Datatilsynet har offentliggjort ny standard databehandleraftale

Datatilsynet har den 10. december 2019 offentliggjort en ny standard databehandleraftale. Tilsynets nye databehandleraftale er blevet vedtaget som standardkontraktbestemmelser på baggrund af en udtalelse fra det Europæiske Databeskyttelsesråd, jf. GDPR, art. 28.8. Plesner gennemgår her de væsentligste punkter.

Efter tidligere i år at have forelagt sin standard databehandleraftale for det Europæiske Databeskyttelsesråd ("EDPB") har Datatilsynet ("DT") i overensstemmelse med EDPBs Udtalelse 14/2019 efterfølgende tilpasset sin standard databehandleraftale, som efter godkendelse fra EDPB nu er blevet vedtaget og offentliggjort som standardkontraktbestemmelser, der herefter i overensstemmelse med GDPR, art. 28.8, per definition lever op til de formelle krav for en gyldig databehandleraftale, jf. GDPR, art. 28. Nyheden fra EDPB kan læses her.

Som konsekvens af dette vil DT fremadrettet ikke føre tilsyn med om de vedtagne standardkontraktbestemmelser, når disse er anvendt 1:1 til en indgået databehandleraftale, lever op til kravene efter GDPR, art. 28.

Når man sammenligner den nye standard databehandleraftale med DTs tidligere standard databehandleraftale, er de væsentligste ændringer, som følger:

  • Da DTs nye standard databehandleraftale også er vedtaget som standardkontraktbestemmelser i medfør af GDPR, art. 28.8, medfører dette, at man skal anvende aftalen i sin helhed på samme måde, som det også er tilfældet med EU-Kommissionens standardkontraktbestemmelser for tredjelandsoverførsler. Tilsvarende er det dog stadig tilladt at tilføje yderligere (kommercielle) bestemmelser, når disse blot ikke - direkte eller indirekte - modsiger standard-bestemmelserne eller er til skade for de registreredes rettigheder og frihedsrettigheder.
  • Det fremgår af bilag A, at de personoplysninger, som skal behandles, skal beskrives specifikt, hvorfor det fx ikke er tilstrækkeligt at angive, at der behandles "følsomme personoplysninger", hvilket er i tråd med Plesners tidligere paradigme.
  • DTs nye standard databehandleraftale er derudover blevet tilpasset, således at den dataansvarliges tilsyn med databehandlerens underdatabehandlere nu ikke længere som udgangspunkt sker gennem databehandleren, hvilket er en nødvendig konsekvens af, at den dataansvarlige i overensstemmelse med GDPR, art. 28.1, som skal kunne dokumentere, at denne alene anvender databehandlere - herunder underdatabehandlere - som kan sikre, at behandling sker i overensstemmelse med GDPR. I stedet skal tilsynet med underdatabehandlere fastlægges konkret.
  • Den nye standard databehandleraftale udtrykker klart den dataansvarliges ansvar for behandlingssikkerhed, ligesom der i bilag C konkret stilles krav om at beskrive sikkerhedsforanstaltninger.
  • Slutteligt indeholder bilag C også en mere omfattende uddybning af procedurerne for den dataansvarliges tilsyn, herunder med hensyn til inspektioner, revisionserklæringer m.v., hvilket igen er en nødvendig konsekvens af, at den dataansvarlige skal kunne dokumentere, at man alene anvender databehandlere, som kan sikre, at behandling sker i overensstemmelse med GDPR. 

Den nye standard databehandleraftale forefindes på både dansk og engelsk.

Som en vigtig sidebemærkning har DT i sin nyhedstekst vedr. offentliggørelsen af den nye standard databehandleraftale udtalt, at DT som udgangspunkt og i videst muligt omfang fortsat vil acceptere databehandleraftaler, som er baseret på DTs oprindelige skabelon, såfremt disse er indgået inden datoen for offentliggørelsen af de nye standardkontraktbestemmelser, altså inden den 10. december 2019.

Plesner Persondata Team vil inden for kort tid opdatere vores paradigme til databehandleraftale, som vi herefter vil stille til rådighed for klienter og venner af huset.

Seneste nyt om Persondata

Persondata