Datatilsynets standard-databehandleraftale giver et bud på, hvordan minimumskrav i databeskyttelsesforordningen kan efterleves.
Datatilsynet offentliggjorde i februar 2018 en skabelon til en databehandleraftale, hvor Datatilsynet kom med deres bud på, hvordan en databehandleraftale kunne udarbejdes for at efterleve minimumskravene i databeskyttelsesforordningens artikel 28, stk. 3.
Datatilsynet har efterfølgende valgt at vedtage såkaldte standardkontraktsbestemmelser med virkning fra den 10. december 2019, idet Datatilsynets skabelon til en databehandleraftale har været forelagt Det Europæiske Databeskyttelsesråd, og den endelige standardaftale er udarbejdet i overensstemmelse med Rådets udtalelser.
Standard-databehandleraftalen har nu en særlig juridisk bindende karakter, der betyder, at Datatilsynet ikke vil efterprøve det allerede fastlagte indhold i forbindelse med et tilsyn.
Hvad er ændret i standardaftalen?
Rådet havde både nogle betragtninger til databehandleraftaler generelt samt konkrete tekstnære bemærkninger til Datatilsynets skabelon.
Den nye standard-databehandleraftale indeholder blandt andet følgende ændringer til den gamle skabelon:
- Det er nu præciseret, at efterfølgende instruks kan gives af den dataansvarlige, mens der sker behandling af personoplysninger. Dog skal instruksen altid være dokumenteret, ligesom den skal opbevares sammen med databehandleraften.
- Det anføres nu direkte, at parterne bør forudsige, overveje og regulere de konsekvenser, der kan følge af en potentielt ulovlig instruks, som den dataansvarlige har givet.
- Det er nu præciseret, at den dataansvarlige skal kunne påvise, at alle personer, der er underlagt databehandlerens instruktionsbeføjelser, er underlagt tavshedspligt og ikke kun medarbejdere, som anført i Datatilsynets oprindelige skabelon.
- Det anføres nu direkte, at samtlige underdatabehandlere, uanset valget mellem specifik eller generel godkendelse, skal fremgå af et bilag til aftalen.
- Det anføres nu direkte, at parterne i et bilag til aftalen er forpligtet til at angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det er således ikke tilstrækkeligt blot at angive, at databehandleren er forpligtet til at bistå den dataansvarlige med henholdsvis opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder samt med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36.
Læs rådets samlede betragtninger og bemærkninger.
Hvilken betydning får den nye standardaftale?
Organisationerne er ikke forpligtet til at anvende Datatilsynets standard-databehandleraftale, men som Datatilsynet også selv fremhæver, så er der væsentlige fordele forbundet med at anvende standarden.
- I det omfang organisationer vælger at benytte sig af standarden, vil Datatilsynet ikke efterprøve standardbestemmelserne nærmere – fx i forbindelse med et tilsyn. Standardaftalen har således en særlig juridisk bindende karakter.
- Da der er tale om standardbestemmelser (der i øvrigt både foreligger på dansk og engelsk), vil aftalen kunne anvendes både nationalt og internationalt.
- Anvendelse af standard-databehandleraftalen vil lette processen og forhandlingen mellem den dataansvarlige og databehandleren, da det vil begrænse behovet for review og ændringer af de enkelte standardbestemmelser, og fokus vil således i endnu højere grad kunne rettes mod de afsnit i aftalen, der fortsat kræver udfyldning af parterne.
Det er således vores klare anbefaling, at alle organisationer bør anvende Datatilsynets standard-databehandleraftale fremadrettet.
Bemærk, at Datatilsynets oprindelige skabelon ikke har måttet anvendes efter den 10. december 2019.
Hvad med allerede indgåede databehandleraftaler?
Allerede indgåede aftaler med udgangspunkt i Datatilsynets oprindelige skabelon
Har organisationer før den 10. december 2019 indgået databehandleraftaler, og har organisationerne anvendt Datatilsynets oprindelige skabelon, har Datatilsynet udtalt, at tilsynet som udgangspunkt fortsat vil acceptere aftalen. Da Datatilsynet imidlertid i sin nyhedsskrivelse af 10. december 2019 angiver, at tilsynet ”i vidt omfang og som udgangspunkt” fortsat vil acceptere tidligere indgåede databehandleraftaler baseret på tilsynets skabelon, er der åbnet op for, at tilsynet i visse tilfælde vil kunne anfægte sådanne tidligere indgåede aftaler – uden at tilsynet dog præciserer dette nærmere.
Det er af den grund vores anbefaling, at organisationerne udskifter deres tidligere indgåede databehandleraftaler, der baserer sig på Datatilsynets oprindelige skabelon, i takt med, at aftalerne alligevel skal opdateres - fx som følge af, at beskrivelsen af behandlingen skal ændres, at der skal ændres i listen over godkendte underdatabehandlere, ved en aftalt årlig revision af aftalen eller lign.
Andre allerede indgåede databehandleraftaler
Har organisationerne anvendt andre skabeloner/templates end Datatilsynets oprindelige skabelon – fx fordi den dataansvarlige har valgt at acceptere leverandørens (databehandlerens) udkast til databehandleraftalen – er det fortsat særdeles vigtigt at sikre, at aftalen reelt efterlever minimumskravene i artikel 28, stk. 3. Det er således vores anbefaling, at sådanne databehandleraftaler enten erstattes af en ny aftale udarbejdet på grundlag af Datatilsynets nye standard, eller at aftalen gennemgås med henblik på at sikre, at databehandleraftalen opfylder databeskyttelsesforordningens minimumskrav.
Andre væsentlige forhold i forbindelse med indgåelse af databehandleraftalen?
For blandt andet at kunne udarbejde den lovpligtige risikovurdering og fastlægge rammerne for kontrol med databehandlerne er det nødvendigt, at behandlingen af personoplysninger og instruksen er tilstrækkeligt beskrevet i databehandleraftalen.
Databehandleraftaler vil foruden de databeskyttelsesretlige minimumskrav indeholde vilkår af mere kommerciel karakter, herunder ansvarsregulerings- og betalingsvilkår. Det er således vigtigt for såvel den dataansvarlige, som databehandleren, at holde sig dette for øje i forbindelse med udarbejdelsen eller gennemgangen af aftalen. De databeskyttelsesretlige regler regulerer fx ikke den økonomiske fordeling i relation til databehandlerens lovpligtige bistand til den dataansvarlige, indhentelse af revisionserklæringer mv.
Databehandleraftalen skal i et bilag beskrive de sikkerhedsforanstaltninger, som databehandleren har implementeret i forhold til den konkrete behandling, og som den dataansvarlige i øvrigt har vurderet som passende. Det er imidlertid vores erfaring, at mange dataansvarlige fortsat mangler at tage stilling til, hvordan der skal føres kontrol med underdatabehandlerne. I tilfælde af, at databehandleraftalen ikke tager direkte stilling hertil, er den dataansvarlige således efterfølgende – på baggrund af en risikovurdering - forpligtet til at sikre den rette form og hyppighed for kontrol, ligesom den dataansvarlige bør implementere et årshjul til sikring af gennemførelse af kontrollen og registrering heraf.
Kontakt
Bodil Brabæk, EY Law, Director and Co-Head of Data Privacy Law, tlf. 2529 3268
Emilie Zeest Leth, EY Law, Senior Consultant, tlf. 2529 3802
