Databehandleravtale Norge

Databehandleravtale i Norge er en bindende avtale som er obligatorisk etter personvernforordningen (GDPR) artikkel 28 hver gang en behandlingsansvarlig engasjerer en databehandler til å behandle personopplysninger på sine vegne. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Avtalen fastsetter gjenstand, varighet, arten og formålet med behandlingen, typene av personopplysninger, kategoriene av registrerte og forpliktelsene til partene.

En databehandler er etter personvernforordningen (GDPR) artikkel 4 nr. 8 en fysisk eller juridisk person, offentlig myndighet, byrå eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren skiller seg fra den behandlingsansvarlige ved at den ikke selv bestemmer formålene med behandlingen — det gjør behandlingsansvarlig etter artikkel 4 nr. 7. Typiske databehandlere er IT-leverandører, hostingtjenester, e-postutsendingssystemer, regnskapsbyråer, betalingsleverandører og HR-systemer.

Kravet til databehandleravtale er absolutt etter personvernforordningen (GDPR) artikkel 28 nr. 3. Det er ikke tilstrekkelig å ha en alminnelig tjenesteavtale; det kreves en separat avtale eller et eget kapittel i tjenesteavtalen som uttrykkelig regulerer de forholdene som følger av artikkel 28. Datatilsynet har utgitt veiledning om innholdet i databehandleravtaler, og EU-kommisjonen har utarbeidet standardavtalevilkår for databehandlere som kan benyttes.

Databehandleravtalen skal etter personvernforordningen (GDPR) artikkel 28 nr. 3 blant annet fastsette at databehandler utelukkende behandler personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig (bokstav a); at alle som behandler opplysningene har taushetsplikt (bokstav b); at databehandler iverksetter egnede sikkerhetstiltak etter artikkel 32 (bokstav c); at underdatabehandlere ikke kan engasjeres uten forhåndsgodkjenning (bokstav d); at databehandler bistår med de registrertes rettigheter (bokstav e og f); og at data slettes eller returneres etter avtalens opphør (bokstav g).

Meldeplikt ved avvik er en sentral bestemmelse i databehandleravtalen. Databehandler skal etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav f underrette behandlingsansvarlig om brudd på personopplysningssikkerheten uten ugrunnet opphold, slik at behandlingsansvarlig kan oppfylle sin plikt til å melde avviket til Datatilsynet innen 72 timer etter artikkel 33. Databehandleravtalen bør angi en konkret intern varslingsfrist, for eksempel 24 timer.

Underdatabehandlere er tredjeparter databehandler benytter til å utføre deler av behandlingen. Etter personvernforordningen (GDPR) artikkel 28 nr. 2 kreves enten en generell eller en spesifikk forhåndsgodkjenning fra behandlingsansvarlig. Databehandler skal pålegge underdatabehandleren de samme forpliktelsene som i databehandleravtalen, og er fullt ut ansvarlig overfor behandlingsansvarlig for at underdatabehandleren overholder sine forpliktelser.

Ved avtalens opphør skal databehandler etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g etter den behandlingsansvarliges valg enten slette eller returnere alle personopplysningene. Plikten til sletting er begrenset av lovpålagt oppbevaringsplikt, for eksempel fem år for regnskapsopplysninger etter bokføringsloven (2004) § 13. Dokumentasjon på at slettingen er utført, er viktig for å demonstrere samsvar.

Forskjellene mot beslektede dokumenter er vesentlige. Databehandleravtalen regulerer forholdet mellom behandlingsansvarlig og databehandler, mens personvernerklæringen oppfyller informasjonsplikten overfor de registrerte etter artiklene 13 og 14. En personvernavvik melding etter artikkel 33 er meldingen til Datatilsynet om et konkret avvik. Det videre forms-legal.com biblioteket omfatter maler for disse dokumentene.

Databehandleravtale i Norge trengs i alle situasjoner der en virksomhet overlater behandling av personopplysninger til en ekstern part som handler på dens vegne. Plikten til å inngå databehandleravtale følger direkte av personvernforordningen (GDPR) artikkel 28 og er ikke begrenset til store virksomheter.

IT-leverandører og skytjenester. Alle virksomheter som bruker skytjenester som Microsoft Azure, Google Cloud, AWS eller tilsvarende til å lagre eller behandle personopplysninger, trenger en databehandleravtale med leverandøren. Det samme gjelder egenutviklede systemer der en ekstern driftsleverandør har tilgang til personopplysningene. Mange store leverandører tilbyr standardiserte databehandleravtaler i sine bruksvilkår, men virksomheten bør kontrollere at disse oppfyller kravene i personvernforordningen (GDPR) artikkel 28.

Regnskaps- og lønnssystemer. Regnskapsbyråer, revisorer og leverandører av lønnssystemer behandler personopplysninger om ansatte og leverandører på vegne av virksomheten, og det kreves databehandleravtale. Regnskapsopplysninger lagres i fem år etter bokføringsloven (2004) § 13, og databehandleravtalen bør regulere lagringstid og sluttbehandling i tråd med dette.

E-postutsendelse og markedsføringsplattformer. Virksomheter som bruker e-postutsendingssystemer som Mailchimp, HubSpot eller tilsvarende, behandler personopplysninger om mottakerne gjennom en tredjepart og trenger en databehandleravtale. Det samme gjelder CRM-systemer og analyse- og markedsføringsplattformer som behandler personopplysninger om kunder og prospekter.

HR-systemer og rekrutteringsplattformer. Leverandører av HR-systemer og rekrutteringsplattformer behandler sensitive personopplysninger om ansatte og søkere. Databehandleravtalen skal angi de strenge sikkerhets- og konfidensialitetskravene som gjelder ved slik behandling, herunder krav til tilgangskontroll og logging.

Kundeservice og helpdesk-løsninger. Virksomheter som bruker tredjeparts kundeserviceplattformer som Zendesk, Intercom eller tilsvarende, behandler personopplysninger om kunder gjennom en databehandler og trenger en databehandleravtale. Særlig viktig er regulering av lagringstid for kommunikasjonshistorikk og tilgangskontroll for leverandørens ansatte.

Betalingsleverandører. Betalingsleverandører som Stripe, Nets og Vipps behandler betalingsopplysninger. Rollefordelingen mellom behandlingsansvarlig og databehandler kan variere, og noen betalingsleverandører er selvstendige behandlingsansvarlige for deler av behandlingen. Det er viktig å avklare rollefordelingen og inngå databehandleravtale der leverandøren opptrer som databehandler.

Konsulenter og innleide med tilgang til systemer. Innleide konsulenter og underleverandører som gis tilgang til virksomhetens systemer med personopplysninger, kan være databehandlere og kreve databehandleravtale. Avgrensningen mot ansatte som er underlagt arbeidsgiveransvar, er at ansatte ikke er databehandlere i forordningens forstand.

Offentlige virksomheter og felles behandlingsansvarlige. Offentlige virksomheter som drifter fagsystemer på tvers, eller der to offentlige etater utfører behandling i fellesskap, kan enten trenge databehandleravtale eller en avtale om felles behandlingsansvarlige etter personvernforordningen (GDPR) artikkel 26. Avgrensningen er om begge parter bestemmer formålene, eller om den ene kun handler etter instruksjon fra den andre.

En komplett Databehandleravtale Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018).

Partenes identifikasjon og roller. Avtalen skal identifisere behandlingsansvarlig og databehandler med navn, organisasjonsnummer og kontaktopplysninger, og klarlegge rollene. Behandlingsansvarlig er den som bestemmer formålene med og midlene for behandlingen etter personvernforordningen (GDPR) artikkel 4 nr. 7; databehandler er den som behandler på vegne av behandlingsansvarlig etter artikkel 4 nr. 8. Klar rollefordeling er grunnleggende for ansvarliggjøringen etter personvernforordningen (GDPR).

Behandlingens gjenstand, varighet, art og formål. Avtalen skal beskrive gjenstand, varighet, art og formål med behandlingen, typene av personopplysninger og kategoriene av registrerte etter personvernforordningen (GDPR) artikkel 28 nr. 3. Formålet definerer grensene for hva databehandler lovlig kan gjøre med opplysningene, og databehandler kan ikke behandle opplysningene for egne formål uten særskilt avtale.

Instrukser og behandlingens rammer. Databehandler skal etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav a utelukkende behandle personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig. Avtalen bør angi hva instruksene konkret innebærer, og hva databehandler skal gjøre dersom en instruks etter databehandlerens mening er i strid med forordningen.

Taushetsplikt. Databehandler skal sikre at alle som behandler personopplysningene har påtatt seg taushetsplikt eller er underlagt lovbestemt taushetsplikt etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav b. Taushetsplikten gjelder også etter avtalens opphør og er en sentral garanti for at opplysningene ikke misbrukes.

Sikkerhetstiltak. Databehandler skal iverksette egnede tekniske og organisatoriske tiltak etter personvernforordningen (GDPR) artiklene 28 nr. 3 bokstav c og 32. Tiltakene skal tilpasses risikoen og kan omfatte kryptering, pseudonymisering, tilgangskontroll, tofaktorautentisering, sikkerhetskopiering og opplæring. Avtalen bør angi et minimumsnivå for sikkerhetstiltak.

Underdatabehandlere. Engasjement av underdatabehandler krever enten generell eller spesifikk forhåndsgodkjenning fra behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 nr. 2. Databehandler skal pålegge underdatabehandleren de samme forpliktelsene og er fullt ut ansvarlig for at underdatabehandleren overholder sine forpliktelser. Avtalen bør angi allerede godkjente underdatabehandlere og prosessen for å varsle om planlagte endringer.

Bistand til behandlingsansvarlig. Databehandler skal bistå behandlingsansvarlig med å oppfylle de registrertes rettigheter etter kapittel 3 og pliktene etter artiklene 32 til 36 etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstavene e og f. Bistanden skal ytes innenfor rimelig tid og kan reguleres med hensyn til vederlag.

Meldeplikt ved avvik. Databehandler skal uten ugrunnet opphold underrette behandlingsansvarlig om brudd på personopplysningssikkerheten etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav f, slik at behandlingsansvarlig kan melde avviket til Datatilsynet innen 72 timer etter artikkel 33. Avtalen bør angi en konkret intern varslingsfrist og innholdet i underretningen. Disse elementene utfyller forms-legal.com bibliotekets maler for personvern.

Revisjon og innsyn. Databehandler skal etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav h stille til rådighet all informasjon som er nødvendig for å påvise overholdelse, og bidra til revisjoner. Avtalen bør angi prosessen for revisjoner og hvem som bærer kostnadene.

Sluttbehandling av personopplysninger. Databehandler skal etter avtalens opphør etter behandlingsansvarliges valg slette eller returnere alle personopplysningene og slette eksisterende kopier, med mindre lagring er påkrevd etter unionsretten eller norsk rett etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g. Dokumentasjon på utført sletting er viktig.

Å fylle ut en Databehandleravtale Norge korrekt krever at man følger trinnene nedenfor, slik at avtalen oppfyller kravene i personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018).

Trinn 1 — Identifiser partene og avklar rollene. Angi behandlingsansvarligs og databehandlers fulle navn, organisasjonsnummer og kontaktopplysninger. Kontroller at rollefordelingen er korrekt: behandlingsansvarlig bestemmer formålene med og midlene for behandlingen etter personvernforordningen (GDPR) artikkel 4 nr. 7, mens databehandler behandler etter instruksjon. Dersom begge parter bestemmer formålene i fellesskap, er de felles behandlingsansvarlige etter artikkel 26, og en annen avtaleform er nødvendig.

Trinn 2 — Beskriv behandlingens gjenstand, varighet og formål. Angi konkret hva databehandler skal utføre, for eksempel «drift og vedlikehold av CRM-system» eller «utsendelse av nyhetsbrev». Angi avtalens varighet, enten som en fast periode eller med henvisning til tjenesteavtalen. Beskriv formålene med behandlingen, da disse definerer grensene for hva databehandler lovlig kan gjøre med opplysningene.

Trinn 3 — Angi kategorier av personopplysninger og registrerte. Beskriv de konkrete kategoriene av personopplysninger databehandler håndterer, for eksempel kontaktopplysninger, bestillings- og betalingsopplysninger, IP-adresse og tekniske logger. Angi hvem opplysningene gjelder, for eksempel kunder, ansatte og leverandørers kontaktpersoner. Unngå å oppgi særlige kategorier av personopplysninger etter personvernforordningen (GDPR) artikkel 9 med mindre disse faktisk behandles.

Trinn 4 — Angi godkjente underdatabehandlere. List opp allerede godkjente underdatabehandlere med navn, land og formål. Vanlige underdatabehandlere er skytjenesteleverandører som AWS, Google Cloud og Microsoft Azure, samt e-posttjenester og betalingsleverandører. Angi prosessen for å varsle behandlingsansvarlig om planlagte endringer, slik at det gis mulighet til å protestere etter personvernforordningen (GDPR) artikkel 28 nr. 2.

Trinn 5 — Velg handling ved avtalens opphør. Velg om databehandler skal slette eller returnere personopplysningene ved avtalens opphør etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g. Husk at plikten til sletting begrenses av lovpålagt oppbevaringsplikt, for eksempel fem år for regnskapsopplysninger etter bokføringsloven (2004) § 13. Krev dokumentasjon på utført sletting.

Trinn 6 — Kontroller at alle obligatoriske elementer er med. Kontroller at avtalen dekker alle kravene i personvernforordningen (GDPR) artikkel 28 nr. 3: instrukser (bokstav a), taushetsplikt (bokstav b), sikkerhetstiltak (bokstav c), underdatabehandlere (bokstav d), bistand med de registrertes rettigheter (bokstav e), bistand med brudd og DPIA (bokstav f), sluttbehandling (bokstav g) og revisjon (bokstav h). Mangler noen av disse, er avtalen ufullstendig.

Trinn 7 — Signer og oppbevar avtalen. Begge parter skal undertegne avtalen med navn, tittel og dato. Avtalen bør oppbevares i hele avtalens løpetid og i minst tre år etter opphør, slik at virksomheten kan dokumentere overholdelse ved kontroll fra Datatilsynet. Krav til dokumentasjon følger av personvernforordningen (GDPR) artikkel 5 nr. 2 (ansvarlighetsprinsippet).

Trinn 8 — Revurder avtalen ved vesentlige endringer. Databehandleravtalen bør gjennomgås og oppdateres ved vesentlige endringer i behandlingen, leverandørens underdatabehandlere eller i regelverket. Dersom databehandler engasjerer nye underdatabehandlere, skal behandlingsansvarlig varsles og gis mulighet til å protestere etter personvernforordningen (GDPR) artikkel 28 nr. 2.

Databehandleravtale Norge omfattes av et regelverk i personvernforordningen (GDPR), personopplysningsloven (2018) og tilgrensende lovgivning som fastsetter kravene til avtalen og konsekvensene av manglende overholdelse.

Obligatorisk krav etter personvernforordningen (GDPR) artikkel 28. Etter personvernforordningen (GDPR) artikkel 28 nr. 3 skal behandling av personopplysninger av en databehandler styres av en kontrakt eller annen rettsakt. Det er et absolutt krav, ikke et valgfritt tiltak. Manglende databehandleravtale er i seg selv et brudd på personvernforordningen (GDPR), uavhengig av om personopplysningene faktisk misbrukes. Datatilsynet kan reagere mot manglende databehandleravtale med overtredelsesgebyr etter artiklene 83 og 84.

Personvernforordningens (GDPR) rekkevidde i Norge. Personvernforordningen (GDPR), Europaparlaments- og rådsforordning (EU) 2016/679, gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). De samme pliktene gjelder i Norge som i EU-land. Datatilsynet er den nasjonale tilsynsmyndigheten, og Datatilsynets vedtak kan påklages til Personvernnemnda.

Kravene til avtalens innhold etter personvernforordningen (GDPR) artikkel 28 nr. 3. Avtalen skal fastsette at databehandler: (a) bare behandler etter dokumenterte instrukser; (b) sikrer taushetsplikt; (c) iverksetter sikkerhetstiltak etter artikkel 32; (d) respekterer reglene om underdatabehandlere etter nr. 2 og 4; (e) bistår med de registrertes rettigheter; (f) bistår med pliktene etter artiklene 32 til 36; (g) sletter eller returnerer data; og (h) legger til rette for revisjon. Et unntak fra instruksregelen i bokstav a gjelder der behandling er pålagt etter unionsretten eller norsk rett.

Sikkerhetskrav etter personvernforordningen (GDPR) artikkel 32. Både behandlingsansvarlig og databehandler er forpliktet til å iverksette egnede tekniske og organisatoriske tiltak for et sikkerhetsnivå som er egnet for risikoen. Tiltakene kan omfatte pseudonymisering, kryptering, evne til å sikre konfidensialitet og integritet, evne til å gjenopprette tilgjengeligheten, og regelmessig testing. Artikkel 32 nr. 4 slår fast at databehandler skal sikre at ansatte som behandler opplysningene, bare gjør det etter instruks fra behandlingsansvarlig.

Meldeplikt ved avvik etter personvernforordningen (GDPR) artiklene 33 og 34. Behandlingsansvarlig skal melde brudd på personopplysningssikkerheten til Datatilsynet uten ugrunnet opphold og senest innen 72 timer etter artikkel 33. Databehandleravtalen skal sikre at databehandler varsler behandlingsansvarlig innen en kortere intern frist, slik at behandlingsansvarlig kan overholde meldeplikten. Ved høy risiko skal de registrerte varsles etter artikkel 34.

Underdatabehandlere etter personvernforordningen (GDPR) artikkel 28 nr. 2 og 4. Databehandler kan ikke engasjere underdatabehandler uten forhåndsgodkjenning fra behandlingsansvarlig. Databehandler er ansvarlig for underdatabehandlerens overholdelse av forordningen. Underdatabehandleravtalen skal pålegge de samme forpliktelsene som databehandleravtalen. En underdatabehandleravtale som gir underdatabehandleren svakere forpliktelser enn databehandleravtalen, er ikke i samsvar med forordningen.

Ansvar og sanksjoner etter personvernforordningen (GDPR) artiklene 82 til 84 og personopplysningsloven (2018). Behandlingsansvarlig er ansvarlig for all behandling i henhold til forordningen, inkludert behandlingen en databehandler utfører. Datatilsynet kan ilegge overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av global årlig omsetning for brudd på artikkel 28, etter det høyeste av beløpene. Den registrerte har rett til erstatning etter artikkel 82. Databehandleren kan holdes ansvarlig i den utstrekning den har handlet uten instrukser fra behandlingsansvarlig eller i strid med forordningen.

Forhold til annen norsk lovgivning. Databehandleravtalen regulerer personvern, men suppleres av andre lover. Bokføringsloven (2004) § 13 pålegger fem års oppbevaring av regnskapsopplysninger, noe som begrenser sletteretten. Arkivloven (1992) gjelder for offentlige virksomheter. Sikkerhetsloven (2018) gjelder ved behandling av skjermingsverdig informasjon. Arbeidsmiljøloven (2005) og arbeidsgiverinstruksen regulerer ansattes plikter og taushetsplikt.

Vanlige feil ved utforming av Databehandleravtale Norge kan medføre at avtalen ikke oppfyller kravene i personvernforordningen (GDPR) artikkel 28, noe som i seg selv er et brudd som Datatilsynet kan reagere mot.

Feil 1 — Ingen databehandleravtale med tredjepart. Den vanligste feilen er å bruke IT-leverandører, skytjenester, regnskapsbyråer og markedsføringsplattformer uten å ha inngått en databehandleravtale. Plikten følger av personvernforordningen (GDPR) artikkel 28 og gjelder uavhengig av størrelse. Løsning: kartlegg alle tredjeparter som behandler personopplysninger på virksomhetens vegne, og inngå databehandleravtaler med alle.

Feil 2 — Alminnelig tjenesteavtale uten GDPR-bestemmelser. Å tro at en alminnelig tjenesteavtale er tilstrekkelig, er feil. Etter personvernforordningen (GDPR) artikkel 28 nr. 3 kreves en kontrakt eller annen rettsakt med de spesifikke elementene som er listet i artikkelen. Løsning: sørg for at avtalen uttrykkelig inneholder alle elementene etter artikkel 28 nr. 3 bokstavene a til h, enten som et eget dokument eller som et databehandlingskapittel i tjenesteavtalen.

Feil 3 — Ingen regulering av underdatabehandlere. En avtale som ikke adresserer underdatabehandlere, er ufullstendig. Mange databehandlere bruker underdatabehandlere, for eksempel skyinfrastruktur. Løsning: angi allerede godkjente underdatabehandlere og prosessen for å varsle om planlagte endringer, og sørg for at databehandler pålegger underdatabehandleren de samme forpliktelsene etter personvernforordningen (GDPR) artikkel 28 nr. 4.

Feil 4 — Mangelfull regulering av avviksmeldeplikt. En avtale uten tydelig intern varslingsfrist for avviksmelding risikerer at behandlingsansvarlig ikke kan overholde 72-timersfristen etter personvernforordningen (GDPR) artikkel 33. Løsning: angi en konkret intern varslingsfrist, for eksempel 24 timer, og spesifiser innholdet i varselets informasjon.

Feil 5 — Uklar sluttbehandling. Uten tydelig regulering av hva som skjer med personopplysningene etter avtalens opphør risikerer virksomheten at opplysningene forblir hos databehandleren. Løsning: angi uttrykkelig om data skal slettes eller returneres, og krev dokumentasjon på utført sletting etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g; husk at lovpålagt oppbevaringsplikt etter bokføringsloven (2004) begrenser sletteretten.

Feil 6 — Manglende gjennomgang ved leverandørskifte. Å bytte IT-leverandør eller skytjeneste uten å inngå ny databehandleravtale er et brudd. Løsning: gjennomgå og oppdater databehandleravtaler ved leverandørskifte og ved vesentlige endringer i tjenestene.

Feil 7 — Uklar rollefordeling mellom behandlingsansvarlig og felles ansvarlige. Å inngå databehandleravtale med en part som i realiteten er en felles behandlingsansvarlig, gir feil rettslig struktur. Løsning: avklar om parten er databehandler (handler etter instruksjon) eller felles behandlingsansvarlig (bestemmer formålene i fellesskap); sistnevnte krever en avtale om felles behandlingsansvarlige etter personvernforordningen (GDPR) artikkel 26.