Når er en DPA rettslig påkrevd?

Når en behandlingsansvarlig bruker en databehandler for å håndtere personopplysninger om EU- eller EØS-borgere. Ansvarlige og databehandlere utenfor EU er like dekket dersom de behandler EU-borgeres data. Storbritannia har sitt eget nesten identiske regime under UK GDPR.

Hva er forskjellen på en DPA og en tjenesteavtale?

En tjenesteavtale (eller rammeavtale) dekker det kommersielle forholdet — omfang, pris, SLA. En DPA dekker spesifikt databeskyttelse og kan være et frittstående dokument, et tillegg eller en del av hovedkontrakten. De fleste modne SaaS-leverandører bruker en frittstående DPA som innlemmes ved henvisning.

Trenger jeg en ny DPA for hver kunde?

De fleste leverandører vedlikeholder én DPA-mal som de bruker med alle kunder, og forhandler kun kundespesifikke tillegg (f.eks. en bestemt underdatabehandlerliste eller revisjonsfrekvens). En standard DPA gir raskere innkjøp; kundespesifikke DPAer bremser avtalene betydelig.

Databehandleravtale (DPA)

Data Processing Agreement · Artikkel 28-avtale · GDPR DPA

En databehandleravtale (DPA) er en kontrakt mellom en behandlingsansvarlig og en databehandler som definerer hvordan personopplysninger kan behandles på den ansvarliges vegne. Etter GDPR artikkel 28 er en DPA obligatorisk når en behandlingsansvarlig bruker en databehandler og må dekke gjenstand, varighet, omfang og databehandlerens plikter.

Hva en DPA faktisk gjør

En DPA oversetter GDPRs abstrakte behandlerforpliktelser til konkrete kontraktsfestede forpliktelser. Den definerer hvilke data som behandles og hvorfor, hvor lenge, hvem som regnes som underdatabehandler og hvordan de godkjennes, hvilke sikkerhetstiltak som gjelder, hvordan datainnbrudd rapporteres, hvordan revisjonsrettigheter fungerer, hva som skjer ved avslutning av forholdet, og hvordan internasjonale overføringer håndteres. For enhver SaaS-leverandør som lagrer eller behandler personopplysninger på vegne av EU-rettede kunder, er en samsvarende DPA et salgsforutsetning — innkjøpsteam vil ikke signere uten. For kunder er DPAen det som gjør leverandøren rettslig ansvarlig for sikkerhetsløftene markedsføringssidene gir.

Hvorfor det betyr noe

GDPR-bøter beregnes som en prosentandel av global omsetning, og DPAer er den primære kontraktsmessige mekanismen behandlingsansvarlige bruker for å fordele samsvarsrisiko. En svak DPA etterlater den ansvarlige eksponert dersom databehandleren håndterer data feil; en sterk DPA tvinger konkrete sikkerhetsforpliktelser, revisjonsrettigheter og rask innbruddsvarsling. For leverandører er DPA-kvalitet en prediktor for avtalestørrelse: enterprise-kunder krever modne DPAer med spesifikke underdatabehandlerlister, revisjonsrettigheter og definerte tidsfrister for innbruddsvarsling. En generisk mal klarer ikke lenger enterprise-innkjøp.

Vanlige fallgruver

1.Underdatabehandlerlisten mangler eller er utdatert — GDPR krever at den ansvarlige vet hvem som faktisk berører deres data.
2.Fristen for innbruddsvarsling er vag — "så snart som mulig" erstattes med konkrete timetall (24, 48, 72) i modne DPAer.
3.Revisjonsrettigheter er fraværende eller rent hypotetiske — ansvarlige trenger typisk enten stedlig revisjon eller en nylig SOC 2 / ISO 27001-rapport.
4.Overføringsmekanisme for internasjonale overføringer er uspesifisert — etter Schrems II må DPAer navngi overføringsmekanismen (SCCer, adekvansvedtak) og dekke supplerende tiltak.
5.Retur eller sletting av data ved opphør er valgfritt — GDPR gjør dette obligatorisk; DPAen bør spesifisere hvilken og innen når.

Relaterte begreper

Taushetserklæring (NDA)→Skadesløsholdelse→Due diligence→

Ofte stilte spørsmål

Når er en DPA rettslig påkrevd?: Når en behandlingsansvarlig bruker en databehandler for å håndtere personopplysninger om EU- eller EØS-borgere. Ansvarlige og databehandlere utenfor EU er like dekket dersom de behandler EU-borgeres data. Storbritannia har sitt eget nesten identiske regime under UK GDPR.
Hva er forskjellen på en DPA og en tjenesteavtale?: En tjenesteavtale (eller rammeavtale) dekker det kommersielle forholdet — omfang, pris, SLA. En DPA dekker spesifikt databeskyttelse og kan være et frittstående dokument, et tillegg eller en del av hovedkontrakten. De fleste modne SaaS-leverandører bruker en frittstående DPA som innlemmes ved henvisning.
Trenger jeg en ny DPA for hver kunde?: De fleste leverandører vedlikeholder én DPA-mal som de bruker med alle kunder, og forhandler kun kundespesifikke tillegg (f.eks. en bestemt underdatabehandlerliste eller revisjonsfrekvens). En standard DPA gir raskere innkjøp; kundespesifikke DPAer bremser avtalene betydelig.

DPAen din med Attorly er klar til gjennomgang

Attorly leverer en GDPR-artikkel-28-samsvarende DPA som dekker kryptering i ro og i transitt, Bring-Your-Own-Key på Enterprise, og innbruddsvarsling innen 72 timer.

Se Attorlys DPA