Data­behandlere

De fleste virksomheder gør i et vist omfang brug af eksterne leverandører eller andre, som varetager opgaver på vegne af virksomheden, og i denne forbindelse også behandler persondata. Det medfører en række forpligtelser mellem virksomheden (den dataansvarlige) og databehandleren, som skal være skriftligt aftalt mellem parterne i en såkaldt databehandleraftale.

Mange har en opfattelse af, at det er nok at have indgået en databehandleraftale med sine databehandlere. En databehandleraftale betragtes imidlertid kun som tilstrækkelig, hvis den er udtryk for at, den dataansvarlige har overvejet, hvilke krav, der skal stilles til databehandleren, på baggrund af karakteren af personoplysninger, omfanget og måden, hvorpå oplysningerne behandles. Det betyder, at man som virksomhed er nødt til at foretage en risikovurdering af hver enkelt databehandler.

Det er en meget vigtig del af at være compliant med databeskyttelsesforordningen (GDPR), at virksomheden har stillet relevante krav til de sikkerhedsforanstaltninger, virksomhedens databehandlere skal leve op til, og at der efterfølgende føres tilsyn med, at databehandlerne lever op til disse krav. Netop tilsyn med databehandlere er et specifikt fokusområde hos Datatilsynet, og alle bør have udarbejdet en tilsynsplan med sine databehandlere.

Hos Compliance Team har vi flere års erfaring med at vurdere og udforme databehandleraftaler, herunder vurdere om der overhovedet er tale om en databehandlerkonstruktion, samt foretage den nødvendige risikovurdering og efterfølgende føre løbende tilsyn med databehandlere. Hvis vi vurderer, at der ikke er tale om en databehandlerrelation, kan vi hjælpe med aftaler om fælles dataansvar eller vurdering af den selvstændige dataansvarlige, der videregives personoplysninger til.