Tjekliste for indgåelse af databehandleraftaler – FRI
Tjekliste for indgåelse af databehandleraftaler – FRI
Nedenstående tjeklister er til brug i de situationer, hvor FRIs medlemmer bliver præsenteret for en databehandleraftale fra en kunde/samarbejdspartner, og hvor medlemmets egen databehandleraftale ikke kan benyttes.
Den første tjekliste vedrører medlemmets forretningsmæssige overvejelser som henholdsvis dataansvarlig og databehandler, mens den anden tjekliste er beregnet på at sikre overholdelse af persondataforordningen ("GDPR").
1) Kommerciel tjekliste hvor medlemmet er dataansvarlig
Aftalepunkt | Medtaget i databehandler- aftalen (√) |
Ændringer i instruks eller sikkerhedskrav | |
Medlemmet skal have mulighed for at ændre instruks og sikkerhedskrav, evt med et passende varsel. | |
Ansvarsbegrænsning/skadesløsholdelse | |
Hvis databehandleraftalen eller en underliggende aftale begrænser databehandlerens ansvar, bør der indsættes et vilkår om databehandlerens skadesløsholdelse, hvis der rejses krav fra tredjemand mod den dataansvarlige, der overstiger ansvarsbegrænsningen og som skyldes databehandlerens forhold. Det kan endelig overvejes at indsætte vilkår om en beløbsmæssig grænse for den dataansvarliges ansvar. | |
Audit | |
Databehandleren bør afholde egne udgifter og udgifter til tredjemand i forbindelse med en intern kontrol (audit) af sikkerhedsforhold hos Databehandleren. Såfremt det aftales, at den dataansvarlige dækker databehandlerens tidsforbrug forbundet med en ekstern kontrol, bør der indføres et vilkår om, at databehandlerens krav på betaling helt eller delvist bortfalder, hvis der i forbindelse med kontrollen konstateres, at databehandleren ikke opfylder de aftalte sikkerhedskrav m.v., og der ikke er tale om bagatelagtige forhold. | |
Sikkerhedskrav | |
Den dataansvarlige bør foretage en konkret vurdering af aftalens beskrivelse af sikkerhedsforanstaltninger og om nødvendigt stille supplerende krav hertil. | |
Databehandlerens bistand | |
Såfremt databehandleren kræver selvstændig betaling for sin assistance i |
følgende situationer; • besvarelse af anmodninger fra registrerede ved udøvelsen af disses rettigheder (herunder også sletning og portering af data). • bistand i forbindelse med sikkerhedsvurderinger og sikkerheds- brud. • bistand ved foretagelse af konsekvensanalyse/risikovurderinger. • bistand ved henvendelser fra tilsynsmyndigheder og i forbindelse med høringer (medmindre dette skyldes databehandlerens misligholdelse af databehandleraftalen). • Ved krav om dokumentation for opfyldelsen af gældende persondatalovgivning. bør den dataansvarlige kræve, at databehandleren ikke skal være berettiget til vederlag i tilfælde af sikkerhedsbrud, kontrol eller henvendelser fra myndigheder, som skyldes databehandlerens manglende overholdelse af aftalen. Ligeledes bør det indsættes i aftalen, at databehandleren ikke skal kunne kræve betaling fra den dataansvarlige for at håndtere henvendelser fra de registrerede om indsigt/indsigelser eller for at slette data i systemet som følge af, at databehandleren har indrettet sit system på en sådan måde, at den dataansvarlige ikke eller kun med stort besvær kan håndtere henvendelser fra registrerede eller slette data i systemet på egen hånd. |
2) Kommerciel tjekliste hvor medlemmet er databehandler
Aftalepunkt | Medtaget i databehandler- aftalen (√) |
Ændringer i instruks eller sikkerhedskrav | |
Ændringer i instruks og/eller sikkerhedskrav bør udløse betalinger til databehandleraftalen for det arbejde, der ligger i at implementere ændringerne og sikre overholdelse af de nye krav. Ændringer bør endvidere som udgangspunkt varsles i god tid. | |
Ansvarsbegrænsning/skadesløsholdelse | |
Hvis den bagvedliggende aftale om levering af databehandlerens ydelser ikke tager stilling til ansvarsbegrænsning, bør databehandleraftalen regulere dette. Databehandleren bør for det første ikke kunne holdes erstatningsansvarlig for indirekte tab eller følgeskader som følge af manglende opfyldelse af databehandleraftalen. Der bør for det andet indsættes en beløbsmæssig grænse for databehandlerens erstatningsansvar. Det kan f.eks. være et beløb svarende til den aftalte betaling for databehandlerens ydelser i 12 måneder før kravets opståen. Det kan endelig overvejes at indsætte vilkår om den dataansvarliges skadesløsholdelse, hvis der rejses krav fra tredjemand mod |
databehandleren, der overstiger ansvarsbegrænsningen. | |
Audit | |
Den dataansvarlige bør afholde egne udgifter og udgifter til tredjemand i forbindelse med kontrol (audit) af sikkerhedsforhold hos databehandleren. Der bør som udgangspunkt også stilles krav om, at den dataansvarlige dækker databehandlerens tidsforbrug forbundet med kontrollen. Dog vil det være rimeligt at indføre et vilkår om, at databehandlerens krav på betaling helt eller delvist bortfalder, hvis der i forbindelse med kontrollen konstateres, at databehandleren ikke opfylder de aftalte sikkerhedskrav m.v., og der ikke er tale om bagatelagtige forhold. | |
Databehandlerens bistand | |
Databehandleren kan/bør kræve selvstændig betaling for sin assistance i følgende situationer; • besvarelse af anmodninger fra registrerede ved udøvelsen af disses rettigheder (herunder også sletning og portering af data). • bistand i forbindelse med sikkerhedsvurderinger og sikkerheds- brud. • bistand ved foretagelse af konsekvensanalyse/risikovurderinger. • bistand ved henvendelser fra tilsynsmyndigheder og i forbindelse med høringer (medmindre dette skyldes databehandlerens misligholdelse af databehandleraftalen). • Ved krav om dokumentation for opfyldelsen af gældende persondatalovgivning. | |
Instrukser direkte til underdatabehandleren | |
Såfremt den dataansvarlige instruerer en underdatabehandler direkte uden databehandleren forudgående accept, bør den dataansvarlige være ansvarlig og hæfte for enhver omkostning, som en sådan direkte instruktion måtte medføre, herunder for databehandleren og i forhold til underdatabehandleren. |
3) GDPR-tjekliste
Krav til indhold af databehandleraftaler ifølge GDPR | Medtaget i databehandler- aftalen (√) |
Databehandleraftalen skal være skriftlig og indeholde nedenstående følgende oplysninger/vilkår. | |
Genstanden for behandlingen og typen af personoplysninger. | |
Hvilke kategorier af registrerede de behandlede personoplysninger vedrører. | |
Varigheden af behandlingen. | |
Hvilken form for behandling der skal foretages og til hvilke(t) formål. |
Den dataansvarliges rettigheder og forpligtelser. | |
At databehandleren kun må behandle personoplysningerne på baggrund af dokumenterede instruktioner fra den dataansvarlige. | |
At personer hos databehandleren, der er autoriseret til at behandle oplysningerne, er underlagt en fortrolighedsforpligtelse. | |
At databehandleren etablerer/iværksætter passende sikkerhedsforanstaltninger. | |
At databehandleren overholder betingelserne i GDPR for at bruge underdatabehandlere, dvs. 1) at den dataansvarlige skriftligt skal godkende, at databehandleren må bruge underdatabehandleren og 2) at der indgås en separat databehandleraftale mellem databehandleren og underdatabehandleren. | |
At databehandleren – ved hjælp af passende tekniske og organisatoriske foranstaltninger - bistår den dataansvarlige med at opfylde dennes forpligtelser over for de registrerede, jf. GDPR kap. III. | |
At databehandleren skal bistå den dataansvarlige med at sikre dennes overholdelse af forpligtelserne i Forordningens artikel 32-36 om bl.a. • Sikkerhedsforanstaltninger • Anmeldelse ved sikkerhedsbrud • Underretning om brud til den registrerede • Udarbejdelse af konsekvensanalyser, herunder eventuelt en DPIA og eventuel konsultation/høring med databeskyttelsesmyndighederne | |
At databehandleren på den dataansvarliges anmodning og efter den dataansvarliges valg sletter eller tilbagelevere de behandlede personoplysninger ved behandlingens ophør. | |
At databehandleren udleverer alle nødvendige informationer med henblik på, at den dataansvarlige kan dokumentere, at behandlingen hos databehandleren lever optil forpligtelserne, samt tillader og medvirker til kontrol og audits heraf. | |
At databehandleren skal være forpligtet til at informere den dataansvarlige, såfremt det er databehandlerens opfattelse, at en instruks er ulovlig. |