GDPR Databehandleravtale

En databehandler er en person eller en virksomhet som behandler personopplysninger på vegne av den behandlingsansvarlige bedriften. Personvernloven krever at det foreligger en avtale mellom partene.

Databehandleravtalen skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger.

Typiske databehandlere er regnskapsførere, revisorer og it-operatører.

Den behandlingsansvarlige har rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles.

Det er den behandlingsansvarlige, og ikke databehandleren, som bestemmer hva som skal skje med personopplysningene som behandles etter avtalen.

Den behandlingsansvarlige har plikt til å undersøke om databehandleren er kompetent til å behandle de aktuelle personopplysningene i tråd med pliktene som følger av personvernlovgivningen.

Det er ikke noe i veien for at avtalen inneholder flere vilkår enn det som følger av lovkravene, for eksempel dersom den behandlingsansvarlige ønsker å pålegge databehandleren særlige forpliktelser.

Dersom en databehandler bruker en annen databehandler (en underleverandør) til å gjøre hele eller deler av behandlingen, må det også foreligge en databehandleravtale mellom databehandleren og underleverandøren.

Databehandleren skal sikre at kun autoriserte personer har tilgang til opplysningene, og at databehandleren fratar tilgangen dersom autorisasjonen utløper. Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført.

Veileder databehandleravtale. Datatilsynet

Legg inn en kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.