Datatilsynet har 10. december 2019 offentliggjort en revideret version af sin skabelon for databehandleraftaler. Den nye skabelon har fået status af såkaldte standardkontraktbestemmelser. Den må forventes at få stor udbredelse og derved gøre det lettere for blandt andet kommunerne at indgå databehandleraftaler med deres databehandlere.

Den 16. februar 2018 offentliggjorde Datatilsynet en skabelon for data­behandleraftaler. Denne skabelon er efterfølgende blevet anvendt af mange dataansvarlige og databehandlere – både i den offentlige og den private sektor – som grundlag for udarbejdelse af databehandleraftaler.

Databeskyttelsesforordningen (GDPR) indeholder i artikel 28, stk. 8, en mulighed for, at en tilsynsmyndighed (såsom Datatilsynet) kan vedtage såkaldte standardkontraktbestemmelser for databehandleraftaler. Det forudsætter dog, at Datatilsynet ved at iagttage den såkaldte sammenhængsmekanisme i GDPR inddrager de øvrige tilsyns­myndigheder i EU, herunder for at sikre en ensartet anvendelse af reglerne inden for hele EU.

Med henblik herpå anmodede Datatilsynet i april 2019 Det Europæiske Databeskyttelsesråd – som består af repræsentanter for de nationale data­beskyttelsesmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) – om en udtalelse om Datatilsynets tidligere offentliggjorte skabelon.

Den 9. juli 2019 vedtog Det Europæiske Databeskyttelsesråd en udtalelse om skabelonen, som indeholdt en temmelig stor mængde betragtninger og bemærkninger. På baggrund heraf foretog Datatilsynet efterfølgende ret omfattende revisioner af skabelonen. En revideret skabelon blev herefter offentliggjort af Datatilsynet 10. december 2019 på tilsynets hjemmeside sammen med en angivelse af, at Datatilsynet havde vedtaget denne reviderede skabelon som standard­kontrakt­bestemmelser.

Hvad betyder det, at der er tale om standardkontrakt­bestemmelser?

En databehandleraftale skal leve op til kravene i artikel 28, stk. 3. Normalt vil det derfor kunne indgå i et eventuelt tilsyn fra Datatilsynet med en organisations overholdelse af GDPR at kontrollere, hvorvidt vilkårene i de data­behandleraftaler, organisationen måtte have indgået, er i overensstemmelse med artikel 28, stk. 3. Datatilsynet har imidlertid tilkendegivet på sin hjemme­side, at hvis en organisation vælger at benytte sig af netop de nu vedtagne standardkontraktbestemmelser, er der den fordel, at Datatilsynet ikke ved et eventuelt tilsyn vil efterprøve disse bestemmelser nærmere. Dette må naturligvis forudsætte, at parterne ikke har indarbejdet nogen ændringer i teksten fra standardkontrakt­bestemmelserne, men blot har udfyldt de felter i den, som skal udfyldes konkret.

Kan man stadig benytte andre skabeloner for databehandleraftaler?

Det er ikke et krav for at leve op til GDPR, at man anvender Datatilsynets nye standardkontraktbestemmelser. De databehandleraftaler, en organisation indgår, skal imidlertid altid leve op til kravene i artikel 28 i GDPR. I den forbindelse må det nok antages, at reguleringen i Datatilsynets nye standard­kontraktbestemmelser i vidt omfang afspejler deres nuværende fortolkning af, hvad der er påkrævet for at leve op til kravene i artikel 28 i GDPR vedrørende indholdet af en data­behandleraftale.

Hvis man anvender andre skabeloner end Datatilsynets standard­kontrakt­bestemmelser – fx den skabelon, som KL og KOMBIT har udviklet for data­behandleraftaler mellem kommuner og it-leverandører, og som senest er opdateret til en version 2.1 af 24. januar 2019, eller Datatilsynets oprindelige skabelon fra februar 2018 – er det muligt, at Datatilsynet ved et eventuelt tilsyn vil foretage en efterprøvelse af, om vilkårene i databehandleraftalerne lever op til disse krav.

Dog har Datatilsynet på sin hjemmeside ved offentliggørelsen af standard­kontrakt­bestemmelser 10. december 2019 anført, at tilsynet har besluttet “i vidt omfang og som udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato”; altså inden 10. december 2019.

Hvordan anvendes de nye standardkontrakt­bestemmelser?

Datatilsynets oprindelige skabelon fra februar 2018 indeholdt dels nogle obligatoriske bestemmelser – det vil sige bestemmelser, som en data­behandler­aftale som minimum skulle indeholde for at efterleve kravene i GDPR – fremhævet med fed tekst i skabelonen, dels en række forslag til yderligere regulering, som aftale­parterne dog kunne vælge at udelade.

En tilsvarende opdeling findes ikke i de nye standardkontraktbestemmelser. De indeholder fortsat, både i selve kontrakt­bestemmelserne og de tilhørende bilag, en række felter – markeret med gult – som aftaleparterne selv skal udfylde.

Datatilsynets tilsyn med kommuner

Datatilsynet har tidligere demonstreret et fokus på, om kommunerne lever op til kravene i GDPR vedrørende data­behandleraftaler og kontrol med databehandlere. Den 5. august 2019 offentliggjorde Datatilsynet således resultaterne af to planlagte tilsyn med Randers Kommune og Viborg Kommune. Hvert af disse tilsyn endte med, at Datatilsynet udtalte alvorlig kritik af den pågældende kommune.

Kritikken drejede sig bl.a. om, at kommunerne for så vidt angår en række af de databehandlere, de benyttede, ikke havde indgået databehandler­aftaler, der levede op til kravene i artikel 28, stk. 3, i GDPR.

Datatilsynets nævnte afgørelser illustrerer, at en kommune bør være særligt opmærksom på:

  • om der med hver af kommunens databehandlere er indgået en data­behandleraftale, der lever op til kravene i GDPR
  • om den dokumenterede instruks i henhold til databehandleraftalen er tilstrækkelig tydelig, herunder for så vidt angår eventuel brug af under­databehandlere
  • overholdelse af kravet om, at kommunen skal føre tilsyn med sine databehandlere og eventuelle underdatabehandlere.

Forfattere

Mads Nygaard Madsen

Partner

Christoffer Alsted Skafte

Advokatfuldmægtig