Når skal man skal benytte databehandleravtale?

Det skal etableres en databehandleravtale når: 

Det er en virksomhet som sender ut markedsføring på vegne av deg selv (f.eks. nyhetsbrev), eller at det er en virksomhet som på vegne av deg lagrer personopplysninger på en eller annen måte via skytjenester, som regnskapsføring, fakturaprogram, personalprogram og når du bruker konsulenter (ikke ansatte) som har tilgang til personopplysninger.

Generelt bør en databehandleravtale utarbeides når ANDRE behandler personopplysninger på vegne av virksomheten. 

Behandlingsansvarlig er virksomheten, og er den bestemmende part når det gjelder ansvar, formål, behandling av personopplysninger å hva som skal benyttes for å ivareta personopplysninger og kravene rundt dette. En som behandler personopplysninger på vegne av en behandlingsansvarlig kalles en databehandler.

Databehandler er ansvarlig for å ivareta tilfredsstillende sikkerhet når det gjelder behandling av personopplysninger.

Du som er behandlingsansvarlig har undersøkelsesplikt (mot databehandler) når det gjelder kompetansen til å behandle personopplysninger i tråd med pliktene som følger av personvernlovgivningen. En databehandler skal dokumentere garantier som feks at kravene i personopplysningloven blir ivaretatt og er tilstrekkelig sikret. 

Enkelt sagt: Det er opp til den behandlingsansvarlige å vurdere om databehandleren gir tilfredsstillende garantier og rutiner som skal behandles på vegne av deg som behandlingsansvarlig. 

Man skal også være klar over at en databehandler kan benytte underleverandører til å behandle opplysninger.
I slike tilfeller må det også foreligge en databehandleravtale mellom databehandleren og underleverandøren

Det er flere krav til hvordan en databehandleravtale skal inneholde. Blant annet gjelder dette behandlingsansvarlige sine rettigheter og plikter, samt databehandler sine forpliktelser. En databehandleravtale kan også inneholde flere vilkår enn det som er lovkravet.
Kort sagt: Avtalen må altså tilpasses etter hvordan personopplysninger behandles.

Dersom det ikke foreligger en databehandleravtale, så uttaler Datatilsynet at det er å anse som et alvorlig brudd på loven.

Vi bistår med utarbeidelse av databehandleravtale. Kontakt oss HER