”En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder…” (Artikel 28, stk. 3 i forordningen)
Forordningen sætter således krav til at man laver databehandleraftaler hvis man udliciterer behandling af persondata til andre.
Datatilsynet har udarbejdet en skabelon på en ”standard-databehandleraftale”, men rigtig mange virksomheder har allerede en aftale liggende, du skal læse igennem og printe til dit arkiv. En databehandleraftale skal ikke nødvendigvis være underskrevet, men det er et krav at aftalen er skriftlig, herunder elektronisk.
Krav til indhold
Du skal være opmærksom på at aftalen indeholder dét den skal, for at leve op til loven. Der kan være tale om en ugyldig databehandler-aftale, hvis ikke alle kravene fremgår af aftalen.
Forordningen stiller krav om at aftalen som minimum skal indeholde følgende:
- Rammen for behandling af personoplysninger
- Dokumenteret instruks
- Fortrolighed og tavshedsforpligtelse
- Behandlingssikkerhed
- Brug af underdatabehandlere
- Samarbejde med den dataansvarlige virksomhed
- Sletning eller tilbagelevering af personoplysninger
- Underretning om ulovlig instruks
(Kilde: startvaekst.virk.dk)
Du skal være klar over at du som dataansvarlig ikke kan fralægge dig ansvaret for behandlingen af data. Ligesom det også er den dataansvarliges opgave at sikre at kravene til sikkerheden bliver overholdt. Læs mere om tilsyn af databehandlere her.
Er du kunde hos Simple Solution?
Er du kunde hos Simple Solution, skal du også lave en databehandleraftale. Skriv til gdpr@simplesolution.dk for hjælp til databehandleraftale.