Databehandleravtale (DPA): når trenger du den, og hva skal den inneholde?
En databehandleravtale er lovpålagt under GDPR når du bruker leverandører som håndterer personopplysninger for deg. Her er det du trenger å vite.
Driver du en norsk nettside som samler inn e-postadresser, bruker analyseverktøy, sender nyhetsbrev eller lagrer kundeopplysninger? Da er sjansen stor for at du trenger en databehandleravtale – og kanskje allerede burde hatt den på plass.
Hva er en databehandleravtale?
En databehandleravtale (engelsk: Data Processing Agreement, forkortet DPA) er en skriftlig avtale mellom en behandlingsansvarlig og en databehandler. Personvernforordningen (GDPR), som gjelder i Norge via EØS-avtalen, pålegger deg å inngå en slik avtale i artikkel 28.
- Behandlingsansvarlig er den som bestemmer formål og midler for behandlingen – typisk din bedrift eller organisasjon.
- Databehandler er en ekstern part som behandler personopplysninger på dine vegne og etter dine instrukser – for eksempel en webhotell-leverandør, en e-postmarkedsføringplattform, et CRM-system eller et analyseverkøy.
Når er avtalen påkrevd?
Du trenger databehandleravtale hver gang en tredjepart behandler personopplysninger for deg. Typiske eksempler:
- Webhotell og serverhosting – leverandøren lagrer filer og databaser som kan inneholde personopplysninger
- E-postmarkedsføring – plattformer som Mailchimp, Klaviyo eller tilsvarende lagrer abonnentlister
- Nettanalyse – Google Analytics og lignende verktøy behandler IP-adresser og atferdsdata
- CRM-systemer – kundedata lagret hos en ekstern SaaS-leverandør
- Kommentarfunksjoner og skjemaverktøy – brukerinndata som behandles via tredjepartstjenester
- Betalingsgatewayer – der kortdata og kjøpshistorikk er involvert
Merk at en felles behandlingsansvarlig-situasjon (der to parter selv bestemmer formål og midler) reguleres annerledes og krever en annen type avtale enn en DPA.
Hva skal avtalen inneholde?
GDPR artikkel 28 nr. 3 angir minimumskravene. En DPA skal spesifisere:
| Element | Beskrivelse |
|---|---|
| Behandlingens gjenstand og varighet | Hva behandles, og hvor lenge |
| Behandlingens art og formål | Hva leverandøren gjør med dataene |
| Type personopplysninger | F.eks. navn, e-post, IP-adresse, kjøpshistorikk |
| Kategorier av registrerte | F.eks. kunder, abonnenter, ansatte |
| Den behandlingsansvarliges rettigheter og plikter | Instruksretten og kontrollmekanismer |
Avtalen skal også sikre at databehandleren:
- Kun behandler data etter den behandlingsansvarliges dokumenterte instrukser
- Sikrer at personell som behandler data er underlagt taushetsplikt
- Implementerer tilstrekkelige tekniske og organisatoriske sikkerhetstiltak
- Informerer om bruk av underdatabehandlere og innhenter godkjenning
- Bistår med å ivareta de registrertes rettigheter (innsyn, sletting mv.)
- Sletter eller tilbakeleverer personopplysningene etter oppdragets avslutning
- Gjør nødvendig informasjon tilgjengelig for etterlevelsesrevisjoner
Underbehandlere
Mange leverandører bruker selv tredjepartsleverandører – såkalte underdatabehandlere. Et analyseverktøy kan for eksempel lagre data hos Amazon Web Services. DPA-en din bør regulere om dette er tillatt, og under hvilke betingelser.
Overføring til tredjeland
Dersom databehandleren er etablert utenfor EØS, eller benytter servere utenfor EØS, gjelder egne krav om overføringsgrunnlag – som EUs standard kontraktsbestemmelser (SCCs). Dette er særlig aktuelt for amerikanske SaaS-tjenester.
Praktiske råd
Sjekk avtalene dine nå. Gå gjennom listen over verktøy og leverandører som berører nettstedet ditt. Har du signert DPA med alle som behandler personopplysninger?
Ikke inngå avtaler muntlig. GDPR krever at DPA-er er skriftlige – i praksis betyr det signert dokument eller aksept av standard DPA-vilkår i leverandørens brukergrensesnitt.
Bruk leverandørenes standardavtaler der det er tilstrekkelig. De fleste seriøse leverandører tilbyr en ferdig DPA. Les den, men du trenger ikke alltid forhandle frem en unik avtale.
Dokumenter alt. Behandlingsprotokollen (GDPR artikkel 30) bør inneholde en oversikt over alle databehandlere og tilhørende DPA-er.
Merk: Denne artikkelen gir generell informasjon om GDPR-krav og er ikke juridisk rådgivning. Ta kontakt med Datatilsynet eller en personvernrådgiver dersom du er usikker på dine konkrete plikter.
Vymo og personvern
Som registrar for .no-domener og tilbyder av webhotell behandler Vymo personopplysninger på vegne av kunder i ulike sammenhenger. Informasjon om dette finnes i vår personvernerklæring og i de relevante tjenestevilkårene. Har du spørsmål om databehandling i forbindelse med din domene- eller webhotell- konto, ta kontakt med oss direkte.
For en helhetlig gjennomgang av sikkerhetstiltakene knyttet til ditt .no-domene, se vår sikkerhetsside .
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.