Datatilsynet offentliggjorde i februar 2018 en skabelon til en standarddatabehandleraftale for at hjælpe organisationer med at leve op til en række af kravene i databeskyttelsesforordningen. Standardaftalen var Datatilsynets bud på, hvordan en databehandleraftale kunne udformes for at leve op til minimumskravene i databeskyttelsesforordningen.
Nye standardkontraktsbestemmelser vedtaget
Efter databeskyttelsesforordningen har Datatilsynet mulighed for at vedtage såkaldte standardkontraktsbestemmelser for de tilfælde, der er omhandlet i artikel 28, stk. 3 og 4. Dette skal dog ske i overensstemmelse med sammenhængsmekanismen.
Det betyder med andre ord, at Datatilsynet kan vedtage en række standardbestemmelser, som får en særlig juridisk bindende karakter. I det omfang organisationer vælger at benytte sig af disse standardbestemmelser, vil Datatilsynet, fx i forbindelse med et tilsynsbesøg, ikke efterprøve disse bestemmelser nærmere. Vedtagelsen af sådanne standardbestemmelser skal dog ske i samarbejde med de øvrige tilsynsmyndigheder i EU, bl.a. for at sikre en ensartet anvendelse af reglerne på tværs af EU.
Datatilsynet anmodede derfor i april 2019 om en udtalelse fra Det Europæiske Databeskyttelsesråd om tilsynets skabelon til en standarddatabehandleraftale, og rådet vedtog den 9. juli en udtalelse herom. Rådet fremkom med dels nogle generelle betragtninger om databehandleraftaler efter forordningens artikel 28, dels nogle konkrete tekstnære bemærkninger til Datatilsynets skabelon.
Efter at have nærlæst Det Europæiske Databeskyttelsesråds udtalelse har Datatilsynet revideret sin aftale, hvorefter den på ny er blevet sendt til rådet. Proceduren, der er nærmere beskrevet i databeskyttelsesforordningens artikel 64, er nu afsluttet, og Datatilsynet har derfor dags dato vedtaget følgende bestemmelser som standardkontraktsbestemmelser i medfør af databeskyttelsesforordningens artikel 28, stk. 8.
Hvad nu?
Som det var tilfældet med Datatilsynet tidligere skabelon, er det ikke et krav for organisationer at benytte disse standardkontraktsbestemmelser for at overholde databeskyttelsesforordningens regler om databehandleraftaler.
Man skal dog – under alle omstændigheder – indgå en aftale, der overholder mindstekravene i forordningens artikel 28.
Der er dog en væsentlig fordel forbundet med brugen af Datatilsynets standardkontraktsbestemmelser, som består i den sikkerhed, der ligger i aftalens juridisk bindende status, der betyder, at Datatilsynet fx i forbindelse med et tilsynsbesøg, ikke vil efterprøve det allerede fastlagte indhold.
Særligt om databehandleraftaler baseret på Datatilsynets oprindelige skabelon til standarddatabehandleraftale
Datatilsynet udfærdigede sin oprindelige skabelon til en databehandleraftale i løbet af efteråret 2017 på et tidspunkt, hvor databeskyttelsesforordningen endnu ikke fandt anvendelse. Aftalen var et udtryk for Datatilsynets forståelse af de mindstekrav, der følger af forordningens artikel 28, og det er tilsynets erfaring, at aftalen har været til stor hjælp og gavn i forbindelse med organisationers efterlevelse af databeskyttelsesforordningens regler.
Organisationer, som har baseret sine databehandleraftaler på Datatilsynets oprindelige skabelon, bør dog ikke være bekymrede for, hvorvidt de fortsat overholder databeskyttelsesreglerne.
Datatilsynet er opmærksom på det store tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato.
Hvad er Det Europæiske Databeskyttelsesråd?
Det Europæiske Databeskyttelsesråd er et uafhængigt EU-organ, som skal sikre en ensartet anvendelse af bl.a. databeskyttelsesforordningen på tværs af EU.
Databeskyttelsesrådet kan udstede retningslinjer, henstillinger og bedste praksis vedrørende særligt databeskyttelsesforordningen, ligesom rådet kan give udtalelser om ethvert spørgsmål vedrørende den generelle anvendelse af databeskyttelsesforordningen eller ethvert spørgsmål, der har indvirkning i mere end én medlemsstat.
Har du spørgsmål?
Hvis du har spørgsmål om skabelonen, databehandleraftaler eller databeskyttelsesforordningen, kan du kontakte Datatilsynet på tlf. 33 19 32 00.