EUs personvernforordning (GDPR) fyller snart ett år i Norge. Med GDPR kom det strengere krav til hva såkalte databehandleravtaler skal inneholde. Selv om de nye kravene nå har vært gjeldende en stund, er vår erfaring at mange virksomheter og organisasjoner fortsatt ikke har fått på plass databehandleravtaler med sine underleverandører som oppfyller kravene. Her kan du lese mer om hva som er viktig å huske på.
Hva er en databehandleravtale?
En databehandleravtale regulerer forholdet mellom det som kalles behandlingsansvarlig og databehandler.
En behandlingsansvarlig er den virksomheten eller organisasjonen som bestemmer formålet med behandlingen av personopplysningene. Dette kan for eksempel være en arbeidsgiver som behandler personopplysninger om sine ansatte eller en organisasjon som behandler personopplysninger om sine medlemmer.
En databehandler behandler derimot personopplysningene på vegne av den behandlingsansvarlige, og kan for eksempel være leverandør av et HR-system arbeidsgiver bruker til å behandle opplysninger om sine egne ansatte. En databehandler er med andre ord en underleverandør til den behandlingsansvarlige.
GDPR setter blant annet som krav at behandlingsansvarlig og databehandler har inngått en databehandleravtale. En slik avtale sier noe om hvilke rettigheter og plikter begge har i forbindelse med behandlingen av personopplysningene.
Det er med andre ord et lovkrav at alle virksomheter og organisasjoner som bruker databehandlere har en slik avtale på plass. Det var også et lovkrav før GDPR at behandlingsansvarlig og databehandler hadde slike avtaler, men med GDPR har det blitt stilt strengere krav til innholdeti disse databehandleravtalene.
Hvorfor er det viktig å ha databehandleravtaler?
Det er ikke bare fordi det er et lovkrav eller at man risikerer bøter fra Datatilsynet at det er viktig å inngå databehandleravtaler.
Med det økende fokuset på personvern er det videre viktig med tanke på virksomhetens/ organisasjonens omdømme. De virksomheter og organisasjoner som kan vise til at man etterlever personvernlovgivningen vil ha et konkurransefortrinn ved at de vil nyte større tillit fra sine medlemmer, ansatte, kunder og andre.
Er det noen fallgruver ved inngåelse av en databehandleravtaler?
Som ved alle andre former for avtaler, vil det alltid kunne være noen fallgruver dersom man ikke passer godt nok på.
For det første er det viktig at databehandleravtalen oppfyller de krav til avtalens innhold som følger av GDPR. Dette er for eksempel krav om at detaljer om behandlingen av personopplysningene skal følge av avtalen, hvilke sikkerhetstiltak som er gjort og om databehandler har lov til å benytte seg av underleverandører for å nevne noen av kravene.
Videre er det viktig at avtalen er formulert på en klar og tydelig måte slik at det ikke oppstår noen misforståelser eller uenigheter i ettertid om hva partene egentlig har ment. Selv om partene synes å være enige ved avtaleinngåelsen, er databehandleravtaler ofte knyttet til langvarige kontrakter. En konflikt vil kanskje kunne oppstå først flere år frem i tid, og uklare avtalebestemmelser vil kunne medføre et høyere konfliktnivå enn nødvendig.
Urimelige avtalevilkår
Erfaringsmessig ser vi videre at en del databehandleravtaler inneholder en del urimelige vilkår eller for store ansvarsfraskrivelser fra en av partene.
GDPR sier for eksempel ingenting om hvordan kostnader skal fordeles mellom partene. Ikke sjelden ser vi at databehandler ønsker å kunne kreve dekket alle sine kostnader forbundet med bistand til den behandlingsansvarlige, også for bistand databehandler vil være lovpålagt å gi til den behandlingsansvarlige. Det er selvfølgelig anledning til å avtale dette, men vil på generelt grunnlag anses som urimelig. En bedre og mer rimelig løsning vil kunne være at databehandler skal ha krav på å få dekket sine utgifter dersom den behandlingsansvarlige ber om bistand utover hva som databehandler er forpliktet til å gi etter GDPRs minstekrav.
En annen ting man bør være oppmerksom på er eventuelle erstatningsbestemmelser som pålegger en av partene ett ubegrenset erstatningsansvar. For vide erstatningsbestemmelser kan føre til uante konsekvenser dersom det skulle oppstå et avtalebrudd fra en av partene.
Vi anbefaler alltid at en med juridisk kompetanse og erfaring med databehandleravtaler blir koblet på for å kvalitetssikre avtalen på et tidlig tidspunkt. På denne måten vil man sikre at databehandleravtalen ivaretar både den behandlingsansvarlige og databehandlerens interesser, i tillegg til at den oppfyller lovens krav.
Advokatfirmaet Lippestad har god erfaring med bistand både til behandlingsansvarlig og databehandler om personvernspørsmål. Har du spørsmål vedrørende inngåelse, opprettelse eller revidering av databehandleravtaler er det bare å ta kontakt med oss på e-post eller ved å ringe 481 76 355.
Artikkelen er ajour i henhold til gjeldende lovgivning per 22.5.2019
