Aftaler om behandling af personoplysninger skal være skriftlige for at være gyldige i henhold til GDPR. I mangel af formelle krav i loven gælder både mundtlige og skriftlige aftaler. Det er dog lettere at dokumentere skriftlige aftaler i tilfælde af en tvist, og derfor kan det være godt at få aftalerne dokumenteret. Desuden kan det forhindre en tvist, hvis parterne ved, at der er skriftlige aftaler, der kan bevises. I nogle tilfælde er der dog et lovkrav om, at en aftale skal være skriftlig, og derefter er mundtlige aftaler ugyldige.
Almindelige virksomheder, der er databehandlere:
Regnskabsfirmaer
Webbureauer
Udbydere af cloud-tjenester
Bemærk, at en virksomhed kan være dataansvarlig for visse behandlingsaktiviteter og databehandler for andre. For eksempel er et revisionsfirma en dataansvarlig med hensyn til behandling af personoplysninger om sine egne medarbejdere, mens en databehandler, når virksomheden behandler personoplysninger på vegne af sine kunder.
GDPR: Databehandleraftaler skal være skriftlige for at være gyldige
Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, at databehandlingsaftaler skal være skriftlige. Derudover er det et krav at indgå en persondatabehandleraftale, når en dataansvarlig engagerer en persondatabehandler. En databehandler er en aktør, der behandler personoplysninger på vegne af en dataansvarlig. Det er f.eks. den dataansvarlige, der afgør formålet med behandlingen.
Når en databehandler engagerer en underdatabehandler, skal vedkommende også indgå en skriftlig aftale
Det er muligt for en databehandler at ansætte en underdatabehandler, forudsat at databehandleren modtager skriftlig tilladelse fra den dataansvarlige. Desuden skal databehandleren og den underkontraherede databehandler indgå en skriftlig aftale med hinanden for at sikre, at de registrerede nyder samme beskyttelse som i aftalen mellem den dataansvarlige og databehandleren.
Eksempler på, hvornår det kan være relevant for en databehandler at ansætte en underdatabehandler
- Webbureau ansætter et analysefirma: En virksomhed er en dataansvarlig og ansætter et webbureau til at opbygge og vedligeholde sin hjemmeside. Webbureauet er derefter databehandler, når de behandler personoplysninger på vegne af den dataansvarlige. Den dataansvarlige ønsker at kunne analysere statistik (f.eks. købsadfærd på hjemmesiden). Da webbureauet ikke har denne kompetence, ansætter webbureauet et analysefirma til denne opgave. Analysevirksomheden er derefter en underbehandler af webbureauet, der er en persondatabehandler.
- Installation af et chatværktøj på hjemmesiden: Hvis den dataansvarlige også ønsker, at kunderne skal kunne chatte direkte med virksomheden på hjemmesiden, men webbureauet skal bruge et chatværktøj fra en tjenesteudbyder for at implementere det, er tjenesteudbyderen også en underdatabehandler.