Databehandleravtaler

Hvis en virksomhet som er behandlingsansvarlig, setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, er den eller de som behandler opplysningene på vegne av den behandlingsansvarlige definert som databehandlere. Virksomheten må ha inngått databehandleravtale med alle leverandører som behandler personopplysninger på vegne av virksomheten. Dette er et lovkrav, jf. GDPR art. 28 nr. 3. 

Avtalene skal sikre at databehandler behandler personopplysninger i tråd med lovkrav og andre instruksjoner som blir gitt av virksomheten (behandlingsansvarlig).

For å sikre at alle lovpålagte og andre viktige forhold blir regulert i avtalen kan DFØs mal benyttes. Dersom virksomhetene har inngått avtaler i tråd med malen som kommunen tidligere har utarbeidet er dette i orden. 

---

Sentralt fagmiljø for personvern (ISI) jobber med maler for databehandleravtaler som vil publiseres i løpet av 2023. I dette arbeidet vil vi vurdere behov for maler med ulikt omfang, basert på kompleksiteten i databehandleroppdraget. Alle nye maler som jobbes med i 2023, vil ha en klar sammenheng mellom hverandre, slik at innhold kan gjenbrukes på tvers på en enkel måte. Malene vil ta utgangspunkt i en prosess som starter med personvernvurdering og PLM eller DPIA. Når disse malene er utfylt, kan innholdet gjenbrukes i en eventuell databehandleravtale.