Databehandleraftale Danmark — GDPR art. 28 og databeskyttelsesloven

Databehandleraftalen i Danmark er en obligatorisk kontrakt, der skal indgås, når en virksomhed (databehandleren) behandler personoplysninger på vegne af en anden virksomhed (den dataansvarlige). Pligten følger direkte af artikel 28 i databeskyttelsesforordningen (GDPR), der er EU-forordning 2016/679, der er direkte gældende dansk ret. Danmark supplerer GDPR med databeskyttelsesloven, lov nr. 502 af 23. maj 2018, der fastsætter nationale særregler og Datatilsynets beføjelser. Datatilsynet er den danske tilsynsmyndighed for databeskyttelse og fører aktivt tilsyn med overholdelsen.

Den grundlæggende sondring, som databehandleraftalen hviler på, er skellet mellem den dataansvarlige og databehandleren. Den dataansvarlige er den virksomhed, der bestemmer formålene og midlerne for behandlingen af personoplysninger — f.eks. en klinik, der indsamler patientoplysninger, eller en webshop, der behandler kundeoplysninger. Databehandleren er den virksomhed, der behandler personoplysningerne på den dataansvarliges vegne og efter dennes instruks — f.eks. et it-bureau, der drifte klinikkens it-system, eller en hostingudbyder, der lagrer webshoppen data. Databehandleren behandler altså ikke data til egne formål, men udelukkende som et redskab for den dataansvarlige.

Databehandleraftalen skal være skriftlig og opfylde de krav, der er opregnet i GDPR art. 28, stk. 3, litra a-h. De obligatoriske elementer er: behandlingens formål og omfang; krav om fortrolighed; sikkerhedsforanstaltninger efter GDPR art. 32; reglerne for underdatabehandlere; bistand til de registreredes rettigheder; anmeldelse af persondatabrud; sletning eller returnering af data; og bistand til revisioner og tilsyn. Mangler én eller flere af disse elementer, er aftalen ufuldstændig og kan give anledning til bøder.

Datatilsynet har i sin tilsynspraksis konstateret mange tilfælde, hvor databehandleraftaler mangler eller er ufuldstændige — særligt i it-leverandørforhold, cloud-løsninger og SaaS-aftaler. Bøder på op til 20 mio. EUR eller 4 % af virksomhedens globale omsætning kan pålægges ved alvorlige overtrædelser af GDPR art. 83. I Danmark er der givet bøder i sager om manglende databehandleraftaler og utilstrækkelig sikkerhed. Sø- og Handelsretten og byretterne behandler civile søgsmål om erstatning for overtrædelse af databeskyttelsesreglerne.

Databehandleraftalen er ikke et isoleret dokument — den er typisk et bilag til en overordnet aftale (it-serviceaftale, SaaS-abonnementsaftale, konsulentaftale) og regulerer alene det personoplysningsretlige aspekt af samarbejdet. Den overordnede aftale fastlægger kommercielle vilkår som pris og varighed, mens databehandleraftalen regulerer de databeskyttelsesretlige forpligtelser.

Databehandleraftalen i Danmark er nødvendig i enhver situation, hvor en ekstern part behandler personoplysninger på vegne af en virksomhed. Kravet er absolut og ufravigeligt — det er ikke op til parterne at vurdere, om en aftale er nødvendig.

Første typiske situation er it-service og cloud-tjenester. En virksomhed anvender en ekstern it-leverandør til drift, support og vedligeholdelse af it-systemer, der indeholder personoplysninger. Det gælder managed IT-services, hosting, SaaS-platforme og cloud-infrastruktur. Her er databehandleraftalen obligatorisk, da it-leverandøren har adgang til og behandler kundeoplysninger, medarbejderdata og andre personoplysninger.

Anden situation er lønservice og HR-systemer. En virksomhed outsourcer lønudbetalingen til et eksternt lønservicebureau eller bruger et cloud-baseret HR-system. Her behandles særligt følsomme personoplysninger om medarbejdere — lønforhold, CPR-numre og ansættelsesforhold. Lønservicebureauet er databehandler, og databehandleraftalen er obligatorisk.

Tredje situation er regnskab og bogføring. En virksomhed benytter en ekstern revisor eller et regnskabsbureau til bogføring og regnskabsudarbejdelse. Disse behandler typisk personoplysninger om leverandører, kunder og medarbejdere — fakturaer med CPR-numre, lønoplysninger og betalingsoplysninger.

Fjerde situation er markedsføring og CRM. En virksomhed anvender en ekstern marketingbureau til at administrere e-mailmarketing, og bureauet har adgang til virksomhedens kundedatabase. Her behandler bureauet personoplysninger (navne, e-mailadresser, præferencer) på virksomhedens vegne, og en databehandleraftale er nødvendig.

Femte situation er rekruttering og screening. En virksomhed anvender et eksternt rekrutteringsbureau, der behandler ansøgeres CV'er, personlige oplysninger og testresultater på vegne af virksomheden.

Sjette situation er sundhedssektor og sociale tjenester. En klinik eller social institution anvender et eksternt it-system til journalføring. Her behandles særlige kategorier af personoplysninger (helbredsoplysninger efter GDPR art. 9), og kravene til både databehandleraftalen og sikkerhedsforanstaltningerne er skærpede.

Syvende situation er administrative og konsulentydelser. En virksomhed anvender et eksternt administrativt bureau til behandling af kontraktindgåelser, kundekorrespondance eller ordrehåndtering. Det administrative bureau kan i den forbindelse behandle personoplysninger om kunder og kontaktpersoner, og en databehandleraftale er nødvendig.

Ottende situation er sikkerhedsscanning og penetrationstest. Et eksternt sikkerhedsfirma udfører en sikkerheds­audit af virksomhedens systemer og har dermed adgang til systemlogfiler og potentielt personoplysninger. Databehandleraftalen regulerer, hvad sikkerhedsfirmaet må gøre med de data, det tilgår under revisionen, og forpligter det til fortrolighed og sletning af data efter endt revision.

En lovmedholdelig databehandleraftale i Danmark skal opfylde de otte obligatoriske krav i GDPR art. 28, stk. 3, og databeskyttelsesloven. Nedenfor gennemgås de vigtigste bestanddele, der tilsammen udgør en komplet og Datatilsynet-kompatibel aftale.

Identifikation af parterne — den dataansvarlige og databehandleren — med CVR-numre verificeret på virk.dk (Erhvervsstyrelsen) er det første element.

Behandlingens formål, art og omfang er fundamentet. Aftalen skal præcist beskrive, hvad databehandleren behandler, til hvilket formål og på hvilke kategorier af registrerede. Jo mere præcis beskrivelsen er, desto lettere er det at vurdere, om databehandleren overskrider sin instruks.

Kravet om instruks og formålsbegrænsning er kernen: databehandleren behandler udelukkende personoplysninger på dokumenteret instruks fra den dataansvarlige. Det er forbudt at behandle data til egne formål, herunder kommercielle formål eller AI-træning.

Fortrolighedsforpligtelse: de personer, der er autoriseret til at behandle personoplysningerne, skal have forpligtet sig til fortrolighed eller være underlagt en lovbestemt tavshedspligt.

Sikkerhedsforanstaltninger efter GDPR art. 32: databehandleren implementerer passende tekniske og organisatoriske foranstaltninger afstemt med risikoen — kryptering, adgangsstyring, logning, backup og testning. forms-legal.com tilbyder separate skabeloner til IT-serviceaftaler og hostingaftaler, der supplerer databehandleraftalen.

Underdatabehandlere: databehandleren må kun bruge underdatabehandlere med den dataansvarliges generelle eller specifikke forudgående skriftlige tilladelse. Alle underdatabehandlere pålægges de samme forpligtelser som i databehandleraftalen. Der skal gives mindst 30 dages varsel ved ændringer af underdatabehandlere.

Bistand til de registreredes rettigheder: databehandleren bistår den dataansvarlige med at opfylde registreredes rettigheder — indsigt (GDPR art. 15), berigtigelse (art. 16), sletning (art. 17), begrænsning (art. 18), dataportabilitet (art. 20) og indsigelse (art. 21).

Anmeldelse af persondatabrud: databehandleren underretter den dataansvarlige inden 24 timer efter konstatering af et brud. Den dataansvarlige har herefter 72 timer til at anmelde til Datatilsynet, jf. GDPR art. 33.

Sletning og returnering: databehandleren sletter eller returnerer alle personoplysninger ved aftalens ophør inden 60 dage og udsteder en sletningsattest.

Revisioner og tilsyn: den dataansvarlige har ret til at foretage revisioner og inspektioner hos databehandleren for at kontrollere overholdelsen. Datatilsynet har tilsvarende inspektionsret.

Opbevaringssted og tredjelandsoverførsler: aftalen skal specificere, om data behandles i EU/EØS eller i tredjelande, og i givet fald det gældende overførselsgrundlag (EU-SCC eller adækvansbeslutning).

Databehandleraftalen bør indeholde en udtrykkelig bestemmelse om behandling af særlige kategorier af personoplysninger. GDPR art. 9 forbyder som udgangspunkt behandling af oplysninger om racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger, seksuelle forhold eller seksuel orientering. Disse oplysninger må kun behandles på et af de i art. 9, stk. 2, angivne særlige grundlag. Databeskyttelsesloven (lov nr. 502 af 23/05/2018) § 7 regulerer de nationale særlige grundlag for behandling af sådanne oplysninger i Danmark. Aftalen bør udtrykkeligt anføre, om der behandles særlige kategorier, og i givet fald det relevante behandlingsgrundlag samt de særlige sikkerhedsforanstaltninger, der er nødvendige.

Korrekt udfyldelse af databehandleraftalen i Danmark kræver en præcis beskrivelse af behandlingen og omhyggelig stillingtagen til underdatabehandlere og overførselsgrundlag. En ufuldstændig aftale opfylder ikke GDPR art. 28's krav.

Trin 1 — identificér parterne korrekt: Angiv den dataansvarliges og databehandlerens fulde firmanavn, selskabsform og CVR-nummer. Det er afgørende at fastlægge rollerne korrekt — den der bestemmer formålet med behandlingen er den dataansvarlige.

Trin 2 — beskriv behandlingens formål og omfang præcist: Angiv det specifikke formål — f.eks. »drift og vedligeholdelse af CRM-system med behandling af kundeoplysninger«. Angiv de præcise typer af personoplysninger: navn, adresse, e-mail, CPR-nummer, helbredsoplysninger osv. Angiv de kategorier af registrerede: kunder, medarbejdere, leverandører.

Trin 3 — fastlæg dataopbevaringsstedet: Angiv om data behandles i EU/EØS (ingen yderligere krav) eller i tredjelande. For tredjelande — typisk USA — skal det relevante overførselsgrundlag angives: EU's standardkontraktbestemmelser (SCC godkendt af EU-Kommissionen 4. juni 2021) er det hyppigst anvendte grundlag. Angiv det konkrete overførselsgrundlag i Bilag 1.

Trin 4 — regulér underdatabehandlere: Angiv, at databehandleren kan anvende underdatabehandlere med den dataansvarliges generelle forudgående skriftlige tilladelse og med mindst 30 dages varsel ved ændringer. Indsæt en liste over aktuelle underdatabehandlere i Bilag 2.

Trin 5 — specificér sikkerhedsniveau: Vælg det sikkerhedsniveau, der er tilpasset behandlingens risiko. For særlige kategorier af personoplysninger (helbredsoplysninger, politiske holdninger, seksuel orientering, jf. GDPR art. 9) bør sikkerhedsniveauet være forhøjet. ISO 27001-certificering er et godt signal.

Trin 6 — regulér anmeldelsesproceduren: Fastlæg, at databehandleren underretter den dataansvarlige inden 24 timer efter konstatering af et brud. Angiv kontaktoplysninger til databeskyttelsesansvarlige (DPO) hos begge parter, hvis de er udpeget.

Trin 7 — regulér sletning: Angiv fristen for sletning (typisk 60 dage efter ophør) og kravet om en skriftlig sletningsattest. Angiv, om lovgivningen kræver en længere opbevaringsperiode for visse data (f.eks. regnskabsdata i 5 år efter bogføringsloven).

Trin 8 — underskriv aftalen: Begge parter underskriver, eventuelt digitalt med MitID. Opbevar aftalen og alle bilag. Opdatér bilag løbende ved ændringer i underdatabehandlere.

Databehandleraftalen i Danmark er underlagt direkte gældende EU-ret (GDPR) suppleret af national ret (databeskyttelsesloven). Kravene er ufravigelige — man kan ikke aftale sig ud af dem.

GDPR art. 28 som direkte anvendelig ret: GDPR er en forordning, der er direkte gældende i alle EU-medlemsstater — herunder Danmark — uden behov for national gennemførelse. Art. 28, stk. 3, opregner de obligatoriske elementer i en databehandleraftale: instruks, fortrolighed, sikkerhed, underdatabehandlere, bistand, persondatabrud, sletning og revision. Disse otte elementer er ikke til forhandling — aftalen er ufuldstændig og i strid med GDPR, hvis et element mangler.

Databeskyttelsesloven (lov nr. 502 af 23/05/2018): Loven supplerer GDPR med nationale særregler, herunder regler om alder for børns samtykke (15 år, § 6), behandling af CPR-numre (§ 11) og Datatilsynets beføjelser (§§ 27-42). Behandling af CPR-numre kræver et særskilt grundlag efter § 11 — typisk samtykke eller lovmæssig pligt.

Sanktioner: GDPR art. 83 fastlægger to bødeniveauer. Bøder op til 10 mio. EUR eller 2 % af global omsætning for overtrædelse af de tekniske krav som art. 28. Bøder op til 20 mio. EUR eller 4 % for overtrædelse af grundlæggende principper og rettigheder. Datatilsynet kan desuden udstede påbud og forbud.

Anmeldepligt: Den dataansvarlige skal anmelde brud på persondatasikkerheden til Datatilsynet senest 72 timer efter konstatering, jf. GDPR art. 33. Databehandleren er forpligtet til at underrette den dataansvarlige straks — aftalen bør fastsætte en intern frist på 24 timer.

Tredjelandsoverførsler: GDPR kapitel V regulerer overførsler af personoplysninger til tredjelande. EU's standardkontraktbestemmelser (SCC), vedtaget af EU-Kommissionen 4. juni 2021, er det mest anvendte overførselsgrundlag. Schrems II-dommen fra EU-Domstolen (C-311/18) fastslår, at der ud over SCC kræves en vurdering af beskyttelsesniveauet i modtagerlandet (Transfer Impact Assessment, TIA).

Særlige kategorier af personoplysninger: Behandling af helbredsoplysninger, genetiske data, biometriske data, politiske holdninger og seksuel orientering er særligt reguleret i GDPR art. 9 og kræver et særskilt behandlingsgrundlag ud over det sædvanlige.

Datatilsynets vejledning: Datatilsynet har offentliggjort vejledning og standardtekster om databehandleraftaler på datatilsynet.dk, der anbefales konsulteret ved udformning af aftalen.

Hyppige fejl ved databehandleraftalen i Danmark fører til overtrædelse af GDPR og risiko for bøder fra Datatilsynet. De alvorligste fejl er de, der medfører strukturelle mangler i aftalen.

Fejl 1 — mangler obligatoriske elementer: Den hyppigste fejl er, at aftalen mangler et eller flere af de otte obligatoriske elementer i GDPR art. 28, stk. 3. Særligt aftaler, der er kopieret fra simple skabeloner, mangler typisk regulering af underdatabehandlere, sletning og revisioner. Det korrekte er at gennemgå alle otte krav og sikre, at hvert enkelt er adresseret.

Fejl 2 — for bred instruks eller slet ingen instruks: Aftalen fastlægger ikke præcist, hvilke formål databehandleren må behandle data til. En bred instruks som »behandling i forbindelse med it-services« er utilstrækkelig. Det korrekte er en specifik beskrivelse af behandlingens formål, typer af personoplysninger og kategorier af registrerede.

Fejl 3 — manglende regulering af underdatabehandlere: Databehandleren anvender cloud-infrastruktur fra Amazon, Microsoft eller Google uden, at dette er reguleret i aftalen. Det korrekte er en bestemmelse om, at den dataansvarlige giver generel tilladelse til underdatabehandlere med mindst 30 dages forudgående varsel ved ændringer, og en aktuel liste som bilag.

Fejl 4 — forkert eller manglende overførselsgrundlag: Aftalen regulerer ikke, at data opbevares i tredjelande, eller angiver et forældet overførselsgrundlag (f.eks. Privacy Shield, der er ugyldiggjort). Det korrekte er at identificere alle tredjelandsopbevaringssteder og anvende de opdaterede standardkontraktbestemmelser fra 2021.

Fejl 5 — ingen sletningsbestemmelse: Aftalen regulerer ikke sletning af data efter aftalens ophør, og databehandleren opbevarer data unødigt. Det korrekte er en specifik sletningsfrist (maks. 60 dage) og et krav om en skriftlig sletningsattest.