GDPR › Databehandlere

Databehandleraftale

En databehandleraftale (DPA) er den skriftlige kontrakt, du skal have med enhver leverandør, der behandler personoplysninger på dine vegne. Den er et krav i GDPR artikel 28, og uden den risikerer du bøder og manglende kontrol over dine data.

Tilbage til ordbog

Hvad er en databehandleraftale?

En databehandleraftale (DPA) er en juridisk bindende kontrakt mellem en dataansvarlig og en databehandler. Den regulerer, hvordan databehandleren håndterer personoplysninger på vegne af den dataansvarlige, og er obligatorisk ifølge GDPR artikel 28.

Databehandleraftalen sikrer, at databehandleren ikke kan bruge data til egne formål, og at passende sikkerhedsforanstaltninger er på plads. Uden en gyldig DPA risikerer den dataansvarlige bøder og mister, hvad der er endnu vigtigere, den kontraktlige kontrol over, hvordan personoplysninger håndteres.

Hvad skal en databehandleraftale indeholde?

GDPR artikel 28, stk. 3, specificerer minimumsindholdet i en databehandleraftale:

Genstand og varighed: En klar beskrivelse af, hvad behandlingen dækker, og hvor længe den varer.
Art og formål: Typen af behandling (f.eks. opbevaring, transmission, analyse) og dens formål.
Kategorier af data og registrerede: Hvilke typer personoplysninger der behandles, og hvilke grupper af personer der berøres.
Den dataansvarliges instruktioner: Databehandleren må kun behandle data i overensstemmelse med den dataansvarliges dokumenterede instruktioner.
Fortrolighed: Personer, der er autoriseret til at behandle data, skal være underlagt fortrolighedsforpligtelser.
Sikkerhedsforanstaltninger: Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger til at beskytte data.
Underdatabehandlere: Regler for databehandlerens brug af underdatabehandlere, herunder krav om forhåndsgodkendelse.
Registreredes rettigheder: Databehandleren skal bistå den dataansvarlige med at opfylde registreredes rettigheder (indsigt, berigtigelse, sletning osv.).
Sletning eller returnering: Ved ophør skal databehandleren slette eller returnere alle personoplysninger.
Auditrettigheder: Den dataansvarlige skal have ret til at auditere databehandlerens overholdelse af aftalen.

Hvem har ansvaret for databehandleraftalen?

Den dataansvarlige bærer det primære ansvar for at sikre, at der er en gyldig databehandleraftale med enhver databehandler. I praksis betyder det, at din organisation skal identificere alle leverandører, der behandler personoplysninger på dine vegne, og sikre, at hver har en overensstemmende aftale.

Almindelige fejl

De hyppigst forekommende fejl med databehandleraftaler er:

Manglende aftaler: Mange organisationer har simpelthen ikke DPA’er med alle deres databehandlere, især for SaaS-værktøjer og cloudtjenester.
Generiske eller forældede skabeloner: Brug af en standardskabelon uden at tilpasse den til det specifikke behandlingsforhold.
Uklare bestemmelser om underdatabehandlere: Manglende regulering af, hvordan og hvornår databehandleren må engagere underdatabehandlere.
Ingen auditklausul: Udeladelse af den dataansvarliges ret til at verificere databehandlerens overholdelse.
Ignorering af dataoverførsler: Manglende regulering af overførsel af personoplysninger til tredjelande uden for EØS.

Tip: Gennemgå dine databehandleraftaler mindst årligt og når behandlingens omfang ændres. En DPA er ikke et dokument, du underskriver én gang og glemmer — den skal afspejle det aktuelle behandlingsforhold.

Ofte stillede spørgsmål om databehandleraftaler

Ofte stillede spørgsmål om databehandleraftale

Hvad er en databehandleraftale?

En databehandleraftale (DPA) er en juridisk bindende kontrakt mellem en dataansvarlig og en databehandler. Den er krævet af GDPR artikel 28 og regulerer, hvordan databehandleren håndterer personoplysninger på vegne af den dataansvarlige.

Hvornår har jeg brug for en databehandleraftale?

Du har brug for en DPA, når en ekstern part behandler personoplysninger på dine vegne. Det gælder cloudtjenester, lønudbydere, email-marketingplatforme, CRM-systemer og enhver anden leverandør, der tilgår eller opbevarer personoplysninger for dig.

Hvad sker der, hvis jeg ikke har en databehandleraftale?

Uden en gyldig DPA overtræder du GDPR artikel 28. Det kan medføre bøder fra Datatilsynet, og du har ingen kontraktlig kontrol over, hvordan databehandleren håndterer dine personoplysninger.

Hvem er ansvarlig for at udarbejde databehandleraftalen?

Den dataansvarlige er ansvarlig for at sikre, at en gyldig DPA er på plads. I praksis tilbyder mange databehandlere deres egen standard-DPA, men den dataansvarlige skal gennemgå den for at sikre, at den opfylder GDPR-kravene.

Hvor ofte skal en databehandleraftale gennemgås?

En DPA bør gennemgås mindst årligt og når behandlingens omfang, art eller formål ændres. Den skal til enhver tid afspejle det aktuelle behandlingsforhold.