Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Databehandler

Krav om skriftlig kontrakt med databehandlere

En dataansvarlig kan vælge at overlade det til en anden at udføre selve den praktiske behandling af personoplysninger på den dataansvarliges vegne. Den, der herefter udfører databehandlingen, betegnes som databehandler. En databehandler kan være en (fysisk) person, en virksomhed, en offentlig myndighed etc.

Databehandleren må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale herom imellem den dataansvarlige og databehandleren (en såkaldt databehandleraftale).

Indholdet af den skriftlige aftale

Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal træffe forskellige tekniske og organisatoriske sikkerhedsforanstaltninger. Disse sikkerhedsforanstaltninger skal sikre mod, at oplysningerne

  • hændeligt eller ulovligt tilintetgøres, fortabes eller forringes,
  • kommer til uvedkommendes kendskab eller misbruges, eller
  • i øvrigt behandles i strid med lov om behandling af personoplysninger.

Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Den dataansvarlige skal således aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, og det kan i den sammenhæng være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart. Den skriftlige aftale parterne imellem som nævnt ovenfor kunne bl.a. indeholde denne revisionserklæring som en betingelse for at lade behandlingen foretage hos databehandleren.

Af den skriftlige aftale bør det herudover fremgå, om behandlingen af personoplysninger hos databehandleren sker helt eller delvist ved anvendelse af hjemmearbejdspladser.

Når den dataansvarlige er en offentlig myndighed stiller sikkerhedsbekendtgørelsen endvidere krav om, at det fremgår af den skriftlige databehandleraftale, at reglerne i sikkerhedsbekendtgørelsen  ligeledes gælder for behandlingen ved databehandleren.

Den skriftlige aftale imellem den dataansvarlige og databehandleren kan f.eks. udformes på denne måde:

”Databehandleren handler alene efter instruks fra den dataansvarlige. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.”

Hvis den dataansvarlige er en offentlig myndighed, skal sikkerhedsbekendtgørelsen også tages med i aftalen.

Det skal bemærkes, at ovenstående eksempel først og fremmest er anvendeligt i tilfælde, hvor databehandleren hoster en mindre kompliceret løsning (f.eks. en hjemmeside) for den dataansvarlige. I tilfælde, hvor der er tale om større og eventuelt mere komplicerede løsninger, kan den dataansvarlige myndighed eller virksomhed have behov for at indgå en mere detaljeret aftale for at sikre sig, at myndighedens eller virksomhedens forpligtelse til at beskytte oplysningerne bliver opfyldt også ved behandlingerne hos databehandleren.