Standard kontraktsbestemmelser for databehandleravtale

Skal en databehandler behandle personopplysninger på vegne av en behandlingsansvarlig, må det inngås en databehandleravtale som dekker kravene i GDPR artikkel 28. Mange har brukt mye ressurser på utarbeidelse og inngåelse av databehandleravtaler, til tross for at dette bør være en ganske rett frem oppgave. Nå er det kommet standard kontraktsbestemmelser for databehandleravtaler fra Personvernrådet i EU (EDPB) som kan gjøre jobben noe enklere. Nedenfor kan standardbestemmelsene lastes ned i word-format og i norsk oversettelse.

Til tross for at datatilsynene oppfordres til å lage standard avtalevilkår for databehandling i GDPR artikkel 28 nr. 8, har ikke det norske Datatilsynet laget slike standardvilkår. Datatilsynet har kun gjort tilgjengelig en veileder for hvordan lage en databehandleravtale, og dette har nok gjort at det har blitt en del usikkerhet knyttet til databehandleravtaler og diskusjoner mellom behandlingsansvarlige og databehandlere om hva avtalene skal inneholde.

Jeg har også skrevet om databehandleravtaler tidligere, og om forholdet mellom behandlingsansvarlig og databehandler (samt en sjekkliste i tilknytning til dette).

Tidlig i 2019 lagde det danske datatilsynet et utkast til standard kontraktsbestemmelser for databehandleravtaler som ble sendt til personvernrådet (EDPB). Rådet gikk gjennom utkastet, og ga i juli 2019 en uttalelse med forslag om en rekke endringer i utkastet. Det danske datatilsynet har nå gjort tilgjengelig en oppdatert versjon av kontraktsbestemmelsene som kan benyttes som ramme for databehandleravtale.

Selv om kontraktsbestemmelsene fra det danske datatilsynet går et stykke lenger enn det som er påkrevet etter GDPR artikkel 28, så gir bestemmelsene en god ramme for databehandleravtale og et godt utgangspunkt for å lage en tilpasset databehandleravtale for den enkelte databehandling.

For å gjøre det enklere å bruke kontraktsbestemmelsene, så finner du en word-versjon av den engelske versjonen av kontraktsbestemmelsene nedenfor (de finnes foreløpig kun på engelsk). I tillegg finner du også en norsk oversettelse av kontraktsbestemmelsene. Oversettelsen er lagt så tett opp til oversettelsen av personvernforordningen (GDPR) som mulig.

Merk at kontraktsbestemmelsene bør tilpasses til det enkelte bruk og det kan gjøres tilpasninger til bestemmelsene såfremt disse dekker kravene etter GDPR artikkel 28.

Last ned standard kontraktsbestemmelser – databehandleravtale her:

Databehandleravtale (standard kontraktsbestemmelser) (254 downloads)

Data Processing Agreement (Standard Contract Clauses) (122 downloads)

Legg inn en kommentar