Alternative Text
Advokatfuldmægtig Henrik Norup 27. maj 2019

Skal vi have en databehandleraftale?

Mange virksomheder har oplevet at få tilsendt databehandleraftaler, som indeholder mere eller mindre uigennemskuelige krav og forpligtelser. Ofte er der imidlertid slet ikke behov for at indgå en databehandleraftale.

Hos Penta Advokater bliver vi løbende kontaktet af virksomheder, der ønsker, at vi læser de databehandleraftaler, som virksomheden har modtaget. Vores konklusion er ofte, at der slet ikke er behov for en databehandleraftale. Det kommer typisk som en overraskelse for parterne, som gerne vil indgå en aftale ”for en sikkerheds skyld”.

Vi kan ikke anbefale, at der indgås databehandleraftaler ”for en sikkerheds skyld”, da begge parter risikerer at misforstå sit ansvar og sine forpligtelser. Vi anbefaler derimod, at man undersøger, hvad ydelsen konkret består i, og hvorvidt der rent faktisk skal indgås en aftale.

Kun databehandleraftale ved behandling af personoplysninger

Der skal kun indgås en databehandleraftale, hvis ydelsen (eller en del af ydelsen) består i, at den ene part (databehandleren) skal behandle personoplysninger på vegne af den anden part (dataansvarlige).

Består ydelsen af noget andet, eksempelvis levering af en vare eller en håndværkerydelse, skal der ikke indgås en databehandleraftale, da der i denne ydelse ikke indgår, at den ene skal behandle personoplysninger på vegne af den anden. Dette gælder også, selvom der sker en overførsel af personoplysninger. Modtageren bliver derimod selv dataansvarlig.

Det klassiske eksempel på en databehandlerkonstruktion er et selskabs hosting af et IT-system for en anden virksomhed. Her skal der indgås databehandleraftale. Hostingselskabets ydelse består nemlig i at opbevare personoplysninger (m.v.) for det andet selskab.

Datatilsynets vejledning om behovet for databehandleraftaler

Virkeligheden er imidlertid mere nuanceret, hvilket kan give anledning til tvivl om, hvorvidt der rent faktisk skal indgås en databehandleraftale, eksempelvis vedrørende vikarer eller eksterne konsulenter. Datatilsynet har udsendt en vejledende tekst vedrørende behovet for databehandleraftaler i disse tilfælde.

Datatilsynets umiddelbare konklusion er, at vikarer under visse betingelser kan anses for at være en del af den samme juridiske enhed som den dataansvarlige, hvorfor der ikke skal indgås en databehandleraftale.

Penta Advokater er enig i Datatilsynets pragmatiske konklusion, men vejledningen åbner op for andre tvivlstilfælde og spørgsmål. Vi anbefaler derfor, at du meget grundigt holder dig for øje, hvad ydelsen rent faktisk består i. Hvis du har klarhed over dette, er du hjulpet godt på vej til at afgøre, om der skal indgås en databehandleraftale.

Har du spørgsmål til persondataret

Hvis du har spørgsmål til artiklen eller behov for rådgivning om persondataret, er du velkommen til at rette henvendelse til advokatfuldmægtig Henrik Norup, og høre hvordan vi kan hjælpe jer med opgaven.