Vejledning til indhold i en databehandleraftale
Vejledning til indhold i en databehandleraftale
Indledning:
Når en virksomhed anvender en underleverandør til f.eks. at ”hoste” sine data eller website, eller at levere it-løsninger såsom HR-systemer eller mail-hosting, vil der være tale om, at der anvendes en databehandler. Når der anvendes eksterne konsulenter, analysefirmaer, rekrutteringsvirksom- heder eller anden tredjepart, med adgang til virksomhedens personoplysninger, vil der ligeledes være tale om, at der anvendes en databehandler.
Det er som udgangspunkt lovligt at anvende en databehandler, og brugen af en databehandler er ofte med til at skabe en bedre sikkerhed for beskyttelse af personoplysninger. Anvendes der en da- tabehandler, er det dog en forudsætning, at der er indgået en skriftlig databehandleraftale med den virksomhed eller person, der skal være databehandler.
Indholdet af en databehandleraftale vil typisk variere, da det afhænger af, hvilke data der skal be- handles og til hvilket formål. Er der f.eks. tale om, at databehandleren skal behandle eller har ad- gang til en stor mængde data, herunder særligt følsomme data, vil der typisk skulle indgås en me- get detaljeret databehandleraftale (f.eks. ved behandling af følsomme oplysninger i et HR-system). Hvor databehandleren kun skal behandle eller have adgang til enkelte oplysninger af helt alminde- lige karakter, vil der derimod ikke være behov for en lige så detaljeret databehandleraftale (f.eks. når en databehandler udelukkende skal stå for hosting af hjemmeside uden login funktion).
Uanset om behandlingen ved en databehandler kræver en detaljeret eller mindre detaljeret databe- handleraftale, vil der være visse vilkår og oplysninger, der som minimum skal fremgå af aftalen. Af- talen skal foreligge skriftligt, herunder elektronisk.
Danske Medier har udarbejdet følgende oversigt over, hvad der som minimum skal fremgå af en databehandleraftale efter Databeskyttelsesforordningen.
Danske Medier gør opmærksom på, at de oplistede krav, er de krav der gælder efter Databeskyttel- sesforordningen og ikke den nugældende persondatalov. Når databeskyttelsesforordningen træder i kraft, den 25. maj 2018, er det et krav, at samtlige databehandleraftaler som minimum opfylder de krav som oplistet nedenfor.
1. Genstanden for behandling
Det skal fremgå af databehandleraftalen, hvad der helt overordnet er genstand for behandlingen, dvs. hovedydelsen.
2. Varighed af behandlingen
Det skal fremgå af databehandleraftalen, hvor længe behandlingen vil finde sted. Det kan f.eks. an- gives ved at skrive, at databehandleraftalen gælder, indtil den opsiges.
3. Karakter og formål
Det skal fremgå af databehandleraftalen, hvilken behandling der vil finde sted, samt til hvilket for- mål behandlingen skal ske. Dette kan f.eks. være opbevaring af medarbejderoplysninger i HR-sy- stem til brug for registrering af sygefravær.
4. Typen af personoplysninger
Det skal fremgå af databehandleraftalen, hvilke type oplysninger der bliver behandlet. Danske Me- dier anbefaler, at det specificeres præcis, hvilke oplysninger der er tale om. Det kan f.eks. specifice- res, at der skal behandles oplysninger om eksempelvis navn, telefonnummer og helbredsoplysnin- ger. Det vil ikke være nok blot at specificere ”almindelige” eller ”følsomme” oplysninger.
5. Kategorier af registrerede
Det skal fremgå af databehandleraftalen, hvem de registrerede oplysninger omhandler. Dette kan f.eks. være medarbejdere, kunder, brugere, samarbejdspartnere osv.
6. Den dataansvarliges forpligtelser og rettigheder
Det skal fremgå af databehandleraftalen, hvilke forpligtelser og rettigheder den dataansvarlige er pålagt. Udover de forpligtelser og rettigheder der fremgår af nedenstående punkter, vil det f.eks. være oplysninger om, hvordan den dataansvarlige skal bistå i forbindelse med overførsel eller tilba- geførsel af oplysninger. Det kan f.eks. også være oplysninger om særlige branchespecifikke krav el- ler forpligtelser eller rettigheder efter særlovgivning, der forpligter den dataansvarlige.
7. Efter instruks fra den dataansvarlige
Det skal fremgå af databehandleraftalen, at databehandleren udelukkende må behandle oplysnin- ger efter instruks fra den dataansvarlige. Databehandleren må altså udelukkende behandle oplys- ninger til det formål, der er specificeret i aftalen og udelukkende til formål, som er bestemt af den dataansvarlige.
8. Fortrolighed
Det skal fremgå af databehandleraftalen, at de personer, der er autoriseret til at behandle eller få adgang til oplysninger, har forpligtet sig til fortrolighed eller er underlagt en lovbestemt tavsheds- pligt. Både den dataansvarlige og databehandleren skal sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige.
9. Behandlingssikkerhed
Det skal fremgå af databehandleraftalen, at databehandleren iværksætter eller har iværksat alle foranstaltninger, som kræves i henhold til reglerne om behandling for sikkerhed jf. artikel 32 i for- ordningen.
Dette indebærer helt overordnet, at databehandleren garanterer et passende sikkerhedsniveau i forhold til den risiko, der er forbundet med behandlingen, gennem tekniske og organisatoriske for- anstaltninger. Mere specifikt kan dette omfatte:
a) pseudonymisering eller kryptering af oplysningerne.
b) beskrivelse af egenskaber der sikrer fortrolighed, integritet, tilgængelighed og robusthed af be- handlingssystemer – og tjenester.
c) beskrivelse af egenskaber til rettidigt at genoprette tilgængeligheden af og adgang til personop- lysninger i tilfælde af en fysisk eller teknisk hændelse.
d) beskrivelse af en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Når det skal vurderes, hvilket sikkerhedsniveau der er passende, skal der tages hensyn til de risici, der er forbundet med behandlingen, herunder særligt i forhold til risikoen ved hændelig eller ulov- lig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til de personoplysninger, der skal transmitteres, opbevares eller på anden måde behandles.
10. Assistance i forbindelse med anmodninger fra den registrerede
Under hensyntagen til behandlingens karakter, skal det fremgå af databehandleraftalen, at databe- handleren på passende vis skal assistere den dataansvarlige med at opfylde sin forpligtelse over for den registrerede i forhold til at besvare anmodninger om indsigt, indsigelse, retten til dataportabi- litet, retten til at blive glemt osv.
11. Assistance i forbindelse med data- og sikkerhedsbrud
Det skal fremgå af databehandleraftalen, at databehandleren bistår den dataansvarlige med at op- fylde de forpligtelser, der gælder i tilfælde af, at der sker et data- eller sikkerhedsbrud. Det bør i den forbindelse anføres, at sikkerhedsbrud skal meddeles til den dataansvarlige uden unødig for- sinkelse.
12. Tilbagelevering eller sletning af personoplysninger
Det skal fremgå af databehandleraftalen, at databehandleren, efter at aftalen om databehandling er ophørt, efter den dataansvarliges valg, enten sletter eller tilbageleverer alle personoplysningerne. Dette indebærer også eksisterende kopier som databehandleren er i besiddelse af.
13. Adgang til oplysninger og inspektioner
Det skal fremgå af databehandleraftalen, at databehandleren stiller alle oplysninger til rådighed, der er nødvendige for, at den dataansvarlige kan påvise overholdelse af reglerne, der gælder for brug af databehandler. Det skal ligeledes fremgå, at databehandleren bidrager til revisioner, herun- der inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
14. Brug af underdatabehandler
Selvom det følger af databeskyttelsesforordningen, bør det fremgå af databehandleraftalen, at data- behandleren ikke må anvende en underdatabehandler uden forudgående specifik eller generel skriftlig godkendelse. Danske Medier anbefaler, at det præciseres, hvem der anvendes som under- databehandler, men hvor dette ikke er muligt, og der foreligger en generel skriftlig godkendelse, skal det fremgå, at databehandleren skal underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre underdatabehandlere. Dette er nødven- digt for at sikre, at den dataansvarlige har mulighed for at gøre indsigelse mod sådanne ændringer.
Det bør endvidere anføres, at databehandleren er direkte ansvarlig for underdatabehandlerens be- handling af personoplysninger på samme vis, som var behandlingen foretaget af databehandleren selv.