Standardskabelon til databehandleraftaler


Indhold

Datatilsynet opdaterede i december 2019 standardskabelonen for databehandleraftaler, og med denne opdatering skærpes den dataansvarliges ansvar for behandlingssikkerhed hos databehandleren, samt kontrol med underdatabehandlere. Opstramningerne kredser især om hvor specifikke beskrivelserne af forhold i aftalen skal være - også i bilagene A og C.

Behandlingssikkerhed

Ændringerne i forhold til behandlingssikkerhed ses f.eks i 6.1., sammenkoblet med bilag C, hvor der nu skal ske en konkret beskrivelse af de krav og tekniske foranstaltninger der er indgået. Dette er en opstramning i forhold til den tidligere skabelon fra Datatilsynet, som kun lagde op til at beskrive ”eventuelle krav”.

Samme stramning i forhold til behandlingssikkerhed ses også i måden, hvorpå man skal beskrive behandlingen af oplysninger i Bilag A. I den tidligere skabelon var det fint at beskrive og angive kategori af oplysninger i henhold til artikel 6, 9 eller 10, men nu skal det beskrives så specifikt som muligt.

Kontrol af underdatabehandlere

Der er også sket en ændring af kontrol af underdatabehandlere. I den tidligere skabelon, er det beskrevet, at dataansvarlige fører kontrol med underdatabehandler via sin databehandler. Dette er dog udeladt i den nye aftale, for at være i overensstemmelse med artikel 28, stk.1. Den dataansvarlige skal derfor føre kontrol med sin databehandlere, ergo også sine underdatabehandler. Hertil skal den dataansvarlige udtrykke klart i aftalen, hvorledes dette tilsyn af (under)behandlere skal foregå. Denne beskrivelse af tilsyn skal defineres i bilag C. Generelt skal forholdene i bilag C beskrives langt mere udførligt.

Datatilsynet oplyser, at databehandleraftaler baseret på den gamle skabelon, som er indgået inden d. 10. december 2019, som udgangspunkt fortsat er gyldige. Som udgangspunkt skal den nye skabelon bruges i sin helhed, men ændringer kan foretages hvis det sker under kommercielle bestemmelser som ikke direkte eller indirekte modsiger aftalen, og ikke er skadende for de registreredes rettigheder.

Kort beskrevet:

  • Skærpet krav til den dataansvarlige ift. Behandlingssikkerhed
  • Præciseringskrav til beskrivelsen af behandling samt foranstaltninger. (Bilag A og C).
  • Underdatabehandlerkontrol skal ikke udelukkende føres af databehandleren.
  • Aftalen skal bruges i sin helhed, dog gives der udtrykt for at der kan foretage ændringer, som ikke har en modsigende karakter.

Adresser

Sverigesvej 10
DK-8700 Horsens

Meterbuen 9-13
DK-2740 Skovlunde

CVR

CVR-nr. 38582356

Telefon