Den store (og dyre) myte om databehandleraftaler

En databehandleraftale er ikke bare et ”papirskjold”, men derimod en aftale, der binder parterne i at behandle personoplysninger på en bestemt måde og efterfølgende at kunne påvise, at det er gjort korrekt. Der følger en række forpligtelser – for begge parter – med en databehandleraftale, som både kan være omkostnings- og ressourcetunge. Man bliver heller ikke mere GDPR-compliant ved at indgå databehandleraftaler, hvor det ikke er påkrævet – tværtimod. Der er altså mange grunde til, at du skal være kritisk inden du underskriver en databehandleraftale.
Brødtekst

Kan du genkende det? Du har enten som kunde eller leverandør fået en vigtig aftale på plads, og ser frem til samarbejdet. Pludselig sniger der sig en databehandleraftale ind. Du har forinden måske slet ikke forholdt dig til, om der er behov for at indgå en databehandleraftale?

Nå, men nu er den her, og de skal vel indgås, når der indgår personoplysninger i forbindelse med ydelsen. Du åbner databehandleraftalen, men du er ikke helt sikker på, hvordan du skal forholde dig til indholdet.

En ting springer dog i øjnene: Den er lang og juridisk – og lidt svært tilgængelig. Der er en masse forpligtelser, tidsfrister og begrænsninger. Herudover skal der føres tilsyn med behandlingen og der skal aflægges en erklæring fra en uafhængig tredjepart. Puha!

Men hvad nu hvis, at det slet ikke er nødvendigt med en databehandleraftale?

Med dette indlæg ønsker vi at udrydde den store og dyre myte om behovet for databehandleraftaler.

Hvorfor er det vigtigt, om du er databehandler eller dataansvarlig?

Det er vigtigt, at du finder ud af, om du er dataansvarlig eller databehandler, fordi kravene til dataansvarlige og databehandlere er forskellige.

Den dataansvarlige er ansvarlig for – og skal kunne påvise – at en behandling af personoplysninger lever op til reglerne i GDPR. Det indebærer bl.a., at den dataansvarlige skal

  • have behandlingshjemmel til at behandle personoplysningerne
  • efterleve de registreredes rettigheder, herunder opfylde oplysningspligten
  • håndtere brud på persondatasikkerheden

Den dataansvarlige skal indgå databehandleraftaler med sine databehandlere, og føre tilsyn med, at databehandleraftalen overholdes. Tilsynet med databehandlerne kan fx ske via revisionserklæringer.

Databehandleren skal derimod først og fremmest gøre, som der står i databehandleraftalen. Det skal ses i lyset af, at databehandleren er den dataansvarliges forlængede arm. Databehandleren bliver derfor instrueret i, hvordan behandlingen af personoplysninger skal ske, herunder særligt hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal implementeres.

En forkert vurdering kan også medføre, at du påtager dig mindre ansvar (databehandler), end du reelt har (dataansvarlig). Så hvad skal du gøre, næste gang du modtager en databehandleraftale? Forhold til kritisk til, om der overhovedet er behov for at indgå en databehandleraftale. Du kan i den forbindelse overveje nedenstående forhold:

Hvordan finder du ud af, om der skal indgås en databehandleraftale?

1. Er parterne underlagt lovgivning?
Hvis det følger af loven, at du er forpligtet til at behandle personoplysninger, har du også behov for, at den anden part behandler oplysningerne på en bestemt måde og i overensstemmelse med din instruks, så du kan leve op til dine lovmæssige forpligtelser. Den anden part vil derfor være databehandler, og der skal indgås en databehandleraftale. Det kan fx være tilfældet, hvis du som virksomhed er underlagt kravene om whistleblower-ordningen – i så fald har du behov for, at administrationsleverandøren følger dine anvisninger via en databehandleraftale.

Vær dog opmærksom på, at hvis den anden part (fx advokater og revisorer) også er underlagt en lovgivning, professionelle forpligtelser eller standarder, kan denne part formentligt ikke følge en detaljeret instruks fra dig. I så fald vil begge parter være selvstændige dataansvarlige, og der skal derfor ikke indgås databehandleraftale.

2. Fokus på ydelsen og formålet

Der skal kun indgås en databehandleraftale, når hovedaftalen mellem parterne går ud på, at den ene part skal behandle (fx indsamle, opbevare) personoplysninger efter instruks.

Hvis hovedaftalens formål derimod drejer sig om levering af en anden ydelse end behandling af personoplysninger, skal der ikke indgås en databehandleraftale. Det gælder også, selvom den ene part modtager personoplysninger (fx navn og adresse), som er nødvendige for at levere ydelsen. Hvis du blot behandler personoplysninger for at være i stand til at levere din hovedydelse, skal du som udgangspunkt ikke indgå en databehandleraftale.

3. It-udstyr, systemer, ”teknisk kontrol” eller ejerskab over udstyr er ikke afgørende
Den dataansvarlige bestemmer som udgangspunkt formålet med behandlingen af personoplysningerne, og med hvilke hjælpemidler personoplysninger må behandles. I praksis er det dog databehandleren, der reelt får lov til at bestemme hjælpemidlerne, fx hvilke systemer og it-udstyr, der skal anvendes til behandlingen. Dette ændrer dog ikke ved, at den dataansvarlige beholder kontrollen over formålet med behandlingen. Der skal altså indgås en databehandleraftale, selvom databehandleren får lov til at bestemme visse hjælpemidler.

Det er heller ikke afgørende for vurderingen af roller, om behandlingen sker på dit eget eller kundens it-udstyr. Du kan med andre ord både være databehandler eller dataansvarlig, når du alene sidder på kundens it-udstyr.

4. Har du behov for en instruks?
Det er ikke altid en nem opgave at vurdere, om man er dataansvarlig eller databehandler. Oftest vil parterne i samarbejde finde ud af, hvordan en given opgave skal løses, og først efterfølgende begynde at overveje om en databehandleraftale er nødvendig eller ej.

I den forbindelse skal du overveje, om du har behov for at instruere den anden part i, hvordan personoplysninger skal behandles. Hvis du har svært ved at formulere en instruks til den anden part, kan det tale for, at der ikke er behov for en databehandleraftale. Det samme gør sig gældende, hvis den anden part har en ekspertise om et emne, og du derfor ønsker at give parten frie hænder til at levere ydelsen.

Hvis den anden part derimod blot er din forlængede arm, og du i princippet selv kunne udføre opgaven, kan du have behov for at indgå en databehandleraftale.

Når du har fastlagt rollerne

Hvis du har vurderet, at der skal indgås en databehandleraftale, bør du bruge de standardskabeloner, som din organisation benytter.

Som organisationen kan man med fordel bruge Datatilsynets skabelon, som er blevet vedtaget af EDPB (Det Europæiske Databeskyttelsesråd) som standardkontraktbestemmelser. Det indebærer, at databehandleraftalen lever op til kravene i databeskyttelsesforordningens art. 28, og at databehandleraftalen således ikke vil blive underlagt Datatilsynets efterprøvelse af, om databehandleraftalen lever op til kravene. Der er altså en væsentlig fordel for begge parter forbundet med anvendelsen af standardskabelonen.

Hvis du derimod kommer frem til, at der ikke er behov for en databehandleraftale, kan du overveje, om den anden part skal underskrive en tavshedserklæring eller fortrolighedsaftale, hvis du er bekymret for fortroligheden ved opgaven.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her

Nævnte firmaer