen andre håndtere opgaven for sig. Den dataansvarliges ord er lov, MEN loven er vigtigere end den dataansvarliges ord: Den dataansvarlige skal sørge for, at forordningen overholdes, f.eks. at der er hjemmel og den registrerede orienteres om dennes rettigheder.

 

Hvis den dataansvarliges instruks strider imod forordningen er det databehandlerens pligt at påtale dette. Og hvis det ikke virker, så ville det være en god ide at komme ud af samarbejdet og eventuelt informere Datatilsynet. Handler en databehandler efter sine egne ideer eller i strid med forordningen, vil databehandleren kunne pålægges et ansvar og erstatningspligt i forhold til de registrerede, der har lidt skade ved en overtrædelse af forordningen. Datatilsynets potentielt store hammer kan altså også falde over databehandlere.

 

Underdatabehandler

En databehandler har mulighed for at videregive en eller flere opgaver til en såkaldt underdatabehandler, der har mindst de samme forpligtelser som databehandleren. Dette er dog kun muligt, såfremt den dataansvarlige har givet skriftlig godkendelse til dette. Det skal understreges, at en underdatabehandler handler på vegne af den dataansvarlige og ikke databehandleren. Databehandleren bliver altså ikke dataansvarlig for underdatabehandleren, så at sige.

 

Det ses ofte, at en databehandler benytter sig af flere underdatabehandlere, og en underdatabehandler kan også videregive opgaver til endnu en anden underdatabehandler. I den sammenhæng er det værd at understrege, at ansvaret skal være klart fordelt i de indgåede databehandleraftaler og at alle aftaler altså mindst skal indeholde samme krav, som den oprindelige aftale. Man kan ikke snyde sig udenom.

 

Databehandleraftale

Når den dataansvarlige indgår en aftale med en databehandler, skal der udarbejdes en skriftlig kontrakt. Det er den dataansvarliges ansvar, at en sådan kontrakt bliver indgået, dog udformes den ofte af databehandleren. Selvom dette er tilfældet i praksis, er det stadig den dataansvarliges ansvar, at alle kravene til en sådan aftale er opfyldt. Kravene til en databehandleraftale er følgende:

 

  • Genstanden for behandlingen og typen af personoplysninger
  • Varigheden af behandlingen
  • Hvilken form for behandling, der skal foretages og til hvilket formål
  • Hvilke kategorier af registrerede, de behandlede personoplysninger vedrører
  • Den dataansvarliges rettigheder og forpligtelser
  • At databehandleren kun må behandle personoplysningerne på baggrund af dokumenterede instruktioner fra den dataansvarlige
  • At personer hos databehandleren, der er autoriseret til at behandle oplysningerne, er underlagt en fortrolighedsforpligtelse
  • At databehandleren etablerer passende sikkerhedsforanstaltninger
  • At databehandleren overholder betingelserne i forordningen for at bruge underdatabehandlere
  • At databehandleren bistår den dataansvarlige med at opfylde dennes forpligtelser over for de registrerede
  • At databehandleren skal bistå den dataansvarlige med at sikre dennes overholdelse af forpligtelserne i forordningens artikel 32-36 om blandt andet sikkerhedsforanstaltninger, anmeldelse ved sikkerhedsbrud, udarbejdelse af risikoanalyser, herunder eventuelt en Data Protection Impact Assessment (DPIA) og eventuel konsultation med databeskyttelsesmyndighederne
  • At databehandleren på den dataansvarliges anmodning og efter den dataansvarliges valg sletter eller returnerer de behandlede personoplysninger ved behandlingens ophør
  • At databehandleren udleverer alle nødvendige informationer med henblik på, at den dataansvarlige kan dokumentere, at behandlingen hos databehandleren lever op til forpligtelserne, samt tillader og medvirker til kontrol og audits heraf. Herunder skal databehandleren være forpligtet til at informere den dataansvarlige, såfremt det er databehandlerens opfattelse, at en instruks er ulovlig

 

Det er en pænt stor mundfuld, men heldigvis kan vi hos PersondataSupport hjælpe dig med en skræddersyet databehandleraftale. Kontakt Per uforpligtende på 23315014 eller kontakt@pds.as - husk: Om du ønsker vores hjælp eller ej, så SKAL du lave en aftale! Og husk også, at de aftaler, som du måtte have i dag, skal have et tjek senest når Persondataforordningen træder i kraft d. 25 maj 2018.