Databehandleraftaler Ved partner Thomas Munk Rasmussen, Bech-Bruun
2 Databehandleraftaler - Agenda Personoplysninger eksempler Begreberne dataansvarlig og databehandler Krav om databehandleraftale Indholdsmæssige krav Forhold der bør/kan reguleres efter behov
Hvad er personoplysninger? Cpr-nr. Køn Navn Race Adresse E-mail-adresse Seksuel overbevisning Fødselsdato Foto Kreditkortnummer Adgangskontrol Helbredsoplysninger Nummerplade Genetisk information Interesser Familiemæssige oplysninger MedarbejderID Telefonnummer Personlighedstest Politisk overbevisning Religion? Væsentlige sociale problemer Personlige produktionstal Uddannelse (karakterer) Pasnr. GPS-oplysninger IP-adresse Elektroniske spor Videoovervågning Initialer/Loginnavn Stilling Fagforeningsmæssige tilhørsforhold Biometriske oplysninger Logning i IT-systemer Straffeattest Størrelse på tøj og sko Rejseoplysninger MAC-adresse Løn
4 Databehandleraftaler dataansvarlig og databehandler Dataansvarlig - den der afgør til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger Databehandler - den der behandler oplysninger på den dataansvarliges vegne Som udgangspunkt er kun den dataansvarlige ansvarlig i forhold til overholdelse af behandlingsreglerne i persondataloven Typiske eksempler på databehandlerforhold lønbehandling, rekruttering, itudvikling, outsourcing, marketing og koncernintern administration
5 Databehandleraftaler indholdsmæssige krav Efter persondatalovens 42, stk. 2, er den dataansvarlige forpligtet til at indgå en skriftlig aftale med databehandleren Det skal fremgå af databehandleraftalen, at databehandleren alene handler efter instruks fra den dataansvarlige Det skal tillige fremgå af databehandleraftalen, at reglerne i persondatalovens 41, stk. 3-5 (sikkerhedsregler), gælder for behandlingen ved databehandleren Det skal fremgå af databehandleraftalen når databehandleren er etableret i et andet EU-land at bestemmelser om sikkerhedsforanstaltninger, der gælder i det pågældende EU-land, tillige gælder for databehandleren
6 Databehandleraftaler indholdsmæssige krav (fortsat) Særlige krav gælder for offentlige myndigheder Ved databehandling for en offentlig myndighed skal databehandleren også overholde sikkerhedsbekendtgørelsen
7 Databehandleraftaler indholdsmæssige krav (fortsat) Efter den kommende persondataforordnings artikel 26 gælder følgende indholdsmæssige krav til en databehandleraftale (uddrag): Skriftlig aftale Formål og varighed Hvilke kategorier af data der behandles Organisatorisk sikkerhed hvem får adgang og hvorfor? Krav om fortrolighed Databehandleren skal assistere i videst mulig omfang med pseudonomisering og kryptering af data Sikkerhedskrav skal beskrives Beredskab og notifikation ved sikkerhedsbrist Dokumentation for processer Sletning eller overlevering af data ved ophør
8 Databehandleraftaler øvrige overvejelser Nye aftaler bør fra i dag iagttage de kommende krav Ud over lovkrav kan det være en god idé at overveje: Mere specifikke sikkerhedskrav, herunder fx ISO og årlige audits Krav om uddannelse af medarbejdere hos databehandleren Andre organisatoriske krav Udvidet informationspligt ved forsøg på sikkerhedsbrud Krav om audit og kontrol af underleverandører Ansvar og skadesløsholdelse Pligt til at bistå myndigheder
9 Databehandleraftaler hvad nu? Audit er alle pligtmæssige aftaler på plads? Hvad med underdatabehandlere? Sker der eksport af data ud af EU? Hvad med eksisterende aftaler som ikke er fyldestgørende? Udarbejdelse af standard databehandleraftale Forankring i organisationen Husk bødeniveauerne fra 2018!
10 Kontakt Thomas Munk Rasmussen Partner København IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com