Ny skabelon til databehandleraftaler fra Datatilsynet

Datatilsynet udgav allerede i foråret 2018 skabeloner på dansk og engelsk til udarbejdelse af de lovpligtige databehandleraftaler. Rigtig mange virksomheder – både databehandlere og dataansvarlige – har taget udgangspunkt i disse skabeloner.

Datatilsynet indsendte skabelonerne til gennemgang hos det europæiske “overdatatilsyn”. EDPB (European Data Protection Board), som de var forpligtet til efter GDPR, artikel 28, stk. 8. EDPB kom i juli 2019 med en udtalelse, hvor de foreslog en række ændringer for at bringe skabelonen helt i overensstemmelse med kravene i GDPR, artikel 28.

Denne udtalelse har lige før jul givet anledning til at opdatere skabelonerne. Du kan læse Datatilsynets egen nyhed om opdateringen her.

Som Datatilsynet skriver i nyheden, bør den nye skabelon anvendes fremadrettet ved indgåelse af nye databehandleraftaler, ligesom den bør anvendes ved evt. genforhandling af eksisterende databehandleraftaler, som var baseret på den gamle skabelon.

Det er selvsagt også muligt at forhandle individuelle databehandleraftaler, hvis man sikrer sig, at minimumskravene i art. 28 er opfyldt, og man samtidig sikrer sig, at databehandleraftalen – typisk i bilagene – har en så tilpas fyldestgørende beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren har eller skal iværksætte. Mange databehandler glemmer det sidste, og gør det derfor meget svært for den dataansvarlige at opfylde den forpligtelse, man har til at føre regelmæssig kontrol med sine databehandlere – en forpligtelse, der ikke direkte kan læses noget om i artikel 28.

Se Datatilsynets vejledningstekst om kontrolforpligtelsen her.

De nye skabeloner er unikke i den forstand, at det er de første – og hidtil eneste – skabeloner fra et nationalt datatilsyn, der er blevet gennemgået af EDPB – og derfor kan siges at være “blåstemplet” af EU. Dette har også skabt stor interesse for skabelonen i andre lande i EU/EØS-samarbejdet.

Senest har f.eks. det norske datatilsyn udtalt, at skabelonen kan bruges i Norge.

Da skabelonen som nævnt findes på både dansk og engelsk, vil den være et godt udgangspunkt for professionelle databehandlere, der ønsker at anvende en ensartet databehandleraftale for alle deres kunder. Individuelle tilretninger foretages i bilagene.