Virksomheder kan nu bruge danske standarddatabehandleraftaler i Norge og Sverige
På baggrund af udtalelser fra Det Europæiske Databeskyttelsesråd udarbejdede Datatilsynet i 2019 en standarddatabehandleraftale. Aftalen hjælper virksomheder med at leve op til persondatareglernes minimumskrav. Både det norske og svenske datatilsyn har nu bekræftet, at virksomheder fremover også kan anvende aftalen i Norge og Sverige.
Med den nye databeskyttelsesforordning blev der blandt andet indført krav, om at virksomheder skal udarbejde databehandleraftaler, når eksempelvis eksterne leverandører eller samarbejdspartnere behandler persondata på virksomhedens vegne. Databehandleraftaler skal i den forbindelse leve op til en række indholdskrav, herunder indeholde oplysninger om behandlingens varighed, formål samt typen af persondata, der bliver behandlet.
Kort før databeskyttelsesforordningen trådte i kraft, kom Datatilsynet med et bud på en standard-databehandleraftale, som efterfølgende blev gennemgået af det Europæiske Databeskyttelsesråd med henblik på at sikre en ensartet anvendelse af reglerne. På baggrund af Det Europæiske Databeskyttelsesråds udtalelser tilrettede Datatilsynet standarddatabehandleraftalen, der herefter fik særlig juridisk karakter.
Den særlige juridiske karakter betyder i praksis, at virksomheder, der vælger at bruge standard-databehandleraftalen, opnår øget sikkerhed, fordi bestemmelserne ikke bliver efterprøvet under et eventuelt tilsynsbesøg.
Med tilkendegivelserne fra det norske og svenske datatilsyn kan virksomheder derfor nu også fremover nyde samme sikkerhed ved indgåelse af databehandleraftaler i Norge og Sverige, da begge datatilsyn bekræftede, at standarddatabehandleraftalen vil anses som om, at den var udarbejdet af dem selv.
IUNO mener
Når virksomheder anvender eksterne ressourcer, er det afgørende at tage højde for persondatareglerne. Derfor er det som udgangspunkt altid nødvendigt at vurdere den konkrete situation for at få afklaret, om der er tale om en databehandlerkonstruktion, hvem der i øvrigt er ansvarlig for hvad, og hvilke sikkerhedsmæssige tiltag der kan være nødvendige.
IUNO mener, at virksomheder med fordel kan bruge eller tage udgangspunkt i Datatilsynets standarddatabehandleraftale i både Danmark, Norge og Sverige. Det er imidlertid samtidig afgørende, at virksomheder faktisk sikrer, at kravene også efterleves i praksis, henset til de store negative konsekvenser det kan få, hvis reglerne overtrædes.
Læs mere om, hvordan vi kan hjælpe jer med compliance-arbejdet her.
Med den nye databeskyttelsesforordning blev der blandt andet indført krav, om at virksomheder skal udarbejde databehandleraftaler, når eksempelvis eksterne leverandører eller samarbejdspartnere behandler persondata på virksomhedens vegne. Databehandleraftaler skal i den forbindelse leve op til en række indholdskrav, herunder indeholde oplysninger om behandlingens varighed, formål samt typen af persondata, der bliver behandlet.
Kort før databeskyttelsesforordningen trådte i kraft, kom Datatilsynet med et bud på en standard-databehandleraftale, som efterfølgende blev gennemgået af det Europæiske Databeskyttelsesråd med henblik på at sikre en ensartet anvendelse af reglerne. På baggrund af Det Europæiske Databeskyttelsesråds udtalelser tilrettede Datatilsynet standarddatabehandleraftalen, der herefter fik særlig juridisk karakter.
Den særlige juridiske karakter betyder i praksis, at virksomheder, der vælger at bruge standard-databehandleraftalen, opnår øget sikkerhed, fordi bestemmelserne ikke bliver efterprøvet under et eventuelt tilsynsbesøg.
Med tilkendegivelserne fra det norske og svenske datatilsyn kan virksomheder derfor nu også fremover nyde samme sikkerhed ved indgåelse af databehandleraftaler i Norge og Sverige, da begge datatilsyn bekræftede, at standarddatabehandleraftalen vil anses som om, at den var udarbejdet af dem selv.
IUNO mener
Når virksomheder anvender eksterne ressourcer, er det afgørende at tage højde for persondatareglerne. Derfor er det som udgangspunkt altid nødvendigt at vurdere den konkrete situation for at få afklaret, om der er tale om en databehandlerkonstruktion, hvem der i øvrigt er ansvarlig for hvad, og hvilke sikkerhedsmæssige tiltag der kan være nødvendige.
IUNO mener, at virksomheder med fordel kan bruge eller tage udgangspunkt i Datatilsynets standarddatabehandleraftale i både Danmark, Norge og Sverige. Det er imidlertid samtidig afgørende, at virksomheder faktisk sikrer, at kravene også efterleves i praksis, henset til de store negative konsekvenser det kan få, hvis reglerne overtrædes.
Læs mere om, hvordan vi kan hjælpe jer med compliance-arbejdet her.
Lignende nyt
Coronavirus: Datatilsynet med ny udtale om apps til corona-sporing
Højesteret: Medarbejder havde ret til godtgørelse for ulovlig tv-overvågning
Nye retningslinjer fra Datatilsynet: Har din virksomhed styr på cookies?
Persondata: Er din virksomhed klar til Brexit?
EU-Kommissionen: Privacy Shield består tredje evaluering
Nyt whistleblowerdirektiv vedtaget: Stærkere beskyttelse på vej
Learning
Morgenmøde om den nye persondataforordning
Morgenmøde om den nye persondataforordning (webinar)
Morgenmøde om persondata
Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande
Morgenmøde om HR-persondataret