Så hvorfor bør du ha en GDPR-databehandleravtale? Nesten alle virksomheter er avhengige av tredjeparter for å behandle data. Og hvis du vil unngå bøter og overholde personvernforordningen, bør du inngå en databehandleravtale.Når du er ferdig med dette blogginnlegget, vet du hva en databehandleravtale er, hvem som gjør hva i en avtale og tips og triks for hvordan du kan utforme din egen avtale.
Her kan du lese om
- Vanlige ting som går galt med databehandleravtaler
- Sjekklistefor databehandling
- Malerfor databehandleravtaler
- Hva vi har lært
GDPR krever databehandleravtaler for å være i samsvar medregelverket
Personvernforordningen innebærer at en behandlingsansvarlig (for eksempel en organisasjon eller et selskap) må inngå en databehandleravtale med enhver part som opptrer som databehandler på deres vegne. Vi vet hva du tenker: "Uff, mer irriterende papirarbeid". Men en databehandleravtale er et viktig skritt på veien mot GDPR-samsvar, OG den hjelper deg med å unngå GDPR-bøter. Så hvis du vil ha et lovlig grunnlag for å behandle data, må du ha en databehandleravtale med hver av databehandlerne dine.
Hva er en databehandleravtale?
Vi skal fortelle deg kortversjonen og den offisielle EU-versjonen.
Kortversjonen
En databehandleravtale er en kontrakt mellom en behandlingsansvarlig og en databehandler som beskriver hvordan oghvorfor data behandles.
Den offisielle versjonen
En databehandleravtale er et juridisk bindende dokument som signeres mellom en behandlingsansvarlig (f.eks. en organisasjon) og en databehandler (f.eks. en tredjeparts tjenesteleverandør).
Men hva gjør den egentlig i lekmannsspråk?
-
Det er en avtale om hvordan og hvilke data som behandles, og at alle instanser som behandler personopplysninger, overholder personvernforordningen.
Du tenker sikkert: "Trenger jeg en databehandleravtale?" Det gjør du sannsynligvis. Hvis du utveksler noen form for personopplysninger med andreparter og er involvert i databehandling, trenger du en databehandleravtale.
La oss starte med det grunnleggende: Hva er egentlig databehandling, hvem er behandlingsansvarlig og hva er databehandler?
Hva er databehandling?
Databehandling er det å behandle data. GDPR definerer det ganske bredt som en handling eller operasjon som utføres på personopplysninger.
Vanligvis er databehandling innsamling og behandling av digitale rådata for å produsere verdifull informasjon, men det kan også være:
-
Lønnsadministrasjon
-
Publisering av bilder av personer på nettstedetditt
-
Utsendelse av e-post medreklame
-
Tilgang til databaser med personopplysninger
Hva er en behandlingsansvarlig?
En behandlingsansvarlig er den organisasjonen eller bedriften sombestemmer formålet med og måten personopplysninger behandles på.
Når kundene våre for eksempel får bevissthetstrening, bruker de fleste av kundene våre LMS-plattformen vår, som leveres av efront. Efront er en tredjepartsleverandør av LMS-plattformen som vi bruker til å tilby våre kunder våre bevissthetskurs. Du kan selvfølgelig også motta kursene våre på din egen LMS-plattform.
I dette tilfellet er vi (CyberPilot) behandlingsansvarlig, og LMS-plattformen er databehandler. Vi samler inn data om dine ansatte og bestemmer bruken av dem. LMS-plattformen behandler deretter opplysningene på våre vegne i henhold til formålet med opplysningene.
Hva er så en databehandler?
En databehandler er en organisasjon eller person som behandler data på vegne av en behandlingsansvarlig.
Hvis du vil vite mer om behandlingsansvarlige og databehandlere, kan du lese om det på bloggen vår, der vi har skrevet en guide om alt du trenger å vite som behandlingsansvarlig og databehandler.
Nå har vi fått med oss det grunnleggende. Vi vet hva en databehandleravtale er, hva den består av, og at GDPR krever en slik avtale for å være i samsvar med regelverket. Men når er det nødvendig?
Når er en databehandleravtale påkrevd?
Du trenger en databehandleravtale (GDPR DPA) hvis du er behandlingsansvarlig og bruker en databehandler som behandler opplysninger på dine vegne.
Hvis du er behandlingsansvarlig, trenger du faktisk en databehandleravtale med hver eneste av dine databehandlere som behandler data på dine vegne.
Hvis du er databehandler og bruker underdatabehandlere, må du også ha en databehandleravtale med hver av underdatabehandlernedine
-
En underdatabehandler er: En tredjeparts databehandler som behandler data på vegne av databehandleren.
Hvis det utveksles noen form for personopplysninger mellom deg (den behandlingsansvarlige) og databehandleren, er det nødvendig med en databehandleravtale.
Personvernforordningen krever at behandlingsansvarlige beskytter personopplysningene de håndterer. Dette innebærer at behandlingsansvarlige er ansvarlige for å sørge for at databehandlerne deres også iverksetter tiltak for å beskytte opplysningene.
Derfor er det en god idé å gå gjennom databehandleravtalen for å se om alt er i orden.
Vanlige ting som går galt med databehandleravtaler
Det er alltid en god idé å gå gjennom databehandleravtalen for å se etter mulige problemer. De vanligste problemene som kan oppstå i forbindelse med en databehandleravtale,er
Databehandleren behandler mer enn det som er bedt om
-
Omfanget av hvordan databehandleren behandler personopplysninger er større enn den behandlingsansvarliges rettslige grunnlag for å behandle personopplysninger. Dermed overholder de ikke GDPR.
Manglende sikkerhetstiltak
-
Det er ditt ansvar å sørge for at databehandleren har tilstrekkelige beskyttelsestiltak på plass og er i samsvar med GDPR. Sørg for at databehandleren kan garantere sikkerheten til personopplysningene og garantere konfidensialitet
Plassering og overføring av dataene dine
-
Du bør sørge for at dataene dine forblir innenfor EU for å unngå internasjonale overføringsbegrensninger. Du bør ta kontakt med SaaS-leverandøren din for å implementere en policy for datalokalisering hvis det er nødvendig.
Godkjenning av underdatabehandlere
-
Husk å sjekke med databehandlerne dine om de bruker underdatabehandlere. Personvernforordningen krever at databehandlere varsler deg (den behandlingsansvarlige) hvis de bruker underdatabehandlere.
Det er viktig at behandlingsansvarlige er selektive når det gjelder valg av databehandlere. Det er den behandlingsansvarliges ansvar å sørge for at databehandlerne overholder de gjeldende standardene.
En god måte å unngå noen av disse vanlige problemene med en databehandleravtale på, er å ha en sjekkliste over hva du må ha med i en databehandleravtale - vi har alt du trenger.
Sjekklistefor databehandling
Herhar vi samlet alle de viktigste tingene du må ha med for å ha en databehandleravtale som er i samsvar med GDPR.
Vi vet at det kan være ganske overveldende å lage en databehandleravtale på egen hånd. Derfor har vi samlet et par maler som kan hjelpe deg medå komme i gang.
Mal fordatabehandleravtale
Ulike land og deres respektive nasjonale datatilsyn har sine egne maler for databehandleravtaler som du kan bruke, og du er selvfølgelig velkommen til å skrive din egen avtale også.
Her er noen eksempler på maler for databehandleravtaler som dukan laste ned gratis:
-
Mal for databehandleravtale i henhold tilEUs personvernforordning
-
Datatilsynets mal for GDPR-databehandleravtale (på engelsk)
Disse må selvfølgelig tilpasses slik at de passer til din egen bedrift. Men disse malene er et godt utgangspunkt.
Hva vi har lært
Vi håper du har lært noe nyttig om databehandleravtaler. En databehandleravtale (GDPR DPA) hjelper deg med å overholde GDPR og sikre at personopplysningene du er ansvarlig for,blir håndtert på riktig måte.
Her er noen av de viktigste lærdommene
-
En databehandleravtale er påkrevd for å overholde GDPR.
-
En databehandleravtale er påkrevd hvis detutveksles personopplysninger mellom partene.
-
Sørg for at databehandleren din behandler riktig mengde data.
-
Deter lurt å ha en sjekkliste for databehandling på plass.
Et annet steg i arbeidet med å overholde personvernforordningen er å gi hele teamet kontinuerlig trening i personvern. På denne måten skaper du en sterk cybersikkerhetskultur i organisasjonen.
