GDPR artikel 28 – krav til databehandleraftaler og samarbejde
GDPR artikel 28 fastsætter de regler, der gælder, når en virksomhed overlader behandling af personoplysninger til en ekstern part. Det betyder, at der skal være en skriftlig databehandleraftale, der klart definerer ansvar og forpligtelser. Hos GDPR-Regler.dk hjælper vi med at udarbejde og gennemgå disse aftaler, så jeres virksomhed er dækket ind og kan dokumentere korrekt behandling.
Hvornår gælder artikel 28?
Artiklen gælder, når en virksomhed giver en anden aktør adgang til persondata, fx:
- Cloud- og it-leverandører
- HR- og lønsystemer
- Marketingplatforme og analyseværktøjer
Der skal altid være en databehandleraftale, når personoplysninger behandles af eksterne, også ved almindelige oplysninger som navn og e-mail.
Hvad skal en databehandleraftale indeholde?
GDPR artikel 28 opstiller krav til aftalens indhold. Aftalen skal bl.a. beskrive:
- Formål og varighed – hvad behandlingen går ud på, og hvor længe den varer
- Typer af persondata – hvilke data og hvilke registrerede det drejer sig om
- Instrukser – databehandleren må kun handle efter skriftlig instruks
- Sikkerhedsforanstaltninger – tekniske og organisatoriske tiltag
- Fortrolighed – også hos underdatabehandlere
- Retur og sletning – hvordan data håndteres ved samarbejdets ophør
- Tilsynsret – den dataansvarlige skal kunne føre kontrol
Hvem har ansvar for hvad?
Den dataansvarlige har ansvar for, at aftalen lever op til GDPR. Databehandleren har ansvar for at følge instruksen og beskytte data. Hvis databehandleren afviger fra instruksen, er det et brud på reglerne og ansvaret kan flyttes over på dem.
Sådan arbejder GDPR-Regler.dk med databehandleraftaler
Vi tilbyder rådgivning og gennemgang af databehandleraftaler både ved nye samarbejder og opfølgning på eksisterende leverandører. Vi hjælper med:
- Udarbejdelse af skabeloner og konkrete aftaler
- Kontrol med eksisterende aftaler
- Vurdering af sikkerhedsforanstaltninger
- Opfølgning og dokumentation i jeres fortegnelser
Det kan være en del af implementering, løbende compliance eller klippekortordning – afhængigt af jeres behov.
Ofte stillede spørgsmål
Hvad er en databehandleraftale?
En aftale mellem en dataansvarlig og en databehandler, der fastlægger hvordan og hvorfor personoplysninger må behandles.
Skal alle virksomheder have databehandleraftaler?
Ja – hvis I bruger eksterne til behandling af personoplysninger, skal der være en databehandleraftale. Det gælder også for små virksomheder.
Kan vi bruge en standardskabelon?
Det er vigtigt, at aftalen er tilpasset den konkrete behandling og opfylder kravene i artikel 28. En standardskabelon skal derfor gennemgås og tilrettes.
Hvad sker der, hvis vi ikke har en aftale?
Det kan føre til bøder eller påbud fra Datatilsynet. Manglende databehandleraftale er et brud på GDPR. Det gælder også hvis I ellers har styr på jeres dokumentation.
Hvordan holder vi aftalerne opdateret?
Gennem løbende compliance arbejde og faste gennemgange af jeres leverandører. Det bør være en fast del af jeres GDPR årshjul.
