Databehandleraftale
En databehandleraftale er en juridisk bindende aftale mellem den dataansvarlige og databehandleren. GDPR kræver, at aftalen indgås skriftligt, hver gang en ekstern part behandler personoplysninger på vegne af din virksomhed. Det gælder alt fra din hostingudbyder og dit regnskabsprogram til din e-mail-marketingplatform.
Hvornår er en databehandleraftale påkrævet?
Du skal indgå en databehandleraftale, hver gang en ekstern virksomhed behandler personoplysninger på dine vegne. I praksis betyder det næsten alle leverandører, der har adgang til persondata. Typiske eksempler er hosting- og cloududbydere, som opbevarer data på deres servere; løn- og regnskabsbureauer, der håndterer medarbejderoplysninger; marketingplatforme som Mailchimp, Klaviyo eller HubSpot; IT-supportfirmaer med fjernadgang til dine systemer; og analysefirmaer der behandler brugerdata fra din hjemmeside. Hvis du er i tvivl, er tommelfingerreglen: Har leverandøren adgang til personoplysninger? Så skal der en databehandleraftale på plads.
Obligatorisk indhold ifølge Artikel 28
GDPR's Artikel 28 fastsætter præcist, hvad en databehandleraftale som minimum skal indeholde. Aftalen skal beskrive genstanden for og varigheden af behandlingen, behandlingens art og formål, typen af personoplysninger og kategorierne af registrerede. Derudover skal aftalen fastlægge, at databehandleren kun handler efter dokumenteret instruks fra den dataansvarlige; at personer med adgang til data er underlagt fortrolighed; at der træffes passende tekniske og organisatoriske sikkerhedsforanstaltninger; at underdatabehandlere kun anvendes med forudgående godkendelse; at databehandleren bistår med at opfylde de registreredes rettigheder; at databehandleren bistår med sikkerhed, anmeldelse af brud og konsekvensanalyser; og at data slettes eller returneres ved aftalens ophør.
Underdatabehandlere og kædeansvar
Mange databehandlere bruger selv underleverandører, også kaldet underdatabehandlere. GDPR kræver, at din databehandler indhenter din skriftlige forhåndsgodkendelse, før der engageres en underdatabehandler. Godkendelsen kan være specifik (for hver enkelt underleverandør) eller generel (med forpligtelse til at informere om ændringer, så du kan gøre indsigelse). Databehandleren skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som i jeres aftale. Vigtigst: din databehandler hæfter fuldt ud for underdatabehandlerens overholdelse af forpligtelserne.
Datatilsynets standardaftale
Datatilsynet har udarbejdet en standarddatabehandleraftale, som danske virksomheder frit kan bruge. Skabelonen opfylder alle krav i Artikel 28 og indeholder de nødvendige bilag til at beskrive den konkrete behandling. Mange virksomheder bruger standardaftalen som udgangspunkt og tilpasser den til deres specifikke behov. Det er en god idé at gennemgå aftalen med juridisk rådgivning, hvis du behandler særligt følsomme data eller har komplekse leverandørkæder. Aftalen skal opdateres, hvis behandlingens karakter ændrer sig væsentligt.
Konsekvenser ved manglende aftale
Mangler du en databehandleraftale, overtræder du GDPR's Artikel 28. Datatilsynet kan udstede påbud om at bringe forholdet i orden og i alvorlige tilfælde indstille til bøde. I 2023 udstedte Datatilsynet flere påbud til danske virksomheder for manglende eller mangelfulde databehandleraftaler. Udover de direkte sanktioner risikerer du, at et eventuelt databrud bliver vanskeligere at håndtere, fordi ansvarsfordelingen mellem dig og din leverandør ikke er klarlagt. En databehandleraftale beskytter ikke kun de registrerede, den beskytter også din virksomhed.
Vigtigste punkter
- Påkrævet for alle leverandører der behandler persondata på dine vegne
- Skal indgås skriftligt og opfylde kravene i Artikel 28
- Underdatabehandlere kræver din forudgående godkendelse
- Datatilsynets standardaftale kan bruges som udgangspunkt
- Manglende aftale er i sig selv en GDPR-overtrædelse
- Databehandleren hæfter for sine underdatabehandleres overtrædelser