Datatilsynet præciserer i udtalelse af 8. december 2014 i sag mod kommune, at ansvaret for brug af databehandlere og kontrollen med databehandlere påhviler den datansvarlige.
Datatilsynet anfører i denne sammenhæng at dette antid skal ske via skriftlig aftale mellem parterne, jf. persondatalovens § 42, stk. 2.
Derudover udtaler Datatilsynet:
"Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
Af sikkerhedsbekendtgørelsens § 7 følger det tillige, at hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren.
Databehandleraftale skal indgås uanset om der sker behandling af følsomme eller almindelige ikke-følsomme personoplysninger.
Det følger endvidere af Datatilsynets vejledning til sikkerhedsbekendtgørelsen , at den dataansvarlige aktivt skal sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren."
Læs hele udtalelsen fra Datatilsynet
her
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
