GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

SKRIFTLIGE AFTALER OG DOKUMENTER

Indgå en databehandleraftale

Det er vigtigt at indgå en databehandleraftale, når en dataansvarlig ansætter en databehandler. Den skal være skriftlig i henhold til reglerne i den generelle forordning om databeskyttelse. 

Hvem kan være databehandler?

  • Fysiske personer såsom enkeltmandsvirksomheder. 
  • Juridiske personer såsom aktieselskaber eller interessentskaber.
  • Offentlige myndigheder. 
  • Institutioner.
  • Andre organer. 

Hvornår skal virksomheder indgå en databehandleraftale?

Der er to forskellige situationer, hvor virksomheder skal indgå en databehandleraftale: 

What breaches of the GDPR can lead to an administrative fine?

1. Inddragelse af forarbejdningsvirksomheder

Hvis en dataansvarlig ansætter en databehandler Hvis en virksomhed f.eks. benytter et revisionsfirma til at føre sine løbende regnskaber på vegne af virksomheden.

2. Brug af en registerførers tjenester

Når en databehandler på sin side ansætter en databehandler. Betegnes ofte som en "underdatabehandler" eller forkortes som en "underdatabehandler". F.eks. hvis en brugervirksomhed som dataansvarlig engagerer en udviklingsvirksomhed, der er databehandler, til at udvikle og drive en mobilapplikation på vegne af brugervirksomheden. Udviklingsvirksomheden ansætter til gengæld et konsulentfirma, om nødvendigt med en ekstern ekspertrådgiver, til at gennemføre kontrakten. Konsulentfirmaet bliver derefter forarbejder for udviklingsfirmaet.

Bemærk, at for at være gyldige i henhold til artikel 28, stk. 3, i GDPR skal databehandleraftaler være skriftlige. 

Almindelige eksempler på, hvornår virksomheder anvender en databehandler

Revisionsfirma

Når en virksomhed ansætter et regnskabsagentur til f.eks. at forvalte virksomhedens lønningsliste, anfordringskonti og regnskaber.

Cloudtjenester

Hvorvidt en virksomhed anvender cloudtjenester til at lagre personoplysninger.

Udvikler

Hvis en virksomhed ønsker at bygge en mobilapplikation og engagerer en udviklingsvirksomhed til at behandle personoplysninger i forbindelse med udførelsen af opgaven på vegne af virksomheden.

Hvad en databehandleraftale skal sikre

En databehandleraftale skal sikre, at både den dataansvarlige og databehandleren

  • Er i overensstemmelse med den generelle forordning om databeskyttelse. 
  • Er bekendt med deres forpligtelser i henhold til GDPR, både over for hinanden og over for registrerede. 
  • Beskytte de behandlede personoplysninger. Dette gælder for personoplysninger om f.eks. kunder, personale og andre kategorier af registrerede. 
  • Dokumenterer sit samarbejde og arbejde med GDPR klart for at kunne påvise, at parterne overholder GDPR i overensstemmelse med det grundlæggende databeskyttelsesprincip om ansvarlighed. 

Desuden skal databehandleraftalen mindst indeholde de minimumskrav, der er fastsat i databeskyttelsesforordningens artikel 28. I modsat fald risikerer aftalen at blive anset for at være ugyldig eller mangelfuld og dermed i strid med reglerne i GDPR. 

Eksempel på det nødvendige indhold af en databehandleraftale

Formål

Formålet med behandlingen skal være gennemsigtigt.

What is the definition of anonymised data?

Deadline

Hvor længe behandlingen bør finde sted, hvornår den bør ophøre osv. Det er også muligt at regulere tidsfrister, der er mere specifikke end dem, der er fastsat i GDPR. I den generelle forordning om databeskyttelse hedder det undertiden, at noget bør ske "uden unødig forsinkelse". I sådanne tilfælde kan de kontraherende parter vælge at aftale, at den pågældende handling i stedet skal finde sted inden for "24 timer".

Sensitive personal data according to GDPR

Kategorier

De typer personoplysninger, der er tale om, såsom almindelige personoplysninger, følsomme personoplysninger eller andre personoplysninger, der er følsomme over for privatlivets fred Den skal også angive den kategori af registrerede, som behandlingen vedrører. F.eks. om der er tale om en yderligere gruppe, der er beskyttelsesværdig, såsom børn eller syge, brugere, kunder, ansatte osv.

Subjektivt integritetskänsliga personuppgifter

Rettigheder og forpligtelser

Den dataansvarliges og databehandlerens respektive rettigheder og forpligtelser Det er vigtigt også at regulere kommercielle vilkår, der ikke er omfattet af GDPR. F.eks. om databehandleren har ret til vederlag for sin bistand i henhold til databehandleraftalen.

Measures that companies need to take to comply with GDPR

Assistent med ansvar for personoplysninger

De betingelser, hvorunder databehandleren kan benytte en underdatabehandlers tjenester Betingelserne varierer afhængigt af, om den dataansvarlige har valgt at give en specifik eller generel forudgående skriftlig godkendelse af databehandlerens samarbejde med en anden databehandler.

What is the definition of anonymised data?

Fortrolighed

I henhold til artikel 28, stk. 3, litra b), i GDPR skal databehandleraftalen indeholde en bestemmelse om, at databehandleren sikrer, at personer, der er bemyndiget til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Dette gælder ikke kun for dens eget personale, men også for konsulenter og andre, der kan få adgang til personoplysningerne gennem databehandleren.

Anmeldelser

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i GDPR, til rådighed for den dataansvarlige. Desuden skal den databeskyttelsesansvarlige muliggøre og bidrage til revisioner, der udføres af den dataansvarlige eller af en anden revisor, der er udpeget af den dataansvarlige. Dette skal udtrykkeligt reguleres i kontrakten.

Sensitive personal data according to GDPR

Opsigelse af kontrakten

Hvad der sker med personoplysningerne ved kontraktens udløb Den dataansvarlige har ret til at beslutte, om databehandleren returnerer eller sletter personoplysningerne, og inden for hvilket tidsrum og hvordan.

Kommissionen har offentliggjort “Retningslinjer 07/2020 om begreberne dataansvarlig og databehandler i GDPR“, som indeholder yderligere henstillinger og retningslinjer om indholdet af en databehandleraftale.

Den dataansvarlige giver databehandleren skriftlige instrukser om:

Det følger af artikel 28, stk. 3, litra a), i GDPR, at databehandlere kun må behandle personoplysninger i overensstemmelse med den dataansvarliges instrukser, medmindre nødvendig behandling er påkrævet i henhold til EU-retten eller en af medlemsstaternes nationale ret. Hvis en databehandler behandler personoplysningerne i strid med de skriftlige instrukser, kan databehandleren være underlagt samme ansvar, som hvis vedkommende var dataansvarlig.

Instrukserne kan fremgå af databehandleraftalen, men dette er ikke et krav. I stedet er det muligt at udarbejde særskilte instrukser i bilag, der supplerer databehandleraftalen. Det er ofte lettere at tilpasse og ajourføre instrukserne, hvis de er formuleret i et bilag til databehandleraftalen. Det er derfor vores anbefaling at udarbejde instrukserne i et bilag til instrukserne i stedet for at blive indarbejdet i databehandleraftalen som sådan. 

FLERE OPLYSNINGER

Informere de registrerede ved hjælp af en meddelelse om beskyttelse af personoplysninger

Registrerede skal altid informeres om behandlingen af deres personoplysninger. Dette sker normalt via en meddelelse om databeskyttelse. Virksomhederne får normalt offentliggjort deres meddelelse om beskyttelse af privatlivets fred på deres websted. Den skal bl.a. angive formålet med behandlingen, behandlingens varighed, de registreredes rettigheder, om virksomheden har en databeskyttelsesrådgiver osv. 

Vil du lære mere?

Læs mere
Scroll to Top