Databehandleraftale

Indhold

En databehandleraftale er den lovpligtige aftale, der skal indgås mellem en dataansvarlig og en databehandler om håndtering af personoplysninger. Pligten følger af GDPR (databeskyttelsesforordningen) og gælder, hver gang en virksomhed lader en ekstern part — fx en cloud-udbyder, et bogføringsbureau, en marketingleverandør — behandle personoplysninger på sin vegne.

Hvornår databehandleraftale er krævet

Behovet opstår, så snart en virksomhed (den dataansvarlige) lader en anden virksomhed (databehandleren) behandle personoplysninger om medarbejdere, kunder eller andre. Eksempler er:

• IT- og cloud-udbydere: hosting, e-mail, dokumentlagring
• Bogføringsbureauer og revisorer der har adgang til personaledata
• Lønservice der håndterer medarbejderdata
• CRM- og marketingplatforme
• HR-systemer og rekrutteringsplatforme

Hvis databehandleren ikke har en korrekt aftale med den dataansvarlige, er begge i overtrædelse af GDPR, og virksomheden risikerer både påbud og bøder fra Datatilsynet.

Hvad aftalen skal indeholde

GDPR foreskriver minimumkrav til indhold:

• Behandlingens karakter og formål
• Hvilke kategorier af personoplysninger der behandles
• Databehandlerens forpligtelser: sikkerhed, fortrolighed, instruktion fra dataansvarlig
• Brug af underdatabehandlere: krav om forhåndsgodkendelse
• Sikkerhedsforanstaltninger (typisk via referencer til ISO 27001 eller lignende)
• Bistand til den dataansvarlige ved fx anmodninger fra registrerede
• Brud på datasikkerhed: anmeldelsesfrister og kommunikation
• Sletning eller returnering af data efter aftalens ophør
• Revision og audit

Datatilsynet stiller standardkontraktbestemmelser til rådighed, der kan bruges som udgangspunkt. For internationale dataoverførsler — fx til udbydere i USA — gælder yderligere regler, og standardkontraktbestemmelserne skal suppleres med en transferimpact assessment. Det er et område, der har udviklet sig hurtigt efter Schrems II-dommen, og som med fordel følges tæt af virksomhedens compliance-funktion.