4.6/5 af 60+ tilfredsstillede kunder
Databehandleraftale
Vi har hjulpet over 1200+ danske virksomheder
Hvad er en databehandleraftale
En databehandleraftale, også kendt som DPA (Data Processing Agreement), definerer retningslinjerne for behandling af persondata i overensstemmelse med GDPR’s regler.
Denne aftale formaliseres skriftligt og godkendes ofte elektronisk af den part, der leverer persondata. Persondata omfatter alle informationer relateret til en identificeret eller identificerbar individuel person.
Sådan en aftale kan indgås mellem enten to virksomheder eller en virksomhed og en privatperson.
Hvornår er en databehandleraftale et krav?
En databehandleraftale bliver et nødvendigt dokument, når en virksomhed håndterer personlige oplysninger. Det er afgørende, at denne aftale overholder både nationale databeskyttelseslove og forordninger udstedt af Europa-Parlamentet og Rådet (EU).
Spørgsmålet opstår så, hvem der bærer ansvaret for at udarbejde en databehandleraftale?
Hvem er dataansvarlig og databehandler?
I en databehandleraftale er der primært to roller: dataansvarlig og databehandler.
Dataansvarlig er den part, der modtager og er ansvarlig for personoplysningerne. Typisk er det en virksomhed. Denne part har pligt til at sikre, at data håndteres korrekt og i overensstemmelse med gældende lovgivning.
Databehandleren er en part, ofte en underleverandør, som dataansvarlige engagerer til at assistere med behandlingen af oplysningerne. Databehandleren skal agere i overensstemmelse med de retningslinjer, der er fastsat i databehandleraftalen.
Har du nogle spørgsmål eller bare brug for hjælp?
4.8/5 af 60+ tilfredsstillede kunder
Eksempel på dataansvarlig og databehandler
Betragt eksemplet med anvendelse af et online regnskabsprogram: En virksomhed, der bruger regnskabssoftwaren, giver programmet personoplysninger som en del af bogføringen eller softwarebrugen. Virksomheden er hermed den dataansvarlige, idet den leverer data til en tredjepart og skal derfor indgå en databehandleraftale med softwareudbyderen.
Softwareudbyderen, i dette tilfælde regnskabsprogrammet, opbevarer data og agerer således som databehandler. De skal efterleve de instruktioner, der er specificeret i databehandleraftalen.
Hvis regnskabsprogrammet anvender underleverandører, skal programmet sikre, at disse underleverandører også overholder databehandleraftalens vilkår.
Hvad skal en databehandleraftale indeholde?
En databehandleraftale skal præcist definere rammerne for, hvordan persondata håndteres, inklusive specifikke betingelser og procedurer.
Elementer der skal medtages i en databehandleraftale:
- Detaljer om databehandlingens objekt.
- Tidsrammen for databehandlingen.
- Beskrivelse af behandlingens natur.
- Formålet med databehandlingen.
- Typen af personoplysninger, der behandles.
- Dataansvarliges rettigheder og forpligtelser.
- Databehandlerens specifikke pligter i relation til opgavens udførelse.
Anbefaling til brug af skabelon: Datatilsynets hjemmeside tilbyder en skabelon for databehandleraftaler, som kan facilitere udarbejdelsesprocessen.
Vigtigt at huske: Databehandleraftalen skal altid være i overensstemmelse med GDPR (General Data Protection Regulation/Databeskyttelsesforordningen).
Forholdet mellem databehandleraftalen og GDPR
Databehandleraftalen fungerer som en detaljeret vejledning til den part, der modtager persondata. Den specificerer, hvordan en virksomhed skal behandle persondata fra kunder, underleverandører og partnere i overensstemmelse med GDPR (General Data Protection Regulation).
Krav fra GDPR til databehandling
GDPR stiller omfattende krav til virksomheders behandling af persondata. Her er et overblik over fem centrale regler inden for GDPR:
- Føring af fortegnelse: Den dataansvarlige skal holde en præcis registrering af persondataaktiviteter.
- Dokumentation af overholdelse: Virksomheder skal kunne bevise, at de følger GDPR’s principper for god databehandling.
- Implementering af passende foranstaltninger: Der skal indføres hensigtsmæssige tekniske og organisatoriske sikkerhedsforanstaltninger.
- Informationspligt: Det er vigtigt at informere kunder, medarbejdere m.fl. om, hvordan deres data håndteres.
- Bevisbyrde for overholdelse: Virksomheder skal kunne dokumentere, at de overholder lovgivningen, eksempelvis gennem samtykkeerklæringer og databehandleraftaler.
Anvendelsesområde for GDPR
GDPR er gældende for alle individer, virksomheder, offentlige myndigheder, foreninger og andre enheder i EU. Disse regler gælder for alle EU-borgere, selv hvis den dataansvarlige befinder sig uden for EU. Kort sagt, alle persondata inden for EU’s grænser skal behandles i overensstemmelse med GDPR-reglerne.
Hvornår er data persondata?
Persondata defineres som alle informationer om en identificeret eller identificerbar fysisk person. GDPR (Databeskyttelsesforordningen) kategoriserer persondata i tre hovedgrupper:
- Almindelige oplysninger
- Følsomme oplysninger
- Oplysninger om straffedomme og lovovertrædelser
Eksempler på almindelige personoplysninger
- Navn
- Adresse
- Telefonnummer
- Betalingsoplysninger
Eksempler på personfølsomme oplysninger
- Race og etnisk tilhørsforhold
- Politisk overbevisning
- Religiøs overbevisning
- Filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske data
- Biometriske data
- Helbredsoplysninger
- Sexuelle forhold og orientering
- CPR-nummer
Eksempler på oplysninger om straffedomme og lovovertrædelser
- En medarbejders ulovligheder
- Straffeattest
- Børneattester
Databehandlingen varierer afhængigt af typen af persondata, der modtages.
For eksempel:
– CPR-nummer: Dette er en fortrolig oplysning, og der er specifikke krav til dens behandling. Enhver overførsel af CPR-numre skal ske krypteret, for eksempel via e-mail eller website. CPR-nummeret må kun anmodes om, når korrekt identifikation er nødvendig for at levere en service.
– Andre fortrolige oplysninger: Informationer som indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold betragtes også som fortrolige.
For yderligere forståelse og vejledning om korrekt databehandling af personoplysninger, anbefales det at konsultere Datatilsynets hjemmeside.
Datatilsynets ansvarsområder
Datatilsynets primære funktion er at sikre, at databeskyttelsesreglerne følges. Selvom det sjældent sker, har de mulighed for at udføre inspektioner i virksomheder.
Det er kritisk for virksomheder at indberette eventuelle ‘sikkerhedsbrud’ til Datatilsynet. Et sikkerhedsbrud inkluderer situationer, hvor virksomheden:
- Er udsat for et ransomware-angreb.
- Ved en fejl sender en e-mail indeholdende persondata til den forkerte modtager.
- Opdager, at uvedkommende har adgang til personlige data.
Manglende rapportering af et sikkerhedsbrud til Datatilsynet kan medføre sanktioner for virksomheden.
Salg af virksomhed, opkøb & fusioner
Få en gratis vurderingsberetning af din virksomhed.
FAQ om Databehandleraftale
Hvad er en databehandleraftale (DPA)?
En databehandleraftale, eller DPA, er en skriftlig aftale, der fastsætter retningslinjerne for, hvordan persondata skal håndteres i overensstemmelse med GDPR. Denne aftale, der ofte godkendes elektronisk, er nødvendig når en virksomhed eller en privatperson skal overdrage persondata til en anden part.
Hvornår er det nødvendigt at have en databehandleraftale?
En databehandleraftale er påkrævet, når en virksomhed skal håndtere personlige oplysninger. Den skal overholde både nationale databeskyttelseslove og EU-forordninger for at sikre korrekt databehandling.
Hvad er forskellen mellem en dataansvarlig og en databehandler?
I en databehandleraftale er den dataansvarlige den part, der modtager personoplysninger og har ansvaret for korrekt håndtering af disse, typisk en virksomhed. Databehandleren, ofte en underleverandør, hjælper den dataansvarlige med at behandle oplysningerne og skal følge retningslinjerne i databehandleraftalen.
4.8/5 af 60+ tilfredsstillede kunder
Del den her: