Databehandleravtale og sjekkliste

Kilde: Difi

Eksempel på en databehandleravtale som skal sikre at personopplysningene blir behandlet i samsvar med regelverket med klare rammer for hvordan personopplysningene kan behandles.

Publisert: 09. okt 2018, Sist endret: 07. jun 2019

Databehandleravtalen regulerer forholdet mellom en behandlingsansvarlig virksomhet og databehandleren. Avtalen skal sikre at personopplysninger behandles i henhold til ny personopplysningslov i 2018 som tilfredsstiller kravene til The General Data Protection Retulation (GDPR).

Personopplysninger har vidt nedslagsfelt og vil typisk behandles i HR-, lønns-, regnskaps-, ERP-, CRM-, arkiv-, rekrutterings-, e-post- og saksbehandlersystemer.

Begrepene behandlingsvarlig og databehandler er definert av Datatilsynet.

Begreper

  • Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Dette er typisk navn, adresser (herunder IP-adresser), telefonnummer eller informasjon som beskriver en aktuell person.
  • Behandlingsansvarlig: Den som bestemmer formålet og hvilke hjelpemidler som skal benyttes i forbindelse med behandlingen av personopplysninger.
  • Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige.

Når er en databehandleravtale påkrevd?

Hvis en virksomhet er behandlingsansvarlig (kunde), setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter (leverandør), er den eller de som behandler opplysningene på vegne av den behandlingsansvarlige definert som databehandlere. Dette innebærer at kunden og leverandøren plikter å inngå en databehandleravtale i samsvar med personopplysningsloven.

Det er viktig å merke seg at Leverandøren ikke kan behandle personopplysningene på annen måte enn det som er skriftlig avtalt med Kunden. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet for å verne personopplysningene som behandles.

Det er behandlingsansvarliges ansvar at personopplysningene behandles i tråd med personopplysningslovens krav.

Klare og tydelige avtaler beskytter opplysningene til de registrerte, noe som bidrar til større tillit til hvordan deres personopplysninger blir behandlet. Databehandleravtaler er derfor viktige fordi de sørger for at både den behandlingsansvarlige og databehandleren(e) forstår sine forpliktelser og sitt ansvar.

Databehandleravtalen kan ha stor betydning for bl.a. leverandørens arbeidsmetode, oppsett av systemer og lagring.  Vi anbefaler derfor at kravene du har til databehandleravtalen blir en del av behovsvurderingen og markedsundersøkelsen og innarbeides i bilag 1 Kundens kravspesifikasjon ved bruk av Statens standardavtaler.

På hjemmesiden til datatilsynet finner du mer informasjon om vern av personopplysninger. Sjekklisten har tatt Datatilsynets veileder til databehandleravtalen som utgangspunkt.

Har du synspunkter eller kommentarer kan du kontakte Asle Aass,
e-post: Asle.aass@difi.no