Bedrifter kan nå bruke danske standard databehandleravtaler i Norge og Sverige
På bakgrunn av uttalelser fra Det Europeiske Databeskyttelsesråd utarbeidet Datatilsynet i 2019 en standard databehandleravtale. Avtalen hjelper bedrifter med å overholde minstekravene i personvernforordningen. Både det norske og det svenske datatilsynet har nå bekreftet at denne avtalen i fremtiden også kan anvendes av bedrifter i Norge og Sverige.
Med den nye personvernforordningen ble det blant annet innført krav om at bedrifter skal utarbeide databehandleravtaler, for eksempel når eksterne leverandører eller samarbeidspartnere behandler persondata på vegne av bedriften. Databehandleravtaler må i denne forbindelse leve opp til en rekke innholdskrav. Blant annet må de inneholde opplysninger om behandlingens varighet og formål, samt hvilken type persondata som blir behandlet.
Kort tid før personvernforordningen trådte i kraft, kom Datatilsynet med et forslag til en standard databehandleravtale, som deretter ble gjennomgått av Det Europeiske Databeskyttelsesråd med tanke på å sikre en ensartet anvendelse av reglene. På bakgrunn av uttalelsene til Det Europeiske Databeskyttelsesråd utarbeidet Datatilsynet denne standard-databehandleravtalen, som deretter fikk særlig juridisk karakter.
Denne særlige juridiske karakteren betyr i praksis at bedrifter som velger å bruke standard-databehandleravtalen, oppnår økt sikkerhet ettersom bestemmelsene ikke blir etterprøvd under et eventuelt tilsynsbesøk.
Som følger av kunngjøringen fra det norske og svenske datatilsynet kan bedrifter i fremtiden dra fordel av samme sikkerhet ved inngåelse av databehandleravtaler i Norge og Sverige, da begge datatilsynene har bekreftet at standard-databehandleravtalen vil anses som om den var utarbeidet av dem selv.
IUNO mener
Når bedrifter benytter eksterne ressurser, er det svært viktig at man tar hensyn til personvernreglene. Derfor er det som regel alltid nødvendig å vurdere den konkrete situasjonen for å få avklart om det dreier seg om en databehandlerkonstruksjon, hvem som for øvrig er ansvarlig for hva, og hvilke sikkerhetstiltak som kan være nødvendige.
IUNO mener at bedrifter med fordel kan bruke eller ta utgangspunkt i Datatilsynets standard-databehandleravtalen i både Danmark, Norge og Sverige. Imidlertid er det også avgjørende at bedrifter faktisk sikrer at kravene også etterleves i praksis, med tanke på de alvorlige negative følgene det kan få hvis reglene ikke overholdes.
Les mer om hvordan vi kan hjelpe dere med compliance-arbeidet her.
Med den nye personvernforordningen ble det blant annet innført krav om at bedrifter skal utarbeide databehandleravtaler, for eksempel når eksterne leverandører eller samarbeidspartnere behandler persondata på vegne av bedriften. Databehandleravtaler må i denne forbindelse leve opp til en rekke innholdskrav. Blant annet må de inneholde opplysninger om behandlingens varighet og formål, samt hvilken type persondata som blir behandlet.
Kort tid før personvernforordningen trådte i kraft, kom Datatilsynet med et forslag til en standard databehandleravtale, som deretter ble gjennomgått av Det Europeiske Databeskyttelsesråd med tanke på å sikre en ensartet anvendelse av reglene. På bakgrunn av uttalelsene til Det Europeiske Databeskyttelsesråd utarbeidet Datatilsynet denne standard-databehandleravtalen, som deretter fikk særlig juridisk karakter.
Denne særlige juridiske karakteren betyr i praksis at bedrifter som velger å bruke standard-databehandleravtalen, oppnår økt sikkerhet ettersom bestemmelsene ikke blir etterprøvd under et eventuelt tilsynsbesøk.
Som følger av kunngjøringen fra det norske og svenske datatilsynet kan bedrifter i fremtiden dra fordel av samme sikkerhet ved inngåelse av databehandleravtaler i Norge og Sverige, da begge datatilsynene har bekreftet at standard-databehandleravtalen vil anses som om den var utarbeidet av dem selv.
IUNO mener
Når bedrifter benytter eksterne ressurser, er det svært viktig at man tar hensyn til personvernreglene. Derfor er det som regel alltid nødvendig å vurdere den konkrete situasjonen for å få avklart om det dreier seg om en databehandlerkonstruksjon, hvem som for øvrig er ansvarlig for hva, og hvilke sikkerhetstiltak som kan være nødvendige.
IUNO mener at bedrifter med fordel kan bruke eller ta utgangspunkt i Datatilsynets standard-databehandleravtalen i både Danmark, Norge og Sverige. Imidlertid er det også avgjørende at bedrifter faktisk sikrer at kravene også etterleves i praksis, med tanke på de alvorlige negative følgene det kan få hvis reglene ikke overholdes.
Les mer om hvordan vi kan hjelpe dere med compliance-arbeidet her.