Databehandleravtale (DPA): dette må stå i avtalen med leverandøren din
Bruker bedriften en leverandør som behandler personopplysninger om kunder eller ansatte på vegne av dere (som en sporingsløsning), er dere behandlingsansvarlig og leverandøren databehandler — da krever GDPR artikkel 28 en skriftlig databehandleravtale. Avtalen skal minst beskrive behandlingens art, formål og varighet, hvilke opplysninger og registrerte den gjelder, plikten til å følge instrukser, sikkerhetstiltak, og reglene for underleverandører.
På denne siden
Innfører bedriften din et system som behandler personopplysninger om kunder eller sjåfører — som en løsning for leveringssporing — er dette som regel et såkalt databehandleroppdrag. Da stiller GDPR et konkret, skriftlig krav dere må ha på plass: en databehandleravtale (ofte kalt DPA, etter det engelske «Data Processing Agreement»). Denne artikkelen går gjennom hva avtalen faktisk må inneholde.
Behandlingsansvarlig vs. databehandler — hvem er hva?
Din bedrift er behandlingsansvarlig for kundenes og sjåførenes personopplysninger — dere bestemmer formål og virkemidler for behandlingen. Leverandøren er databehandler — de behandler opplysningene på vegne av dere, etter instruks, og skal ikke bruke dataene til egne formål. Denne rollefordelingen er selve grunnlaget for hvorfor avtalen kreves: uten en databehandleravtale har databehandleren egentlig ikke noe rettslig grunnlag for å behandle opplysningene i det hele tatt.
Hva må avtalen inneholde? (GDPR artikkel 28)
Artikkel 28 stiller konkrete minstekrav til innholdet. Avtalen skal beskrive:
- Gjenstanden for behandlingen — hva behandlingen omfatter, dens art og formål
- Varigheten av behandlingen
- Hvilke typer personopplysninger som behandles, og hvilke kategorier registrerte det gjelder (f.eks. kunder, sjåfører)
- Den behandlingsansvarliges rettigheter og plikter
I tillegg skal avtalen pålegge databehandleren en rekke konkrete forpliktelser (art. 28 nr. 3):
- Kun behandle opplysningene etter dokumenterte instrukser fra dere
- Sørge for at personer med tilgang til dataene har taushetsplikt
- Gjennomføre nødvendige sikkerhetstiltak (jf. artikkel 32)
- Bistå dere med å svare på henvendelser fra registrerte som vil bruke sine rettigheter
- Slette eller returnere alle personopplysninger når oppdraget avsluttes
- Gi dere informasjonen dere trenger for å dokumentere overholdelse av kravene
Underleverandører — hva sier avtalen om dem?
Ønsker databehandleren å bruke en underleverandør (for eksempel en e-post- eller SMS-tjeneste), krever GDPR at dette er spesifikt eller generelt godkjent av dere på forhånd. Ved generell godkjenning skal dere ha rett til å motsette dere endringer, og databehandleren skal pålegge underleverandøren de samme databeskyttelsesforpliktelsene som gjelder i hovedavtalen.
Hva bør dere sjekke hos en leverandør av sporingsløsning?
- Finnes det en databehandleravtale i det hele tatt? Tilbys ikke en DPA som en naturlig del av avtaleverket, er det et varselstegn.
- Hvor lagres dataene? Er det innenfor EU/EØS, eller krever det et eget overføringsgrunnlag ut av EØS?
- Hvilke underleverandører brukes? En liste over faktiske underleverandører (f.eks. e-post- og SMS-tjenester) bør være tilgjengelig, ikke skjult.
- Hva skjer med dataene ved oppsigelse? Avtalen skal si tydelig at data slettes eller returneres når forholdet avsluttes.
Slik forholder Framme seg til dette
Framme er databehandler for kunde- og sjåførdata som samles inn gjennom sporingen, og tilbyr en databehandleravtale som del av kundeforholdet. Rådata om posisjon slettes automatisk etter 72 timer uansett — se hvordan Framme er bygget rundt personvern fra dag én.
Ofte stilte spørsmål
Trenger vi en databehandleravtale for alle leverandører?
Bare for leverandører som behandler personopplysninger på vegne av dere — altså har tilgang til eller lagrer data om kunder/ansatte for et formål dere bestemmer. Rene produktleverandører uten datatilgang trenger ikke DPA.
Hva skjer hvis vi ikke har en databehandleravtale på plass?
Dere er da i strid med GDPR artikkel 28, og databehandleren mangler rettslig grunnlag for behandlingen. Datatilsynet kan gi pålegg og overtredelsesgebyr til den behandlingsansvarlige.
Kan leverandøren bruke underleverandører uten å si fra?
Nei. Bruk av underleverandører krever enten spesifikk eller generell forhåndsgodkjennelse fra dere, og underleverandøren skal pålegges de samme forpliktelsene som hovedavtalen.
Må avtalen være skriftlig?
Ja — GDPR krever at databehandleravtalen er skriftlig, inkludert i elektronisk format.
Relaterte artikler
Kjøpsloven eller forbrukerkjøpsloven? Dette avgjør hvilken lov som gjelder
Samme forsinkelse kan behandles helt ulikt avhengig av hvem kunden er. Her er forskjellen på kjøpsloven og forbrukerkjøpsloven — og hvorfor det betyr mer enn du tror for din bedrift.
Force majeure og forsinket levering: når slipper dere erstatningsansvar?
Uvær, veiarbeid eller en transportør som svikter — når er dette faktisk grunn til å slippe erstatningsansvar for forsinket levering, og når er det ikke det?
Drøftingsplikt før GPS-sporing: slik gjennomfører du den riktig
Skal dere innføre GPS-sporing av kjøretøy? Arbeidsmiljøloven §9-2 krever mer enn informasjon — den krever reell drøfting. Her er fremgangsmåten, steg for steg.