Slik får du kontroll på databehandleravtalene dine
Det er fem år siden GDPR trådte i kraft og de fleste virksomhetene tilpasset seg regelverket slik det var den gangen. Utviklingen på personvernområdet har imidlertid ikke stått stille siden 2018 og for mange er det på tide med en gjennomgang av rutiner for behandling av personopplysninger og av tidligere inngåtte avtaler.
Da GDPR trådte i kraft, fikk veldig mange virksomheter med stor sannsynlighet et endret perspektiv på behandling av personopplysninger. Personvernet fikk en ny vår og regelverket krevde at virksomhetene la ned en innsats. Det ble forhåpentligvis laget en behandlingsprotokoll og det ble inngått en hel del databehandleravtaler, ikke nødvendigvis fordi virksomhetene selv forstod helt hvorfor, men fordi GDPR krevde det. Kanskje hadde deres virksomhet et større internprosjekt, kanskje ble det innleid konsulenter eller advokater for å få drahjelp i veien mot etterlevelse. Siden den gang har personvernet kanskje blitt liggende i en digital skuff og ikke vært viet noe særlig oppmerksomhet?
Databehandleravtalen (DBA)
Utviklingen på personvernområdet har ikke stått stille siden 2018 og det er på høy tid at du igjen finner frem arbeidshanskene.
Databehandleravtaler er særavtaler med en viss kompleksitet og for mange et noe uangripelig innhold. Avtalen skal regulere og sette rammer for behandlingen av personopplysningene til de registrerte, samt ansvarsfordelingen mellom databehandler og behandlingsansvarlig. Mange av avtalene som ble inngått rundt 2018 var/er umodne og hadde stort sett som formål å etterleve minimumsplikter, ikke nødvendigvis god ivaretakelse av de registrertes rettigheter. I et så dynamisk rettsområde som personvern, kan det bety at deler av avtalene hos deg, eller virksomhetene du bistår, er utdaterte og i enkelte tilfeller ugyldige.
Avtalen kan muligens oppfylle minimumskravene i GDPR artikkel 28 (3), men det fjerner på ingen måte risikoen for at databehandleravtalens innhold kan medføre eller utgjøre brudd på andre risikobaserte krav i forordningen.
16. juli 2020 kom også Schrems II-dommen og endret rettstilstanden knyttet til overføring av personopplysninger til USA. Hvis virksomheten har databehandleravtaler som er inngått før denne datoen, er det derfor stor sannsynlighet for at disse avtalene henviser til ugyldige overføringsgrunnlag – og at virksomheten overfører personopplysninger uten rettslig grunnlag for det. Gå inn i en tilfeldig databehandleravtale og gjennomfør: CTRL+F søk deretter «Privacy shield». Fikk du treff? Da foreligger det et problem med overføringer av personopplysningene. Privacy Shield er som kjent ikke lenger gyldig som overføringsgrunnlag til USA.
.gif)
