Du skal behandle persondata sikkert, og derfor medfølger der naturligvis krav, hvis du vælger at udlicitere behandlingen af dine personoplysninger fx til et IT-firma.
GDPR-reglerne kræver, at du udelukkende må benytte dig af databehandlere, som kan forsikre dig om, at de behandler persondata sikkert. Dette indebærer, at databehandleren skal indføre tekniske og organisatoriske foranstaltninger, som passer til risikoniveauet i din risikovurdering af denne behandling.
Det er et krav, at du indgår i en skriftlig aftale med databehandleren omkring overladelsen af behandlingen af persondata. Denne aftale kaldes i praksis “databehandleraftalen”, og er omdrejningspunktet i denne artikel.
Databehandleraftalens indhold
Der er flere krav til indholdet i en databehandleraftale og de bliver gennemgået i det følgende. Du kan finde kravene til denne aftale i artikel 28 i databeskyttelsesforordningen
Oplysninger om behandlingen
En databehandleraftale skal naturligvis indeholde en beskrivelse af den behandling som overlades til databehandleren. Denne beskrivelse følger i høj grad de krav, som der også er til beskrivelsen af en behandlingsaktivitet i fortegnelse.
Formålet med behandlingen
Databehandleraftalen skal indeholde en beskrivelse af formålet med behandlingen. Formålet med behandlingen kan være at stille en IT-løsning tilrådighed for tilmelding til den dataansvarliges nyhedsbrev, samt afsendelse af dette nyhedsbrev.
Omfattede kategorier af personer
Databehandleraftalen skal indeholde en beskrivelse af de kategorier af personer, som er omfattet af overladelsen til databehandleren. Det kan fx være:
- gymnasieelever,
- pensionskunder,
- ansatte,
- medlemmer,
- etc.
Personoplysninger
Databehandleraftalen skal indeholde en angivelse af samtlige persondata, som skal behandles af databehandleren, hvilket kan være:
- navn,
- email,
- adresse,
- telefonnummer,
- betalingskortoplysninger,
- logning af brugen af webapplikation,
- etc.
Den dataansvarliges forpligtelser og rettigheder
Databehandleraftalen skal indeholde en beskrivelse af den dataansvarliges rettigheder og forpligtelser i relationen til databehandleren.
I bund og grund, det er den dataansvarliges, som har ansvaret for, at den overladte behandling er i overensstemmelse med databeskyttelsesforordningen, og dette skal angives i aftalen.
Dokumenteret instruks
Databehandleren må udelukkende behandle personoplysningerne efter en instruks, og denne instruks skal kunne dokumenteres.
Databehandleraftalen bør indeholde denne instruks:
- Instru