Bech-Bruun samarbejde

Datatilsynet har forelagt sin skabelon til databehandleraftaler for Det Europæiske Databeskyttelsesråd og har derefter opdateret skabelonen. Den nye udgave er vedtaget som standardkontraktsbestemmelser efter databeskyttelsesforordningens regler om databehandleraftaler.

Datatilsynet har som det første datatilsyn i EU udnyttet en mulighed i GDPR for at vedtage standardkontraktsbestemmelser vedrørende kravene til databehandleraftaler og aftalerne med underdatabehandlere. Disse standardbestemmelser har en særlig juridisk bindende karakter, som gør, at Datatilsynet ikke vil efterprøve bestemmelserne i forbindelse med et tilsynsbesøg. 

Tidligere i år forelagde Datatilsynet sin skabelon for Det Europæiske Databeskyttelsesråd (EDPB). Datatilsynet har herefter opdateret skabelonen i lyset af rådets udtalelse, hvorefter aftalen på ny blev sendt til EDPB. Efter at proceduren for høringen er afsluttet, har Datatilsynet nu vedtaget sine standardkontraktsbestemmelser, som foreligger i en udgave på dansk og en udgave på engelsk. 

I forhold til de databehandleraftaler, som allerede er indgået, oplyser Datatilsynet i sin nyhedstekst, at tilsynet har besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden datoen for offentliggørelsen af de nye standardbestemmelser, dvs. inden den 10. december 2019.

Bech-Bruuns kommentarer
Datatilsynet er med dette initiativ gået forrest blandt de europæiske tilsyn og er kommet flot i mål. 

I de nye standardbestemmelser er ordlyden på en række punkter bragt tættere på ordlyden af GDPR. 

Nogle af ændringerne sætter desuden særligt fokus på forpligtelser for enten den dataansvarlige eller databehandleren. Vi omtaler i det følgende fire af de væsentligste ændringer:

  • I Datatilsynets oprindelige skabelon havde tilsynet brugt fed tekst til at markere de bestemmelser, som man som minimum burde have med i sin databehandleraftale. En tilsvarende markering findes ikke i den nye skabelon. Det taler for som udgangspunkt at anvende den nye skabelon i dens helhed. 
  • I de nye standardkontraktsbestemmelser er den dataansvarliges ansvar for behandlingssikkerheden tydeligt udtrykt. Dette ses bl.a. i bestemmelse 6.1. Samtidig skal man i instruksen (bilag C) beskrive kravene til foranstaltningerne på en række punkter. I den tidligere skabelon skulle man beskrive eventuelle krav. Alt andet lige ligger der heri en opstramning.
  • I bilag A, hvor der skal angives nærmere oplysninger om behandlingen, er det nu præciseret, at de personoplysninger, der behandles, skal beskrives så specifikt som muligt. Det er ikke nok at skrive personoplysninger eller at angive, hvilken kategori af oplysninger (artikel 6, 9 eller 10) der behandles. 
  • En bestemmelse (12.3. i den oprindelige skabelon) om, at den dataansvarliges tilsyn med eventuelle underdatabehandlere som udgangspunkt sker gennem databehandleren, er udeladt. Samtidig er der i instruksen (bilag C) sket en opdatering og udbygning af beskrivelsen af procedurerne for den dataansvarliges tilsyn. Dette omtales nu som den dataansvarliges revisioner, herunder inspektioner. Det er bl.a. blevet fremhævet, at den dataansvarlige kan anfægte rammerne for og/eller metoden i en revisorerklæring eller inspektionsrapport, og at den dataansvarlige, baseret på resultaterne af revisorerklæring eller inspektionsrapport, er berettiget til at anmode om yderligere foranstaltninger. 

Ud over disse ændringer sker der flere steder justeringer, hvorved parternes forpligtelser kommer til at fremstå klarere og på visse punkter skærpes.

Opdatering af databehandleraftaler
Udmeldingen om, at Datatilsynet fortsat vil acceptere aftaler baseret på tilsynets oprindelige skabelon, som er indgået inden datoen for offentliggørelsen af de nye standardbestemmelser, sender samtidig et signal om, at der for aftaler, som indgås efter den 10. december 2019, skal mere til. 

Vi anbefaler derfor, at virksomheder og organisationer, som hidtil har brugt Datatilsynets standard databehandleraftale, med det samme opdaterer deres eventuelle egne skabeloner til databehandleraftaler, så de indeholder Datatilsynets standardbestemmelser, og at man generelt anvender den nye skabelon på alle aftaler, som indgås fremover. For virksomheder og organisationer, som har anvendt egne databehandleraftaler, anbefaler vi, at disse gennemgås, og opdateringer heraf overvejes. 

I den forbindelse skal man være opmærksom på, at de nye standardbestemmelser på visse punkter giver parterne en række valg, ligesom der er elementer, som parterne skal forudse og uddybe i forhold til aftalen.

Da standardbestemmelser har en særlig juridisk bindende karakter, som gør, at Datatilsynet ikke vil efterprøve bestemmelserne i forbindelse med et tilsynsbesøg, kan det være et stærkt argument for at bruge standardbestemmelserne eller opdatere egne aftaler i overensstemmelse med bestemmelserne i standardaftalerne.

Ikke en løsning på tredjelandsoverførsler
Det er vigtigt ikke at forveksle Datatilsynets standardkontraktsbestemmelser for databehandleraftaler med de standardkontraktsbestemmelser, som Kommissionen har vedtaget, og som kan anvendes som grundlag for overførsel af personoplysninger til tredjelande. Datatilsynet har meget fornuftigt også fremhævet dette i standardbestemmelserne (punkt 8.5). 

Hvis personoplysninger overføres til lande uden for EU, er der således fortsat behov for et overførselsgrundlag, som fx kan være Kommissionens standardkontraktsbestemmelser. Dette vil også kunne blive relevant i forhold til overførsler til Storbritannien efter et Brexit. 

Kontakt os, hvis I ønsker råd og bistand
Bech-Bruun rådgiver om både databehandleraftaler og grundlag for overførsel af personoplysninger til lande uden for EU.

Hvis I har brug for rådgivning om opdatering af jeres databehandler aftaler mv. er I velkommen til at tage fat I os.

Læs Datatilsynets nyhed om standardbestemmelserne
Læs standardbestemmelserne på dansk
Læs standardbestemmelserne på engelsk