Den nye persondataforordning har skabt grobund for intens hovedpine og nedbidte negle, men i dag forsøger vi at skabe lidt klarhed. Som resultat af uvidenhed og travlhed har flere virksomheder brugt unødvendig tid på at indgå databehandleraftaler i konstellationer, hvor det slet ikke har været nødvendigt.
En forvirrende jungle af lovmæssigheder
Næsten alle danske virksomheder har haft travlt med at kortlægge, sikre og behandle deres data i forsøget på at afdække, om de er dataansvarlige eller databehandlere, når de bearbejder personlige oplysninger om medarbejdere, kunder eller lign. Datajunglen virker ufremkommelig, men spørgsmålet er, om din virksomhed overhovedet er underlagt krav om udarbejdelse af en databehandleraftale. Advokat og persondataspecialist Lars Emde Poulsen fra ADVODAN, siger i denne forbindelse følgende:
“I forlængelse af denne datakortlægning er det vigtigt, at virksomhederne lærer at skelne mellem situationer, hvor en databehandleraftale mellem en virksomhed og en en underleverandør er nødvendig – og ikke mindst hvornår den er unødvendig, “ konstaterer Lars Emde Poulsen.
I denne situation er en databehandleraftale nødvendig
Det er nødvendigt at udarbejde en databehandleraftale, når en dataansvarlig virksomhed videresender data til en underleverandør, som skal behandle dataen efter instruks fra den dataansvarlige og udelukkende til at opfylde den dataansvarliges formål. Dette kan eksempelvis være underleverandører såsom hosting virksomheder eller lønbureauer.
En rigtig god tommelfingerregel vil være, at når man som virksomhed i princippet kan udføre en opgave selv, men på trods heraf vælger at lade en underleverandør varetage behandlingen af data, så kan der være behov for udarbejdelse af en databehandleraftale.
Læs også: Her er iværksætterens største udfordring
I denne situation er en databehandleraftale ikke nødvendig
Det er ikke nødvendigt at udarbejde en databehandleraftale, hvis du eksempelvis ejer en håndværksvirksomhed og laver en aftale med en kunde om levering af en håndværksydelse. I dette tilfælde er databehandleraftalen ikke nødvendig grundet det faktum, at behandlingen af personoplysninger i denne sammenhæng ikke er hovedydelsen.
Den erhvervsdrivende har i dette tilfælde dog stadig pligt til at oplyse kunden om, hvordan vedkommendes personoplysninger bliver behandlet i virksomheden, ligesom virksomheden skal sikre sig, at den har et lovligt grundlag for at videregive oplysningerne.
En databehandleraftale er heller ikke nødvendig, hvis en virksomhed eksempelvis ønsker at tilbyde sine medarbejdere en sundhedsforsikring og af denne grund videregiver personoplysninger til det forsikringsselskab, som ønsker at sælge en sundhedsforsikring.
En databehandleraftale er heller ikke en nødvendighed, hvis en virksomhed eksempelvis ønsker at tilbyde sine medarbejdere en sundhedsforsikring og af denne grund videregiver personoplysninger til det forsikringsselskab, som ønsker at sælge en sundhedsforsikring.
Databehandleraftalen mellem virksomheden og forsikringsselskabet er unødvendig, fordi behandlingen af personoplysninger ikke er den ydelse, som forsikringsselskabet sælger – og det er i øvrigt heller ikke en ydelse, som virksomheden selv vil kunne udføre.
Læs også: Guide: Gør din virksomhed GDPR-klar
Indgå en fortrolighedsaftale
I stedet for at bruge uanede mængder af tid på at udarbejde databehandleraftaler, som ikke er nødvendige, kan mange virksomheder i stedet bede deres underleverandører, som har adgang til data, men ikke direkte behandler data, om at underskrive en såkaldt fortrolighedsaftale eller tavshedserklæring.
I en fortroligheds/tavshedserklæring skal underleverandørerne skrive under på, at den data de har adgang til, ikke bliver udnyttet, misbrugt eller videregivet til tredjepart, og at koder og andre personhenførbare oplysninger opbevares sikkert. Dette kunne eksempelvis være et rengøringsfirma eller et webbureau, der hjælper med udvikling af hjemmeside og intranet.
Har du brug for yderligere hjælp?
Hvis du stadig er i tvivl om, hvorvidt din virksomhed er databehandler, dataansvarlig eller om der overhovedet er behov for en databehandleraftale, så kan du med fordel læse Datatilsynets vejledning.
Du kan også søge professionel vejledning hos en af ADVODAN’s persondataspecialister.
