I henhold til databeskyttelsesforordningens artikel 28, stk. 3, skal en databehandlers behandling være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige.
Dansk standard-databehandleraftale
I starten af 2018 offentliggjorde Datatilsynet en skabelon til en standard-databehandleraftale for at hjælpe virksomheder og myndigheder med at leve op til en række af kravene i databeskyttelsesforordningen. Standardaftalen var Datatilsynets bud på, hvordan en databehandleraftale kunne udformes for at leve op til minimumskravene i databeskyttelsesforordningen.
I december 2019 fik denne skabelon – efter at Det Europæiske Databeskyttelsesråd var kommet med en udtalelse – karakter af standardkontraktbestemmelser i henhold til databeskyttelsesforordningens artikel 28, stk. 8.
Dette betyder, at Datatilsynets standardkontraktbestemmelser (skabelon) har en særlig juridisk karakter, herunder at tilsynet, f.eks. i forbindelse med et tilsynsbesøg, ikke efterprøver disse bestemmelser nærmere.
EU-standardkontraktbestemmelser
Den 4. juni 2021 offentliggjorde EU-Kommission ligeledes et sæt standardkontraktbestemmelser, som har samme karakter som Datatilsynets skabelon, mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7.
Samme dag offentliggjorde EU-Kommission samtidig standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til databeskyttelsesforordningen.
Hvad skal man så bruge - det korte svar
At EU-Kommissionen nu har offentliggjort et sæt standardkontraktbestemmelser, betyder ikke, at Datatilsynets skabelon nu ikke længere har samme juridiske status som tidligere. Det betyder således blot, at der nu er flere forskellige standardkontraktbestemmelser at vælge i mellem. Det er derfor op til den enkelte dataansvarlige (og databehandler) at vælge, hvilke standardkontraktbestemmelser de vil anvende.
Hvad skal man så bruge - det lange svar
Hvis både den dataansvarlige og databehandleren udelukkende hører til og opererer i Danmark, vil Datatilsynet anbefale, at parterne anvender Datatilsynets standardkontraktbestemmelser, da disse i forvejen er udbredte og anvendte herhjemme. Der er med andre ord umiddelbart ikke nogen grund til at skifte den danske skabelon ud med EU-Kommissionens standardkontraktbestemmelser.
Er der derimod tale om grænseoverskridende aftaler, hvor enten både den dataansvarlige og databehandleren eller den ene af dem hører til og opererer ikke kun i Danmark, men også i resten af Europa, dvs. inden for databeskyttelsesforordningens anvendelsesområde, kan man overveje at anvende EU-Kommissions standardkontraktbestemmelser mellem dataansvarlige og databehandlere, idet denne alt andet lige må antages at være – eller blive – mere udbredt i disse tilfælde.
Er der tale om en situation, hvor en af parterne ligger i et land uden for Europa, som EU-Kommissionen ikke har godkendt som havende et tilstrækkeligt sikkert databeskyttelsesniveau (et såkaldt usikkert tredjeland), kan man med fordel overveje at anvende EU-Kommissions standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande, som – hvis de er korrekt udfyldt, også kan dække kravene til en databehandleraftale i databeskyttelsesforordningens artikel 28. Derved slipper man for at skulle udforme flere forskellige aftaler.
Det er vigtigt at holde sig for øje, at det ikke er et krav, at man benytter standardkontraktbestemmelser for at overholde databeskyttelsesforordningens regler om databehandleraftaler.
Man skal dog – under alle omstændigheder – indgå en aftale, der overholder mindstekravene i forordningens artikel 28.
Der er dog en væsentlig fordel forbundet med brugen af standardkontraktsbestemmelser, som består i den sikkerhed, der ligger i aftalens juridisk status, der som nævnt betyder, at Datatilsynet f.eks. i forbindelse med et tilsynsbesøg, ikke vil efterprøve det allerede fastlagte indhold.