I persondataretten sondres der mellem, om man er dataansvarlig eller databehandler. Den dataansvarlige har kontrollen og ansvaret for oplysningerne. Databehandleren bistår den dataansvarlige med behandlingen af oplysningerne og gennemfører bl.a. passende foranstaltninger for at sikre beskyttelsen af oplysningerne.
Når en dataansvarlig gør brug af en databehandler, skal der udarbejdes en databehandleraftale, som definerer, hvordan databehandleren skal behandle data på vegne af den dataansvarlige.
Hos Advodan kan du få rådgivning om, hvorvidt der er behov for en databehandleraftale eller ej, samt hvordan en eventuel aftale skal udarbejdes. Tag kontakt til en Advodan-persondataspecialist her på siden.
Den dataansvarlige har ”ejerskabet” over oplysningerne og instruerer databehandleren i behandlingen af de oplysninger, den dataansvarlige er i besiddelse af.
Hvad betyder det at være dataansvarlig i forhold til din databehandleraftale?
Den dataansvarlige er den fysiske eller juridiske person, der bestemmer formålene med behandlingen samt midlerne hertil, herunder hvilke oplysninger, der skal indsamles, samt hvilke (it-)værktøjer, der skal anvendes til at behandle disse.
Den dataansvarlige kan fx være en arbejdsgiver, der behandler personoplysninger om sine ansatte og sine kunder, eller en læge, der behandler patientoplysninger i forbindelse med et forskningsprojekt.
Det er den dataansvarliges ansvar at vurdere, om der foreligger en databehandlerkonstruktion, og sikre at der udarbejdes en databehandleraftale, hvis der gør. En advokat fra Advodan kan hjælpe med rådgivning om, hvorvidt der overhovedet er tale om en databehandlerrelation.
Hvad betyder det at være databehandler?
En databehandler kendetegnes ved kun at behandle personoplysninger på vegne af en dataansvarlig. Databehandleren behandler aldrig personoplysninger til egne formål og må derfor ikke bruge de tilgængelige oplysninger til andet end udførelsen af opgaven for den dataansvarlige.
En virksomhed kan sagtens være databehandler i én sammenhæng og dataansvarlig i en anden sammenhæng (fx dataansvarlig for egne medarbejderdata, men databehandler for kunder).
I de situationer, hvor virksomheden er databehandler, er det også vigtigt at få drøftet behovet for og omfanget af underdatabehandlere.
Bemærk, at ikke alle relationer, hvor der udveksles persondata mellem virksomheder, er en dataansvarlig/databehandler-relation. En databehandler er som udgangspunkt en samarbejdspartner til den dataansvarlige, der alene varetager den praktiske persondatabehandling eller vedligeholder/opbygger driften hos den dataansvarlige.
En databehandler er fx selvstændig enhed, såsom
- en hosting/cloud-virksomhed der tilvejebringer lagerplads samt systematiserer og ajourfører oplysninger for en dataansvarlig (idet opbevaring af data også anses som behandling), eller
- en leverandør af lønudbetalinger, der foretager overførsler, laver lønsedler og indberetninger samt lønberegninger
Man kan sige, at databehandleren er en virksomhed, der som en del af kerneydelsen yder praktisk hjælp til behandling af personoplysninger for en dataansvarlig.
Lovkrav om databehandleraftale
Det fremgår direkte af EU-forordningen, at der skal foreligge en skriftlig databehandleraftale, hvis der foreligger en dataansvarlig/databehandler-relation.
En databehandleraftale kan enten indgås som en selvstændig aftale eller som en integreret del af aftalegrundlaget mellem parterne, fx i en egentlig kunde/leverandør-kontrakt.
Hvis databehandleraftalerne ikke foreligger, skal der straks laves en skriftlig databehandleraftale for at opfylde lovens regler. Brugen af underdatabehandlere skal også fremgå af databehandleraftalen med den dataansvarlige. Herudover skal der også indgås databehandleraftaler mellem en databehandler og dennes underdatabehandlere.
Det er vigtigt at have databehandleraftalen på plads, før den dataansvarlige overlader behandlingen af personlige oplysninger til en databehandler.
Databehandleraftalens indhold
Databehandleraftalen regulerer bl.a., hvordan databehandleren må behandle oplysninger på den dataansvarliges vegne og til hvilke formål. Med databehandleraftalen forpligter databehandleren sig bl.a. til at behandle personlige oplysninger efter nøje instruks, der sikrer, at databehandleren kan yde tilstrækkelig omhu og sikkerhed omkring behandlingen.
Databeskyttelsesforordningen fastsætter en række specifikke krav til indholdet af en databehandleraftale. Aftalen skal blandt andet indeholde oplysninger om:
- Hvilke data der behandles
- Hvor længe data behandles
- Hvordan data behandles
- Hvorfor data behandles
- Den dataansvarliges forpligtelser og rettigheder
- Databehandlerens pligter, herunder tavshedspligt
- Underdatabehandlere
- hvorvidt data må behandles i eller overføres til lande udenfor EU, f.eks. ved anvendelse af underdatabehandlere i udlandet
- Hvordan der føre tilsyn med databehandleren
- hvad der skal ske med data, når aftalen ophører
Få hjælp til at udforme en korrekt databehandleraftale
PersondataTjekliste: spørgsmål til databehandler
Det er den dataansvarlige virksomheds ansvar at følge op på og sikre, at dens databehandlere rent faktisk overholder de ting, der står i databehandleraftalerne.
Inden man indgår en databehandleraftale, bør man sikre, at den pågældende databehandler opfylder GDPR og har høj sikkerhed omkring data. Derfor kan det være en god idé at stille sine databehandlere kritiske spørgsmål som fx:
- Hvad gør man løbende for at sikre, at I overholder gældende lovgivning, og hvordan dokumenterer I det over for jeres kunder?
- Hvor mange medarbejdere har adgang til data, og hvordan undgår I misbrug af adgangen til data?
- Hvordan sikrer I data mod hackerangreb?
- Hvordan sikrer I, at data ikke går tabt fx ved en vandskade eller brand?
Derudover skal der, når aftalen først er indgået, løbende føres tilsyn med databehandlere. Indholdet af tilsynet afhænger af den konkrete behandling af personoplysninger (hvilke data, hvor mange osv.).
Hvornår er der ikke er behov for databehandleraftale?
Hvis der ikke er tale om en relation mellem dataansvarlig/databehandler, så vil det ofte være tilstrækkeligt med en almindelig kontraktretlig regulering, fx en samarbejdsaftale, da der således ofte vil være tale om to selvstændige dataansvarlige, der indgår en aftale, som hver især skal overholde de forpligtelser, der gælder for dataansvarlige.
Ved køb af en håndværkerydelse vil der fx ikke være behov for at give instruks om behandling af personoplysninger, fordi der er aftale om levering af en håndværkerydelse (der vil selvfølgelig blive givet nogle personoplysninger til håndværkeren fx et navn eller en adresse, men det er ikke hovedydelsen).
Man kan overveje, om der skal udfærdiges og underskrives en tavshedserklæring i forbindelse med indgåelse af samarbejdet, men en databehandleraftale er altså ikke nødvendig.
Er du i tvivl, om du som dataansvarlig skal udarbejde en databehandleraftale, kan du kontakte en Advodan-persondataspecialist i dag.
Læs også: Persondata: Behov for en databehandleraftale eller ej?
Hvordan laver jeg en databehandleraftale?
En databehandleraftale er et vigtigt dokument, som skal kunne klare et tilsyn af Datatilsynet. Hvis ikke din virksomhed har indgående kendskab til lovgivningen om databehandleraftaler, kan det være en god idé at få hjælp af en advokat.
Få hjælp til at udarbejde din databehandleraftale.