Kapitel 9 1 Forpligtelser for databehandleren m.v.
Overlader en dataansvarlig en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nævnt i §§ 20 og 24, og påse, at dette sker.
Stk. 2 Gennemførelse af en behandling ved en databehandler skal ske i henhold til lov eller en skriftlig aftale mellem databehandleren og den dataansvarlige. Loven eller aftalen skal fastsætte genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Det skal navnlig fremgå, at databehandleren
-
1) kun må handle efter instruks fra den dataansvarlige,
-
2) sikrer, at de fysiske personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt,
-
3) bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestemmelserne om den registreredes rettigheder,
-
4) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysningerne til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, medmindre anden lovgivning foreskriver opbevaring af personoplysningerne,
-
5) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne bestemmelse, til rådighed for den dataansvarlige og
-
6) overholder betingelserne i nr. 1-5 og stk. 3 med henblik på at gøre brug af en anden databehandler.
Stk. 3 En databehandlers overladelse af behandling til en anden databehandler skal ske i henhold til en generel eller specifik skriftlig aftale med den dataansvarlige. Sker overladelse i henhold til en generel aftale, skal databehandleren underrette den dataansvarlige herom senest 14 dage forud for overladelsen.
Stk. 4 Enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, må kun efter instruks fra den dataansvarlige behandle disse oplysninger, medmindre det følger af anden lovgivning, at den pågældende skal foretage behandlingen.