Skip to main content

Databehandleraftale (DPA)

TL;DR

Databehandlingsaftalen, eller DPA for kort, er en juridisk bindende kontrakt mellem en virksomhed og en tredjeparts databehandler, beregnet til at regulere databeskyttelse i forhold til GDPR-overholdelse.

Hvad er databehandleraftalen (DPA)?

Enhver virksomhed, der har en online tilstedeværelse, er afhængig af tredjeparter for at fungere korrekt. Disse tredjeparter kan være alt fra en e-mail-udbyder til et webstedsanalyseværktøj eller et chatværktøj osv.; dybest set ethvert værktøj, der behandler brugerens personlige data. En databehandleraftale skal underskrives mellem den pågældende virksomhed (Controller) og hver tredjepart (Behandler), der sikrer, at dataene opbevares korrekt og ikke misbruges, sælges eller er sårbare over for angreb. Dette er et af de mest grundlæggende skridt hen imod at være GDPR-kompatibel.

Størstedelen af disse tredjepartsværktøjer gør DPA'er tilgængelige på deres websteder for at blive downloadet og underskrevet. For eksempel her er Visitor Analytics DPA: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. Den underskrevne DPA kan normalt også rekvireres via e-mail.

Hvis du har brug for at oprette din egen databehandleraftale, kan den officielle skabelon downloades fra https://gdpr.eu/data-processing-agreement/. Alle organisationer kan bruge dette dokument for at overholde GDPR og for at undgå dyre bøder.

Databehandleraftalen gælder for virksomheder, der opbevarer og/eller behandler data fra Den Europæiske Union og omhandler følgende spørgsmål i forhold til Databehandleren:

  • tilstrækkelig informationssikkerhed skal være på plads;
  • ingen underbehandlere må bruge dataene uden samtykke fra den dataansvarlige;
  • samarbejde med databeskyttelsesmyndighederne skal sikres, når det er nødvendigt;
  • databrud skal straks rapporteres til den dataansvarlige;
  • optegnelser over alle behandlingsaktiviteter skal opbevares;
  • overholdelse af EU's regler for dataoverførsel;
  • assistance til den dataansvarlige ved håndtering af mulige databrud.

Mere uddybet information om dette kan findes her: https://gdpr.eu/article-28-processor/.