Indsatser: Databehandleraftale

Du er startet på at læse denne post, fordi du snart er for sent ude med at få indgået de her, med dine leverandører eller med dine kunder! Artikel 28 sætter minimum betingelserne, og jeg har tænkt mig at give et bud på, hvor kortfattet det kan gøres - velbekomme ;)

Lovteksten

Men først skal du trækkes med en tour de force gennem lovteksten, som siger at:

  • du skal kunne garantere at "behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder" for at kunne tilbyde din behandling til en dataansvarlig
  • du ikke må viderelevere andre databehandleres ydelser "uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige" - jeg gætter så på at der er en del 'white label' tjenester, som enten skal ud af skabet, eller dataansvarlige som kommer til at sluge en "generel skriftlig godkendelse"
  • du "i tilfælde af generel skriftlig godkendelse" skal "underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere" så den dataanvarlige har mulighed for at "gøre indsigelse mod sådanne ændringer"
  • behandlingen, som du tilbyder, skal være "reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret"
  • aftalen skal fastsætte "genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder"
  • aftalen skal præcisere at du
    1. "kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige"[1]
    2. "sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt"
    3. "iværksætter alle foranstaltninger, som kræves i henhold til artikel 32"
    4. overholder betingelserne for evt at benytte under/andre databehandlere
    5. "så vidt muligt bistår den dataansvarlige ...med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder" - og du må gerne bistå den dataansvarlige "ved hjælp af passende tekniske og organisatoriske foranstaltninger" dvs - IT ;)
    6. "bistår den dataansvarlige med at sikre" personoplysningssikkerheden, som den er defineret i artikel 32-36
    7. "efter den dataansvarliges valg sletter[2] eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt"
    8. "stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige"
    9. "giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige." Viser det sig at en revision eller inspektion giver anledning til en instruks, som du finder er "i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret" så skal du straks underrette den dataansvarlige
  • de andre databehandlere, du måtte gøre brug af, "i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges ... de samme databeskyttelsesforpligtelser". Opfylder dine 'underleverandører' ikke deres databeskyttelsesforpligtelser, "forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige" - dvs du er den!
  • du kan bruge tiltrædelsen af en adfærdskodeks som "et element til at påvise fornødne garantier" - dvs dem du stiller qua aftalen
  • aftalen kan baseres på en standardkontrakt
  • den skal foreligge skriftlig, evt elektronisk
  • hvis du fastlægger formålene og hjælpemidlerne til behandlingen - så er du den dataansvarlige fsv angår den pågældende behandling

Og så siger Artikel 29, at "enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret".

Det var det - og vi sluttede da lige af med en 'bummer', hva'? hvis du fastlægger formålene og hjælpemidlerne til behandlingen!! Det gør alle jo! Hvilket vil sige at tjenesteudbydere uanset produkt eller ydelse, er dataansvarlige - fordi de har "fastlagt hjælpemidlerne"

Hvilket kan tolkes at tjenesteudbyderen skal have en aftale med sig selv for de pågældende behandlinger?!? Men mere kækt - at da udbyderen i givet fald selv er dataansvarlig, så ikke behøver en aftale med kunden!!! Gad vide hvad Datatilsynet siger til den argumentation!?!

Forslag til en aftale

#1 Parter
Som databehandler har CVR DK20171286, ALCO Company ApS, Aabrinken 28, 7700 Thisted, i det følgende vi/os/vores, indgået denne aftale med CVR XX, NAVN, Adresse i det følgende I/jer/jeres, som dataansvarlig,

#2 Omfang
for så vidt angår vores levering af tjenester til jer, som specificeret i bilag 1 til denne aftale og for hver tjeneste, i nødvendigt omfang specificeret i særskilte aftaler,

#3 Kontekst
med det formål at beskrive vores og jeres fælles hæftelse og ansvar for og interesse i at overholde gældende lovgivning omkring persondatabeskyttelse, her således især Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, herefter alene forordningen,

#4 Respekt
og her i særdeleshed i respekt for forordningens Artikel 28-29, der formulerer kravene til en databehandler,

#5 Præcisering
og således på de aftalte vilkår at vi

  • ikke behandler personoplysninger for jer, medmindre vi modtager skriftlige instrukser, gerne pr email,
  • alle 3 (hhv Andreas, Bo og Walther) er underlagt streng tavshedspligt, hvilket vi bekræfter med vores underskrifter på denne aftale,
  • i fornødent omfang iværksætter alle foranstaltninger efter Artikel 32, og som særligt præciseret i denne aftales #6,
  • vil overholde betingelserne for evt at benytte under/andre databehandlere til helt eller delvist at udføre behandling af personoplysninger efter denne aftales omfang, og som om nødvendigt specificeret for den enkelte tjeneste i bilag 1 til denne aftale,
  • beredvilligt vil bistå jer med at besvare anmodninger om udøvelse af de registreredes rettigheder,
  • beredvilligt vil bistå jer med at sikre personoplysningssikkerheden, som forordningen generelt, og artiklerne 32-36 specifikt definerer den, og som særligt præciseret i denne aftales #6,
  • medmindre I skriftligt meddeler os andet, sletter alle originaler og alle kopier af personoplysninger, der måtte være tilstede efter denne aftales omfang, senest 8 dage efter denne aftales ophøre,
  • på jeres skriftlige anfordring stiller alle nødvendige oplysninger til jeres disposition, så I kan efterprøve vores evne og vilje til at overholde denne aftale,

#6 Behandlingssikkerhed
og at vi, i den fælles forståelse af behovet for at sikre behandlingssikkerheden,

  • løbende optimerer og udbygger vort beredskab til imødegåelse af brud på datasikkerheden generelt, og personoplysningssikkerheden specifikt ved blandt andet instruktivt at oplære, instruere, advare, oplyse jer (og vore kunder i øvrigt) om en sikker og optimal brug af vore tjenester
  • ikke placerer data udenfor vor egen kontrol, hvor det ikke specifikt er angivet for den enkelte tjeneste i bilag 1,
  • sikkerhedskopierer konfigurations- og produktionsdata hvert døgn,
  • har alle fysiske driftssystemer placeret i et sløret miljø, uden almindelig adgang, brand- og tyverisikret som bankbokse, med fejlstrøms- og energenanlæg,
  • ingen ansatte har som kan udgøre en sikkerhedsbrist
  • for jer, efter jeres valg, fungerer som skjold og talerør i situationer med ransomware, trusler, domain squatting, eller andre tiltag med det formål at bringe jeres virksomheds drift og data ud af balance og sikkerhed,
  • for aftalens omfang, ud fra en risikovurdering for hver tjeneste, har specificeret i bilag 1, hvilke særlige foranstaltninger der er tilknyttet,
  • at vi fører en log over alle hændelser, hvis natur vi ikke umiddelbart kan gøre rede for, ved alvorlige tegn på vira, forskellig ransomware og grove eksempler på SPAM samt brud på sikkerheden til CSIRT, og ved brud på personoplysningssikkerheden til jer, med rådgivning om at anmelde hændelsen til Datatilsynet, såvidt muligt inden 72 timer efter at I har fået oplysningen af os,

#7 Revision og inspektion
og i enighed, for at forbedre såvel denne aftale som de behandlinger, der er konsekvensen af denne aftales omfang, vil revidere og inspicere

  1. tjenesterne efter denne aftales omfang, som specificeret for den enkelte tjeneste i bilag 1,
  2. og denne aftale 12 mdr efter dens ikrafttræden,
  3. og i begge tilfælde, for at skabe et smidigt og effektivt miljø for revisioner og inspektioner, under den følgende procedure
    • ønsker I at revidere eller inspicere på vores firma adresse (Aabrinken 28, 7700 Thisted) sender I os en email senest 48 timer før ankomsten, som vi herefter skal bekræfte senest 24 timer før jeres ankomst,
    • revision og inspektion kan ikke forekomme på søgn- og helligdage og heller ikke i uge 50-53, uge 1, uge 7-8, samt i ugerne 26-31,
    • fysisk adgang til vort hosting center (fysisk placeret i Frankfurt, Tyskland) kan kun lade sig gøre ifølge med enten Andreas, Bo eller Walther, og kræver at ovennævnte procedure for varskoning udvides med 72 timer samt at hosting centeret godkender den enkelte revisor/kontrollant,
    • enhvert fremsat ønske om revision og inspektion ledsages af en revisions- og/eller inspektionsprotokol,
    • indeholder protokollen instrukser, som vi finder i strid med forordningen, denne aftale eller andre databeskyttelsesbestemmelser i anden EU-ret eller dansk lov, er det aftalt at vi straks underretter jer, og at den planlagte revision eller inspektion udsættes indtil I og vi er enige om protokollen
    • fremkommer jeres bemyndigede inspektør med instrukser eller overskrider rammerne for den aftalte protokol, afbrydes revisionen eller inspektionen og protokollen underskrives med bemærkningen "afbrudt pga protokol fejl", hvorefter I er velkomne til at planlægge en ny revision eller inspektion,
    • protokollens konklusion formuleres og underskrives hos os
    • viser konklusionen at vi eller vi og I ikke opfylder denne aftale eller ikke lever op til forordningens artikler, skal I underrette Datatilsynet og denne aftale er automatisk opsagt, hvorefter I indenfor 48 timer skriftligt skal meddele os hvorvidt I og vi skal arbejde på tegningen af en ny aftale eller hvordan aftalens omfang skal bringes til ophør,

#8 Varighed og ophør
som I og vi er enige om vil ske i en af følgende 4 situationer, hhv

  • i den beklagelige situation at I ikke ønsker at vi leverer tjenester efter denne aftales omfang til jer mere, og hvor I derfor skriftligt meddeler os jeres beslutning, til udløb som specificeret for den enkelte tjeneste i bilag 1,
  • i den uhyre beklagelige situation at en underskrevet revisions- og/eller inspektionsprotokol konkluderer at vi eller vi og I ikke opfylder denne aftale eller ikke lever op til forordningens artikler,
  • i den meget beklagelige situation hvor vi ikke længere ser os i stand til at levere tjenester efter denne aftales omfang, og hvor vi derfor skriftligt meddeler jer vores beslutning, til udløb som specificeret for den enkelte tjeneste i bilag 1,
  • i den særdeles beklagelige situation hvor vi eller I misligholder samarbejdet,

#9 Misligholdelse
ved ikke at leve op til denne aftale, ved ikke at leve op til vore salgs- og leveringsbetingelser, eller ved ikke at følge de skriftlige instrukser, vi fremsender for loyalt at udfylde aftalens omfang,

#10 Kontaktpunkter
og således i dagligdagen til den eller de sagsspecifikke kontaktpunkter, som aftalt lejlighedsvist med jer, og ellers til jeres kontaktpunkt NAVN, email, tlf, der sikrer at vi er orienterede om andre kontaktpunkter ved hens manglende kontaktbarhed,

og vore kontaktpunkter er i alle døgnets 24 timer

Andreas DiechmannBo DiechmannWalther Diechmann
andreas@alco.dkbo@alco.dkwalther@alco.dk
+45 9791 1470+45 9791 1470+45 9791 1470

#11 Underskrift
og endelig således i enighed,

____________________________________
XXXALCO Company ApS

Bilag 1

TJENESTE 1
oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
den dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.
instruks om, hvilken behandling databehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
data placeret udenfor vor kontrol
TJENESTE 2
oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.

  1. , herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser ↩︎

  2. og det gælder så også eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne ↩︎