Den 10. december 2019 offentliggjorde Datatilsynet en revideret skabelon til standard databehandleraftaler, på baggrund af en udtalelse fra Det Europæiske Databeskyttelsesråd vedrørende Datatilsynets oprindelige skabelon.
Den reviderede skabelon er efterfølgende blevet vedtaget af Det Europæiske Databeskyttelsesråd som standardkontraktbestemmelser, og lever derfor op til de formelle krav for en databehandleraftale.
”Den nye skabelon indeholder en række ændringer, men ligesom med Datatilsynets tidligere skabelon, er det ikke et lovkrav at benytte selve ordlyden i standardkontraktsbestemmelserne for at overholde databeskyttelsesforordningens regler om databehandleraftaler,” udtaler Sven Petersen, erhvervsjuridisk fagchef i Dansk Erhverv of fortsætter.
”Det vigtige er, at man får behandlet de emner, der fremgår af artikel 28 i forordningen, og det gør IT-Branchens modelaftale. Men det er klart, at ting har ændret sig i løbet af de sidste ca. 2 år, og det er derfor en god ide, at genbesøge sin egen prototype og give den et servicetjek. Eksempelvis bør man nok lidt mere udførligt beskrive, hvordan data rent faktisk håndteres, så det indgår som en del af aftalegrundlaget mellem den dataansvarlige og databehandleren.”
Her skal du være opmærksom
Da Datatilsynets nye standard databehandleraftale er blevet vedtaget som en standardbestemmelse, betyder det, at hvis man bruger og anvender aftalen i sin helhed, så skal man ikke bruge tid på at diskutere med tilsynet, hvorvidt rammekontraktens ordlyd nu opfylder forordningen.
Da det samtidig er tilladt og ofte også nødvendigt at tilføje yderligere bemærkninger i den enkelte aftale, er der dog stadig stor sandsynlighed for, at der vil opstå spørgsmål omkring, hvorvidt eksempelvis instruksen til databehandlerne nu er udformet præcis nok eller om alle underdatabehandlere er gengivet korrekt.
“Den nye aftale er noget længere end den forrige, og man bør klart læse den, når man skal give sin egen aftale et servicetjek. Eksempelvis bliver det præciseret, at databehandlerne skal sørge for, at ikke alene medarbejdere, der håndterer kundens persondata, skal undergives en fortrolighedsklausul, men alle der er undergivet databehandlerens instruktionsbeføjelser. Dette kunne f.eks. være en vikar eller det rengøringsselskab, der kommer og gør rent hos databehandleren,” udtaler Sven.
Den nye aftale kortlægger også i mere detaljeret grad den dataansvarliges ansvar for sikkerheden når det kommer til databehandling samt sætter fokus på at skitsere nogle mere faste rammer for den dataansvarliges tilsynsprocesser.
Du kan trygt benytte Datatilsynets gamle databehandleraftale
I takt med offentliggørelsen af den nye skabelon, pointerede Datatilsynet også, at de fortsat vil acceptere databehandleraftaler, som er baseret på deres oprindelige skabelon, hvis de er indgået inden datoen for offentliggørelsen af de nye standardkontraktsbestemmelser den 10. december 2019.
”Som virksomhed skal man altså ikke være bekymret for, om man fortsat overholder databeskyttelsesreglerne, hvis man har baseret sine databehandleraftaler på Datatilsynets oprindelige skabelon,” slutter Sven.
Husk at du som medlem af IT-Branchen har adgang til en række standardkontrakter, inklusiv vores databehandleraftale. Det er dog planen, at den nuværende undergives et servicetjek i løbet af det næste halve år.