Persondata og databehandleraftaler

9. maj 2018

Hvis en virksomhed benytter et lønbureau eller rekrutteringsfirma eller lignende, der behandler personoplysninger på virksomhedens vegne, skal der udarbejdes en databehandleraftale.

Databehandleraftalen skal indgås mellem virksomheden (den dataansvarlige) og den anden part (databehandleren) og skal leve op til kravene til databehandleraftaler i persondataforordningen. Det indebærer, at der skal være tale om en kontrakt eller andet retligt dokument, som er bindende for databehandleren. Det er desuden et krav, at databehandleraftalen er skriftlig, herunder elektronisk.

Databeskyttelsesforordningen fastsætter herudover en del specifikke krav til indholdet af den databehandleraftale, som man skal indgå med sin databehandler.

Aftalen skal blandt andet indeholde oplysninger om:

  • genstanden for og varigheden af behandlingen
  • behandlingens karakter og formål
  • typen af personoplysninger
  • kategorierne af registrerede 
  • dine forpligtelser og rettigheder som dataansvarlig samt de pligter, som databehandleren har i forhold til at varetage opgaven

For en uddybning heraf henvises til databeskyttelsesforordningens artikel 28, stk. 3, litra a-h.

Det må forventes, at de virksomheder, som lever af at behandle personoplysninger, såsom lønbureauer og rekrutteringsfirmaer, vil udarbejde skabeloner til databehandleraftaler, således at de dataansvarlige virksomheder, vil kunne få hjælp til at opfylde kravene i persondataforordningen. Man kan derfor med fordel henvende dig til sin databehandler og høre om denne har en færdig skabelon, som kan underskrives.

I det omfang virksomhederne selv ønsker at forestå korrekt aftaleindgåelse med databehandlere, kan det oplyses, at Datatilsynet har udarbejdet en standard databehandleraftale med tilhørende vejledning.

Ovenstående er information om visse af de gældende krav til databeskyttelse ved overgangen til de nye regler den 25. maj 2018. Vi vil i den kommende tid udsende flere artikler om emnet.