Hva er en databehandleravtale? [Guide]
I 2018 fikk vi ny personopplysningslov. Med denne loven ble EUs personvernforordning 2016/679, bedre kjent som GDPR, en del av det norske personvernregelverket. GDPR stiller krav om databehandleravtaler for å sikre lovlig behandling av personopplysninger. 25. mai 2018 trådte GDPR (det nye regelverket for personvern i EU) i kraft, som følge av EU-forordning 2016/679. Formelt heter forordningen, General Data Protection Regulation, forkortet GDPR, og er implementert i norsk rett gjennom den nye personopplysningsloven. Men hva er egentlig en databehandleravtale, og når trenger man en hvem burde egentlig ha en datadatabehandleravtale?
Ring
22 93 38 50Hva er en databehandleravtale?
En databehandleravtale er en avtale mellom en virksomhet og virksomhetens underleverandør. Databehandleravtalen skal sikre at underleverandøren behandler personopplysningene som virksomheten er ansvarlig for i samsvar med regelverket. En databehandleravtale setter derfor rammer og vilkår for hvordan databehandleren kan behandle opplysningene.
- Les mer om: Personvern / GDPR
Når må man ha en databehandleravtale?
Bruker din virksomhet skytjenester til å lagre kunde- eller klientopplysninger, eller et regnskapsbyrå til å sende ut fakturaer, trenger du databehandleravtaler med leverandørene av disse tjenestene.
Krav om databehandleravtale gjelder der en virksomhet som har personopplysninger, altså behandlingsansvarlig, setter ut hele eller deler av behandlingen av personopplysningene til en annen virksomhet. Denne virksomheten behandler altså personopplysningene på vegne av den behandlingsansvarlige, og kalles databehandler.
Regelverket har betydning for så godt som alle bedrifter. Krav om databehandleravtaler gjelder blant virksomheterde som ikke har egne servere, eller som samler inn data via nettsider, som andre håndterer for dem.
Det kreves også databehandleravtale dersom man skal gi utenforstående innsyn i personopplysninger bedriften har, f.eks. ved bruk av konsulenter som er oppdragstakere (ikke ansatt) eller man får bistand fra eksterne med dataproblemer/support og service mv.
Hvem har ansvaret for databehandleravtale?
Det er den behandlingsansvarlige som har det overordnede ansvaret for at personopplysninger behandles i tråd med regelverket. Det er derfor den behandlingsansvarlige som har ansvaret for å få på plass en databehandleravtale med sine leverandører. Databehandleren behandler personopplysningene på den behandlingsansvarliges vegne, men har også noen selvstendige plikter etter GDPR.
Det er derfor viktig å være bevisst på sin egen og samarbeidspartnerens rolle. Hvem er behandlingsansvarlig, og hvem er databehandler? Det må avklares om den andre parten kun behandler opplysningene på den behandlingsansvarliges vegne, eller har denne også et selvstendig behandlingsansvar? Kanskje man har felles behandlingsansvar?
Foreligger det et databehandleroppdrag må det inngås en databehandleravtale.
Skjer det derimot en utlevering av opplysninger til en selvstendig behandlingsansvarlig må man sørge for at utleveringen bygger på et rettslig grunnlag som gjør slik utlevering lovlig.
En databehandleravtale inngås mellom den behandlingsansvarlige virksomheten og virksomhetens databehandlere.
Hvordan lager man en databehandleravtaler?
En databehandleravtale skal inngås skriftlig.
Hva en databehandleravtale må inneholde finner man i GDPR artikkel 28. Dette er minimumsvilkår, og partene står fritt til å avtale andre ting.
En databehandleravtale skal beskrive behandlingen. Den må angi konkret hva databehandleren skal gjøre (behandlingens art) og hvorfor databehandler trenger tilgang til opplysningene (formålet med behandlingen). Videre må det fremgå hva slags personopplysninger som omfattes av avtalen og hvilke kategorier personer personopplysningene gjelder. Man må også avtale hvor lenge avtalen skal gjelde (avalens varighet).
Databehandleravtalen skal beskrive begge parters rettigheter og plikter. Det er viktig at databehandlers forpliktelser fremgår tydelig, altså hvordan databehandler skal håndtere personopplysningene. Databehandler skal også gi garantier for at det vil gjennomføres egnede tekniske og organisatoriske sikkerhetstiltak som sikrer at behandlingen oppfyller kravene i forordningen og vern av den registrertes rettigheter. Den registrerte er den fysiske personen som personopplysningene gjelder.
GDPR har regler om i hvilken grad en databehandler har adgang til å gjøre bruk av underleverandører, og dette er et viktig punkt som også skal reguleres i databehandleravtalen.
Avtalen bør også si noe om rettigheter og plikter ved opphør, hvordan meldinger skal gis, om lovvalg og verneting.
Databehandleravtalen regulerer rammene for behandlingen og beskriver databehandlers forpliktelser.
På nettet kan man finne ulike maler for databehandleravtaler, blant annet hos datatilsynet.no. Det er viktig at slike standardavtaler tilpasses, slik at man får en avtale som blir riktig og dekkende for sin situasjon og sitt behov.
Codex Advokat har bred erfaring med GDPR og databehandleravtaler. Ta kontakt med oss hvis du trenger bistand til å få gjort de nødvendige tilpasningene i en standardavtale.
Hva er databehandleren sine plikter?
I GDPR artikkel 28 nr. 3 er databehandlers grunnleggende forpliktelser listet opp. Dette omfatter blant annet å:
- Bare behandle personopplysningene på dokumenterte instrukser fra den behandlingsansvarlige, dette gjelder også for overføring av personopplysninger til land utenfor EU/EØS-området eller til en internasjonal organisasjon. Les mer om hva du må passe på der personopplysninger overføres på tvers av landegrenser her: ta inn lenke til oppdatert «Schrems II»-artikkel.
- Sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til å behandle dem fortrolig eller er underlagt lovfestet taushetsplikt.
- Treffe de sikkerhetstiltak som er nødvendig i henhold til artikkel 32.
- Bistå den behandlingsansvarlige med å svare på anmodninger fra registrerte som utøver sine rettigheter.
- Slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og slette eventuelle kopier.
Opplistingen over er et utdrag av det lovpålagte innholdet i en databehandleravtale. Dersom bedrifter samarbeider vil de kunne bli felles behandlingsansvarlige, og grensedragningen er ikke helt opplagt. Det er imidlertid viktig at avtalen gjøres mellom de partene som har plikt til å inngå slik avtale.
I tillegg til de krav som følger direkte av loven, anbefales det å gjøre en vurdering av ansvarsreguleringen i databehandleravtalen. Behandlingsansvarlig må være bevisst på at ikke databehandleren fraskriver seg ansvar for sine egne feil, skyver kostnader over på behandlingsansvarlig og minimerer sine plikter, blant annet i forbindelse med avslutning av databehandleroppdraget, på deres bekostning.
Hva kan Codex hjelpe deg med?
Selv om noen år er gått siden GDPR trådte i kraft, er det mange bedrifter som fortsatt ikke har det helt grunnleggende på plass. Vår kunnskap og erfaring gjør Codex Advokat til en trygg støttespiller i GDPR-arbeidet, uansett hvor i prosessen din bedrift befinner seg. Vi yter rådgivning tilpasset ditt behov.
Er det kun en databehandleravtale du trenger, bistår vi gjerne med det.
Har du behov for å kartlegge hvilke personopplysninger din bedrift behandler, og avklare om behandlingen er lovlig? Kontakt oss i dag, og vi hjelper din bedrift til å komme á jour med GDPR.
Codex tilbyr også malpakker med tilhørende rådgivning til fornuftige priser. Les mer her: ta inn lenke til produktsiden for gdpr
Codex Advokat yter rådgivning som er tilpasset klientens behov.
Trenger du hjelp med en databehandleravtale eller til å komme i gang med GDPR? Ta kontakt med oss og vi hjelper deg med å få på plass det din bedrift mangler for å oppfylle lovpålagte krav.
Bli kjent med våre advokater i dag
Vi bistår klienter over hele landet.
