Skip to main content

Databearbetningsavtal (DPA)

TL;DR

Databearbetningsavtalet, eller DPA för kort, är ett juridiskt bindande avtal mellan ett företag och en tredje parts databehandlare, menat att reglera datasekretess när det gäller efterlevnad av GDPR.

Vad är databehandlingsavtalet (DPA)?

Alla företag som har en onlinenärvaro förlitar sig på tredje part för att fungera korrekt. Dessa tredje parter kan vara allt från en e-postleverantör till ett webbanalysverktyg eller ett chattverktyg, etc; i princip alla verktyg som behandlar användarens personuppgifter. Ett databearbetningsavtal måste undertecknas mellan det företaget (kontrollant) och varje tredje part (behandlare) som säkerställer att uppgifterna lagras korrekt och inte missbrukas, säljs eller är sårbara för attacker. Detta är ett av de mest grundläggande stegen mot att vara GDPR-kompatibel.

Majoriteten av dessa tredjepartsverktyg gör DPA:er tillgängliga på deras webbplatser för att laddas ner och signeras. Här är till exempel Visitor Analytics DPA: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. Den undertecknade DPA kan vanligtvis också begäras via e-post.

Om du behöver skapa ditt eget databehandlingsavtal kan den officiella mallen laddas ner från https://gdpr.eu/data-processing-agreement/. Alla organisationer kan använda detta dokument för att vara GDPR-kompatibla och för att undvika dyra böter.

Databehandlingsavtalet gäller för företag som lagrar och/eller behandlar data från Europeiska Unionen och tar upp följande frågor med avseende på processorn:

  • adekvat informationssäkerhet måste finnas på plats.
  • inga underbehandlare får använda uppgifterna utan samtycke från den personuppgiftsansvarige;
  • samarbete med dataskyddsmyndigheterna måste tillhandahållas vid behov;
  • dataintrång måste rapporteras omedelbart till den registeransvarige;
  • register över alla bearbetningsaktiviteter måste föras;
  • efterlevnad av EU:s regler för dataöverföring;
  • assistans för den registeransvarige vid hantering av eventuella dataintrång.

Mer utarbetad information om detta finns här: https://gdpr.eu/article-28-processor/.