DPA Deep Dive: Derfor er databehandleraftalen afgørende, når du vælger et spørgeskemaværktøj

Executive Summary

Når du vurderer et spørgeskemaværktøj, er databehandleraftalen (DPA) et af de vigtigste dokumenter at gennemgå.

I henhold til GDPR gælder det, at når en leverandør behandler personoplysninger på vegne af din organisation, er din organisation dataansvarlig, og leverandøren er databehandler. Artikel 28 i GDPR kræver, at dette forhold reguleres af en skriftlig aftale.

• Afklarer roller og ansvar

• Beskriver, hvordan personoplysninger behandles

• Fastlægger krav til datasikkerhed

• Regulerer brugen af underdatabehandlere

• Omhandler internationale overførsler

• Definerer, hvad der sker med data ved aftalens ophør

Ud over den formelle compliance afspejler leverandørens tilgang til DPA-processen ofte deres samlede modenhed. Transparens, dialog og evnen til at afstemme juridiske forventninger er stærke indikatorer på en ansvarlig og langsigtet samarbejdspartner.  

Enalyzers tilgang afspejler de centrale elementer, der forventes i en GDPR-kompatibel databehandleraftale. I stedet for at behandle databehandleraftalen som et selvstændigt juridisk dokument integrerer platformen disse krav i sin operationelle og tekniske opsætning og understøtter organisationer i at håndtere personoplysninger ansvarligt gennem hele undersøgelsens livscyklus.

‍

Hvad er en databehandleraftale?

En databehandleraftale er en juridisk bindende kontrakt mellem en dataansvarlig og en databehandler.

Den sikrer, at personoplysninger:

• Kun behandles efter dokumenterede instrukser

• Beskyttes gennem passende tekniske og organisatoriske foranstaltninger

• Behandles i overensstemmelse med GDPR

• Er underlagt tydelig ansvarsplacering

Uden en gyldig databehandleraftale opfylder behandlingsforholdet ikke kravene i GDPR.

‍

Hvorfor er databehandleraftalen særligt vigtig for spørgeskemaværktøjer?

Spørgeskemaværktøjer behandler ofte:

• Medarbejderdata

• Kundefeedback

• Borgerbesvarelser

• Lederevalueringer

• Potentielt følsomme oplysninger

Da spørgeskemaundersøgelser ofte indeholder personoplysninger, og i nogle tilfælde fortrolige oplysninger bliver den valgte leverandør en central aktør ift compliance afhængighed.

Databehandleraftalen regulerer, hvordan disse data håndteres, beskyttes og administreres gennem hele kontraktperioden. For mange organisationer – særligt i regulerede brancher eller i den offentlige sektor – er gennemgang af DPA’en en naturlig del af ansvarlig due diligence.

‍

Centrale elementer i en GDPR-compliant databehandleraftale

Omfang og formål med behandlingen

Aftalen beskriver behandlingens karakter, kategorier af registrerede, typer af personoplysninger samt formålet med behandlingen.

Fortrolighed og datasikkerhed

Databehandleren forpligter sig til at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger i overensstemmelse med artikel 32 i GDPR.

Brug af underdatabehandlere

DPA’en regulerer, om der kan anvendes underdatabehandlere, og sikrer, at disse er underlagt tilsvarende databeskyttelsesforpligtelser.

Internationale dataoverførsler

Hvis personoplysninger overføres uden for EU eller EØS, beskriver aftalen de relevante retlige overførselsgrundlag og garantier.

Samarbejde og bistand

Databehandleren bistår den dataansvarlige med at opfylde relevante forpligtelser efter GDPR inden for rammerne af behandlingsforholdet.

Returnering eller sletning af data

Aftalen fastlægger, hvad der sker med personoplysninger, når det kontraktuelle samarbejde ophører.

Ud over dokumentet: Betydningen af dialog og forventningsafstemning

Mange softwareleverandører stiller en standard-DPA til rådighed. Det er almindelig praksis og ofte effektivt.

For organisationer med klart definerede interne compliance-krav er det dog ofte afgørende, at DPA-processen giver mulighed for konstruktiv dialog.

En moden leverandør bør kunne:

• Forklare DPA’ens struktur og indhold klart

• Præcisere ansvarsfordelingen

• Redegøre for, hvordan lovkrav implementeres i praksis

• Forholde sig konkret til kundens specifikke bekymringer

Formålet med en databehandleraftale bør ikke være ensidig risikoplacering. Den skal danne et juridisk holdbart fundament, der afspejler både leverandørens ansvar og kundens regulatoriske forpligtelser.

‍

FAQ

Er en databehandleraftale lovpligtig ved brug af et spørgeskemaværktøj?

Ja. Artikel 28 i GDPR kræver en skriftlig aftale, når en databehandler behandler personoplysninger på vegne af en dataansvarlig.

Kan en databehandleraftale tilpasses kundens behov?

I mange tilfælde anvender leverandører en standard-DPA, hvor det ikke er muligt. Afhængigt af konteksten bør præciseringer eller rimelige kunne justeringer drøftes med en leverandør.

Sikrer en underskrevet DPA fuld GDPR-compliance?

Nej. En DPA er en nødvendig komponent, men compliance afhænger også af lovligt behandlingsgrundlag, intern governance og passende sikkerhedsforanstaltninger.

Hvorfor er dialog med leverandøren vigtig i DPA-processen?

Fordi den sikrer klar ansvarsfordeling, korrekt risikohåndtering og fælles forståelse af compliance-forpligtelser.

Kilder

General Data Protection Regulation (EU) 2016/679
Fuldt forordningstekst
https://eur-lex.europa.eu/eli/reg/2016/679/oj

Artikel 28 – Databehandler
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

Artikel 32 – Behandlingssikkerhed
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

Artikel 44–49 – Overførsler til tredjelande
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

Retningslinjer fra European Data Protection Board om dataansvarlig og databehandler
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor_en

Europa-Kommissionens standardkontraktbestemmelser (SCC)
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en