Nyhed

Datatilsynsmyndighederne i Sverige og Norge anerkender dansk skabelon til databehandleraftaler

Datatilsynets skabelon til en databehandleraftale har fået karakter af en standardkontraktbestemmelse. Den er udformet til virksomheder som en hjælp til at opfylde bestemmelserne i databeskyttelsesforordningen (GDPR). De svenske og norske tilsynsmyndigheder har nu udmeldt, at de også anerkender den danske standardkontraktbestemmelse, så svenske og norske virksomheder fremover kan anvende Datatilsynets skabelon til en databehandleraftale, som om den var udarbejdet af deres egne nationale tilsynsmyndigheder.

Datatilsynsmyndighederne i Sverige og Norge anerkender dansk skabelon til databehandleraftaler
Standarddatabehandleraftale

Datatilsynet har mulighed for at vedtage standardkontraktbestemmelser for tilfælde, der er omhandlet i GDPR artikel 28, stk. 3 og 4. Standardkontraktbestemmelser har en særlig juridisk bindende karakter, og når organisationer benytter sig af Datatilsynets standardkontraktbestemmelser, betyder det blandt andet, at Datatilsynet ikke vil efterprøve bestemmelserne nærmere i forbindelse med et tilsynsbesøg.

Vedtagelse af standardkontraktbestemmelser efter GDPR skal ske i samarbejde med andre tilsynsmyndigheder i EU for at sikre en ensartet anvendelse af reglerne blandt EU’s medlemslande. Samarbejdet sker blandt andet igennem Det Europæiske Databeskyttelsesråd (EDPB), som skal udtale sig om standardkontraktbestemmelser, før Datatilsynet kan vedtage dem. Datatilsynet offentliggjorde en skabelon til standarddatabehandleraftaler i februar 2018, som kunne hjælpe organisationer med flere med at leve op til minimumskravene i GDPR. Efter EDPB’s blåstempling af denne skabelon fik den karakter af en standardkontraktbestemmelse i december 2019.

Anerkendt i Norge og Sverige

Efter EDPB’s udtalelse om skabelonen og dennes overgang til at få karakter af en standardkontraktbestemmelse har tilsynsmyndighederne i Norge og Sverige udmeldt, at de vil anerkende den danske standardkontraktbestemmelse. Datatilsynets standarddatabehandleraftale får derfor også en særlig juridisk bindende karakter i Sverige og Norge. Organisationer i Sverige og Norge kan derfor fremover anvende den danske standarddatabehandleraftale, som om den var udarbejdet af deres egne nationale tilsynsmyndigheder - uden bekymring for at blive mødt med kritik af de svenske og norske tilsynsmyndigheder i relation til bestemmelserne.

NJORD’s bemærkninger

Det er ikke et krav, at man skal anvende Datatilsynets standardkontraktbestemmelser, og man har derfor fortsat mulighed for at benytte sig af egne databehandleraftaler. Man skal dog under alle omstændigheder overholde GDPR’s regler om databehandleraftaler, herunder også mindstekravene i artikel 28. Derfor er der en væsentlig fordel forbundet med standardkontraktbestemmelserne udstedt af Datatilsynet, som allerede indeholder alle de påkrævede punkter efter GDPR. Virksomheder der ønsker at benytte sig af Datatilsynets standardkontraktbestemmelser skal dog være opmærksomme på, at fordelene ved standardkontraktbestemmelserne kun gælder, hvis klausulerne ikke ændres.