Databehandleraftale Skabelon

Hovedfunktioner

Vores Databehandleraftale Skabelon er designet til at hjælpe virksomheder og organisationer med at overholde GDPR-reglerne ved håndtering af persondata. Skabelonen tilbyder følgende hovedfunktioner:

• Overholdelse af GDPR: Skabelonen er udformet i overensstemmelse med GDPR-kravene, hvilket sikrer, at alle nødvendige aspekter af databehandling er dækket.
• Juridisk Sikkerhed: Vores skabelon sikrer, at alle parter forstår deres ansvar og forpligtelser, hvad angår databehandling.
• Fleksibilitet: Skabelonen er let at tilpasse til forskellige typer kontraktforhold mellem dataansvarlige og databehandlere.
• Klar Struktur: Skabelonen er opbygget i en klar og enkel struktur, hvilket gør den nem at navigere og udfylde.

---

Anvendelsseksempler

Databehandleraftale Skabelonen kan bruges i en række forskellige scenarier, herunder:

• Outsourcing: Når en virksomhed outsourcer IT-tjenester, kan skabelonen bruges til at sikre, at der er klare retningslinjer for databehandling.
• Samarbejde med tredjepartsleverandører: Brug skabelonen, når du indgår aftaler med eksterne leverandører, der skal behandle persondata på vegne af din virksomhed.
• Internationale Partnerskaber: Sikr overholdelse af GDPR ved samarbejde med internationale partnere, der håndterer persondata.
• Cloud-tjenester: Ved brug af cloud-løsninger kan skabelonen hjælpe med at definere ansvaret for databeskyttelse.

---

Indhold i skabelonen

Databehandleraftale Skabelonen indeholder følgende sektioner, som hver især er afgørende for en omfattende og klar databehandleraftale:

• Introduktion: Beskriver formålet med aftalen og de involverede parter.
• Definitioner: Klargør relevante termer og definitioner, såsom databehandler, dataansvarlig og personoplysninger.
• Behandling af persondata: Beskriver detaljerne om, hvordan og hvorfor persondata vil blive behandlet.
• Rettigheder og Forpligtelser: Angiver de specifikke rettigheder og forpligtelser for både dataansvarlig og databehandler.
• Sikkerhedsforanstaltninger: Definerer de tekniske og organisatoriske foranstaltninger, der skal implementeres for at beskytte persondata.
• Underleverandører: Informerer om, hvordan og under hvilke betingelser databehandleren kan anvende underleverandører.
• Overførsel af Data: Beskriver regler og betingelser for eventuel overførsel af data til tredjelande.
• Varighed og Opsigelse: Forklarer aftalens varighed og betingelser for opsigelse.
• Ansvar og Erstatning: Klargør ansvarsfordelingen og betingelserne for erstatning ved brud på aftalen.

---

1. Hvad er de vigtigste elementer, der skal inkluderes i en databehandleraftale?

For at sikre en omfattende og effektiv databehandleraftale, bør følgende elementer altid inkluderes:

• Partenes identitet: Beskrivelse af hvem databehandleren og dataansvarlig er.
• Formålet med behandlingen: Beskrivelse af, hvad dataene vil blive brugt til.
• Behandlingens varighed: Specificering af hvor længe dataene vil blive behandlet.
• Typer af personoplysninger: Beskrivelse af de data, der vil blive behandlet.
• Parternes rettigheder og pligter: Klare ansvarsområder for både databehandler og dataansvarlig.
• Sikkerhedsforanstaltninger: Detaljer om de sikkerhedsforanstaltninger, som databehandleren vil implementere.
• Underbehandlere: Regler om brug af underdatabehandlere og krav til deres overholdelse af aftalen.
• Tilbagelevering eller sletning af data: Procedurer for hvordan data skal håndteres efter aftalens ophør.
• Revision og kontrol: Ret til inspektion og kontrol af behandlingens efterlevelse.
• Misligholdelse og sanktioner: Konsekvenser ved overtrædelse af aftalen.

---

2. Hvordan sikrer man, at databehandleraftalen er i overensstemmelse med GDPR?

For at sikre, at en databehandleraftale er i overensstemmelse med GDPR, bør følgende trin følges:

• Lovgivning og vejledning: Konsulter officielle GDPR-vejledninger fra Datatilsynet og EU.
• Standardklausuler: Brug EU’s standardkontraktbestemmelser som grundlag.
• Ekspertrådgivning: Konsulter juridiske rådgivere eller databeskyttelsesspecialister.
• Regelmæssige opdateringer: Hold dig ajour med ændringer i GDPR-bestemmelser og relevante nationale love.
• Intern kontrol: Implementer interne politikker og kontrolmekanismer for at sikre overholdelse.

---

3. Hvem bærer ansvaret, hvis der opstår en datalækage, mens dataene er under databehandlerens kontrol?

Ansvaret i tilfælde af en datalækage kan fordeles afhængig af de specifikke omstændigheder og aftalens indhold:

• Primært ansvar: Normalt bærer databehandleren ansvaret for lækager, der opstår under deres kontrol.
• Informationspligt: Databehandleren skal straks informere dataansvarlig om enhver sikkerhedsbrist.
• Dataansvarliges ansvar: Dataansvarlig har stadig det overordnede ansvar for databeskyttelse og skal underrette tilsynsmyndigheden og eventuelt de berørte personer.
• Kontraktuelle bestemmelser: Aftalen skal klart fastsætte ansvarsfordelingen og eventuelle sanktioner ved brud.

---

4. Hvordan håndterer man opdateringer og ændringer i databehandleraftalen?

For at håndtere opdateringer og ændringer i en databehandleraftale, bør følgende fremgangsmåde følges:

• Klausul om ændringer: Inkluder en klausul i aftalen, der beskriver proceduren for ændringer.
• Skriftlig godkendelse: Sørg for at alle ændringer skal være skriftligt godkendt af begge parter.
• Regelmæssig gennemgang: Gennemgå og opdater aftalen regelmæssigt, især ved ændringer i lovgivning eller behandlingspraksis.
• Dokumentation: Hold en klar dokumentation af alle versioner og ændringer af aftalen.

---

5. Hvad er kravene til sikkerhedsforanstaltninger i en databehandleraftale?

GDPR kræver passende tekniske og organisatoriske sikkerhedsforanstaltninger i en databehandleraftale:

• Risikovurdering: Gennemfør en vurdering af risici forbundet med behandlingen af personoplysninger.
• Kryptering og pseudonymisering: Implementer teknologier som kryptering og pseudonymisering, hvor det er relevant.
• Adgangskontrol: Begræns adgang til personoplysninger til autoriserede medarbejdere.
• Datasikkerhedspolitikker: Udvikl og følg interne sikkerhedsprocedurer og politikker.
• Incidenthåndtering: Opret procedurer for håndtering af sikkerhedshændelser og databrud.
• Regelmæssige sikkerhedsrevisioner: Gennemfør regelmæssige sikkerhedsrevisioner og test af de implementerede foranstaltninger.

---

6. Hvordan kan man sikre sig, at underdatabehandlere overholder samme krav som databehandleren?

For at sikre, at underdatabehandlere overholder de samme krav, kan følgende metoder anvendes:

• Godkendelsesproces: Opret en klar proces for forudgående godkendelse af underdatabehandlere af den dataansvarlige.
• Underdatabehandleraftale: Indgå en skriftlig aftale med underdatabehandlere, der fastsætter de samme databeskyttelsesforpligtelser.
• Due diligence: Udfør due diligence på mulige underdatabehandlere for at sikre deres kapabilitet til at overholde kravene.
• Regelmæssig kontrol: Gennemfør regelmæssige audits og revisioner af underdatabehandlere.
• Sanktionsmetoder: Indfør sanktioner for underdatabehandlere, der ikke overholder aftalte krav.

---

7. Hvordan dokumenterer man overholdelse af databehandleraftalen i praksis?

Dokumentation af overholdelse af databehandleraftalen kan opnås gennem følgende metoder:

• Auditlogs: Oprethold detaljerede logs over dataaktiviteter og behandlingsprocesser.
• Compliance-rapporter: Udarbejd og del regelmæssige compliance-rapporter med den dataansvarlige.
• Sikkerhedsrevisioner: Gennemfør og dokumenter regelmæssige interne og eksterne sikkerhedsrevisioner.
• Træning og bevidsthed: Dokumenter medarbejdertræning og bevidsthedsprogrammer om databeskyttelse.
• Policy-oversigter: Vedligehold oversigter over alle politikker og procedurer relateret til databehandling.
• Tredjeparts certificeringer: Opnå og fremvis relevante databeskyttelsescertificeringer (f.eks. ISO 27001).

---

Skabelon

---

 

Indgået mellem (dataansvarlig virksomhed), CVR-nummer (CVR-nummer), og (databehandler virksomhed), CVR-nummer (CVR-nummer), samlet benævnt som parterne.

1. Baggrund og formål

Formålet med denne databehandleraftale er at sikre, at databehandleren behandler personoplysninger på vegne af den dataansvarlige i overensstemmelse med databeskyttelseslovgivningen.

2. Behandlingens omfang

Databehandleren skal alene behandle personoplysninger i det omfang, det er nødvendigt for at opfylde de forpligtelser, der er fastsat i (kontraktens navn), og i overensstemmelse med den dataansvarliges dokumenterede instrukser.

3. Kategorier af registrerede og personoplysninger

De kategorier af registrerede og personoplysninger, som vil blive behandlet af databehandleren på vegne af den dataansvarlige, er som følger:

• Kategorier af registrerede: (beskriv kategorierne)
• Kategorier af personoplysninger: (beskriv kategorierne)

4. Sikkerhedsforanstaltninger

Databehandleren skal gennemføre de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger mod utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uberettiget videregivelse eller adgang.

5. Underdatabehandlere

Databehandleren må kun bruge underdatabehandlere med den dataansvarliges skriftlige godkendelse. En liste over godkendte underdatabehandlere kan findes i bilag (bilagsnummer).

6. Ret til inspektion

Den dataansvarlige har ret til at foretage inspektioner og revisioner af databehandlerens behandling af personoplysninger for at sikre overholdelse af denne aftale og gældende databeskyttelseslovgivning.

7. Varighed og ophør

Denne aftale træder i kraft på (dato) og forbliver i kraft, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige. Ved ophør af samarbejdet skal databehandleren efter den dataansvarliges valg slette eller returnere alle personoplysninger.

8. Ansvar og erstatning

Parterne er ansvarlige og erstatningspligtige i overensstemmelse med gældende lovgivning for enhver skade eller tab, der opstår som følge af manglende overholdelse af denne aftale.

9. Ændringer og tillæg

Ændringer og tillæg til denne aftale skal være skriftlige og underskrevet af begge parter.

10. Lovvalg og værneting

Aftalen er underlagt dansk ret, og enhver tvist, der måtte opstå i forbindelse med denne aftale, skal afgøres ved de danske domstole.

Dato: (dato)

For den dataansvarlige: (navn og titel)

For databehandleren: (navn og titel)

Eksemple

---

 

Databehandleraftale Eksempel 1

Parter: Dette er en aftale mellem Virksomhed A (herefter “Dataansvarlig”) og Virksomhed B (herefter “Databehandler”).

Formål: Databehandleren forpligter sig til at behandle persondata på vegne af Dataansvarlig i overensstemmelse med de følgende betingelser:

• Formål med behandlingen: Indsamling og analyse af kundedata for at forbedre service og produkter.
• Varighed: Behandlingen af persondata vil finde sted indtil aftalens ophør.
• Sikkerhed: Databehandleren sikrer, at data er beskyttet mod uautoriseret adgang og databrud.

Ansvar: Databehandleren er ansvarlig for at opfylde sikkerhedskravene i henhold til databeskyttelseslovgivningen.

Kontaktinformation: Al kommunikation vedrørende denne aftale skal sendes til:

Virksomhed A
E-mail: [email protected]
Telefon: +45 12345678

---

Databehandleraftale Eksempel 2

Parter: Dette er en aftale mellem Firma X (herefter “Dataansvarlig”) og Firma Y (herefter “Databehandler”).

Formål: Databehandleren skal håndtere persondata efter Dataansvarligs instruktioner til de følgende formål:

• Formål med behandlingen: Administration af medarbejderdata til lønudbetaling og HR-formål.
• Varighed: Databehandling udføres løbende i henhold til ansættelsesaftalerne.
• Sikkerhed: Databehandleren forpligter sig til at implementere tekniske og organisatoriske foranstaltninger for at beskytte data.

Ansvar: Databehandleren rapporterer straks til Dataansvarlig i tilfælde af brud på datasikkerheden.

Kontaktinformation: Al henvendelse omkring denne aftale skal rettes til:

Firma X
E-mail: [email protected]
Telefon: +45 98765432