Når man indgår en aftale med en anden virksomhed om, at de skal udføre en opgave der indeholder behandling af persondata på vegne af den dataansvarlige, vil der være tale om en databehandlerkonstruktion og dermed vil der være behov for at indgå en databehandleraftale.
Her kan det være kompliceret at foretage en afkodning af om der rent faktisk består en databehandlerkonstruktion eller ej. I nogle tilfælde vil der være tale om, at data bliver videregivet til en anden, der derefter bliver ny dataansvarlig – dette gælder f.eks. når vi taler om videregivelse af persondata til pensionsselskaberne.
Dette hænger sammen med, at pensionsselskabet selv beslutter hvordan disse data skal behandles, hvorimod jeres regnskabsfører der kan være en cloudservice, der får overladt data fra jer.
Når man indgår en databehandleraftale er der nogle krav til hvad den skal indeholde og her anbefales det at benytte Datatilsynets skabelon for at være sikker på at få det hele med.
At indgå databehandleraftaler blot for at være på den sikre side kan heller ikke anbefales, da man forpligter sig til at føre tilsyn med sine databehandlere når man har en aftale.