Har du styr på dine databehandleraftaler?
26. november 2018
Teknologi anvendes til elektronisk behandling af personoplysninger. De færreste af os tænker formentlig over den underliggende behandling, herunder f.eks. opbevaring eller overførsel af persondata.
Nødvendigt at gennemgå databehandleraftalerne
Den dataansvarlige er ansvarlig for at imødekomme de registreredes rettigheder. Det vil sige dine og mine rettigheder.
Dog er det ifølge persondataforordningen ikke kun den dataansvarlige, der er ansvarlig for at beskytte de registreres persondata men også den dataansvarliges databehandler, herunder typisk den dataansvarliges IT-leverandører. Derfor er det et krav, at den dataansvarlige indgår en databehandleraftale med databehandleren. Formålet med dette kontraktlige forhold mellem den dataansvarlige og databehandleren er overordnet set at beskytte de registrerede.
Aftaleforholdet mellem dataansvarlige og databehandlere kan måske virke kompliceret. For hvem er ansvarlig for hvad? Det ligger dog klart, at den dataansvarlige også er ansvarlig for sine databehandleres behandling af data over for de registrerede.
Som dataansvarlig er det bl.a. relevant at overveje følgende ved indgåelse af en databehandleraftale med en leverandør:
- Hvordan er deres tekniske og organisatoriske sikkerhedsforanstaltninger?
- Overfører de til tredjelande?
- Kan leverandøren fremlægge revisorerklæringer om overholdelse af persondataforordningen?
- Hvilke ansvarsfraskrivelser har de lavet?
Hvordan gennemgås databehandleraftalerne så?
Så hvordan gennemgås databehandleraftalerne? Nedenstående tabel illustrerer nogle af de vigtigste faktorer, man som dataansvarlig skal være opmærksom på og sikre sig er beskrevet i databehandleraftalen.
Emne
|
Ja/Nej |
Den dataansvarliges forpligtelser og rettigheder, herunder ansvar og lovhjemmel |
|
Databehandleren handler efter instruks fra de dataansvarlige |
|
Fortrolighed |
|
Behandlingssikkerhed |
|
Databehandlerens anvendelse af underdatabehandlere og liste over godkendte underdatabehandlere |
|
Overførsel af oplysninger til tredjelande eller internationale organisationer |
|
Bistand til den dataansvarlige ved opfyldelse af de registreredes rettigheder |
|
Passende tekniske og organisatoriske sikkerhedsforanstaltninger |
|
Underretning om ethvert brud på persondatasikkerheden da de dataansvarlige selv skal undersøge konsekvensen af sådan et brud |
|
Sletning og tilbagelevering af oplysninger |
|
Tilsyn ved overholdelse af databehandleraftalen hvis leverandøren ikke kan fremlægge en revisorerklæring om overholdelsen af persondata |
|
Ikrafttræden og ophør af aftalen |
|
Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren |
|
Oplysninger om behandlingen: Formål, karakteren af behandlingen, typer af personoplysninger, kategorier af registrerede og behandlingens varighed |
|
Instruks vedrørende behandling af personoplysninger |
|
Parternes regulering af andre forhold, herunder betaling for bistand, ansvarsbegrænsning og skadesløsholdelse |
|
Løbende opfølgning på databehandleraftalerne
Efter gennemgang af databehandleraftalerne er det vigtigt, at du som dataansvarlig foretager opfølgende tjek på dine databehandlere, og tjekker om de overholder databehandleraftalen minimum en gang årligt. Grunden til dette er, at du stadig kan få en bøde som dataansvarlig for ikke at føre tilsyn med dine databehandlere, selvom det måske er hos databehandleren, at bruddet sker, og at denne også selv får en bøde som følge af bruddet.
Har du brug for assistance til gennemgang og drøftelse af opfølgningen på databehandleraftalerne, så ring til Frederikke Schlitterlau på telefon 23 45 00 14.