Berlingske Business

Styr på kontrakterne mellem dataansvarlige og databehandlere?

Topbillede
Foto: Scanpix

Databehandlerkontrakter forudsætter, at I først får identificeret, hvilke ydelser der har karakter af databehandling. Dernæst skal kontrakterne forhandles, herunder den endelige fordeling af risiko og ansvar - øvelsen kan for mange være vanskelig.

Sponseret af Elmer Advokater

Godt i gang?
De fleste af os kan nok være enige om, at arbejdet med at få implementeret databeskyttelsesforordningen – og især med at blive klar til den træder i kraft i maj 2018 – fylder en del lige nu. Der er mange spørgsmål, der skal tages stilling til. Mange tråde, der skal samles op på – både teknisk og organisatorisk.

Et af dem er kontrakterne (eller mangel på samme) med sine databehandlere. Og måske allerførst: Hvem er egentlig databehandlerne?
Dette spørgsmål kan skabe forvirring, fordi virksomheden i sit daglige virke agerer i forhold til en række aktører: Moderselskab, datterselskaber/filialer, kunder, leverandører og ikke mindst alle medarbejderne.

Hvem er hvem?
Den dataansvarlige er den, som i sidste ende bestemmer til hvilke formål personoplysningerne må behandles, hvordan de må behandles (hjælpemidlerne), herunder hvem der må behandle dem.

Det er her vigtigt at sondre mellem at bestemme over oplysningerne og at have det endelige ord vedrørende produktionen. En overordnet myndighed er ikke dataansvarlig, selvom den ved appel kan tilsidesætte den underordnede myndigheds afgørelser.

Det er også vigtigt at sondre mellem den ”praktiske hverdag” og det endelige ansvar. Den enkelte medarbejder vil konkret vurdere og afgøre, hvilke oplysninger der er relevante for at løse den enkelte sag. Medarbejderen har dog ikke det endelige dataansvar. Det har arbejdsgiveren. Medarbejderen er heller ikke databehandler, men en del af den dataansvarliges organisation.
Databehandleren er derimod en selvstændig juridisk enhed, der alene behandler oplysninger efter instruks fra den dataansvarlige, og som kun må bruge oplysningerne til at løse den konkrete opgave for den dataansvarlige.

Ekstern lønkørsel og eksempelvis hosting af virksomhedens data kan indebære databehandling efter instruks, og som efter databeskyttelsesforordningen skal være reguleret af en kontrakt eller et andet retligt dokument.

Håndværkeren, vinduespudseren og rengøringsfirmaet leverer til gengæld ikke persondatabehandling. Heller ikke selvom der behandles oplysninger om den dataansvarliges medarbejdere i forbindelse med aftalens indgåelse og opfyldelse. Der skal derfor ikke udarbejdes databehandleraftale med sådanne leverandøre, men blot en fortrolighedserklæring, hvis leverandøren som led i leveringen af ydelsen uundgåeligt får indsigt i personoplysninger.

Indholdskravene
Databeskyttelsesforordningen lister i artikel 28 en række betingelser op, som skal være reguleret i databehandleraftalen. Listen er lang og detaljeret, og Datatilsynet er også lige kommet med en skabelon. Man kan derfor være fristet til at finde opgaven enkel, fordi der er givet en opskrift til aftalens indhold.

Det er dog langt fra enkelt. Som ved enhver anden kontraktsindgåelse kræver det indgående forhandlinger om niveauet og dermed prisen for de enkelte forpligtelser, databehandleren skal leve op til.

Fordelingen af erstatningsansvaret
Også risikofordelingen ved et databrud kan være til forhandling – herunder i hvilket omfang parterne hver for sig kan og vil begrænse sit solidariske erstatningsansvar ved databrud, som de bærer et (med)ansvar for.

Forordningen bestemmer, at enhver, der er involveret i behandlingen, hæfter erstatningsretligt for en skade opstået derved, medmindre de kan bevise, at de er uden skyld. Databehandleren har imidlertid kun et selvstændigt ansvar for skade, der skyldes tilsidesættelse af regler rettet specifikt mod databehandlere eller tilsidesættelse af den dataansvarliges instrukser.

Bestemmelserne er dog ikke til hinder for, at der mellem parterne aftales en anden endelig fordeling af erstatningsansvaret end det solidariske som forudsat i forordningen. De grundlæggende erstatningsretlige regler forhindrer nemlig ikke aftaler om ansvarsfordeling indgået forud for skadens indtræden, når der er tale om offentlig eller erhvervsmæssig virksomhed.

Denne artikel er en del af annoncetillæget 'Ejerledelse'. Se alle artikler her​

Forsiden lige nu

Til forsiden

Business anbefaler

 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Annonce

De første kvartalsregnskaber, primært fra USA, der tegner en fortsættelse af billedet for 2017-billedet, både når det handler om teknologiorienterede forbrugsselskaber som Netflix og traditionelle sel...

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen