Ændring i Datatilsynets standarddatabehandleraftale

Dato: 04-03-2024
Nyhed

Datatilsynet har foretaget nogle ændringer i standarddatabehandleraftalen vedrørende pligten til at indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs.

Datatilsynet har foretaget to ændringer i tilsynets standarddatabehandleraftale. Begge ændringer angår samme bestemmelse og vedrører pligten til at indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs. Ændringerne består i:

  • Bestemmelsen er nu blevet fremhævet som valgfri for den dataansvarlige og databehandleren at inkludere i databehandleraftalen.
  • Bestemmelsens ordlyd er blevet ensrettet med ordlyden i den tilsvarende bestemmelse i EU-Kommissions standardkontraktbestemmelser for databehandleraftale af 4. juni 2021.

Baggrunden for ændringerne

Datatilsynet har modtaget flere henvendelser om betydningen af den pågældende bestemmelse. Det er bl.a. blevet fremhævet, at bestemmelsen er udfordrende at arbejde med i praksis, og at bestemmelsen muligvis ikke har den tilsigtede virkning.

Bestemmelsen er ikke et direkte krav som følger af databeskyttelsesforordningen, men har været et forsøg fra Datatilsynets side på at sikre, at den dataansvarlige forsat kan leve op til sine forpligtelser som dataansvarlig i tilfælde at databehandlerens konkurs. 

Eftersom bestemmelsen ikke er et direkte krav, der følger af databeskyttelsesreglerne, har Datatilsynet besluttet at fremhæve, at bestemmelsen er valgfri. 

Datatilsynet gør imidlertid fortsat samtidig opmærksom på, at selv om bestemmelsen nu er valgfri at inkludere i databehandleraftalens hovedbestemmelser, så er den dataansvarlige forsat ansvarlig for at sikre, at personoplysninger bliver tilstrækkelig beskyttet (slettet eller tilbageleveret) i de tilfælde, hvor databehandleren er ophørt eller er gået konkurs. 

Ændringerne har været forelagt EDPB

Datatilsynets ændringer har været forelagt Det Europæiske Databeskyttelsesråd (EDPB), som ikke har haft indvendinger til ændringerne. Bestemmelsen – og de tilføjede ændringer – har derfor forsat karakter af at være standardkontraktbestemmelser efter databeskyttelsesforordningens artikel 28, stk. 8.

De ovenfor beskrevet ændringer er gennemført i både den danske og engelske version af Datatilsynets standarddatabehandleraftale, som kan findes her.

Betydning for eksisterende aftaler?

Ændringerne i standarddatabehandleraftalen betyder ikke, at aftaler, der er indgået på den tidligere udgave af standarddatabehandler-aftalen, bliver ugyldige.

Datatilsynet forventer fortsat at acceptere sådanne databehandleraftaler, der er indgået ved brug af den tidligere udgave af standarden. Det forudsætter dog naturligvis, at ordlyden af aftalen ikke afviger fra standarden, og at standarden er udfyldt korrekt.