Mange virksomheder tror, at der skal indgås en databehandleraftale med alle leverandører eller samarbejdspartnere, som i et vist omfang får adgang til personoplysninger. Men er det nu også korrekt? Få overblik over, hvornår GDPR kræver en databehandleraftale, og hvornår det ikke er nødvendigt her.

Du skal ikke have databehandleraftaler med alle leverandører
Det er en udbredt misforståelse, at virksomheder skal indgå databehandleraftaler med enhver leverandør, der får adgang til personoplysninger. Det er ikke korrekt.

Hvorvidt der skal indgås en databehandleraftale afhænger af, hvad leverandøren konkret skal levere.

Der er kun tale om et databehandlerforhold, som kræver en databehandleraftale, hvis leverandørens opgave primært består i, at leverandøren skal behandle personoplysninger på dine vegne f.eks. ved at indsamle, registrere, strukturere, videregive eller slette personoplysninger som en del af den aftalte ydelse.

Det betyder, at der som udgangspunkt ikke skal indgås en databehandleraftale, hvis leverandørens primære opgave ikke har til formål at behandle personoplysninger som ovenfor, også selvom leverandøren får adgang til visse personoplysninger. Der er f.eks. typisk ikke behov for en databehandleraftale når:

• En håndværker skal udføre arbejde i virksomhedens lokaler
• En konsulent skal yde strategisk rådgivning uden adgang til strukturerede personoplysninger
• En it-konsulent skal fejlsøge i software

Er formålet med leverandørens ydelse ikke at behandle personoplysninger, men får leverandøren trods alt adgang til fortrolige informationer, herunder personoplysninger, kan man i stedet indgå en fortrolighedsaftale.

Se Dansk Erhvervs skabelon til fortrolighedsaftaler her.

Er du i tvivl om, hvorvidt et konkret leverandørforhold kræver en databehandleraftale, er du altid velkommen til at kontakte vores juridiske hotline.

Læs mere om databehandlerkonstruktionen i Datatilsynets vejledning her.