Home

databehandlingsaftale

Databehandlingsaftale er en kontrakt mellem en dataansvarlig og en databehandler, der regulerer behandlingen af personoplysninger på den ansvarliges vegne. Aftalen fastlægger behandlingsomfanget, formålet, varigheden samt hvilke typer af personoplysninger og hvilke kategorier af registrerede der behandles. Den beskriver også de tekniske og organisatoriske foranstaltninger (TOMs), som databehandleren skal implementere for at sikre tilstrækkelig sikkerhed.

Ifølge GDPRs artikel 28 skal behandlingen finde sted på skriftlig kontrakt og overholde dokumenterede instrukser fra

Aftalen bør også indeholde forpligtelser til at hjælpe den dataansvarlige med opfyldelsen af registreredes rettigheder, bistand

Desuden bør aftalen håndtere overførsel af data til tredjelande med passende sikkerhedsforanstaltninger, såsom standard kontraktuelle klausuler

den
dataansvarlige.
Databehandleren
må
kun
behandle
data
efter
disse
instrukser
og
kun
til
formålet
i
aftalen.
Aftalen
bør
indeholde
krav
vedrørende
underleverandører
(sub-processorer),
herunder
at
underleverandører
må
benyttes
kun
under
vilkår,
der
sikrer
tilsvarende
forpligtelser,
og
at
den
dataansvarlige
får
mulighed
for
at
give
eller
tilbageholde
samtykke.
ved
behov
for
data
protection
impact
assessments
og
håndtering
af
sikkerhedsbrud
inden
for
aftalt
tidsfrist.
Retningslinjer
for
revision
og
dokumentation,
herunder
mulighed
for
audits,
anbefales
også
at
være
en
del
af
aftalen.
(SCC’er).
Ved
afslutningen
af
behandlingen
forpligter
aftalen
til
returnering
eller
sletning
af
personoplysninger
og
eventuelt
destruktion
af
kopier,
med
mindre
opbevaring
er
påkrævet
af
lovgivning.