esigner.no
Personvern

Databehandleravtale

En databehandleravtale (DPA) er pliktig etter personvernforordningen (GDPR) artikkel 28 hver gang en virksomhet (behandlingsansvarlig) lar en annen virksomhet (databehandler) behandle personopplysninger på sine vegne. Typiske eksempler er skytjenester, regnskapsbyråer, lønnstjenester, IT-driftsleverandører, e-postutsendelse og kundeservicesystemer.

Avtalen skal regulere hva som behandles, hvor lenge, hvilke sikkerhetstiltak som gjelder, bruk av underleverandører, overføring til tredjeland og hva som skjer ved avtalens opphør. Datatilsynet kan kreve avtalen fremlagt, og brudd kan medføre overtredelsesgebyr etter personopplysningsloven § 26.

Denne malen følger kravene i GDPR art. 28 nr. 3 og er tilpasset norsk rett. Fyll ut feltene, last ned PDF og signer elektronisk med BankID via esigner.no.

Fyll ut og signer med BankID

Fyll inn feltene under, legg til hvem som skal signere, og betal med Vipps. Alt skjer her — du trenger ikke laste ned noe.

Logo (valgfritt)

PNG eller JPG, maks 1,5 MB. Vises øverst i dokumentet i stedet for esigner-logoen.

1. Partene

Behandlingsansvarlig:

Databehandler:

2. Avtalens formål og omfang

Avtalen regulerer databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig, jf. personvernforordningen (GDPR) artikkel 28. Hovedavtalen som regulerer det underliggende leveranseforholdet er:

3. Behandlingens art, formål og varighet

Behandlingen omfatter følgende:

4. Kategorier personopplysninger

Følgende kategorier personopplysninger behandles:

5. Kategorier registrerte

6. Behandlingsansvarliges plikter

Behandlingsansvarlig har rettslig grunnlag for behandlingen etter GDPR art. 6 (og eventuelt art. 9/10), gir dokumenterte instrukser til databehandler og ivaretar de registrertes rettigheter. Behandlingsansvarlig kan til enhver tid endre eller utdype instruksene skriftlig.

7. Databehandlers plikter

Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig, sørge for at personer med tilgang har taushetsplikt, bistå behandlingsansvarlig ved henvendelser fra registrerte, varsle om brudd uten ugrunnet opphold og stille nødvendig informasjon til rådighet for å dokumentere etterlevelse, jf. GDPR art. 28 nr. 3 bokstav a–h.

8. Sikkerhetstiltak (art. 32)

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet. Følgende tiltak er minimum:

9. Bruk av underdatabehandlere

Databehandler kan benytte underdatabehandlere på følgende vilkår:

Liste over godkjente underdatabehandlere ved avtaleinngåelse:

10. Overføring til tredjeland

Overføring av personopplysninger til land utenfor EØS skal bygge på et gyldig overføringsgrunnlag etter GDPR kapittel V, og databehandler skal gjennomføre en konkret risikovurdering (TIA) i tråd med Schrems II (C-311/18).

11. Avviksvarsling

Databehandler skal uten ugrunnet opphold, og senest innen 24 timer etter at avviket er oppdaget, varsle behandlingsansvarlig skriftlig om brudd på personopplysningssikkerheten, jf. GDPR art. 33 nr. 2.

12. Revisjon og tilsyn

Behandlingsansvarlig har rett til å gjennomføre revisjon, herunder inspeksjon, av databehandlers etterlevelse av avtalen. Databehandler kan dokumentere etterlevelse gjennom anerkjent tredjepartsrevisjon (f.eks. ISAE 3000/3402). Kostnader bæres av:

13. Opphør og sletting

Ved avtalens opphør skal databehandler etter behandlingsansvarliges valg:

14. Ansvar og erstatning

Partene er ansvarlige etter GDPR art. 82 og personopplysningsloven § 30. Eventuell ansvarsbegrensning i hovedavtalen gjelder så langt den er forenlig med personvernregelverket.

15. Lovvalg og verneting

Avtalen reguleres av norsk rett. Tvister søkes løst ved forhandlinger. Verneting er:

16. Signatur

Avtalen er inngått elektronisk i to eksemplarer, ett til hver part. Signering med BankID via esigner.no gir tilsvarende rettsvirkning som håndskrevet signatur, jf. lov om elektroniske tillitstjenester.

Se hvordan det ferdige dokumentet blir før du betaler.

Undertegnere

Pris: 0 kr inkl. mva

22 kr × 0 undertegnere

Ved å gå videre aksepterer du vilkårene (åpnes i ny fane) for bruk av tjenesten.

Foretrekker du å fylle ut manuelt?

Last ned malen gratis

PDF for utskrift · redigerbar Word (.docx)

Last ned PDF Last ned Word

Hva malen inneholder

  • Identifikasjon av behandlingsansvarlig og databehandler
  • Formål, varighet og art av behandlingen
  • Kategorier personopplysninger og registrerte
  • Plikter for databehandler etter art. 28 nr. 3
  • Sikkerhetstiltak etter art. 32
  • Bruk av underdatabehandlere og generell/spesifikk godkjenning
  • Tredjelandsoverføring og Schrems II-vurdering
  • Avviksvarsling, revisjon og bistandsplikt
  • Sletting eller tilbakelevering ved opphør
  • Signaturfelt for begge parter

Slik signerer du den med BankID

  1. 1

    Last ned malen. Last ned databehandleravtale (gdpr art. 28) som PDF eller Word.

  2. 2

    Fyll ut. Fyll inn opplysningene i dokumentet på din egen maskin.

  3. 3

    Last opp og signer. Last opp den utfylte PDF-en på esigner.no, legg til e-postene og signer med BankID.

Last opp og signer nå

Kilde og juridisk grunnlag

Malen bygger på GDPR artikkel 28 nr. 3 slik den er inkorporert i norsk rett gjennom personopplysningsloven § 1, og tar hensyn til Datatilsynets veiledning samt EU-domstolens avgjørelse i Schrems II (C-311/18).

Lovdata – personopplysningsloven (åpnes i ny fane)

Ofte stilte spørsmål

Når må vi inngå databehandleravtale?
Så snart en ekstern leverandør behandler personopplysninger på deres vegne. Det gjelder for eksempel skytjenester, regnskapsbyrå, lønnssystem, e-postmarkedsføring og IT-drift. Avtalen skal være på plass før behandlingen starter, ikke etterpå.
Hva er forskjellen på behandlingsansvarlig og databehandler?
Behandlingsansvarlig bestemmer formålet og midlene for behandlingen. Databehandler behandler opplysningene utelukkende etter instruks fra behandlingsansvarlig. Hvis leverandøren bruker dataene til egne formål, blir de selv behandlingsansvarlige – og da kreves en annen type avtale.
Kan vi bruke en standard databehandleravtale fra leverandøren?
Ja, men dere er som behandlingsansvarlig ansvarlig for at avtalen oppfyller GDPR art. 28 nr. 3. Les den nøye, særlig punktene om underleverandører, tredjelandsoverføring og revisjonsrett. Mange standardavtaler er for vide til fordel for leverandøren.
Må databehandleravtalen være på norsk?
Nei, men den må være forståelig for begge parter. Datatilsynet aksepterer engelsk hvis dette er forretningsspråket. For norske SMB anbefales norsk slik at ansatte og revisor kan forstå innholdet.
Hva skjer ved overføring av data til USA eller andre tredjeland?
Etter Schrems II-dommen må overføringer utenfor EØS bygge på et gyldig overføringsgrunnlag, typisk EU-Kommisjonens standard personvernbestemmelser (SCC) eller EU-US Data Privacy Framework. Dere må også gjøre en konkret risikovurdering (TIA) av mottakerlandets rettsregler.
Hvor lenge må databehandleravtalen oppbevares?
Avtalen bør oppbevares så lenge behandlingen pågår og minst tre år etter at den er avsluttet, slik at dere kan dokumentere etterlevelse ved tilsyn. Signert PDF lagret i esigner.no oppfyller dokumentasjonskravet.

Andre maler

Se alle maler
ArbeidsavtaleArbeidLeiekontrakt (bolig)BoligÅrsmøteprotokollOrganisasjon

Disse malene er et generelt utgangspunkt og er ikke juridisk rådgivning. Kontroller at innholdet passer din situasjon, og søk juridisk bistand ved tvil.