Ett av de sentrale kravene i personvernforordningen (GDPR) er databehandleravtaler. GDPR stiller en rekke til dels spesifikke krav til slike avtaler. Det begynner etterhvert å komme mange ulike varianter av databehandleravtaler på markedet. Nå har det kommet en interessant uttalelse om datatilsynenes eget syn på hva som er en god databehandleravtalemal etter GDPR.

The European Data Protection Board (EDPB), som er et samarbeidsorgan for datatilsynene i EU/EØS, uttalte seg nylig om det danske datatilsynets utkast til mal for databehandleravtaler. Uttalelsen inneholder en grundig gjennomgang av danskenes standardavtale, samt en rekke forslag til endringer. Merknadene er interessante også for andre som arbeider med slike avtaler, siden den gir en pekepinn fra offisielt hold på hvordan en god databehandleravtalemal bør utformes.

I sin gjennomgang kommer EDPB med en rekke bemerkninger, både på overordnet- og detaljnivå. På overordnet nivå er EDPB opptatt av fleksibilitet mellom tjenesteavtalen og databehandleravtalen, siden disse ikke alltid er like tett knyttet opp mot hverandre. EDPB er videre opptatt av at behandlingene som foretas er beskrevet så presist som mulig – for å tydeliggjøre partenes forpliktelser og rettigheter.

EDPB kommer med følgende generelle kommentarer om hva de anser som viktig å ha med i en god databehandleravtalemal:

  • Generelle henvisninger til lovgivning, fremfor til konkret lov
  • Generelle henvisninger til datatilsynsmyndighet, fremfor til spesifikk nasjonal myndighet
  • En utdyping av hvordan databehandler skal assistere behandlingsansvarlig, fremfor kun å henvise til rettigheter som skal ivaretas
  • Konsekvent bruk av ord og uttrykk, gjerne hentet direkte fra GDPR

EDPBs ønsker om formuleringer som speiler ordlyden i GDPR, samtidig som de skal være klare og beskrive det reelle forholdet mellom behandlingsansvarlig og databehandler, kan være krevende å etterkomme. Særlig når databehandleravtalen også skal reflektere tjenestens art og realitetene i denne. GDPR selv er heller ikke kjent for å være et klarspråk-eksempel til etterlevelse, så vi stiller spørsmål om det er alltid er mulig å tilfredsstille begge disse forventningene samtidig.

I den avsluttende kommentaren uttales det at det enten må foretas en revidering av avtalen, eller en inkorporering av deres forslag, for at EDPB skal kunne gå god for danskenes utkast til databehandlermal.