Hvornår er en DPA retligt påkrævet?

Når en dataansvarlig anvender en databehandler til at håndtere personoplysninger om EU- eller EØS-borgere. Ansvarlige og databehandlere uden for EU er lige dækket, hvis de behandler EU-borgeres data. Storbritannien har sit eget næsten identiske regime under UK GDPR.

Hvad er forskellen på en DPA og en servicekontrakt?

En servicekontrakt (eller rammeaftale) dækker det kommercielle forhold — omfang, pris, SLA. En DPA dækker specifikt databeskyttelse og kan være et selvstændigt dokument, et bilag eller en del af hovedkontrakten. De fleste modne SaaS-leverandører bruger en selvstændig DPA, der inkorporeres ved henvisning.

Skal jeg bruge en ny DPA for hver kunde?

De fleste leverandører vedligeholder én DPA-skabelon, som de bruger med alle kunder, og forhandler kun kundespecifikke tilføjelser (f.eks. en bestemt underdatabehandlerliste eller revisionsfrekvens). En standard-DPA fremmer indkøb; kundespecifikke DPA'er bremser aftalerne betydeligt.

Databehandleraftale (DPA)

Data Processing Agreement · Artikel 28-aftale · GDPR DPA

En databehandleraftale (DPA) er en kontrakt mellem en dataansvarlig og en databehandler, der definerer hvordan personoplysninger må behandles på den ansvarliges vegne. I henhold til GDPR artikel 28 er en DPA obligatorisk, når en dataansvarlig bruger en databehandler, og skal dække genstand, varighed, omfang og databehandlerens forpligtelser.

Hvad en DPA faktisk gør

En DPA oversætter GDPR's abstrakte behandlerforpligtelser til konkrete kontraktforpligtelser. Den definerer hvilke data der behandles og hvorfor, hvor længe, hvem der tæller som underdatabehandler og hvordan de godkendes, hvilke sikkerhedsforanstaltninger der gælder, hvordan databrud rapporteres, hvordan revisionsrettigheder fungerer, hvad der sker ved afslutning af forholdet, og hvordan internationale overførsler håndteres. For enhver SaaS-leverandør der gemmer eller behandler personoplysninger på vegne af EU-rettede kunder, er en compliant DPA en salgsforudsætning — indkøbsteams vil ikke underskrive uden. For kunder er DPA'en det, der gør leverandøren retligt ansvarlig for de sikkerhedsforpligtelser, som markedssiderne lover.

Hvorfor det betyder noget

GDPR-bøder beregnes som en procentdel af global omsætning, og DPA'er er den primære kontraktmekanisme, ansvarlige bruger til at fordele compliance-risiko. En svag DPA efterlader den ansvarlige eksponeret, hvis databehandleren fejlbehandler data; en stærk DPA tvinger konkrete sikkerhedsforpligtelser, revisionsrettigheder og hurtig databrudsmeddelelse. For leverandører er DPA-kvalitet en prædiktor for aftalestørrelse: enterprise-kunder kræver modne DPA'er med specifikke underdatabehandlerlister, revisionsrettigheder og definerede tidsfrister for databrudsmeddelelse. En generisk skabelon klarer ikke længere enterprise-indkøb.

Almindelige faldgruber

1.Underdatabehandlerlisten mangler eller er forældet — GDPR kræver, at den ansvarlige ved, hvem der faktisk håndterer deres data.
2.Tidsfristen for databrudsmeddelelse er vag — "så hurtigt som muligt" erstattes med konkrete timeantal (24, 48, 72) i modne DPA'er.
3.Revisionsrettigheder er fraværende eller rent hypotetiske — ansvarlige har typisk brug for enten stedlig revision eller en nyligt udført SOC 2 / ISO 27001-rapport.
4.Overførselsmekanisme for internationale overførsler er uspecificeret — efter Schrems II skal DPA'er navngive overførselsmekanismen (SCC'er, adequacy-beslutning) og dække supplerende foranstaltninger.
5.Returnering eller sletning af data ved ophør er valgfri — GDPR gør dette obligatorisk; DPA'en bør specificere hvilken og hvornår.

Relaterede begreber

Tavshedserklæring (NDA)→Skadesløsholdelse→Due diligence→

Ofte stillede spørgsmål

Hvornår er en DPA retligt påkrævet?: Når en dataansvarlig anvender en databehandler til at håndtere personoplysninger om EU- eller EØS-borgere. Ansvarlige og databehandlere uden for EU er lige dækket, hvis de behandler EU-borgeres data. Storbritannien har sit eget næsten identiske regime under UK GDPR.
Hvad er forskellen på en DPA og en servicekontrakt?: En servicekontrakt (eller rammeaftale) dækker det kommercielle forhold — omfang, pris, SLA. En DPA dækker specifikt databeskyttelse og kan være et selvstændigt dokument, et bilag eller en del af hovedkontrakten. De fleste modne SaaS-leverandører bruger en selvstændig DPA, der inkorporeres ved henvisning.
Skal jeg bruge en ny DPA for hver kunde?: De fleste leverandører vedligeholder én DPA-skabelon, som de bruger med alle kunder, og forhandler kun kundespecifikke tilføjelser (f.eks. en bestemt underdatabehandlerliste eller revisionsfrekvens). En standard-DPA fremmer indkøb; kundespecifikke DPA'er bremser aftalerne betydeligt.

Din DPA med Attorly er klar til gennemgang

Attorly leverer en GDPR-artikel-28-compliant DPA, der dækker kryptering i hvile og i transit, Bring-Your-Own-Key på Enterprise, og databrudsmeddelelse inden for 72 timer.

Se Attorlys DPA