Virksomheder kan nu bruge danske standarddatabehandleraftaler i Norge og Sverige

Sidst opdateret den 20. maj 2020

På baggrund af udtalelser fra Det Europæiske Databeskyttelsesråd udarbejdede Datatilsynet i 2019 en standarddatabehandleraftale. Aftalen hjælper virksomheder med at leve op til persondatareglernes minimumskrav. Både det norske og svenske datatilsyn har nu bekræftet, at virksomheder fremover også kan anvende aftalen i Norge og Sverige.

Med den nye databeskyttelsesforordning blev der blandt andet indført krav, om at virksomheder skal udarbejde databehandleraftaler, når eksempelvis eksterne leverandører eller samarbejdspartnere behandler persondata på virksomhedens vegne. Databehandleraftaler skal i den forbindelse leve op til en række indholdskrav, herunder indeholde oplysninger om behandlingens varighed, formål samt typen af persondata, der bliver behandlet.

Kort før databeskyttelsesforordningen trådte i kraft, kom Datatilsynet med et bud på en standard-databehandleraftale, som efterfølgende blev gennemgået af det Europæiske Databeskyttelsesråd med henblik på at sikre en ensartet anvendelse af reglerne. På baggrund af Det Europæiske Databeskyttelsesråds udtalelser tilrettede Datatilsynet standarddatabehandleraftalen, der herefter fik særlig juridisk karakter.

Den særlige juridiske karakter betyder i praksis, at virksomheder, der vælger at bruge standard-databehandleraftalen, opnår øget sikkerhed, fordi bestemmelserne ikke bliver efterprøvet under et eventuelt tilsynsbesøg.

Med tilkendegivelserne fra det norske og svenske datatilsyn kan virksomheder derfor nu også fremover nyde samme sikkerhed ved indgåelse af databehandleraftaler i Norge og Sverige, da begge datatilsyn bekræftede, at standarddatabehandleraftalen vil anses som om, at den var udarbejdet af dem selv.

iuno mener

Når virksomheder anvender eksterne ressourcer, er det afgørende at tage højde for persondatareglerne. Derfor er det som udgangspunkt altid nødvendigt at vurdere den konkrete situation for at få afklaret, om der er tale om en databehandlerkonstruktion, hvem der i øvrigt er ansvarlig for hvad, og hvilke sikkerhedsmæssige tiltag der kan være nødvendige.

iuno mener, at virksomheder med fordel kan bruge eller tage udgangspunkt i Datatilsynets standarddatabehandleraftale i både Danmark, Norge og Sverige. Det er imidlertid samtidig afgørende, at virksomheder faktisk sikrer, at kravene også efterleves i praksis, henset til de store negative konsekvenser det kan få, hvis reglerne overtrædes.

Læs mere om, hvordan vi kan hjælpe jer med compliance-arbejdet her.