Uforpliktende og konfidensielt

Det er uforpliktende å ta kontakt med oss

Vi er landsdekkende

Vi tar oppdrag i hele Norge

Spesialiserte advokater

Vi er 80 ansatte innen privat og bedrift

Vi er landsdekkende

Databehandleravtale [Guide]

Fire mennesker sitter rundt et møtebord.

25. mai 2018 trådte GDPR (det nye regelverket for personvern i EU) i kraft, som følge av EU-forordning 2016/679. Formelt heter forordningen, General Data Protection Regulation, forkortet GDPR, og er implementert i norsk rett gjennom den nye personopplysningsloven. Men hvem burde egentlig ha en databehandleravtale?

Dette får du vite om databehandleravtaler og GDPR:

Hvem bør ha en databehandleravtale?

EU-forordningen stiller nye og spesifikke krav til at det skal inngås en skriftlig databehandleravtale mellom behandlingsansvarlig, altså bedrifter som har personopplysninger, og databehandleren, som håndterer persondataene for behandlingsansvarlig. 

Regelverket har betydning for så godt som alle bedrifter. Krav om databehandleravtaler gjelder blant de som ikke har egne servere, eller samler inn data via nettsider, som andre håndterer for dem.

Det gjelder også et krav om databehandleravtale dersom man skal gi utenforstående innsyn i personopplysningene bedriften har, f.eks. ved bruk av konsulenter som er oppdragstakere(ikke ansatt) eller bistand fra foretak med dataproblemer/support og service mv.

Norge har vedtatt en ny personopplysningslov, som trådte i kraft 20. juli 2018.  Loven er en tilnærmet ren henvisningslov, som med noen få og små unntak, gjør forordningen til gjeldende norsk rett, fra 2018.

Har du sjekket at du har lovpålagte databehandleravtaler?

Hvis du har det, har du fulgt opp at de er oppdaterte på de rettigheter og plikter som nå er lovpålagt at skal reguleres? Å sikre at en har en oppdatert databehandleravtale er nødvendig for å oppfylle kravene i den nye personopplysningsloven. Hvis dine avtaler ikke er i samsvar med loven risikerer du høye bøter.  Bøtenivået er vesentlig forhøyet sammenlignet med nivået før forordningen.

Forordningen stiller som nevnt krav om at det er inngått en skriftlig, forpliktende avtale mellom behandlingsansvarlige, som bestemmer at dataene skal innhentes og hvordan de skal brukes, og databehandler. Avtalen skal regulere databehandlers håndtering av personopplysninger på vegne av den behandlingsansvarlige. Databehandler skal blant annet gi tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i forordningen og vern av den registrertes rettigheter. Den registrerte er som kjent den fysiske personen som personopplysningene gjelder.

Avtalen skal også beskrive hensikten med, og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte.

Hva er databehandleren sine plikter?

Databehandler sine plikter blant annet, jf. forordningens artikkel 28 nr. 4:

  • å bare behandle personopplysningene på dokumenterte instrukser fra den behandlingsansvarlige, herunder også når det gjelder overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon.
  • å sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt
  • å treffe alle tiltak som er nødvendig i henhold til artikkel 32, om sikkerhet
  • å bistå den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir for å utøve sine rettigheter
  • å bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36
  • å, slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og slette eksisterende kopier og gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene i forordningen er oppfylt

Rett til og begrensninger i muligheten for bruk av underleverandør reguleres spesielt i forordningen, noe som også skal reguleres i databehandleravtalen. Avtalen skal også regulere varighet, og bør omfatte rettigheter og plikter ved opphør, hvordan meldinger skal gis, om lovvalg og verneting.

Dette er de lovpålagte punktene som må med i en databehandleravtale. Dersom bedrifter samarbeider, vil de kunne bli felles behandlingsansvarlige, og grensedragningen er ikke helt opplagt. Det er imidlertid viktig at avtalen gjøres mellom de partene som har plikt til å inngå slik avtale.

I tillegg til det lovpålagte, anbefales det å gjøre en vurdering av ansvarsreguleringen i databehandleravtalen, slik at ikke databehandleren fraskriver seg ansvar for sine egne feil, skyver kostnader over på dere og minimerer sine plikter, blant annet i forbindelse med avslutning av databehandleroppdraget, på deres bekostning.

Bistand til utarbeidelse av databehandleravtaler

Codex Advokat bistår med utarbeidelse av databehandleravtaler, og holder kurs for å komme i gang med arbeidet med tilpasning til GDPR. Vi yter også rådgivning tilpasset det behov bedrifter har behov for.

Bli kjent med våre advokater i dag

Sitat fra Hedda

Vi bistår klienter over hele landet.

Vi bistår deg i rettighetssaker

Vår rettighetsavdeling kan bistå deg og din virksomhet innen det meste som er tilknyttet immaterielle verdier. Har du en problemstillinger innen for eksempel kontrakter, varemerke, design, foretaksnavn, markedsføringsloven eller GDPR - ta kontakt med oss!

Snakk med oss

Fyll ut skjemaet eller ring 22 93 38 50

•   Vi er landsdekkende
•   Din henvendelse vil bli behandlet konfidensielt
•   Det løper ingen kostnader før vi har en avtale om det

Usikker på om du trenger bistand? Kontakt oss likevel, så skal vi se om vi kan hjelpe deg med din sak.

X

Snakk med oss

Fyll ut skjemaet eller ring 22 93 38 50

• Vi er landsdekkende
• Det er uforpliktende å ta kontakt med oss
• Din henvendelse vil bli behandlet konfidensielt
• Det løper ingen kostnader før vi har en avtale om det

Usikker på om du trenger bistand?
Kontakt oss likevel, så skal vi se om vi kan hjelpe deg med din sak.