Databehandleravtale

Det skal etableres en databehandleravtale når: 

Det er en virksomhet som sender ut markedsføring på vegne av deg selv (f.eks. nyhetsbrev), eller at det er en virksomhet som på vegne av deg lagrer personopplysninger på en eller annen måte via skytjenester, som regnskapsføring, fakturaprogram, personalprogram og når du bruker konsulenter
(ikke ansatte) som har tilgang til personopplysninger.

Behandlingsansvarlig er virksomheten, og er den bestemmende part når det gjelder ansvar, formål, behandling av personopplysninger å hva som skal benyttes for å ivareta personopplysninger og kravene rundt dette. En som behandler personopplysninger på vegne av en behandlingsansvarlig kalles en databehandler.

Databehandler er ansvarlig for å ivareta tilfredsstillende sikkerhet når det gjelder behandling av personopplysninger.

Du som er behandlingsansvarlig har undersøkelsesplikt (mot databehandler) når det gjelder kompetansen til å behandle personopplysninger i tråd med pliktene som følger av personvernlovgivningen. En databehandler skal dokumentere garantier som f.eks at kravene i personopplysningloven blir ivaretatt og er tilstrekkelig sikret. 

Det er altså opp til den behandlingsansvarlige å vurdere om databehandleren gir tilfredsstillende garantier og rutiner som skal behandles på vegne av deg som behandlingsansvarlig. 

Man skal også være klar over at en databehandler kan benytte underleverandører til å behandle opplysninger.
I slike tilfeller må det også foreligge en databehandleravtale mellom databehandleren og underleverandøren

Det er flere krav til hvordan en databehandleravtale skal inneholde. Blant annet gjelder dette behandlingsansvarlige sine rettigheter og plikter, samt databehandler sine forpliktelser. En databehandleravtale kan også inneholde flere vilkår enn det som er lovkravet.
Kort sagt: Avtalen må altså tilpasses etter hvordan personopplysninger behandles.

Dersom det ikke foreligger en databehandleravtale, så uttaler Datatilsynet at det er å anse som et alvorlig brudd på loven, og det er behandlingsansvarlig (virksomheten) og databehandleren (den som behandler opplysninger på vegne av deg) som får sanksjoner og bøter dersom loven ikke overholdes. 

Utøver du regnskapstjenester, er en programvaretilbyder eller på annen måte behandler personopplysninger på vegne av andre, så sørg for å sikre egen virksomhet ved å benytte databehandleravtale. Vi bistår med utarbeidelse av denne, og sikrer det nødvendige du trenger for å følge lovverket rundt GDPR.

VED Å SENDE EN HENVENDELSE VIA KONTAKTSKJEMAET SÅ BEKREFTER DU AT DU HAR LEST VÅR PERSONVERNERKLÆRING. PERSONVERNERKLÆRINGEN FINNER DU NEDERST PÅ DENNE SIDEN.

Personvernerklæring