I februar 2018 offentliggjorde Datatilsynet en skabelon til en standarddatabehandleraftale for at hjælpe organisationer med at leve op til en række af kravene i databeskyttelsesforordningen. Standardaftalen var Datatilsynets bud på, hvordan en databehandleraftale kunne udformes for at leve op til minimumskravene i databeskyttelsesforordningen.
I december 2019 fik denne skabelon karakter af standardkontraktbestemmelser efter, at Det Europæiske Databeskyttelsesråd var kommet med en udtalelse (læs mere om det her). Denne ”blåstempling” af indholdet fra Det Europæiske Databeskyttelsesråd har nu – ud over at skabe klarhed over indholdet af de danske standardkontraktbestemmelser – ført til, at tilsynsmyndighederne i Norge og Sverige efterfølgende har meldt ud, at organisationer i disse lande også vil kunne bruge Datatilsynets standardkontraktbestemmelser. Tilsynsmyndighederne i Norge og Sverige vil således anerkende de danske standardkontraktbestemmelser, som om de var udarbejdet af dem selv.
Læs nyheden fra det svenske datatilsyn her og nyheden fra det norske datatilsyn her.
”Det er en glædelig udmelding, som mine nordiske tilsynskolleger i Norge og Sverige her er kommet med. På denne måde er det arbejde, vi i Datatilsynet har lagt i at få vedtaget disse standardkontraktbestemmelser ikke kun noget, organisationer i Danmark får gavn af – nu kan også organisationer i Norge og Sverige med sindsro gøre brug af standardaftalen. Det understreger jo virkelig værdien af vores europæiske samarbejde, når vi på tværs af landene på denne måde kan drage nytte af hinanden og gøre anvendelsen og overholdelsen af reglerne mere ensartet,” siger Datatilsynets direktør Cristina Angela Gulisano.
Hvad er en standardkontraktbestemmelse?
Efter databeskyttelsesforordningen har Datatilsynet mulighed for at vedtage såkaldte standardkontraktbestemmelser for indgåelse af databehandleraftaler. Dette skal dog ske i overensstemmelse med sammenhængsmekanismen.
Det betyder med andre ord, at Datatilsynet kan vedtage en række standardbestemmelser, som får en særlig juridisk bindende karakter. I det omfang organisationer vælger at benytte sig af disse standardbestemmelser, vil Datatilsynet, fx i forbindelse med et tilsynsbesøg, ikke efterprøve disse bestemmelser nærmere.
Vedtagelsen af sådanne standardbestemmelser skal dog ske i samarbejde med de øvrige tilsynsmyndigheder i EU, bl.a. for at sikre en ensartet anvendelse af reglerne på tværs af EU. Dette samarbejde er forankret i Det Europæiske Databeskyttelsesråd, som skal udtale sig om standardkontraktbestemmelser, før end Datatilsynet må vedtage dem.
Skal organisationer anvende standardkontraktbestemmelser?
Det er ikke et krav for organisationer at benytte standardkontraktsbestemmelser for at overholde databeskyttelsesforordningens regler om databehandleraftaler.
Organisationer skal dog – under alle omstændigheder – indgå en aftale, der overholder mindstekravene i forordningens artikel 28.
Der er dog en væsentlig fordel forbundet med brugen af Datatilsynets standardkontraktsbestemmelser, som består i den sikkerhed, der ligger i aftalens juridisk bindende status, der som nævnt betyder, at Datatilsynet fx i forbindelse med et tilsynsbesøg, ikke vil efterprøve det allerede fastlagte indhold.
Læs mere
Læs Datatilsynets vejledning om databehandlere og dataansvarlige.
Læs Datatilsynets emneside om databehandlere og dataansvarlige.