Skabelon til Databehandleraftaler
Forordningen stiller nye krav til kommunernes databehandleraftaler med eksterne leverandører og samarbejdsparter, som behandler persondata på vegne af kommunen.
Kommunerne skal opdatere alle databehandleraftaler, så de lever op til de nye krav og sikre, at der er indgået de nødvendige databehandleraftaler.
Vejledning om dataansvarlige og databehandlere
Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om, hvornår der skal indgås databehandleraftaler.
Hent KL og KOMBITs databehandlerskabeloner
Du kan få et overblik over hvad, der er ændret fra version 1.0 til 2.0 i dette dokument.
I kolonnen til højre findes også et bud på en engelsk oversættelse af version 2.0 af skabelonen (i word og pdf-format), som kommuner kan vælge at bruge i dialogen med udenlandske leverandører.
Version 1.0 af skabelonen (dansk og bud på engelsk oversættelse) er tilgængelig i kolonnen til højre.
Databehandleraftale-skabelonen skal tilpasses ved brug
Skabelonen ledsages af nedenstående dokument med kommentarer til de enkelte punkter og hjælp til forståelse af skabelonens opbygning. Kommentar-notatet kan være en hjælp, når skabelonen skal tilpasses til den konkrete databehandleraftale, som en kommune og en it-leverandør ønsker at indgå.
I kommentarnotatet er også beskrevet scenarier for brug og tilpasning af skabelonen i forhold til, om kommunen ønsker at medtage en eller flere af ”de gule bestemmelser” i en konkret aftale. Læs mere om "de gule bestemmelser" længere nede på denne side.
”Det med gult” – supplerende praksis
Efter ønske fra en række kommuner er der medtaget punkter i KL og KOMBITs skabelon, der ikke følger af lovgivning, men er udtryk for ”supplerende praksis”. Kommunen kan vælge at medtage nogle af disse punkter i databehandleraftalen, hvis det er relevant i forhold til den konkrete leverandør. Det er vigtigt at understrege, at den supplerende praksis ikke er krav til indholdet i en databehandleraftale i medfør af lovgivningen. Kommunen kan derfor undlade at medtage de supplerende praksis-bestemmelser og stadig overholde lovgivningen. De supplerende praksis-bestemmelser regulerer bl.a. forhold, som kommunerne også kan vælge at aftale andetsteds end i en databehandleraftale – f.eks. i Hovedaftalen.
Datatilsynets skabelon for databehandleraftaler
Datatilsynet offentliggjorde i februar 2018 en skabelon til databehandleraftaler. Skabelonen er Datatilsynets bud på, hvordan en databehandleraftale kan se ud. Kommunerne kan frit vælge om de vil anvende Datatilsynets skabelon eller KL og KOMBITs skabelon. Begge skabeloner lever op til databeskyttelsesforordningens krav til indholdet af en databehandleraftale.
Mere information om Datatilsynets skabelon kan findes her på Datatilsynets hjemmeside.
Om KL og KOMBITs databehandlerskabelon
KL og KOMBIT offentliggjorde i april 2017 første version af en skabelon for databehandleraftaler, som kommunerne kan bruge, når de indgår databehandleraftaler med leverandører. Datatilsynet har vurderet, at skabelonen opfylder kravene i persondataloven og databeskyttelsesforordningen.
KL og KOMBIT har pr. 30. maj 2018 fjernet de dele af teksten i skabelonen, som omhandlede kravene fra persondataloven, da persondataloven er ophævet pr. 25. maj 2018.
Efter ønske fra kommuner og leverandører er ordlyden i version 2.0 af skabelonen desuden enkelte steder justeret sådan, at ordlyden fra forordningen er genbrugt. Dette alene for at skabe større genkendelighed i teksten. Kommunerne skal således ikke ændre i de databehandleraftaler, som de har indgået med udgangspunkt i KL og KOMBITs skabelon af 3. april 2017 (version 1.0).
Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om, hvornår der skal indgås databehandleraftaler.