Du skal som dataansvarlig sikre, at de databehandleraftaler, du indgår med dine databehandlere, er lovlige. For at være lovlige skal de bl.a. indeholde de krav, som fremgår af forordningens artikel 28. Nedenfor kan du tjekke af, om din konkrete databehandleraftale indeholder det angivne punkt. Hvor intet andet er nævnt stammer reglerne fra artikel 28, stk. 3.

Indeholder databehandleraftalen en omtale af følgende krav?

  • Databehandleren handler alene under instruktion og må ikke behandle personoplysninger til selvstændige formål
  • Der er en henvisning til at aftalen overholder reglerne i persondataforordningen og databeskyttelsesloven (hvis databehandler er dansk)
  • Databehandleren skal træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger (i henhold til artikel 32) (disse foranstaltninger kan evt. være uddybet i et bilag)
  • Databehandleren skal have adgangsbegrænsning for og kræve fortrolighed i forhold til egne ansatte
  • Databehandleren skal kunne bistå den dataansvarlige med opfyldelse af den dataansvarliges forpligtelser til besvare anmodninger om udøvelse af de registreredes rettigheder
  • Databehandleren skal bistå den dataansvarlige med at overholde forpligtelserne i form af anmeldelsespligt og konsekvensanalyse (ofte er der en henvisning til artikel 32-36)
  • Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse ved brud på persondatasikkerheden (artikel 33, stk. 2)
  • Databehandleren skal slette og evt. tilbagelevere personoplysninger til den dataansvarlige ved ophør af kontrakt
  • I aftalen skal der være beskrevet under hvilke vilkår den dataansvarlige godkender anvendelsen af underdatabehandlere og evt. have liste over underdatabehandlere i et bilag (artikel 28, stk. 2)
  • Databehandleren skal stille oplysninger til rådighed for at påvise overholdelse af de persondataretlige regler herunder give mulighed for revisioner eller evt. inspektioner
  • Hvis der overføres personoplysninger til tredjeland, skal databehandleren dokumentere hjemmel hertil
  • Hvis databehandleren har mere end 250 ansatte, udgør en risiko for de registrerede eller behandlingen omfatter følsomme oplysninger eller oplysninger om straffedomme og lovovertrædelser, skal der være en fortegnelse over behandlingsaktiviteter. Denne placeres ofte i bilag. Den skal indeholde en beskrivelse af formålene med behandlingen, beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger, kategorier af modtagere, evt. overførsel til tredjeland, forventet tidspunkt for sletning og en beskrivelse af sikkerhedsforanstaltningerne.

Eksempel på en databehandleraftale:

Hvis du ønsker at se et specifikt eksempel på en databehandleraftale, så har Datatilsynet lavet en standard databehandleraftaleskabelon og en vejledning, som vi har samlet her. 

Vær opmærksom: Denne information kan ikke sidestilles med juridisk rådgivning. Informationen er udtryk for, hvad vi ser som 'best practice'

Did this answer your question?