GDPR og databehandleraftaler: Din virksomheds forpligtelser

Hvad er en databehandleraftale?

En databehandleraftale (DPA) er en lovpligtig aftale efter GDPR (databeskyttelsesforordningen) mellem en dataansvarlig og en databehandler. Den regulerer, hvordan personoplysninger behandles på vegne af den dataansvarlige.

Hvornår er den lovpligtig?

Du skal have en databehandleraftale, når du som virksomhed (dataansvarlig) overlader behandling af personoplysninger til en ekstern part (databehandler). Typiske eksempler:

• Cloud-tjenester (Google Workspace, Microsoft 365, AWS)
• Lønbureauer der behandler medarbejderdata
• Nyhedsbrevstjenester (Mailchimp, Campaign Monitor)
• CRM-systemer (Salesforce, HubSpot)
• IT-support og hosting med adgang til persondata

Hvad skal den indeholde?

GDPR artikel 28 kræver, at aftalen som minimum indeholder:

1. Formålet med databehandlingen

2. Typer af personoplysninger der behandles

3. Kategorier af registrerede (kunder, medarbejdere, etc.)

4. Varighed af behandlingen

5. Sikkerhedsforanstaltninger (tekniske og organisatoriske)

6. Underdatabehandlere — godkendelse og tilsyn

7. Rettigheder og pligter for begge parter

8. Sletning eller tilbagelevering af data ved ophør

Konsekvenser ved manglende aftale

Manglende databehandleraftale er en overtrædelse af GDPR og kan medføre:

• Bøder op til 10 mio. EUR eller 2% af den globale omsætning
• Påbud fra Datatilsynet
• Erstatningskrav fra registrerede personer
• Omdømmeskade for virksomheden

Praktiske tips

• Gennemgå alle dine leverandører og tjenester — har du dækket dem alle?
• Brug EU's standardkontraktbestemmelser (SCC) ved overførsel til tredjelande
• Opdatér aftaler ved ændringer i behandlingens omfang
• Før et register over databehandlere

Med LegalDock kan du oprette en GDPR-kompatibel databehandleraftale, der opfylder alle lovkrav — nemt og gratis.