Gå til indhold
Dansk - Danmark
Kontakt os
  • Der er ingen forslag, da søgefeltet er tomt.

Krav til databehandleraftaler

Denne vejledning beskriver, hvilke krav der stilles til en databehandleraftale. Vejledningen beskriver, hvad en databehandleraftale skal indeholde, samt hvordan og hvornår der skal føres kontrol med en databehandleraftale.

Hvad skal en databehandleraftale indeholde?

En databehandleraftale er en bindende skriftlig aftale, der fastsætter genstanden for og varigheden af den behandling, som databehandleren foretager på vegne af den dataansvarlige.

Databehandleraftalen skal altid beskrive:

  • behandlingens karakter og formål
  • typen af personoplysninger
  • kategorierne af registrerede
  • den dataansvarliges forpligtelser og rettigheder

Derudover skal en databehandleraftale blandt andet fastsætte:

  • at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Det betyder, at det skal fremgå af aftalen, at databehandleren ikke må foretage behandlinger, der går ud over den instruks, som den dataansvarlige har givet.
  • at databehandleren skal behandle personoplysningerne fortroligt. Databehandleraftalen kan fx stille krav om adgangsbegrænsning, og at de ansatte hos databehandleren er forpligtet til at behandle personoplysningerne fortroligt.
  • at databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Det skal fremgå af databehandleraftalen, at den dataansvarlige og databehandleren har taget stilling til, hvilke sikkerhedsforanstaltninger, der skal være gennemført hos databehandleren. Formålet er at sikre, at databehandlingen fortsat er omfattet af et passende sikkerhedsniveau.
  • vilkår for databehandlerens brug af underdatabehandlere. Det skal fremgå af databehandleraftalen, at databehandleren ikke må gøre brug af en underdatabehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. Hvis den dataansvarlige vælger at give generel godkendelse til at anvende underdatabehandlere, skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer i brugen af underdatabehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod ændringerne. Underdatabehandleren skal være pålagt de samme databeskyttelsesretlige forpligtelser som databehandleren.
  • at databehandleren skal hjælpe den dataansvarlige med at opfylde forpligtelser vedrørende anmodninger om udøvelse af de registreredes rettigheder, fx anmodninger om indsigt og anmodninger om sletning.
  • at databehandleren skal hjælpe den dataansvarlige med at overholde forpligtelserne i artikel 32-36. Dette indebærer blandt andet, at databehandleren uden unødig forsinkelse skal underrette den dataansvarlige om sikkerhedsbrud. Idet den dataansvarlige har en frist på 72 timer til at anmelde sikkerhedsbrud til Datatilsynet, kan det være en god idé, at den dataansvarlige og databehandleren aftaler en kortere frist for, hvornår databehandleren skal underrette den dataansvarlige om sikkerhedsbrud.
  • at databehandleren skal slette/tilbagelevere personoplysninger ved ophør af kontrakten, medmindre der er en retlig forpligtelse til fortsat at opbevare oplysningerne.
  • at databehandleren skal kunne påvise overholdelse af databehandleraftalen samt de databeskyttelsesretlige regler. Det skal fremgå af databehandleraftalen, at den dataansvarlige har mulighed for revision samt evt. inspektion hos databehandleren.

Listen er ikke udtømmende, fordi den dataansvarlige altid skal overveje, om der er andre relevante forhold, der bør være reguleret i parternes databehandleraftale. Det kan fx være regulering af erstatningsansvar.

Der skal føres kontrol med databehandleraftaler

Den dataansvarlige skal føre tilsyn med, at de indgåede databehandleraftaler overholdes.

Et tilsyn kan både være fysisk og skriftligt. Den dataansvarlige bør inddrage den risikovurdering, der er foretaget af databehandlerens behandling, når den dataansvarlige vælger hvilken tilsynsform, der er mest hensigtsmæssig. Det er også risikovurderingen, der er afgørende for, hvor ofte den dataansvarlige skal føre tilsyn. Hvis risikoen er høj, kan det være nødvendigt at føre kontrol årligt eller halvårligt.

 

Brugen af databehandlere er reguleret i databeskyttelsesforordningens artikel 28.

Vær opmærksom: Denne information kan ikke sidestilles med juridisk rådgivning. Informationen er udtryk for, hvad vi anser som 'best practice'