Magma topp logo Til forsiden Econa

Databehandleravtale – praktiske råd

figur-authorfigur-author

Sammendrag

EUs nye personvernforordning, General Data Protection Regulation (GDPR) og ny norsk personopplysningslov, innfører et krav om at alle behandlingsansvarlige skal inngå databehandleravtaler som oppfyller kravene i GDPR, med sine databehandlere.

Denne artikkelen viser hva som er minimumskravene til innholdet i en databehandleravtale, deriblant behandlingsansvarliges instrukser til databehandler, behandlingens hensikt og varighet, sikkerhetstiltak, databehandlers bistand til behandlingsansvarlige og betingelser rundt eventuelle underleverandører. Artikkelen forklarer også forskjellen på behandlingsansvarlig og databehandler og trekker fram hvilke krav GDPR stiller ved valg av databehandler.

Videre pekes det på andre forhold som en slik avtale med fordel kan regulere. Avhengig av om en virksomhet er behandlingsansvarlig eller databehandler, vil man ha ulike behov og ønsker for vekting og balanse i avtalen, og artikkelen beskriver noen av de faktorene som kan spille inn her.

Et annet nyttig trekk ved artikkelen er at den avslutningsvis kommer med en anbefaling av hvilke konkrete tiltak virksomheter som behandler personopplysninger, nå bør gjøre for å få på plass gode og funksjonelle databehandleravtaler.

Innledning

EUs nye personvernforordning, General Data Protection Regulation (GDPR), trer i kraft i EU 25. mai 2018. Gjennom EØS-avtalen er det forutsatt at Norge skal vedta en ny personopplysningslov som implementerer GDPR innen dette tidspunkt. Lovforslaget til denne loven er lagt fram for Stortinget i stortingsproposisjon 56 LS (2017–2018), og forslaget har tatt inn GDPR som den vesentlige delen av lovteksten.

Dersom en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ behandler personopplysninger, og denne behandlingen omfattes av personopplysningsloven sitt saklige virkeområde, vil denne inneha rollen som enten behandlingsansvarlig eller databehandler. Når ny personopplysningslov i Norge trer i kraft, vil det bli innført et krav om at alle behandlingsansvarlige skal inngå databehandleravtaler med sine databehandlere som oppfyller krav i GDPR til databehandler­avtaler.

Alle databehandleravtaler fra før GDPR og ny personopplysningslov trer i kraft, må da som et minimum oppfylle GDPR sine krav til innhold i databehandleravtalen. Videre må behandlingsansvarlige som ikke har inngått databehandleravtale med sine databehandlere, inngå slike avtaler før den nye loven trer i kraft. Databehandleravtalen kan være en selvstendig kontrakt eller en del av en hovedavtale.

De obligatoriske minimumskravene til hva en databehandleravtale skal inneholde, fremgår av GDPR artikkel 28. Når en behandlingsansvarlig bruker en databehandler, inngår man et samarbeid, og i likhet med andre avtaleinngåelser er det da viktig at avtalen forebygger fremtidige konflikter og gir partene forutberegnelighet i deres ansvar og plikter. Partene bør derfor ved utarbeidelsen av kontraktene sikre at databehandleravtalene ikke blir for generelle. Ved utarbeidelse av databehandleravtalen bør virksomheter derfor vurdere om det er behov for å spesifisere ytterligere de minimumsvilkårene som GDPR oppstiller, samt om det også bør inkluderes andre vilkår.

Kort oppsummert kan man si at konstruksjonen av en databehandleravtale bør oppfylle tre vesentlige kriterier:

  • Databehandleravtalen må oppfylle det minimumsinnhold som fremgår av krav i GDPR. Om nødvendig bør den spesifisere vilkårene ytterligere.
  • Avhengig av reguleringene i en eventuell hovedavtale bør det vurderes om avtalen skal inneholde ytterligere vilkår enn bare de minimumsvilkår som fremgår av GDPR.
  • Behandlingsansvarlig må gi alle nødvendige instrukser for at databehandler skal kunne behandle personopplysninger i fullt samsvar med den behandlingsansvarliges formål og ønsker.

Behandlingsansvarlig eller databehandler?

Behandlingsansvarlig er definert som den «som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes».

Det betyr at den som bestemmer hva personopplysningene skal brukes til, og derfor også hvorfor opplysningene samles inn, er behandlingsansvarlig. I praksis vil det være den øverste ledelsen som er behandlingsansvarlig.

Databehandler er definert som den «som behandler personopplysninger på vegne av den behandlingsansvarlige». En databehandler har ingen egen bestemmelsesrett over hvordan personopplysningene skal behandles, men opptrer bare på instruks fra behandlingsansvarlig.

I utgangspunktet er det behandlingsansvarlig som har ansvaret for at behandling av personopplysninger oppfyller kravene til behandling av personopplysninger i GDPR og personopplysningsloven. GDPR gir imidlertid databehandleren noen selvstendige, nye forpliktelser som ikke tilfalt denne rollen i henhold til tidligere lovgivning. Disse forpliktelsene vil eksistere parallelt med de forpliktelsene som fremgår av databehandler­avtalen.

I noen tilfeller vil rollefordelingen mellom partene være lett å avklare. Dette vil typisk være tilfellet i en klassisk databehandlerkonstruksjon hvor for eksempel en IT-leverandør utelukkende behandler personopplysninger etter instruks fra en annen virksomhet. En databehandler vil også eksempelvis kunne være en leverandør av lønns- og personalsystemer hvor dataserveren er plassert hos leverandøren, som drifter løsningen for andre virksomheter.

I andre tilfeller kan det være vanskelig å avgjøre hvilken rolle man innehar. Alle virksomheter, organer, organisasjoner osv. som behandler personopplysninger, må foreta en konkret vurdering i hvert enkelt tilfelle der de behandler personopplysninger, og ta stilling til hvilken rolle de har. Det er flere momenter som vil være relevante i en slik vurdering. Ett vesentlig moment en må vurdere, er hvilken ytelser som skal leveres. Forutsetningen for at en kan være en databehandler, er nemlig at databehandleren kun opererer etter instruks fra behandlingsansvarlig. Dersom en avtale innebærer at en virksomhet skal levere en ytelse, og denne leverandøren ikke utelukkende kan operere etter instruks fra kjøperen ved oppfyllelse av avtalen, vil ikke leverandøren være en databehandler. Dersom denne leverandøren selv må kunne bestemme hvordan man vil behandle noen av eller alle personopplysninger, vil leverandøren faktisk være en behandlingsansvarlig for denne aktuelle behandlingen.

For eksempel behøver normalt ikke kunder, herunder bedriftskunder, å inngå databehandleravtaler med sin bank eller sitt forsikringsselskap. Banker og forsikringsselskaper er selv behandlingsansvarlige for opplysninger de behandler om bedriftskunders ansatte, eiere og tillitsvalgte i forbindelse med kundeforholdet. Bakgrunnen for dette er at bankene og forsikringselskapene vil bestemme formålene med og hjelpemidlene til behandlingen av disse personopplysningene. I tillegg er denne typen virksomheter underlagt flere direkte lovpålagte forpliktelser ved behandlingen. Den virksomheten som overleverer personopplysningene, vil derfor normalt ikke ha instruksjonsrett overfor banken eller forsikringsselskapet ved behandling av personopplysningene. Det er banken og forsikringselskapet som normalt bestemmer hvilke opplysninger som skal samles inn, hva de skal brukes til, hvordan opplysningene skal behandles, og når opplysningene skal slettes.

Hvis to selvstendige behandlingsansvarlige utleverer personopplysninger seg imellom, må hver av partene sikre at de har et lovlig behandlingsgrunnlag for sin behandling, det være seg for eksempel utlevering eller mottak med påfølgende behandling.

Valg av databehandler

Det framgår av GDPR at den behandlingsansvarlige skal «bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter».

Kravet er strengt og krever blant annet at behandlingsansvarlige utfører en vurdering av hver databehandlers evne til å sikre beskyttelse av personopplysningene – deriblant innebygd personvern – men også i hvilken grad de registrertes rettigheter etter GDPR kan oppfylles.

Dette kravet medfører at behandlingsansvarlige både 1) før valg av databehandler, 2) ved utarbeidelse av databehandleravtalen og 3) under leveransen må stille relevante krav til databehandlerens kunnskap, ressurser og behandling av de aktuelle personopplysningene. Databehandlerens overholdelse av godkjente atferdsnormer (GDPR art. 40) eller bruk av en godkjent sertifiseringsmekanisme (GDPR art. 42) kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes.

Kravet til valg av databehandler er et utslag av grunnprinsippet i GDPR om at behandlingsansvarlige skal ansvarliggjøres. Behandlingsansvarlig har ikke bare ansvar for personopplysningene som blir behandlet, men også for partene som behandler personopplysninger på vegne av denne.

Krav til databehandleravtalen

Den behandlingsansvarlige har ansvar for at det inngås en databehandleravtale. Databehandleren bør imidlertid også ha interesse i at avtalen blir formalisert.

Databehandleravtalen skal være skriftlig, men kan foreligge i elektronisk form.

Databehandleravtalen skal fastsette hensikten med og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter.

Som et minimum skal databehandleren i henhold til GDPR uttrykkelig pålegges følgende forpliktelser i databehandleravtalen:

  • Databehandleren skal bare behandle personopplysningene på «dokumenterte instrukser fra den behandlingsansvarlige». Instruksene må således kunne dokumenteres i ettertid.
  • Det skal videre presiseres at databehandleren ikke kan overføre personopplysninger til land utenfor EU/EØS uten etter instruksjon fra den behandlingsansvarlige.
  • Før behandlingen skal databehandleren underrette den behandlingsansvarlige dersom man mener at en instruks fra den behandlingsansvarlige er i strid med unionsretten, herunder GDPR eller nasjonale regler, slik som for eksempel personopplysningsloven. Tilsvarende skal databehandleren før behandlingen underrette behandlingsansvarlig dersom databehandleren i tillegg til behandlingsansvarliges instrukser er forpliktet til å behandle de aktuelle personopplysningene på en bestemt måte i henhold til unionsretten eller i nasjonale regler.
  • Databehandleren må sikre at «personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt».
  • Databehandleren skal i henhold til artikkel 32 gjennomføre «egnede tekniske og organisatoriske sikkerhetstiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» ved behandlingen.
  • Databehandleren skal ikke engasjere «en annen databehandler (heretter benevnt ‘Underleverandør’) uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige». Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer.
  • Dersom en databehandler engasjerer en underleverandør som skal utføre behandlingsaktivitet/er på vegne av «behandlingsansvarlig, skal nevnte andre databehandler pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i avtalen eller i et annet rettslig dokument (dvs. databehandleravtalen) mellom den behandlingsansvarlige og databehandleren». Dersom underleverandøren ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal den opprinnelige databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at underleverandøren oppfyller sine forpliktelser overfor den behandlingsansvarlige
  • Databehandleren skal etter den «behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og slette eksisterende kopier», med mindre det foreligger en lovmessig forpliktelse å fortsatt lagre opplysningene.
  • Databehandler skal for den behandlingsansvarlige gjøre «tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene [i GDPR artikkel 28, herunder minimumsvilkårene i databehandleravtalen] er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner», som gjennomføres av den behandlingsansvarlige eller en annen som opptrer på den behandlingsansvarliges vegne.

I mange tilfeller vil den behandlingsansvarlige være avhengig av bistand fra databehandleren for å oppfylle den behandlingsansvarliges plikter. Det skal derfor som minimum reguleres i databehandleravtalen at databehandleren skal bistå den behandlingsansvarlige med å:

  • idet det tas hensyn til behandlingens art og i den grad det er mulig, «bistå, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige i å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III»,
  • bistå den behandlingsansvarlige i å «sikre overholdelse av forpliktelsene i henhold til artikkel 32–36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren». Dette inkluderer blant annet melding til tilsynsmyndighetene (Datatilsynet) og til de registrerte ved brudd på personopplysningssikkerheten og i de tilfeller GDPR stiller krav om slik melding (art. 33 og 34). Videre inkluderer det vurdering av personvernkonsekvenser (art. 35, benevnt som DPIA) og forhåndsdrøftinger med Datatilsynet (art. 36).

De ovennevnte bestemmelsene er kun minimumsvilkår. Mange av de ovennevnte bestemmelsene er vide og skjønnsmessige. Det vil være en fordel om partene i databehandleravtalen spesifiserer disse tydeligere i de tilfeller der dette lar seg gjøre. Partene kan for eksempel:

  • avtale nærmere hvilke sikkerhetsnivå og sikkerhetstiltak man krever gjennomført
  • avtale nærmere rundt håndtering av henvendelser fra de registrerte
  • avtale forhold rundt underleverandører, deriblant:

– konsekvenser for avtaleforholdet dersom partene ikke kommer til enighet om bruk av en bestemt underleverandør

– hyppighet

– varslingsprosess

– valg av revisor og muligheter for partenes protest mot valg

– tiltak ved avvik

Andre forhold

Det er ikke påkrevd i GDPR at databehandleravtalen regulerer ytterligere forhold. For partene vil det likevel være en fordel at avtalen inkluderer enkelte andre forhold. Hvilke forhold en bør regulere, må sees opp mot hovedavtalens reguleringer.

ansvarsbegrensninger

GDPR innfører et strengt bøtenivå. Både databehandler og behandlingsansvarlig kan bli pålagt administrative bøter fra Datatilsynet under gitte vilkår.

Det innføres også et solidarisk ansvar mellom databehandler og behandlingsansvarlig for eventuelle erstatningssøksmål fra de registrerte. Den behandlingsansvarlige er ansvarlig for skade som er oppstått som følge av brudd på forordningen, mens databehandler bare er ansvarlig for brudd på reglene som direkte henvender seg til databehandlere eller dersom de har opptrådt i strid med en lovlig instruks. En behandlingsansvarlig eller databehandler skal fritas for ansvar dersom det godtgjøres at vedkommende på ingen måte er ansvarlig for hendelsen som førte til skaden, men det er da viktig å være oppmerksom på at dette innebærer strenge beviskrav for den aktuelle part som krever fritak. Dersom både behandlingsansvarlig og databehandler er ansvarlig for skaden, kan den registrerte velge om den vil holde databehandler eller behandlingsansvarlig ansvarlig for hele tapet. Artikkel 82 gir regler om regressrett både når det foreligger delt behandlingsansvar (flere behandlingsansvarlige), og når behandlingsansvarlig og databehandler er erstatningsansvarlige for samme skade.

Det er viktig at en ikke tar for lett på dette solidaransvaret. Dette ansvaret er én av flere grunner til at partene bør definere sine forpliktelser og tjenester tilstrekkelig i avtalene. Av denne grunn er det mange som ønsker å regulere inn ansvarsbegrensninger i databehandleravtaler. Det fremgår ikke direkte av GDPR eller ny personopplysningslov at det er anledning til å regulere ansvarsbegrensninger med virkning overfor avtalepartene.

Antagelig kan en imidlertid i avtalene spesifisere eventuelle ansvarsbegrensninger inter parters – det vil si mellom databehandler og behandlingsansvarlig. En slik regulering om etterfølgende ansvarsfordeling kan imidlertid ikke begrense muligheten for full erstatning til den registrerte. Den registrertes rett til erstatning er det primære, og den registrerte skal etter GDPR kunne rette sitt krav mot den eller de erstatningsansvarlige som den registrerte ønsker å rette kravet imot. Ved regulering av slike vilkår bør en derfor søke faglig, juridisk rådgivning. Behandlingsansvarlig og databehandler må også vurdere hvordan databehandlerbetingelsene passer inn innenfor rammene for deres risikotildelinger og garantier i hovedavtalen. Partene bør dessuten sikre at de har opprettet relevante forsikringer.

Andre forhold en kan ønske å regulere, kan være direkte plikter som databehandleren har etter GDPR, og som ikke fremgår av minimumsvilkårene samt andre forhold:

Slike forhold kan blant annet være:

  • databehandlers eventuelle plikt til å overholde godkjente atferdsnormer etter artikkel 40 eller overholde en godkjent sertifiseringsmekanismer som nevnt i artikkel 42
  • databehandlers plikt til å føre protokoll i henhold til kravene i GDPR art. 30
  • krav til innebygd personvern
  • konsekvenser ved eventuelle brudd på databehandleravtalen
  • varighet
  • senere endringer i personvernregelverket

I databehandleravtalen bør det for ordens skyld tydeliggjøres at ingenting i avtalen fritar partene fra deres øvrige direkte forpliktelser i GDPR eller annet gjeldende lovverk.

Utover minimumsvilkårene som følger av GDPR, er ovennevnte punkter ikke uttømmende, og det må vurderes i hvert enkelt tilfelle i hvilken grad minimumsforpliktelsene bør spesifiseres, og om det bør reguleres inn øvrige forhold. GDPR fastsetter at EU-kommisjonen eller Datatilsynet kan fastsette standardavtaler for minimumsvilkårene. Dersom slike standardmaler blir utarbeidet, og disse blir benyttet i betydelig grad, vil inngåelse av databehandleravtaler fort kunne resultere i en form for avkrysningsøvelse. Selv om slike maler blir utarbeidet, må imidlertid partene fortsatt forsikre seg om at tilstrekkelige tiltak og sikkerhet er på plass før signering av kontrakten, spesielt i lys av at det kan få store konsekvenser dersom dette ikke er tilfellet. Partene bør derfor fokusere på realitetene i den enkelte behandling og deres forpliktelser, og ikke anse kontrakten som «noe som bare må gjøres». Utarbeidelse av en databehandleravtale krever derfor forståelse av personvernregelverket.

Konsekvensene av at det ikke er inngått en databehandleravtale, må vurderes konkret i hvert enkelt tilfelle. Å ikke inngå en databehandleravtale eller det forhold at avtalen ikke er i henhold til kravene i personvernregelverket, vil være et brudd på regelverket i seg selv. I tillegg kan partene risikere etterfølgende brudd. Det vil for eksempel kunne være ulovlig dersom behandlingsansvarlig i et slikt tilfelle utleverer personopplysninger til databehandleren. Manglende reguleringer vil også fort medføre brudd på personopplysningssikkerheten og vanskeligheter med å oppfylle de registrertes rettigheter. Databehandleravtalen bidrar dessuten til å definere rollene, og databehandleren vil få instrukser for sin behandling. Uten slike instrukser vil databehandlere kunne bli ansett som den som de facto bestemmer formålet med og hjelpemidlene til behandlingen. Databehandleren vil da kunne bli ansett for å være behandlingsansvarlig, og med denne rollen kommer det strengere plikter.

Hva bør virksomheter som behandler personopplysninger, gjøre nå?

  1. Fysiske eller juridiske personer, offentlig myndigheter, institusjoner eller ethvert annet organ som behandler personopplysninger, må identifisere hvert enkelt forhold den har til leverandører, kunder, agenter, distributører og så videre, og hvor det tilgjengjeliggjøres personopplysninger, for eksempel utlevering eller mottak.
  2. I hvert enkelt av disse tilfellene må hver av partene foreta en gjennomtenkt vurdering av hvorvidt man er behandlingsansvarlig eller databehandler.
  3. Behandlingsansvarlig må kreve tilstrekkelige garantier fra databehandleren for at databehandler vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i GDPR, samt vern av den registrertes rettigheter. Hvilke garantier som kreves, må avgjøres i det konkrete tilfelle.
  4. Dersom det foreligger et databehandlerforhold, må det kartlegges om det eksisterer en databehandleravtale. Tidligere databehandleravtaler må sannsynligvis oppdateres for å tilfredsstille GDPRs krav til innhold. I de tilfeller hvor det ikke eksisterer en slik avtale, må det etableres en databehandleravtale før ny personopplysningslov trer i kraft, antagelig 25. mai 2018*. Det er den behandlingsansvarlige som må sikre at databehandleravtale inngås. Databehandlere har imidlertid interesse i at en slik avtale inngås. Mange behandlingsansvarlige vil derfor erfare at det ofte er databehandleren som sender utkast til ny databehandleravtale.
  5. Behandlingsansvarlige og databehandlere bør ha en strategi for hvordan databehandleravtalene skal komme i stand. Å inngå databehandleravtale innebærer en forhandlingssituasjon på lik linje som andre avtaleinngåelser. Enkelte behandlingsansvarlige og databehandlere ønsker en fastsatt, forhåndsdefinert mal for sin virksomhet. Avtalen bør imidlertid tilpasses forholdene i den enkelte virksomhet og de aktuelle tjenestene som skal leveres.
  6. Selv om Norge allerede har en streng personopplysningslov, er reglene i GDPR og ny personopplysningslov nye for veldig mange. Partene kan derfor ikke ta for gitt at for eksempel databehandlere kan disse reglene, og/eller at avtalene som blir presentert, er tilstrekkelige eller balanserte. Ett tips er å operere med sjekklister hvor minimumsvilkår fremgår, og operere ut fra disse. Ved mottagelse eller utarbeidelse av databehandleravtaler vil en således kunne krysse av for at minimumsvilkårene er inntatt. Da vil en også oppdage hvilke vilkår som er særregulert i det enkelte tilfelle.
  7. Databehandleravtalen bør også sees opp mot eventuelle driftsavtaler eller en eventuell hovedavtale mellom partene. Det må forventes at begge eller én av partene vil kreve forhandlinger når databehandleravtaler skal inngås. Vi ser imidlertid at enkelte større leverandører ikke åpner for forhandlinger. Dette kan være fordi det vil være upraktisk og umulig for dem å åpne for forhandlinger med et stort antall ulike behandlingsansvarlige. Enkelte større leverandører opererer også med forhåndssignerte, nedlastbare avtaler. Slik praksis vil imidlertid kun fungere dersom databehandler­avtalene er veloverveide, balanserte og dekkende vurdert ut fra vilkårene i GDPR.
  8. Mange databehandlere vil benytte underleverandører. Dette vil da innebære et trepartsforhold: 1) behandlingsansvarlig, 2) databehandler og 3) underleverandør.Det må inngås en databehandleravtale mellom behandlingsansvarlig og databehandler. Som nevnt ovenfor har databehandleren plikter overfor den behandlingsansvarlige ved et eventuelt valg av underleverandør. Det må blant annet inngås en avtale mellom databehandler og underleverandør. I et slikt tilfelle er det svært viktig at det foreligger et ende-til-ende-forhold mellom forpliktelsene, slik at de forpliktelsene som databehandler har påtatt seg overfor den behandlingsansvarlige, gjenspeiles i de forpliktelsene som underleverandøren på sin side har overfor databehandleren. Det er derfor viktig at databehandleren i databehandleravtalen med den behandlingsansvarlige ikke forplikter seg utover de forpliktelser underleverandøren har gitt databehandleren. Dersom databehandleren lover mer enn dette i databehandler­avtalen med behandlingsansvarlig, kan databehandleren komme i en situasjon der man har pådratt seg forpliktelser som databehandleren ikke kan avkreve videre nedover i leveransekjeden. Ved slike trepartsforhold vil det derfor være vesentlig for databehandleren å se hen til avtalen med underleverandøren innen man aksepterer de endelige forpliktelsene over den behandlingsansvarlige.
  9. Databehandleravtalen er et dynamisk dokument. Behandlingsansvarlig må følgelig påse at de instruksene som gis for databehandlingen, til enhver tid er basert på de tjenestene som faktisk blir levert, og den behandlingen av personopplysninger som reelt sett gjennomføres.

* Ikrafttredelse av ny personopplysningslov og GDPR skal i utgangspunktet skje i Norge 25. mai 2018, men det er noe usikkert om det kan komme utsettelser.

Etter å ha blitt gjort kjent med de mange faktorene som spiller inn for å utarbeide en hensiktsmessig og velfungerende databehandleravtale, er det mange som spør hva markedsstandarden egentlig er. Vår erfaring er at det er svært ulik praksis i markedet. Det foreligger en rekke ulike variasjoner av databehandleravtaler. Noen avtaler inneholder kun minimumsvilkårene, mens andre har tilpasset avtalen til den rollen vedkommende virksomhet har, og har følgelig inntatt flere særreguleringer utover minimumsvilkår. Databehandleravtaler inngås også på tvers av landegrenser, og ulike land kan ha ulik kultur for kontraktsregulering. Først når EU-kommisjonen kommer med en standardavtale og/eller Datatilsynet utarbeider en standardavtale, vil man antagelig se en mer standardisert praksis i Norge. Frem til da er det opp til de enkelte partene å utarbeide egne databehandleravtaler og strategier fra grunnen av. Selv når standardavtaler kommer på plass, er det imidlertid viktig at en vurderer å tilpasse avtalene til de aktuelle tjenestene.

Det viktigste rådet vi kan gi, er at partene gjør seg kjent med personvernregelverket og det ansvaret partene har under regelverket. Istedenfor bare å fokusere på minimumsvilkårene til avtalen bør søkelyset ved utarbeidelsen først og fremst rettes mot realitetene: Hvilke tjenester er det som skal leveres? Hvilke tiltak må etableres for å oppfylle de registrerte sitt personvern i henhold til GDPR? Hvem av databehandler og behandlingsansvarlig har ansvar for at de ulike elementene i behandlingen og tjenestene oppfyller disse tiltakene? Hva er det som skal til for at avtalen skal være praktisk håndterbar?

Partene må sikre at databehandleravtalene og behandlingsansvarlige sine tilhørende instrukser ikke er for generelle og er tilpasset de aktuelle realitetene. Da vil man ha en avtale som er et dynamisk redskap i samhandlingen mellom behandlingsansvarlig og databehandler, og ikke bare et sovende dokument.

Det tas et forbehold om at det kan skje endringer i ny personopplysningslov før denne vedtas av Stortinget.


© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS