Standard kontraktsbestemmelser for databehandleravtale

Skal en databehandler behandle personopplysninger på vegne av en behandlingsansvarlig, må det inngås en databehandleravtale som dekker kravene i GDPR artikkel 28. Mange har brukt mye ressurser på utarbeidelse og inngåelse av databehandleravtaler, til tross for at dette bør være en ganske rett frem oppgave. Nå er det kommet standard kontraktsbestemmelser for databehandleravtaler fra Personvernrådet i EU (EDPB) som kan gjøre jobben noe enklere. Nedenfor kan standardbestemmelsene lastes ned i word-format og i norsk oversettelse. I tillegg har EDPB gjort avtalene tilgjengelig på flere språk her.

Til tross for at datatilsynene oppfordres til å lage standard avtalevilkår for databehandling i GDPR artikkel 28 nr. 8, har ikke det norske Datatilsynet laget slike standardvilkår. Datatilsynet har kun gjort tilgjengelig en veileder for hvordan lage en databehandleravtale, og dette har nok gjort at det har blitt en del usikkerhet knyttet til databehandleravtaler og diskusjoner mellom behandlingsansvarlige og databehandlere om hva avtalene skal inneholde.

Jeg har også skrevet om databehandleravtaler tidligere, og om forholdet mellom behandlingsansvarlig og databehandler (samt en sjekkliste i tilknytning til dette).

Tidlig i 2019 lagde det danske datatilsynet et utkast til standard kontraktsbestemmelser for databehandleravtaler som ble sendt til personvernrådet (EDPB). Rådet gikk gjennom utkastet, og ga i juli 2019 en uttalelse med forslag om en rekke endringer i utkastet. Det danske datatilsynet har nå gjort tilgjengelig en oppdatert versjon av kontraktsbestemmelsene som kan benyttes som ramme for databehandleravtale.

Selv om kontraktsbestemmelsene fra det danske datatilsynet går et stykke lenger enn det som er påkrevet etter GDPR artikkel 28, så gir bestemmelsene en god ramme for databehandleravtale og et godt utgangspunkt for å lage en tilpasset databehandleravtale for den enkelte databehandling.

For å gjøre det enklere å bruke kontraktsbestemmelsene, så finner du en word-versjon av den engelske versjonen av kontraktsbestemmelsene nedenfor (de finnes foreløpig kun på engelsk). I tillegg finner du også en norsk oversettelse av kontraktsbestemmelsene, samt på nynorsk (se mer her). Oversettelsen er lagt så tett opp til oversettelsen av personvernforordningen (GDPR) som mulig.

Merk at kontraktsbestemmelsene bør tilpasses til det enkelte bruk og det kan gjøres tilpasninger til bestemmelsene såfremt disse dekker kravene etter GDPR artikkel 28.

Last ned standard kontraktsbestemmelser – databehandleravtale her:

NB! Datatilsynet har kommet med egen oversettelse av databehandleravtalen som det anbefales å benytte, og som kan lastes ned her. Jeg lar allikevel den norske oversettelsen som har vært tilgjengelig på denne siden i tilfelle det er noen som tidligere har benyttet den og trenger å gå tilbake til versjonen.

Databehandleravtale (standard kontraktsbestemmelser) (412 downloads)

Data Processing Agreement (Standard Contract Clauses) (254 downloads) Databehandleravtale (standard kontraktsbestemmelser) - nynorsk (26 downloads)

Databehandleravtalen kan nå lages gjennom den heldigitale løsningen hos Lexolve. For å lage databehandleravtale, gå til Lexolve Market: https://market.lexolve.com/templates/databehandleravtale-eu-godkjent-og-anbefalt-av-datatilsynet/

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *