Wave top
What is a data processingagreement (DPA)

Databehandleraftale | En Guide.

GDPR kræver, at der indgås en databehandleraftale (DPA) mellem den dataansvarlige og databehandleren. 

Det betyder, at hvis din organisation bruger et produkt eller en tjenesteudbyder, som skal behandle personoplysninger på jeres vegne, skal der indgås en databehandleraftale.

  • Databehandleaftale tjekliste.
  • Skabelon Databehandleraftale
Wave Bottom

Databehandleraftaler er et krav

Organisationer samarbejder konstant og køber hinandens tjenester og produkter. Disse transaktioner kræver ofte overførsel af persondata mellem parterne for at opfylde servicen; f.eks. behandler en ekstern bogholder kundernes fakturaer, kvitteringer osv. som indeholder købers og sælgers persondata.

Når du hyrer en tredjepart til at levere en service, der involverer håndtering af persondata, skal de behandle disse data efter de samme standarder, som du er forpligtet til at overholde. Det giver mening, da outsourcing af behandlingen af persondata ikke bør fritage dig fra dit GDPR-ansvar. 

Derfor kræver GDPR en databehandleraftale til at regulere sådanne outsourcing-aktiviteter.

I henhold til GDPR indgås en databehandleraftale mellem to parter, som kaldes »dataansvarlige« og »databehandlere«.

Dataansvarlig

En dataansvarlig er en organisation der er ansvarlig for at fastlægge formålet med behandlingen af persondata. 

I praksis fungerer alle organisationer som dataansvarlige, da de håndterer data relateret til kunder eller medarbejdere som en del af deres drift. Personoplysninger skal behandles sikkert inden for din organisation, og når de outsources til en leverandør (databehandler).

Som dataansvarlig skal din organisation sikre, at der foreligger en databehandleraftale for outsourcing af persondatabehandling til en databehandler.

Translated with www.DeepL.com/Translator (free version)

Databehandler

På den anden side er en databehandler en organisation, der behandler personoplysninger på vegne af en dataansvarlig. I bund og grund administrerer databehandleren de personoplysninger, der er blevet outsourcet til dem efter den dataansvarliges valg.

Da databehandleren håndterer personoplysninger på vegne af den dataansvarlige, skal den nøje følge de retningslinjer, som den dataansvarlige har fastsat. 

Databehandleraftalen bør tydeligt beskrive disse retningslinjer, som databehandleren accepterer, når den påtager sig det outsourcede arbejde på vegne af den dataansvarlige.

Eksempler på databehandlere

Et konsulentfirma der benytter en ekstern bogholder

Forestil dig et konsulentfirma, der hyrer et eksternt bogholderi til at håndtere sine daglige regnskaber. 

I dette scenarie fungerer konsulentfirmaet som dataansvarlig, mens bogholderiet fungerer som databehandler og håndterer fakturaer, kvitteringer og andre finansielle data på vegne af firmaet. Bogholderiet skal behandle disse data i nøje overensstemmelse med de vilkår, der er aftalt med konsulentfirmaet, da dataene tilhører firmaet.

Webshop der bruger et hosting-selskab

En webshop, der sælger sko til kunder, vil også være dataansvarlig, da den behandler persondata for at administrere købsordrer og sende produkter. 

Når denne webshop bruger en cloudtjeneste til at hoste sin onlineplatform, bliver hostingudbyderen databehandler. Hostingudbyderen skal behandle webshoppens kundedata i henhold til sine instruktioner, som beskrevet i deres databehandleraftale, da dataene forbliver webshoppens ejendom.

Hvad er en databehandleraftale? (DPA)?

En databehandleraftale (DPA) er betegnelsen for en juridisk bindende kontrakt, der skal indgås, når en dataansvarlig outsourcer personoplysninger til en databehandler med henblik på behandling.

I henhold til artikel 28 i GDPR fastsætter en DPA de vilkår og betingelser, hvorunder databehandleren kan håndtere personoplysninger på vegne af den dataansvarlige. Den specificerer begge parters ansvar, forpligtelser og rettigheder og dækker aspekter som sikkerhedsforanstaltninger, procedurer for rapportering af brud på datasikkerheden og overholdelse af GDPR-kravene.

I bund og grund definerer DPA'en forholdet mellem den dataansvarlige og databehandleren og sikrer, at behandlingen af personoplysninger er i overensstemmelse med GDPR-standarderne, og at de registreredes rettigheder er beskyttet.

Hvad er formålet med at have en databehandleraftale?

Dens primære formål er at sikre, at personoplysninger behandles sikkert, at de registreredes rettigheder beskyttes, og at tillid og gennemsigtighed fremmes ved ekstern behandling af personoplysninger.

DPA'en tydeliggør roller, ansvar og forpligtelser for hver part, der er involveret i databehandling. 

Det er vigtigt for at undgå tvetydighed om, hvem der er ansvarlig for at opfylde forskellige forpligtelser. Uden en klar afgrænsning er der risiko for, at ingen af parterne påtager sig et ansvar, eller at en part påtager sig et ansvar, som vedkommende ikke er tiltænkt.

Tjekliste: Databehandleraftale

Der er flere krav til en databehandleraftale, men det første krav er, at den skal dokumenteres skriftligt og opbevares elektronisk. Dette sikrer, at de aftalte vilkår er korrekt dokumenteret til inspektion, revisionsformål og andre compliance-behov.

Aftalen skal som minimum indeholde følgende aspekter:

Tekniske og organisatoriske foranstaltninger: Sørg for, at passende tekniske og organisatoriske sikkerhedsforanstaltninger er på plads og i overensstemmelse med artikel 32 i GDPR. 

Detaljer om behandlingen: Behandlingen af personoplysninger skal beskrives fuldt ud.

  • Genstand for behandling: En klar forklaring på de instruktioner, som den dataansvarlige har givet databehandleren vedrørende databehandlingsaktiviteter.
  • Behandlingens art: En beskrivelse af, hvordan oplysningerne vil blive behandlet, herunder aspekter som indsamling, opbevaring, behandling, videregivelse eller sletning.
  • Formål med behandlingen: En erklæring, der beskriver de specifikke formål med behandlingen af oplysningerne.
  • Behandlingens varighed: En specifikation af, hvor længe behandlingen vil finde sted.
  • Type af personoplysninger: En detaljeret beskrivelse af de behandlede data, herunder type, kilde og kategori.

Forpligtelser: De to parters forpligtelser skal beskrives.

  • Parterne: En specifikation af den dataansvarliges og databehandlerens juridiske forpligtelser og rettigheder.
  • Instrukser for behandling: Databehandleren må kun behandle personoplysninger i henhold til den dataansvarliges instrukser, herunder eventuelle begrænsninger for dataoverførsel til lande uden for EU/EØS.
  • Fortrolighed: Enhver, der håndterer personoplysninger, skal være bundet af fortrolighedsaftaler eller juridiske forpligtelser.

Inddragelse af underdatabehandlere: Databehandlerens brug af underdatabehandlere skal beskrives.

  • Godkendelse: Der skal indhentes skriftlig godkendelse fra den dataansvarlige, før der benyttes en underdatabehandler.
  • Ansvar for underdatabehandlere: Underdatabehandlere skal være underlagt de samme databeskyttelsesforpligtelser gennem en kontrakt eller en retsakt i henhold til EU- eller medlemsstatslovgivning. Den oprindelige databehandler forbliver fuldt ud ansvarlig over for den dataansvarlige for underdatabehandlerens opfyldelse af disse forpligtelser.

Bistand til registreredes rettigheder: Databehandleren skal hjælpe den dataansvarlige med at opfylde forpligtelserne til at svare på enkeltpersoners anmodninger vedrørende deres datarettigheder.

Overholdelse af artikel 32 til 36: Databehandleren skal bistå den dataansvarlige med at sikre datasikkerhed, håndtere brud på persondatasikkerheden, foretage konsekvensanalyser og kommunikere med myndighederne.

Sletning eller tilbagelevering af data: På den dataansvarliges anmodning skal alle personoplysninger slettes eller returneres, når behandlingen er afsluttet, medmindre opbevaring er lovpligtig.

Revision og overholdelse: Databehandleren skal give den dataansvarlige de nødvendige oplysninger til at påvise overholdelse af databeskyttelsesforpligtelser og til at understøtte revisioner. De skal også informere den dataansvarlige, hvis instruktioner, de har fået, overtræder GDPR eller andre gældende love.

Disse krav er beskrevet i artikel 28 i GDPR.

Databehandleraftale skabelon

EU har stillet »Standard Contractual Clauses« til rådighed, som du kan bruge som skabelon til at oprette databehandleraftaler. Hvis du bruger disse klausuler som din databehandleraftale, vil du have et juridisk grundlag for at sikre overholdelse af GDPR. 

Hvis du går ind på Europa-Kommissionens hjemmeside via følgende link, finder du disse skabeloner på EU-sprogene. 

Begynd med at vælge dit foretrukne sprog for skabelonen, og åbn siden eller pdf-filen, og rul derefter ned til afsnittet med titlen »BILAG«. 

Dette afsnit indeholder den forhåndsgodkendte tekst fra EU, som vil sikre, at din aftale opfylder de nødvendige juridiske standarder. BILAGet dækker flere vigtige aspekter, der er nødvendige for databehandleraftalen, så det er vigtigt at inkludere alle afsnit, fra BILAG til BILAG IV, i din aftale. 

Disse afsnit bør tilpasses de specifikke omstændigheder ved dine databehandlingsaktiviteter. Du skal udfylde alle relevante oplysninger og ændre eventuelle afsnit, så de repræsenterer forholdet mellem den dataansvarlige og databehandleren.

Databehandleraftale (Word dokument)

Hvis du foretrækker det, kan du bruge en alternativ skabelon til databehandleraftale fra Datatilsynet. Denne skabelon findes på engelsk og er præformateret som et Word-dokument, hvilket kan være mere praktisk for nogle brugere. 

Du kan downloade skabelonen til databehandleraftalen på engelsk ved at følge dette link.

Software-as-a-Service og databehandleraftaler

Mange tjenesteudbydere, f.eks. Microsoft Azure og Amazon Web Services, fungerer som databehandlere og tilbyder en standard databehandleraftale, der passer til alle kunder. Det er dog den dataansvarliges ansvar at sikre, at der er en passende databehandleraftale på plads. 

Ændring af vilkårene i en databehandleraftale

I praksis kan din mulighed for at forhandle disse vilkår med sådanne tjenesteudbydere være betydeligt begrænset. Store udbydere tilbyder standardaftaler, der stort set ikke kan forhandles, hvilket betyder, at hvis du har brug for deres tjenester, har du typisk ingen anden mulighed end at acceptere deres forud fastsatte vilkår og betingelser.

Denne situation sætter dig i en udfordrende position: Selvom du er juridisk ansvarlig for de data, der behandles, er din kontrol over vilkårene ofte minimal. Selvom DPA'en beskriver databehandlerens forpligtelser og dine rettigheder, er det normalt minimalt, hvor meget du kan påvirke disse vilkår. 

På trods af dette er det stadig vigtigt at gennemgå disse aftaler omhyggeligt for at forstå deres indvirkning på dine databehandlingsaktiviteter. 

Vælg dine databehandlere med omhu 

Du skal sikre dig, at vilkårene hos disse større udbydere er i overensstemmelse med GDPR, og at udbyderens sikkerhedsforanstaltninger opfylder dine krav. Hvis vilkårene er utilfredsstillende, kan din eneste mulighed være at se dig om efter alternative udbydere. Det er dog ikke altid muligt, især ikke hvis tjenesterne er kritiske for din drift.

Selv om du er ansvarlig for at overholde databeskyttelsesreglerne, betyder realiteterne ved at handle med store tjenesteudbydere ofte, at du skal acceptere deres vilkår for at fortsætte med at bruge deres tjenester.

Det gør det vanskeligt at købe software-as-a-service-løsninger, hvilket du kan læse mere om i vores guide til køb af GDPR-compliance-software.

Mindre leverandører og databehandleraftaler

Når du handler med mindre leverandører som f.eks. din bogholder, dit marketingbureau eller andre tjenesteudbydere, har du ofte mere fleksibilitet i forhandlingerne om databehandleraftaler. I modsætning til store SaaS-udbydere er disse leverandører ofte mere villige til at tilpasse aftalerne, så de imødekommer dine bekymringer.

Som dataansvarlig skal du vurdere disse leverandører og sikre, at deres risikoprofil stemmer overens med det niveau af persondata, de skal behandle.

Hvis du samarbejder med flere leverandører, kan det betale sig at udvikle en standard DPA-skabelon, som du kan bruge på tværs af alle aftaler. Denne tilgang hjælper med at opretholde ensartethed i databeskyttelsespraksis og forenkler administrationen af aftaler på tværs af leverandører. 

Udvikling af standard databehandleraftale skabelon

En virksomhedsspecifik skabelon sikrer, at alle DPA'er er i overensstemmelse med dine interne politikker og compliance-krav. Større organisationer anvender ofte denne tilgang for at styre risici effektivt og for at bevare kontrollen over, hvordan data håndteres på tværs af forskellige leverandører. På den måde sparer man tid og mindsker risikoen for at overse vigtige klausuler eller krav i de enkelte aftaler.

For mindre organisationer, der ikke har ressourcer til at skabe en brugerdefineret skabelon, kan det være en praktisk løsning at bruge en allerede eksisterende. Når du bruger en skabelon, skal du dog sørge for at tilpasse den til dine specifikke behov og overveje at søge juridisk rådgivning, hvis du ikke har den nødvendige interne ekspertise.

Selvom du måske har mere kontrol over DPA'er med mindre leverandører, skal du sikre, at disse aftaler og dine databehandleres adfærd er i overensstemmelse med GDPR.

Tilsyn med databehandlere

set-risk-interval

Et undertiden glemt krav i GDPR er at sikre, at dine databehandlere overholder aftalen. Husk, at disse aftaler har til formål at sikre, at behandlingen af persondata, der er outsourcet til en leverandør, ikke kan sænke standarderne og beskyttelsen af persondata. 

Derfor skal du revidere deres overholdelse af din aftale. Du kan læse mere om, hvordan du gennemfører løbende revisioner af dine databehandleraftaler her.

Revision kan være en stor opgave for din virksomhed, så hvordan den skal håndteres, fortjener din opmærksomhed.

Sanktioner for manglende overholdelse

Hvis du ikke følger GDPR-reglerne for databehandlere, kan det føre til betydelige bøder på op til 10 millioner euro eller 2 % af din årlige globale omsætning, alt efter hvad der er højest.

Manglende overholdelse kan vise sig på forskellige måder, f.eks. ved at have forkerte aftaler med databehandlere, utilstrækkeligt tilsyn med deres aktiviteter eller ved ikke at undersøge dem grundigt. Ethvert af disse problemer kan udsætte din organisation for en betydelig risiko.

Hvis en databehandler begynder at træffe beslutninger om, hvordan data behandles, påtager den sig i bund og grund en dataansvarligs ansvar. I så fald kan databehandleren blive straffet på samme måde som en dataansvarlig for brud på GDPR.

Derudover kan personer, hvis data er blevet behandlet forkert, tage retslige skridt, herunder søge erstatning for den skade, de har lidt, hvilket vil medføre yderligere omkostninger og komplikationer for din organisation.

Konklusion

Din organisation bør have DPA'er for sine leverandører til behandling af persondata.

Hvis din organisation ikke har disse aftaler, vil den ikke overholde GDPR.

De tjeklister og skabeloner, der henvises til i denne artikel, kan bruges til at udarbejde grundige DPA'er for din organisation eller som udgangspunkt for dine drøftelser med juridiske eksperter. 

Når du har etableret disse DPA'er, skal du gennemføre regelmæssige revisioner for at sikre, at de er i overensstemmelse med din aftale.

FAQ

  • Ikon frameworks

    Hvad er en databehandleraftale?

    En DPA, eller databehandleraftale, er en kontrakt mellem en dataansvarlig og en databehandler.

  • Ikon frameworks

    Er en databehandleraftale obligatorisk?

    Ja, i henhold til GDPR er en databehandleraftale (DPA) obligatorisk, når en dataansvarlig engagerer en databehandler til at håndtere opgaver, der involverer behandling af personoplysninger på deres vegne.

    En DPA beskriver vilkår, betingelser og forpligtelser vedrørende behandlingsaktiviteter mellem den dataansvarlige og databehandleren. 

    Dens primære formål er at sikre overholdelse af databeskyttelseslovgivningen og beskytte de registreredes interesser. Hvis der ikke oprettes en DPA, når GDPR kræver det, kan det føre til sanktioner, påbud eller offentlig eksponering for manglende overholdelse.

  • Ikon frameworks

    Hvor ofte skal databehandleraftaler revideres eller opdateres?

    Hvor ofte en databehandleraftale skal gennemgås eller opdateres, afhænger af flere faktorer, f.eks. ændringer i behandlingsaktiviteter, lovkrav eller forretningsforholdet mellem de involverede parter.

    Generelt bør databehandleraftaler gennemgås regelmæssigt for at sikre, at de overholder relevante regler og afspejler virksomhedens aktuelle praksis og situation.

  • Ikon frameworks

    Hvordan håndterer man underdatabehandlere?

    Ifølge GDPR skal en dataansvarlig have en databehandleraftale med hver databehandler, der håndterer persondata på deres vegne.

    Antag, at en af disse databehandlere ansætter yderligere virksomheder, kendt som underdatabehandlere, til at håndtere de samme data. I så fald skal dette godkendes af den dataansvarlige og være i overensstemmelse med den oprindelige aftale. 

    Disse underdatabehandlere skal overholde de samme forpligtelser som den primære databehandler for at sikre en ensartet standard for databeskyttelse i hele leverandørkæden. 

    Outsourcing af persondata bør ikke øge risikoen for de registrerede på noget tidspunkt.

  • Ikon frameworks

    Hvornår er en databehandleraftale (DPA) ikke påkrævet?

    En databehandleraftale (DPA) er ikke påkrævet, når tredjeparten bestemmer midlerne til og formålet med behandlingen af personoplysninger. I sådanne tilfælde fungerer de som dataansvarlige snarere end databehandlere.

    Det er f.eks. vigtigt at skelne mellem scenarier, hvor en konsulent er en uafhængig dataansvarlig, og dem, hvor de fungerer som databehandler. Hvis en advokat modtager persondata til en retssag fra klienten, behandler vedkommende ikke disse data på vegne af en dataansvarlig. De fungerer som advokat og træffer beslutning om de oplysninger og handlinger, der er nødvendige for at løse retssagen.

    I dette tilfælde er en databehandleraftale ikke påkrævet, fordi advokaten beslutter formålet med behandlingen af personoplysninger og er bundet af specifikke regler, der gælder for deres erhverv. De behandler klientens data for at opfylde deres juridiske forpligtelser, ikke på vegne af en anden dataansvarlig.

    Derfor er en databehandleraftale kun nødvendig, når den eksterne part udelukkende behandler personoplysninger på vegne af den dataansvarlige - hvilket ikke var tilfældet i dette eksempel med advokaten.

Processing activities

.legal compliance platform Start din compliance rejse i dag

Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
  • Kreditkort ikke nødvendigt
  • Ubegrænset tid på gratis plan
  • Ingen binding
+290 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
Georg Jensen
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo