I artikkel 28 i personvernforordningen finner man kravene til innholdet i en databehandleravtale. Det er imidlertid ikke noe i veien for at inneholder flere vilkår enn det som følger av loven, for eksempel dersom den behandlingsansvarlige ønsker å gi databehandleren særlige forpliktelser. Dette er opp til den behandlingsansvarlige å vurdere. Det er også opp til den behandlingsansvarlige å vurdere om databehandleravtalen skal inneholde Datatilsynets anbefalinger utover kravene i loven.
Mal for standard databehandleravtale
Datatilsynet i Danmark har laget en standard databehandleravtale som også kan brukes av norske virksomheter. Databehandleravtalen er tilgjengelig på både dansk og engelsk.
1. Databehandleravtalen må beskrive selve behandlingen
Databehandleravtalen må beskrive selve behandlingen (artikkel 28 nr. 3). Avtalen må derfor beskrive konkret hva databehandleren faktisk skal gjøre, behandlingens art, hva som er formålet med behandlingen, hvor lenge avtalen skal vare, hva slags personopplysninger som er registrert og hvilke kategorier av personer personopplysningene gjelder.
Hvor utførlig man skal beskrive dette, kommer an på kompleksiteten av behandlingen. Det er uansett viktig at avtalen er klar på hva behandlingen går ut på. Da settes det klare rammer for hva databehandleren kan gjøre, og eventuelt ikke kan gjøre, og sikrer at det ikke blir behandlet personopplysninger utover dette. Dersom personopplysninger behandles for flere formål, anbefaler vi å beskrive disse hver for seg for å gjøre avtalen enklest mulig å lese.
Databehandleravtalen må beskrive følgende:
- Avtalens tema og behandlingens art, formål og varighet
Temaet skal beskrive hva databehandleroppdraget faktisk går ut på. Er for eksempel oppdraget at databehandleren skal lagre den behandlingsansvarliges kundeopplysninger i sin skyløsning? Skal databehandleren sende ut markedsføringshenvendelser på vegne av behandlingsansvarlig? Skal databehandleren administrere den behandlingsansvarliges kameraovervåkingssystem?
Databehandleravtalen skal også beskrive nærmere behandlingens art og hva som er formålet med behandlingen. På denne måten sikrer man at databehandleren kun bruker personopplysningene til klart angitte formål og at det ikke skjer en formålsutglidning. Er eksempelvis formålet å administrere kameraovervåkingsanlegget for å forebygge og oppklare straffbare handlinger, er det klart at databehandleren aldri kan bruke kameraovervåkingssystem til annet enn dette.
Databehandleravtalen må også beskrive hvor lenge databehandleroppdraget skal vare. I noen tilfeller er det vanskelig å angi en konkret varighet for et databehandleroppdrag, og i slike tilfeller er det tilstrekkelig å si at avtalen varer frem til den sies opp av en av partene.
Eksempel på innhold
«Behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige, består i å stille system X til rådighet, samt å utføre nødvendig vedlikehold av systemet. Systemet skal brukes til oppbevaring av den behandlingsansvarlige medlemsopplysninger.
Formålet med behandlingen av personopplysninger er å administrere medlemskapet ved å sørge for fakturering av medlemsavgift, sende ut informasjon om medlemsaktiviteter og holde oversikt over påmelding til medlemsaktiviteter.
Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp av en av partene.»
- Kategorier av registrerte som omfattes, og hva slags personopplysninger som behandles
Eksempler på kategorier av registrerte er ansatte, medlemmer, kunder, pasienter, elever og lignende.
Med type personopplysninger menes de konkrete opplysningene som blir behandlet, slik som for eksempel navn, telefonnummer, fødselsdato, kjøpshistorikk, kundenummer, logginformasjon og så videre.
Eksempel på innhold
«De registrerte er medlemmer hos den behandlingsansvarlige.
Personopplysningene som registreres er navn, adresse, e-postadresse, medlemsnummer og betalingsopplysninger.»
2. Databehandleravtalen skal beskrive pliktene og rettighetene til den behandlingsansvarlige
Den behandlingsansvarlige har en rekke plikter og rettigheter. Artikkel 28 sier ikke konkret hvilke plikter og rettigheter som skal beskrives i databehandleravtalen. Dersom alle plikter og rettigheter beskrives i avtalen, kan den bli svært lang og kompleks.
Datatilsynets tolkning er derfor at det ikke er nødvendig å gjenta alle pliktene og rettighetene etter personvernforordningen i databehandleravtalen. I stedet må den behandlingsansvarliges plikter etter loven beskrives på et overordnet nivå. Dessuten må alle rettigheter og plikter som ikke følger direkte av loven, være godt beskrevet.
Databehandleravtalen må derfor regulere følgende:
- Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
- Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
- Den behandlingsansvarlige skal gi databehandleren dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a). Instruksene skal være en del av avtalen eller lagt ved som et vedlegg til avtalen.
- Den behandlingsansvarliges rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.
Databehandleravtalen kan dessuten inneholde:
- Bestemmelser om vederlag og dekning av kostnader.
3. Databehandleravtalen skal beskrive databehandlerens forpliktelser
Den behandlingsansvarlige har rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles. Dette gjøres klart i artikkel 28 nr. 3. Vi vil her gå gjennom denne bestemmelsen bokstav for bokstav for å gi råd og veiledning i hva avtalen må og bør inneholde om databehandlerens forpliktelser.
Bokstav a) Bare behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige
Vilkåret presiserer altså at det er den behandlingsansvarlige, og ikke databehandleren, som bestemmer hva som skal skje med personopplysningene som behandles etter avtalen. Unntak gjelder dersom databehandleren har plikt til å etterkomme andre lover som databehandleren er underlagt.
Databehandleravtalen må derfor regulere følgende:
- Databehandleren skal kun skal behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige. Unntaket er dersom norsk lov pålegger databehandleren en konkret behandling av personopplysninger. I så fall skal databehandleren underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.
- Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett (jf. artikkel 28 nr. 3 siste ledd).
Bokstav b) Plikt til at autoriserte personer behandler personopplysningene fortrolig
Både den behandlingsansvarlige og databehandlere har plikt til å behandle personopplysninger på en sikker måte. Dette innebærer blant annet tilgangsstyring, altså at bare utpekte personer skal ha tilgang til personopplysningene som behandles.
Databehandleren må derfor godkjenne (autorisere) alle som skal ha tilgang til opplysningene, enten det er snakk om egne ansatte eller innleid arbeidskraft. Kun de som har tjenestlig behov for opplysningene, skal autoriseres. Databehandleren må ha tiltak på plass som sikrer at ingen andre enn de som er autorisert, kan få tilgang. Disse pliktene følger av personvernforordningen artikkel 32, og gjelder uansett hva avtalen sier.
Databehandleren skal gi autoriserte personer utførlig informasjon om hvordan personopplysninger skal behandles for å sikre fortrolighet. De autoriserte personene må være underlagt taushetsplikt for opplysningene i medhold av lov eller avtale.
Databehandleravtalen må derfor regulere følgende:
- Databehandleren skal sikre at autoriserte personer er forpliktet til å behandle personopplysningene fortrolig, eller er underlagt lovfestet taushetsplikt.
- Databehandleren skal, etter anmodning fra den behandlingsansvarlige, kunne påvise at de autoriserte personene er underlagt fortrolighet eller taushetsplikt - for eksempel ved dokumentasjon (jf. artikkel nr. 28 bokstav b og h).
- Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført.
Datatilsynet anbefaler i tillegg at databehandleravtalen regulerer følgende:
- Databehandleren skal sikre at kun autoriserte personer har tilgang til opplysningene, og at databehandleren fratar tilgangen dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen.
- Databehandleren skal kun autorisere personer som av nødvendige grunner må ha tilgang til personopplysningene.
Bokstav c) Plikt til å ha tilfredsstillende sikkerhetstiltak
Plikten til informasjonssikkerhet innebærer også andre plikter enn tilgangsstyring og fortrolighet, for eksempel plikt til å gjennomføre en risikovurdering.
Datatilsynet anbefaler derfor at avtalen regulerer følgende:
- Databehandleren treffer alle tiltak som er nødvendige etter personopplysningsloven artikkel 32.
- Eventuelle minimumskrav til sikkerhetstiltak beskrives i et eget vedlegg til databehandleravtalen. Begrunnelsen er at den behandlingsansvarlige har en overordnet plikt til å bruke databehandlere som kan gi tilstrekkelige garantier for at kravene i personopplysningsloven blir ivaretatt.
I vedlegget kan det for eksempel stå at databehandleren har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32, men at databehandleren som et minimum må gjennomføre visse tiltak som er avtalt med den behandlingsansvarlige.
Eksempel på tiltak kan være:
- En beskrivelse av tekniske og organisatoriske tiltak for å beskytte personopplysninger ved overføring/utlevering
- En beskrivelse av eventuelle krav til pseudonymisering eller kryptering
- En beskrivelse av eventuelle krav til logging
- En beskrivelse av eventuelle krav til sikring av personopplysningene der disse lagres
Les mer om informasjonssikkerhet
Bokstav d) Bruk av annen databehandler (underleverandør)
En databehandler ønsker i noen tilfeller å bruke en annen databehandler (en underleverandør) til å utføre hele eller deler av behandlingen. Den første databehandleren må da inngå en egen databehandleravtale med den andre databehandleren. Databehandleravtalen må inneholde de samme forpliktelsene som er inngått mellom den behandlingsansvarlige og «hoveddatabehandleren». Den andre databehandleren er med andre ord bundet av de samme forpliktelsene og rammene som den første databehandleren (jf. artikkel 28 nr. 4).
Databehandleren må på forhånd avklare med den behandlingsansvarlige om en underleverandør kan benyttes. Databehandleren må derfor på forhånd ha fått en generell eller særlig skriftlig tillatelse til å bruke en underleverandør. En generell godkjennelse innebærer at databehandleren har mulighet til å engasjere underleverandører underveis i avtaleforholdet etter behov. En særlig skriftlig tillatelse innebærer derimot at konkrete underleverandører må godkjennes spesifikt av den behandlingsansvarlige.
Dersom tillatelsen er generell, må databehandleren uansett underrette den behandlingsansvarlige om bruk av nye underleverandører. På denne måten får den behandlingsansvarlige mulighet til å motsette seg slike endringer (jf. artikkel 28 nr. 2).
Databehandleravtalen må derfor regulere følgende:
- Databehandleren må ikke engasjere en annen databehandler (underleverandør) uten at det på forhånd er innhentet en særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige.
- Dersom det er gitt en generell skriftlig godkjennelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å bruke annen databehandler (underleverandører) eller skifte ut databehandlere (underleverandører) og gi den behandlingsansvarlige mulighet til å motsette seg slike endringer.
- Databehandleravtalen skal angi tydelig hvilket alternativ som er valgt, enten i avtalen eller i et vedlegg.
Eksempler på innhold
«Databehandleren skal bare bruke annen databehandler etter forutgående særlig skriftlig godkjennelse. Den behandlingsansvarlige skal motta anmodningen om bruk av ny databehandler senest innen (antall uker) før endringen eventuelt trer i kraft.»
eller
«Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere. Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere. Den behandlingsansvarlige må motta en slik underretning minimum (antall uker) før endringen trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele databehandleren om dette senest (antall uker) etter underretningen er mottatt.»
eller
«Databehandleren kan ikke bruke andre databehandlere.»
- Databehandleren må pålegge eventuelle andre databehandlere de samme forpliktelsene som er fastsatt i denne databehandleravtalen gjennom en skriftlig avtale.
- Eventuelle godkjente databehandlere angis i avtalen eller i et vedlegg til avtalen. Databehandleravtalen med angivelse av andre databehandlere skal bli tilsendt den behandlingsansvarlige.
Datatilsynet anbefaler i tillegg at avtalen presiserer følgende:
- Hvis den andre databehandleren (underleverandøren) ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, har databehandleren det fulle ansvaret overfor den behandlingsansvarlige.
Bokstav e) Bistand til å svare på anmodninger som gjelder de registrertes rettigheter
Den behandlingsansvarlige har plikt til å legge til rette for at den registrerte får utøvd sine rettigheter, slik som retten til innsyn, retting, sletting og innsigelsesretten (forordningens kapittel 3).
Dette er et viktig praktisk vilkår å ta inn i avtalen, siden databehandleren ofte har den daglige håndteringen av personopplysningene. Et godt samarbeid med databehandler er viktig for at den behandlingsansvarlige skal kunne etterleve pliktene som gjelder når den registrerte utøver sine rettigheter.
Databehandleravtalen må derfor regulere følgede:
- Databehandleren bistår den behandlingsansvarlige (ved hjelp av egnede tekniske og organisatoriske tiltak) å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.
Datatilsynet anbefaler i tillegg at avtalen presiserer følgende:
- Databehandleravtalen beskriver nærmere hvilken bistand databehandleren skal gi til den behandlingsansvarlige. Dette kan beskrives i instruksene som er gitt til databehandleren. Da settes det klare rammer til hva den behandlingsansvarlige forventer av databehandleren.
- Dersom behandlingen som settes ut til databehandleren innebærer lagring av kundeopplysninger, er det hensiktsmessig at dette punktet beskriver nærmere hva databehandleren skal gjøre ved et eventuelt krav om sletting fra den registrerte. En instruks kan være at databehandleren innen et gitt tidsrom, for eksempel 5 dager, skal informere den behandlingsansvarlige at det har kommet et krav om sletting fra en registrert.
Eksempel på innhold
«Ved innsynskrav må databehandler bistå ved å samle opplysningene som er lagret om den registrerte. Databehandler må gjøre opplysningene tilgjengelig for den behandlingsansvarlige for at den behandlingsansvarlige kan vurdere innsynskravet.»
Bokstav f) Bistand til den behandlingsansvarlige
Den behandlingsansvarlige er iblant avhengig av bistand fra databehandleren for å kunne oppfylle pliktene sine. Dette er fordi det kan være databehandleren som daglig håndterer personopplysningene. Databehandleren har derfor plikt til å bistå den behandlingsansvarlige med å sikre at kravene i artikkel 32-36 blir overholdt. Dette gjelder så langt det er mulig, tatt i betraktning behandlingens art og den informasjonen som er tilgjengelig for databehandleren. Bestemmelsene i disse artiklene gjelder overholdelse av krav til personopplysningssikkerhet, avviksmelding, underretning til den registrerte om brudd på personopplysningssikkerheten, vurdering av personvernkonsekvenser og krav til forhåndsdrøftelser med tilsynsmyndigheten.
Databehandleravtalen må derfor regulere følgende:
- Databehandleren har en plikt til å bistå den behandlingsansvarlige med å overholde de forpliktelsene etter artikkel 32-36 som er relevante i det konkrete avtaleforholdet.
- Databehandleren må straks underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten (jf. artikkel 33 nr. 2).
- Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varselet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3).
- Dersom bruddet medfører at den behandlingsansvarlige må varsle de registrerte (jf. artikkel 34), må databehandleren gi den informasjonen som kreves for at den behandlingsansvarlige kan ivareta plikten til å gi slik underretning på en tydelig måte, og i tråd med artikkel 33 nr. 3. bokstav b), c) og d).
Datatilsynet anbefaler i tillegg at avtalen presiserer følgende:
- Dersom den behandlingsansvarlige skal foreta en vurdering av personvernkonsekvenser og eventuelt forhåndsdrøftinger etter artikkel 35 og 36, bør databehandleravtalen inneholde informasjon om hva den behandlingsansvarlige forventer av databehandleren. Dette kan for eksempel være krav om at databehandleren bidrar til å vurdere sikkerhetstiltak som kan bidra til å håndtere risikoen behandlingen medfører for de registrerte.
Bokstav g) Avslutning av avtalen
Når databehandleroppdraget er avsluttet, er det viktig at databehandleren ikke fortsetter å sitte på opplysningene. Databehandleravtalen må derfor regulere hva som skal skje med personopplysningene når behandlingsoppdraget er fullført. Dette kan enten skje ved at databehandleren sletter alle personopplysningene eller tilbakeleverer alle personopplysningene og deretter sletter egne kopier.
Det er den behandlingsansvarlige som bestemmer om opplysningene skal slettes i sin helhet eller om opplysningene skal tilbakeleveres til den behandlingsansvarlige.
Databehandleravtalen må derfor regulere følgende:
- Ved opphør av tjenestene som gjelder behandling av personopplysninger, er databehandleren forpliktet til (etter den behandlingsansvarliges valg) å slette eller levere tilbake alle personopplysningene til den behandlingsansvarlige, og slette eksisterende kopier.
- Databehandleravtalen må angi tydelig hvilket av alternativene som er valgt.
Eksempler på innhold
«Databehandleren er forpliktet til å tilbakelevere alle personopplysninger som er behandlet på den behandlingsansvarliges vegne til den behandlingsansvarlige ved opphør av avtaleforholdet, og deretter slette egne kopier.»
eller
«Databehandleren er forpliktet til å slette alle personopplysninger som er behandlet på den behandlingsansvarliges vegne, ved opphør av avtaleforholdet.»
- Databehandleren skal påvise at opplysningene faktisk er slettet når databehandleroppdraget avsluttes. Enten ved at databehandler kan dokumentere dette, eller ved inspeksjon fra den behandlingsansvarlige (jf. artikkel 28 nr. 3 bokstav g og h).
Datatilsynet anbefaler i tillegg følgende:
- Databehandleravtalen kan gjerne sette krav til hvordan slettingen spesifikt skal skje.
Bokstav h) Tilgjengeliggjøring av informasjon for den behandlingsansvarlige
Dette er et viktig praktisk vilkår som pålegger databehandleren å demonstrere etterlevelse av hele artikkel 28.
Databehandleren kan demonstrere etterlevelse ved å gi den behandlingsansvarlige nødvendig informasjon etter behov underveis i avtaleforholdet eller etter avtalt tidspunkt. Databehandleren skal også underkaste seg en revisjon eller inspeksjon. For eksempel skal databehandleren etter anmodning fra den behandlingsansvarlige kunne påvise at autoriserte personer er underlagt fortrolighet eller taushetsplikt.
Databehandleravtalen må derfor regulere følgende:
- Databehandleren må gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i artikkel 28 er oppfylt, for den behandlingsansvarlige.
- Databehandleren må muliggjøre og bidra til revisjoner (slik som inspeksjoner) som gjennomføres av den behandlingsansvarlige eller en annen inspektør, på fullmakt fra den behandlingsansvarlige.
Datatilsynet anbefaler i tillegg følgende:
- Databehandleravtalen bør inneholde en prosedyre for den behandlingsansvarliges tilsyn med databehandleren i et vedlegg.
- Den behandlingsansvarlige må selv vurdere hvor ofte det er nødvendig å gjennomføre revisjoner eller tilsyn, eller på andre måter be om informasjon fra databehandleren som påviser at artikkel 28 er overholdt.
- Avtalen bør konkretisere hvor ofte databehandleren skal informere den behandlingsansvarlige, eller hvor ofte det skal utføres tilsyn.
Eksempel på innhold
«Den behandlingsansvarlige eller en representant for den behandlingsansvarlige, gjennomfører (tidsangivelse) et fysisk tilsyn hos databehandler for å sikre at databehandleravtalen overholdes. Utover det planlagte tilsynet kan den behandlingsansvarlige gjennomføre tilsyn etter behov.»