Databehandleraftaler
Her får du hjælp til, hvornår og hvordan du laver en databehandleraftale.
Det er en GDPR‑krævet aftale med en leverandør, der behandler personoplysninger for os, og den sikrer korrekt og sikker databehandling.
Vejledning om databehandleraftaler
Vejledningen giver et overblik over, hvornår der skal indgås en databehandleraftale, hvilke krav der gælder, samt hvilke forhold du skal være opmærksom på ved udarbejdelse og indgåelse af aftalen. Vejledningen kan bruges som støtte gennem hele processen.
Du finder vejledning her.
Behandlingsaktiviteter, der helt eller delvist foretages af databehandler, skal være i overensstemmelse med reglerne i persondataforordningen.
Kommunen har det overordnet ansvar for, at der indgås databehandleraftaler og at databehandlerne herefter overholder selve databehandleraftalen.
Denne vejledning er tænk som hjælp til indgåelse af en aftale med en leverandør, som skal behandle personoplysninger på vegne af Albertslund
Kommune.
Når du som offentlig myndighed, fysisk person eller institution behandler (f.eks. indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen.
Inden for persondataretten sondres der mellem, om du er henholdsvis dataansvarlig for en behandling af personoplysninger, eller om du alene fungerer som databehandler for en dataansvarlig.
Du skal kender din egen rolle i forbindelse med behandlingen, fordi kravene til en dataansvarlig og til en databehandler er forskellige.
Det er altid den dataansvarlige, der har ansvaret for, at en behandling lever op til reglerne i databeskyttelsesforordningen.
Forskellen mellem en dataansvarlig og en databehandler følger af bestemmelserne i databeskyttelsesforordningen artikel 4, nr. 7 og nr. 8.
Vi er som kommune dataansvarlig, da vi bestemmer, med hvilke formål personoplysningerne må behandles (formålet), og hvordan personoplysningerne må behandles (hjælpemidlerne), herunder af hvem
personoplysningerne må behandles.
Vejledningen er opdelt i en række trin:
Hvornår skal der udarbejdes en databehandleraftale
Udarbejdelse af databehandleraftale
Registrering af databehandleren
Tilsyn og kontrol
Hvor finder jeg hjælp
Yderligere information
Du og leverandøren/samarbejdspartneren skal først og fremmest afklare, om der grundlag for at indgå en databehandleraftale.
Udgangspunktet er, at der er en relation mellem en dataansvarlig og databehandler og der sker en behandling af personoplysninger.
Personoplysninger er alle oplysninger, som kan føres tilbage til en person, eks.
cpr-nr., navn, adresse, e-mail m.v.
Ved behandling forstås indsamling, registrering, opbevaring, videregivelse, arkivering eller sletning af oplysninger.
Det kan ofte være svært at vurdere i hvilke tilfælde, der skal indgås en databehandler aftale. Til hjælp for dette, henvises til bilag 1, spørgsmål du kan stille dig selv for at afgøre om der skal udarbejdes en databehandleraftale.
Der skelnes mellem at overlade data og videregive data. Og den sondring er afgørende for om der skal indgås en databehandleraftale.
Vi overlader data til en IT-leverandør, der stiller et system til rådighed, hvorigennem vi kan levere vores ydelser. Vi bruger systemet til vores formål og har dermed også ansvaret for, at sikkerheden er forsvarlig.
Når vi overlader data til en IT-leverandør, bliver denne databehandler.
Databehandleren må ikke bruges dataene til egne formål.
Vi skal sørge for der udarbejdes en databehandleraftale og vi er forpligtet til at føre tilsyn.
Vi overlader ikke oplysninger, hvis vi f.eks. hyrer en reparatør til at reparere vores kopimaskiner, hvori der kan være gemt dokumenter med personoplysninger.
Aftalen mellem kommunen og reparatøren går ud på, at reparatøren skal reparere vores kopimaskiner.
Vi vil i denne situation ikke benytte reparatøren som databehandler, fordi aftalen mellem parterne hverken helt eller delvist går ud på, at reparatøren skal behandle personoplysninger på vegne af os.
Hvis der er risiko for, at reparatøren i forbindelse med sin reparation får adgang til personoplysninger, kan vi - som led i sine almindelige sikkerhedsforanstaltninger – bede reparatøren om at underskrive en
tavshedspligtserklæring.
Hvis vi beder en håndværker indrette en bolig hos en borger, fordi vi i loven har hjemmel og måske endda og pligt til det, er der alene tale om en videregivelse af oplysninger, når vi giver håndværkeren eks. navn og adresse.
I en sådan situation er der ikke krav om en databehandleraftale.
Som udgangspunkt skal der indgås databehandleraftaler:
- Ved hosting af data hos en IT-leverandør
- En forsker eller et analyseinstitut, der udfører analysearbejde på vegne af
kommunen - Ekstern sagsbehandler, hvor en leverandør betales for at træffe afgørelse
og foretage registrering på vegne af kommunen
Som udgangspunkt skal der ikke indgås databehandleraftaler i
følgende tilfælde:
- Aftaler med håndværker, reparatører, servicepersonale o.l.
- Revisorer
- Offentlige myndigheder som har hjemmel i en lov til at behandle data, som
eks. SKAT, Udbetaling Danmark, hospitaler
Når der er enighed om, at der skal udarbejdes en databehandleraftale, skal du
benytte KL og KOMIBITs skabelon. På medarbejdersiden finder du et link til skabelonen.
Når du har udfyldt den del som kommunen skal udfylde, sender du udkastet til samarbejdspartneren, der skal udfylde resten. Når aftalen kommer retur, er det dit ansvar at sikre, at aftalen opfylder de krav som kommunen er forpligtet til at efterkomme.
Nogle leverandører foretrækker at bruge af egne skabeloner. Vi kan som
kommune godt tillade brugen af andre skabeloner. Det er dog stadig vores
ansvar at sikre, at leverandørens skabelon lever op til databeskyttelsesforordningen.
Før aftalen underskrives, skal Jura læse aftalen igennem.
Du skal sende aftalen til kommunens GDPR-postkasse på gdpr@albertslund.dk.
GDPR medarbejderen læser aftalen igennem og kommer eventuelt med forslag til
rettelser og/eller gør dig opmærksom på punkter, du skal genforhandle med
samarbejdspartneren.
OBS – ingen databehandleraftaler må underskrives før, de er læst
igennem af Jura.
OBS – ingen databehandler må behandle personoplysninger før, der er
indgået en databehandleraftale.
Databehandleraftaler skal registreres i SBSYS under journalkoden: 85.10.09 –
P27, hvor alle kommunens behandlingsaktiviteter registreres.
Som dataansvarlig skal vi føre tilsyn med databehandleren for at sikre, at behandlingen sker i overensstemmelse med kravene.
I Albertslund Kommune fører vi selv tilsyn. Der bliver udarbejdet en vejledning som tilsyn som bliver lagt på medarbejdersiden.
Hvis der er behov for hjælp, kan du kontakte kommunens GDPR- postkasse på gdpr@albertslund.dk.
Du kan læse Datatilsynets vejledning om dataansvarlige og databehandler her.
Hvornår skal der indgås en databehandleraftale?
Vejledningen hjælper dig med at afklare, om der er tale om et dataansvarlig‑databehandler‑forhold, eller om der er tale om fælles dataansvar. Den indeholder eksempler og konkrete kriterier, som kan bruges i vurderingen.
Du finder vejledning her.
Brug Datatilsynets skabelon
Datatilsynets skabelon sikrer, at de obligatoriske krav i databeskyttelsesforordningens artikel 28 er medtaget. Skabelonen kan tilpasses den konkrete behandling og anbefales som udgangspunkt ved indgåelse af nye databehandleraftaler.
Du finder skabelonen her.