En databehandleraftale (DPA - Data Processing Agreement) beskriver, hvordan personoplysninger behandles i overensstemmelse med GDPR-reglerne.
Vil du have hjælp til at holde styr på økonomien i din virksomhed? Det kan vi hjælpe med. Prøv Billy gratis.
Det er en skriftlig aftale, som typisk godkendes elektronisk af den, som afgiver personoplysningerne. Personoplysninger er alle oplysninger, som vedrører en identificeret eller identificerbar fysisk person.
Aftalen kan være mellem to virksomheder eller en virksomhed og en person.
Hvornår er en databehandleraftale et krav?
Når en virksomhed modtager personoplysninger, så er en databehandleraftale et krav. Aftalen skal følge lovgivningen i de nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU).
Men hvem har egentlig ansvaret, når der skal laves en databehandleraftale?
Hvem er dataansvarlig og databehandler?
En databehandleraftale administreres typisk af to parter - en dataansvarlig og en databehandler.
Den dataansvarlige er den part, som modtager informationerne. Det er som regel en virksomhed. Den dataansvarlige har ansvaret for, at dataene behandles korrekt.
Den dataansvarlige kan hyre en databehandler, som hjælper med behandling af informationerne. Databehandleren skal følge retningslinjerne i databehandleraftalen.
Eksempel på hvem der er dataansvarlig og databehandler
Databehandling ved brug af et online regnskabsprogram: En kunde (virksomhed) bruger et online regnskabsprogram (leverandør af en software-ydelse).
Kunden giver regnskabsprogrammet personoplysninger som led i bogføringen/ brugen af softwaren. Det betyder, at kunden er den dataansvarlige, som videregiver oplysningerne til en anden part. Derfor skal de have en databehandleraftale med regnskabsprogrammet.
Regnskabsprogrammet opbevarer oplysningerne, og de er derfor databehandlere. Det er altså regnskabsprogrammets opgave at følge instrukserne i databehandleraftalen.
Når regnskabsprogrammet har underleverandører, så skal regnskabsprogrammet sikre, at de også følger aftalen.
Hvad skal en databehandleraftale indeholde?
En databehandleraftale beskriver betingelser og procedure for behandling af persondata.
Eksempler på hvad aftalen skal indeholde
- Oplysninger om genstanden for behandlingen
- Varigheden af behandlingen
- Behandlingens karakter
- Formål med behandlingen
- Typen af personoplysninger
- Forpligtelser og rettigheder for den dataansvarlige
- Pligter som databehandleren har i forhold til at varetage opgaven
Få en genvej til en databehandleraftale med en skabelon
På datatilsynets hjemmeside kan du finde en skabelon. Det gør det en hel del lettere, når aftalen skal skrives.
… Og husk på, at databehandleraftalen altid skal følge reglerne i GDPR (Databeskyttelsesforordningen/persondataforordningen).
Hvordan hænger databehandleraftalen og GDPR sammen?
Databehandleraftalen er en instruktion til den part, som modtager personoplysninger. Den beskriver, hvordan virksomheden er forpligtiget til at behandle kunder, underleverandører og partneres persondata. Instruktionen skal følge reglerne i GDPR (General Data Protection Regulation).
Hvilke krav stiller GDPR til behandling af persondata?
Der er mange GDPR-regler, som en virksomhed skal have styr på. Vi kommer ikke igennem dem alle sammen her. Men du får et indblik i GDPR med de 5 vigtigste regler…
GDPR siger, at den dataansvarlige skal:
- Føre en fortegnelse
- Dokumentere at lovgivningens principper for god databehandling følges.
- Dokumentere at der er indført passende tekniske og organisatoriske foranstaltninger.
- Informere kunder, ansatte m.m. om hvordan deres data behandles.
- Bevise at lovgivningen efterleves. For eksempel ved brug af samtykke, databehandlere osv.
Hvornår skal GDPR følges?
GDPR gælder for alle personer, virksomheder, myndigheder, foreninger og andre fællesskaber i EU. Reglerne gælder for alle EU-borgere, også selv om den dataansvarlige er uden for EU. Kort sagt, alle persondata skal behandles efter GDPR-reglerne.
Hvornår er data persondata?
Alle oplysninger om en identificeret eller identificerbar fysisk person er persondata.
I databeskyttelsesforordningen (GDPR) deles personoplysninger ind i tre typer:
- Almindelige oplysninger
- Følsomme oplysninger
- Oplysninger om straffedomme og lovovertrædelser
Eksempler på almindelige personoplysninger
- Navn
- Adresse
- Telefonnummer
- Betalingsoplysninger
Eksempler på personfølsomme oplysninger
- Race og etnisk tilhørsforhold
- Politisk overbevisning
- Religiøs overbevisning
- Filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske data
- Biometriske data
- Helbredsoplysninger
- Sexuelle forhold og orientering
- CPR-nummer
Eksempler på oplysninger om straffedomme og lovovertrædelser
- En medarbejders ulovligheder
- Straffeattest
- Børneattester
Der er forskellige betingelser og procedure for databehandlingen, som er bestemt af, hvilken type oplysninger den dataansvarlige modtager.
Databehandling af CPR-nummer
CPR-nummeret er en fortrolig oplysning. Derfor gælder nogle særlige krav til databehandlingen. Alle overførsler af CPR-numre skal ske krypteret f.eks. via mail eller website. Den dataansvarlige må kun bede om oplysningen, hvis korrekt identifikation af kunden er afgørende for levering af ydelsen.
Andre eksempler på fortrolige oplysninger
Indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold er alle fortrolige oplysninger.
Du kan blive endnu klogere på korrekt databehandling af personoplysninger på datatilsynets hjemmeside.
Hvilket ansvar har datatilsynet?
Datatilsynets opgave er at lave tilsyn med, at reglerne overholdes. De kan komme på tilsyn i virksomheden, men det er mindre sandsynligt.
Det vigtigste er, at virksomheden anmelder ‘sikkerhedsbrud’ til Datatilsynet. Et sikkerhedsbrud er, når virksomheden :
- Bliver ramt af ransomware
- Sender en mail med personoplysninger til en forkerte modtager
- Opdager uvedkommende har fået adgang til personoplysninger
Hvis et sikkerhedsbrud ikke anmeldes til Datatilsynet, så vil virksomheden blive sanktioneret.