Indhold

Databehandleraftaler

Når du driver virksomhed, er der store chancer for, at du har data liggende andre steder end på virksomhedens egen server. Du gemmer muligvis data hos en cloud-tjeneste som Dropbox, måske har du regnskabsdata liggende hos e-conomic, og som regel er hjemmesiden hosted af en udbyder.

Det kræver en databehandleraftale, og for at have overblik over din dokumentation opbevarer du alle virksomhedens databehandleraftaler i denne mappe.

Inden du går i gang, vil vi her kort definere, hvem der er dataansvarlig og hvem der er databehandler.

En dataansvarlig er:

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

Man kan sige, at den dataansvarlige er den, som bestemmer over data og den, som har det endelige ansvar, den der har en interesse i at indsamle data, og den der gør brug for data. Det er den dataansvarlige som giver instrukser til databehandleren om, hvad der skal foretages. Som hovedregel er din virksomhed altid dataansvarlig overfor de oplysninger der behandles på jeres egne medarbejdere og jeres egne kunder og eksterne parter.

En databehandler er:

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

En databehandler vil altid arbejde på vegne af den ansvarlige og må ikke foretage selvstændig behandling. Man kan sige, at hvis du opbevarer eller behandler personoplysninger for at løse en opgave for andre, så er du med stor sandsynlighed databehandler.

Du er datahandler hvis du:

  • Hoster data for andre herunder bl.a. backup, hjemmeside
  • Levere cloudløsninger, fx lønsystemer, bogholderi, booking etc
  • Ekstern bogholder eller rekruttering

Læs om hvornår du IKKE skal benytte dig af en databehandleraftale - se en række eksempler bl.a. SKAT, advokat, bank https://persondatasupport.as/er-du-databehandler-eller-dataansvarlig/

Læs om hvad en databehandleraftale skal indeholde her:

https://persondatasupport.as/databehandleraftale/

Find skabelon til databehandleraftale her:

https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger-og-skabeloner/

Det er den dataansvarliges ansvar at der bliver indgået en databehandleraftale. Det anbefales dog at man først forespørger databehandleren om de har en standardaftale som de ønsker at vi benytter, da de enkelte databehandlere typisk har mange kunder og derfor er det ikke hensigtsmæssigt at der benyttes mange forskellige databehandleraftaler.

Læs om hvornår du IKKE skal benytte dig af en databehandleraftale - se en række eksempler bl.a. SKAT, advokat, bank https://persondatasupport.as/er-du-databehandler-eller-dataansvarlig/

Kontrol med databehandler

Når din virksomhed har indgået en databehandleraftale med en databehandler skal din virksomhed foretage kontrol med databehandler, for at sikre at de overholder den aftale der er indgået mellem jer.

I dette link redegøres for, hvorfor det er nødvendigt at påse behandlingssikkerheden hos sine databehandlere. Der redegøres for, hvem der kan påse behandlingssikkerheden, hvordan behandlingssikkerheden kan påses, og hvor ofte behandlingssikkerheden bør påses.

https://www.datatilsynet.dk/media/6865/vejledende-tekst-om-tilsyn-med-databehandlere-og-underdatabehandlere.pdf

Fortrolighedsaftaler

De personer eller virksomheder der kommer i din virksomhed, som ikke er egne medarbejdere eller databehandlere, bør der indgås en fortrolighedsaftale med, såfremt disse har adgang til personoplysninger under deres besøg.

I denne mappe opbevarer du de fortrolighedsaftaler og tavshedserklæringer, du laver med dine underleverandører og andre eksterne personer. Aftalerne opbevares i et år efter at opgaven de skal udføre er afsluttet.

Eksempel:

Hvor har du mulighed for at anvende fortrolighedsaftaler eller tavshedserklæringer: Det kan være ved brug af et eksternt IT-supportfirma, eksterne konsulenter, rengøringspersonale på kontoret eller i produktionen, reparatører der kommer for at reparere kontormaskiner, håndværkere der bygger om eller reparerer noget i virksomheden. Du kan også benytte dig af en sådan aftale, hvis du har en studerende i praktik.

Hvad skal der stå i en fortrolighedsaftale?

Der er forskellige kontrakttyper, men da man ikke får gensidig indsigt i hinandens data, drejer det sig om en simpel kunde/leverandør-relation dvs. en såkaldt ensidig kontrakt.

Der er ikke specifikke formkrav, men der er visse ting du skal have for øje, når du udformer en kontrakt.

Begge parter skal underskrive og med dato for underskrift.

Varighed - m.a.o. hvor længe man er bundet af fortroligheden – typisk for evigt

Karakteren af oplysningerne, der skal holdes fortrolige - sørg for at gøre beskrivelsen tydelig og præcis, og husk at der kan være både mundtlige og skriftlige oplysninger.

Konsekvenser for ikke at overholde aftalen.

Hvilken lovgivning aftalen er underlagt, og hvor en evt. tvist skal afgøres (oftest er det lovgivningen i Danmark, og tvister afgøres ved de danske domstole).

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400