Annonce
Annonce

Styr på kontrakterne mellem dataansvarlige og databehandlere?

Foto: Scanpix Fold sammen
Læs mere

Databehandlerkontrakter forudsætter, at I først får identificeret, hvilke ydelser der har karakter af databehandling. Dernæst skal kontrakterne forhandles, herunder den endelige fordeling af risiko og ansvar - øvelsen kan for mange være vanskelig.

Sponseret af Elmer Advokater

Godt i gang?
De fleste af os kan nok være enige om, at arbejdet med at få implementeret databeskyttelsesforordningen – og især med at blive klar til den træder i kraft i maj 2018 – fylder en del lige nu. Der er mange spørgsmål, der skal tages stilling til. Mange tråde, der skal samles op på – både teknisk og organisatorisk.

Et af dem er kontrakterne (eller mangel på samme) med sine databehandlere. Og måske allerførst: Hvem er egentlig databehandlerne?
Dette spørgsmål kan skabe forvirring, fordi virksomheden i sit daglige virke agerer i forhold til en række aktører: Moderselskab, datterselskaber/filialer, kunder, leverandører og ikke mindst alle medarbejderne.

Hvem er hvem?
Den dataansvarlige er den, som i sidste ende bestemmer til hvilke formål personoplysningerne må behandles, hvordan de må behandles (hjælpemidlerne), herunder hvem der må behandle dem.

Det er her vigtigt at sondre mellem at bestemme over oplysningerne og at have det endelige ord vedrørende produktionen. En overordnet myndighed er ikke dataansvarlig, selvom den ved appel kan tilsidesætte den underordnede myndigheds afgørelser.

Det er også vigtigt at sondre mellem den ”praktiske hverdag” og det endelige ansvar. Den enkelte medarbejder vil konkret vurdere og afgøre, hvilke oplysninger der er relevante for at løse den enkelte sag. Medarbejderen har dog ikke det endelige dataansvar. Det har arbejdsgiveren. Medarbejderen er heller ikke databehandler, men en del af den dataansvarliges organisation.
Databehandleren er derimod en selvstændig juridisk enhed, der alene behandler oplysninger efter instruks fra den dataansvarlige, og som kun må bruge oplysningerne til at løse den konkrete opgave for den dataansvarlige.

Ekstern lønkørsel og eksempelvis hosting af virksomhedens data kan indebære databehandling efter instruks, og som efter databeskyttelsesforordningen skal være reguleret af en kontrakt eller et andet retligt dokument.

Håndværkeren, vinduespudseren og rengøringsfirmaet leverer til gengæld ikke persondatabehandling. Heller ikke selvom der behandles oplysninger om den dataansvarliges medarbejdere i forbindelse med aftalens indgåelse og opfyldelse. Der skal derfor ikke udarbejdes databehandleraftale med sådanne leverandøre, men blot en fortrolighedserklæring, hvis leverandøren som led i leveringen af ydelsen uundgåeligt får indsigt i personoplysninger.

Indholdskravene
Databeskyttelsesforordningen lister i artikel 28 en række betingelser op, som skal være reguleret i databehandleraftalen. Listen er lang og detaljeret, og Datatilsynet er også lige kommet med en skabelon. Man kan derfor være fristet til at finde opgaven enkel, fordi der er givet en opskrift til aftalens indhold.

Det er dog langt fra enkelt. Som ved enhver anden kontraktsindgåelse kræver det indgående forhandlinger om niveauet og dermed prisen for de enkelte forpligtelser, databehandleren skal leve op til.

Fordelingen af erstatningsansvaret
Også risikofordelingen ved et databrud kan være til forhandling – herunder i hvilket omfang parterne hver for sig kan og vil begrænse sit solidariske erstatningsansvar ved databrud, som de bærer et (med)ansvar for.

Forordningen bestemmer, at enhver, der er involveret i behandlingen, hæfter erstatningsretligt for en skade opstået derved, medmindre de kan bevise, at de er uden skyld. Databehandleren har imidlertid kun et selvstændigt ansvar for skade, der skyldes tilsidesættelse af regler rettet specifikt mod databehandlere eller tilsidesættelse af den dataansvarliges instrukser.

Bestemmelserne er dog ikke til hinder for, at der mellem parterne aftales en anden endelig fordeling af erstatningsansvaret end det solidariske som forudsat i forordningen. De grundlæggende erstatningsretlige regler forhindrer nemlig ikke aftaler om ansvarsfordeling indgået forud for skadens indtræden, når der er tale om offentlig eller erhvervsmæssig virksomhed.

Denne artikel er en del af annoncetillæget 'Ejerledelse'. Se alle artikler her​