Home

databehandleraftaler

Databehandleraftale, eller data processing agreement, er en kontrakt mellem en dataansvarlig (behandlingsansvarlig) og en databehandler (processor) i henhold til EU's persondataforordning (GDPR). Aftalen regulerer behandlingen af personoplysninger på vegne af den dataansvarlige og fastlægger ansvar, pligter og rammer for behandlingen for at sikre overholdelse af gældende regler. En databehandleraftale er påkrævet, når en dataansvarlig anvender en databehandler til behandling af personoplysninger. Den tydeliggør behandlingsomfanget og risikostyringen i forhold til databeskyttelse.

Indholdet i en databehandleraftale bør normalt omfatte: relevant formål og behandlingsformål, varighed af behandlingen, natur og

I praksis er DPAs almindelige i relationer til cloud-tjenester, løn- og HR-systemer, kundestyring og andre it-tjenester.

---

omfang
af
behandlingen,
typer
af
personoplysninger
og
kategorier
af
registrerede
(f.eks.
kunder,
medarbejdere).
Den
skal
angive
rettigheder
og
forpligtelser
for
den
dataansvarlige
samt
for
databehandleren.
Databehandleren
forpligtes
til
at
behandle
data
kun
på
dokumenterede
instrukser,
gennemføre
passende
tekniske
og
organisatoriske
sikkerhedsforanstaltninger,
sikre
fortrolighed,
og
hjælpe
den
dataansvarlige
med
håndtering
af
registreredes
rettigheder,
databeskyttelsesvurderinger
og
anmeldelse
af
databrud.
Aftalen
bør
også
omfatte
håndtering
af
under­databehandlere
(sub-processors),
herunder
godkendelsesprocedurer
og
krav
om
tilsvarende
databeskyttelsesforpligtelser.
Desuden
bør
den
omtale
overførsler
til
tredjelande
eller
internationale
organisationer
og
de
deraf
afledte
garantier.
Endelig
bør
den
fastsætte
ret
til
tilsynsbesøg,
dokumentation
til
at
demonstrere
overholdelse
og
ansvarsfordeling
ved
eventuelle
overtrædelser.
Aftalen
bør
være
skriftlig,
enten
som
separat
kontrakt
eller
som
tillæg
til
hovedaftalen,
og
den
bør
kunne
tilpasses
efter
den
konkrete
behandling
og
risici.
Datatilsynet
i
Danmark
yder
vejledning
i
forbindelse
med
overholdelse
af
GDPR
og
databehandleraftalens
krav.