Persondata

Har du styr på dine databehandleraftaler?

Teknologi anvendes til elektronisk behandling af personoplysninger. De færreste af os tænker formentlig over den underliggende behandling, herunder f.eks. opbevaring eller overførsel af persondata.

Nødvendigt at gennemgå databehandleraftalerne

Den dataansvarlige er ansvarlig for at imødekomme de registreredes rettigheder. Det vil sige dine og mine rettigheder.

Dog er det ifølge persondataforordningen ikke kun den dataansvarlige, der er ansvarlig for at beskytte de registreres persondata men også den dataansvarliges databehandler, herunder typisk den dataansvarliges IT-leverandører. Derfor er det et krav, at den dataansvarlige indgår en databehandleraftale med databehandleren. Formålet med dette kontraktlige forhold mellem den dataansvarlige og databehandleren er overordnet set at beskytte de registrerede.

Aftaleforholdet mellem dataansvarlige og databehandlere kan måske virke kompliceret. For hvem er ansvarlig for hvad? Det ligger dog klart, at den dataansvarlige også er ansvarlig for sine databehandleres behandling af data over for de registrerede.  

Som dataansvarlig er det bl.a. relevant at overveje følgende ved indgåelse af en databehandleraftale med en leverandør:

  • Hvordan er deres tekniske og organisatoriske sikkerhedsforanstaltninger?
  • Overfører de til tredjelande?
  • Kan leverandøren fremlægge revisorerklæringer om overholdelse af persondataforordningen?
  • Hvilke ansvarsfraskrivelser har de lavet?

Hvordan gennemgås databehandleraftalerne så?

Så hvordan gennemgås databehandleraftalerne? Nedenstående tabel illustrerer nogle af de vigtigste faktorer, man som dataansvarlig skal være opmærksom på og sikre sig er beskrevet i databehandleraftalen.

Emne

 

Ja/Nej

Den dataansvarliges forpligtelser og rettigheder, herunder ansvar og lovhjemmel

 

Databehandleren handler efter instruks fra de dataansvarlige

 

Fortrolighed

 

Behandlingssikkerhed

 

Databehandlerens anvendelse af underdatabehandlere og liste over godkendte underdatabehandlere

 

Overførsel af oplysninger til tredjelande eller internationale organisationer

 

Bistand til den dataansvarlige ved opfyldelse af de registreredes rettigheder

 

 

Passende tekniske og organisatoriske sikkerhedsforanstaltninger

 

Underretning om ethvert brud på persondatasikkerheden da de dataansvarlige selv skal undersøge konsekvensen af sådan et brud

 

Sletning og tilbagelevering af oplysninger

 

Tilsyn ved overholdelse af databehandleraftalen hvis leverandøren ikke kan fremlægge en revisorerklæring om overholdelsen af persondata

 

Ikrafttræden og ophør af aftalen

 

Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren

 

Oplysninger om behandlingen: Formål, karakteren af behandlingen, typer af personoplysninger, kategorier af registrerede og behandlingens varighed

 

Instruks vedrørende behandling af personoplysninger

 

Parternes regulering af andre forhold, herunder betaling for bistand, ansvarsbegrænsning og skadesløsholdelse

 

 

Løbende opfølgning på databehandleraftalerne

Efter gennemgang af databehandleraftalerne er det vigtigt, at du som dataansvarlig foretager opfølgende tjek på dine databehandlere, og tjekker om de overholder databehandleraftalen minimum en gang årligt. Grunden til dette er, at du stadig kan få en bøde som dataansvarlig for ikke at føre tilsyn med dine databehandlere, selvom det måske er hos databehandleren, at bruddet sker, og at denne også selv får en bøde som følge af bruddet.

Har du brug for assistance til gennemgang og drøftelse af opfølgningen på databehandleraftalerne, så ring til Frederikke Schlitterlau på telefon 23 45 00 14. 

Frederikke Schlitterlau
Cand. Merc. Jur.
fs@roesgaard.dk

Roesgaard & Partners

Sønderbrogade 16, 8700 Horsens

+45 75 62 99 99

revisor@roesgaard.dk

Vi tager forbehold for fejl og mangler i vores gengivelse af lovgivning mv. og påtager os intet rådgiveransvar uden forudgående konsultation vedrørende de omhandlede emner.
Følg os på Linkedin