Du skal behandle persondata sikkert, og derfor medfølger der naturligvis krav, hvis du vælger at udlicitere behandlingen af dine personoplysninger fx til et IT-firma.
GDPR-reglerne kræver, at du udelukkende må benytte dig af databehandlere, som kan forsikre dig om, at de behandler persondata sikkert. Dette indebærer, at databehandleren skal indføre tekniske og organisatoriske foranstaltninger, som passer til risikoniveauet i din risikovurdering af denne behandling.
Det er et krav, at du indgår i en skriftlig aftale med databehandleren omkring overladelsen af behandlingen af persondata. Denne aftale kaldes i praksis “databehandleraftalen”, og er omdrejningspunktet i denne artikel.
Databehandleraftalens indhold
Der er flere krav til indholdet i en databehandleraftale og de bliver gennemgået i det følgende. Du kan finde kravene til denne aftale i artikel 28 i databeskyttelsesforordningen
Oplysninger om behandlingen
En databehandleraftale skal naturligvis indeholde en beskrivelse af den behandling som overlades til databehandleren. Denne beskrivelse følger i høj grad de krav, som der også er til beskrivelsen af en behandlingsaktivitet i fortegnelse.
Formålet med behandlingen
Databehandleraftalen skal indeholde en beskrivelse af formålet med behandlingen. Formålet med behandlingen kan være at stille en IT-løsning tilrådighed for tilmelding til den dataansvarliges nyhedsbrev, samt afsendelse af dette nyhedsbrev.
Omfattede kategorier af personer
Databehandleraftalen skal indeholde en beskrivelse af de kategorier af personer, som er omfattet af overladelsen til databehandleren. Det kan fx være:
- gymnasieelever,
- pensionskunder,
- ansatte,
- medlemmer,
- etc.
Personoplysninger
Databehandleraftalen skal indeholde en angivelse af samtlige persondata, som skal behandles af databehandleren, hvilket kan være:
- navn,
- email,
- adresse,
- telefonnummer,
- betalingskortoplysninger,
- logning af brugen af webapplikation,
- etc.
Den dataansvarliges forpligtelser og rettigheder
Databehandleraftalen skal indeholde en beskrivelse af den dataansvarliges rettigheder og forpligtelser i relationen til databehandleren.
I bund og grund, det er den dataansvarliges, som har ansvaret for, at den overladte behandling er i overensstemmelse med databeskyttelsesforordningen, og dette skal angives i aftalen.
Dokumenteret instruks
Databehandleren må udelukkende behandle personoplysningerne efter en instruks, og denne instruks skal kunne dokumenteres.
Databehandleraftalen bør indeholde denne instruks:
- Instruksen kan bestå af beskrivelsen af den overladte behandling.
- Klare beskrivelser vedrørende behandlingssikkerhed, samarbejde, krav til opbevaring, tredjelande, tilsyn.
Efter at en databehandleraftale er indgået, så kan der være behov for løbende at give yderligere instrukser til databehandleren omkring behandlingen af personoplysninger, og denne skal også fremgå på skrift. Denne instruks bør opbevares i relation til databehandleraftalen, således at instruksen kan dokumenteres.
Databehandleren skal desuden underrette den dataansvarlige, hvis en instruks kan være i uoverensstemmelse med databeskyttelsesforordningen.
Fortrolighed
Databehandleren skal sikre sig, at der kun gives adgang til personoplysninger til personer som er underlagt enten tavshedspligt eller har forpligtiget sig til fortrolighed omkring behandlingen, jf. artikel 32, stk. 4.
Databehandleren må kun give adgang for de personer, som har et behov for at behandle disse personoplysninger, og databehandleren bør løbende vedligeholde en liste med disse personer og deres adgangsrettigheder.
Passende foranstaltninger
Der skal indføres passende foranstaltninger ved behandlingen af personoplysninger for at efterleve kravet i artikel 32 – også når denne behandling overlades til en databehandler.
Den dataansvarlige skal her tage udgangspunkt i sin risikovurdering af denne behandlingsaktivitet, og samtidig justerere denne risikovurdering i forhold til, at behandlingen nu overlades til en databehandler.
Desuden, så skal databehandleren også udføre sin egen risikovurdering af behandlingen, så denne også kan sikre sig, at der indføres passende foranstaltninger ved behandlingen.
Databehandleren skal hjælpe den dataansvarlige med at sikre, at der er implementeret passende foranstaltninger hos databehandleren. Dette kan gøres ved at give den dataansvarlige udførlig information om behandlingen af personoplysninger og behandlingssikkerheden.
Anvendelse af underdatabehandlere
Dine databehandlere må ikke bruge underleverandører (underdatabehandlere) til at behandle personoplysningerne, med mindre, at du har godkendt dette.
Denne godkendelse kan være specifik vedrørende den enkelte underleverandør, eller den kan være generel og gælde flere underleverandører.
Hvis du har givet din databehandler en generel godkendelse til at bruge nye underdatabehandlere, så skal databehandleren stadig orientere dig om ændringer. Du skal nemlig have mulighed for at gøre indsigelse mod, at persondata under dit ansvar overlades til en underleverandør.
En underdatabehandler skal underlægges samme krav til behandlingen af personoplysninger, som databehandleren er underlagt, da persondatabeskyttelsen ikke må blive forringet ved at behandlingen udliciteres.
Det er databehandlerens ansvar at sikre, at eventuelle underdatabehandlere efterlever kravene, som denne har indgået i databehandleraftalen med den dataansvarlige. Hvis en underdatabehandler foretager en behandling, som ikke er i overenstemmelse med den oprindelige databehandleraftale (mellem den dataansvarlige og databehandleren), så kan databehandleren stilles til ansvar for den dataansvarlige.
Den dataansvarlige skal stadig have mulighed for at sikre sig, at databehandlerens aftaler med underdatabehandlere er i overensstemmelse med deres oprindelige databehandleraftale. Den dataansvarlige skal jo kunne dokumentere efterlevelse af GDPR-reglerne, jf. ansvarligshedsprincippet i artikel 5, stk. 2.
Overførsler til tredjelande eller internationale organisationer
Databehandleren må kun overføre personoplysninger til tredjelande, hvis dette fremgår af en instruks fx indskrevet i databehandleraftalen.
Der skal naturligvis stadig være et gyldigt overførselsgrundlag for, at en databehandler overfører eller behandler personoplysninger i et tredjeland, eller anvender en underdatabehandler i et tredjeland.
Man skal altid have hjemmel i GDPR-reglerne til at overføre personoplysninger til tredjelande (ikke EU/EØS-lande) jf. kapitel 5 i GDPR-reglerne.
Bistand til den dataansvarlige
Den dataansvarlige skal kunne efterleve den registreredes rettigheder – også når behandlingen overlades til databehandleren. Derfor skal databehandleraftalen indeholde et krav om, at databehandleren skal bistå den dataansvarlige med at efterleve disse.
Herudover, så bør det også fremgå af aftalen, at databehandleren bør hjælpe med at imødekomme den dataansvarliges behov for eventuelt at foretage en konsekvensanalyse.
Underretning om brud på persondatasikkerheden
Databehandleren skal være i stand til at identificere og håndtere sikkerhedsbrud, samt bistå den dataansvarlige med at efterleve sine forpligtelser i denne henseende.
Dette indebærer bl.a., at databehandleren skal gøre den dataansvarlige opmærksom på et eventuelt sikkerhedsbrud hurtigst muligt efter, at det er identificeret, og således at den dataansvarlige kan efterleve sine forpligtigelser heromkring.
Sletning og sikker opbevaring
Den dataansvarlige må udelukkende behandle, og herunder opbevare, personoplysninger så længe, at det er nødvendigt. Ved overladelsen af personoplysninger til databehandleren, så skal der naturligvis også være begrænsninger på dennes behandling af personoplysningerne, hvilket skal fremgå af databehandleraftalen.
Personoplysningerne skal tilbageleveres til den dataansvarlige og/eller slettes når aftalen om behandling ophører.
Tilsyn
Den dataansvarlige skal kunne dokumentere, at behandlingen af personoplysninger foretages i overensstemmelse med reglerne, hvilket også omfatter databehandlerens behandling.
Databehandleren skal derfor stille de nødvendige oplysninger tilrådighed for at den dataansvarlige kan føre tilsyn med, at behandlingen foregår i overensstemmelse med databehandleraftalen.
Databehandleraftalen bør fastsætte hvordan, at disse tilsyn kan foregå mellem de to parter til aftalen.
Databehandleraftale (skabelon)
Der er mange krav, som skal opfyldes for at lave en fyldestgørende databehandleraftaler.
Myndighederne har heldigvis lavet en skabelon med tilhørende vejledning, som du kan anvende, som omfatter alle kravene til en databehandleraftale. Hvis du anvender denne skabelon, og følger vejledningerne, så kan du altså lave din egen databehandleraftale med dine databehandlere.
Du finder et link til den danske databehandleraftale (skabelon) her via Datatilsynets hjemmeside.
Du finder et link til den engelske databehandleraftale (skabelon) her via Datatilsynets hjemmeside.
Virkelighedens databehandleraftaler
Inden dette afsnit, så har du læst om de mange krav, som du skal være opmærksom på i forhold til at indgå en databehandleraftale.
Hvis du er dataansvarlig og har en lille virksomhed, så er det i praksis sjældent, at du skal udarbejde en databehandleraftale. Det skyldes, at de fleste af dine databehandlere formentlig er softwarevirksomheder, og deres kerneforretning foregår typisk i rollen som databehandler.
Derfor har de selvfølgelig også lavet nogle databehandleraftaler, som en del af deres standardvilkår, som de har bedt deres kunder om at underskrive. Du vil formentligt sjældent have mulighed for at påvirke indholdet af disse.
I stedet skal du derfor vurdere om disse standardvilkår er tilstrækkelige, samt om du kan efterleve reglerne ved at bruge dem som leverandør/databehandler.