Hvornår skal I have en DPA?
Reglen er enkel: behandler en leverandør persondata på jeres instruks og vegne, skal der være en databehandleraftale — uden undtagelse. Det gælder typisk cloud- og hostingudbydere, mailudbydere (Microsoft 365, Google Workspace), løn- og HR-systemer, CRM- og nyhedsbrevsplatforme, bogføringssystemer og eksterne IT-supportere med adgang til jeres systemer.
Modsat kræves ingen DPA, når modparten selv er dataansvarlig for behandlingen — fx jeres revisor eller advokat, der behandler data til egne lovbestemte formål.
Hvad skal aftalen indeholde?
GDPR artikel 28, stk. 3 dikterer minimumsindholdet: behandlingens genstand, varighed, karakter og formål; typen af persondata og kategorier af registrerede; samt databehandlerens forpligtelser — herunder kun at behandle efter dokumenteret instruks, sikre fortrolighed, implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, bistå ved brud og registreredes rettigheder, og slette eller returnere data ved ophør.
Særligt vigtigt i praksis er reglerne om underdatabehandlere: jeres leverandørs leverandører. Aftalen skal regulere, om og hvordan de må bruges — og det er ofte her, data ender uden for EU, uden at nogen har opdaget det.
Den klassiske fejl: aftalen i skuffen
Mange SMV’er har databehandleraftaler — typisk leverandørens standardvilkår, accepteret med ét klik. Problemet er, at den dataansvarlige (jer) har pligt til at føre tilsyn med, at aftalen overholdes. Datatilsynet forventer dokumenteret, risikobaseret opfølgning, ikke kun en underskrift. Ved et tilsyn er spørgsmålet sjældent “har I en DPA?”, men “hvordan kontrollerer I den?”.