Er dine databehandleraftaler gyldige?

Fra Focus Advokaters GDPR-team, 4.10.2019

Datatilsynet har den 5. august 2019 afsluttet deres sager vedrørende Viborg Kommunes og Randers Kommunes brug af databehandlere som en del af Datatilsynets tilsynsstrategi fra efteråret 2018. Begge kommuner fik hårde ord med sig – men dog ingen bøde - for ikke at have levet op til kravene om at indgå databehandleraftaler med deres databehandlere og for ikke at føre tilsyn med, om deres databehandlere og underdatabehandlere levede op til kravene i aftalerne og databeskyttelseslovgivningen.

Datatilsynet kunne på baggrund af deres tilsyn hos kommunerne konstatere:

  • At Viborg og Randers Kommune i mange tilfælde ikke har levet op til kravene i databeskyttelsesforordningens artikel 28, stk. 3
  • At Viborg Kommune ikke har ført løbende tilsyn med behandlingen af personoplysninger hos de af kommunens databehandlere, som Datatilsynet havde udvalgt til stikprøvekontrol.
  • At Viborg og Randers Kommune ikke i alle tilfælde har ført løbende tilsyn med behandlingen af personoplysninger hos kommunens underdatabehandlere.

Viborg Kommune fik meddelt et påbud om at indgå lovlige databehandleraftaler med de resterende databehandlere, og begge kommuner skulle ligeledes udfærdige en redegørelse over databeskyttelsesretlige overvejelser, som tilsynet medførte, samt en detaljeret plan for, hvordan kommunerne fremadrettet ville føre tilsyn med kommunernes databehandlere og underdatabehandlere.

Manglende indgåelse af (lovlige) databehandleraftaler

For både Viborg og Randers Kommune blev det påtalt, at kommunerne ikke havde indgået databehandleraftaler med alle deres databehandlere. Værst stod det til for Randers Kommune, der manglede at indgå aftaler med hele 68 af kommunens databehandlere på tidspunktet for tilsynsbesøget den 9. november 2018.

Datatilsynet fokuserede dog ikke kun på selve indgåelsen af databehandleraftalen, men også indholdet af aftalerne. Datatilsynet udtalte bl.a., at det var tilsynets opfattelse, at det ikke ville være i overensstemmelse med kravene i databeskyttelsesforordningens artikel 28, stk. 2, hvis ikke den dataansvarlige reelt har muligheder for at gøre indsigelser mod en databehandlers tilføjelser eller ændring af en underdatabehandler. Det skal altså være tydeligt reguleret i aftalen, hvordan og hvornår databehandleren skal underrette om planlagte ændringer.

Herudover udtalte Datatilsynet, at den dataansvarliges instruks til databehandleren om behandling af personoplysninger skal være tilstrækkelig tydelig. I den konkrete sag var der en bestemmelse om, at den dataansvarliges manglende indsigelse efter 30 dage til ændring af ydelsesbeskrivelsen ville udgøre en stiltiende accept. Dette var ikke en dokumenteret instruks fra den dataansvarlige. Det fremgik af en anden instruks heller ikke tydeligt nok, hvilken behandling databehandleren egentlig foretog for den dataansvarlige, og endelig havde den dataansvarlige ikke aktivt forholdt sig til en databehandlers anvendelse af personoplysningerne til egne formål (bl.a. til nyhedsbreve, markedsundersøgelse og optimering af tjenesteydelser).

Tilsyn med sine databehandlere – og underdatabehandlere!

Datatilsynet så ligeledes på, hvordan kommunerne foretog de lovpligtige tilsyn med deres databehandlere og underdatabehandlere. Datatilsynet fandt, at Viborg Kommune ikke havde indhentet revisionserklæringer eller på anden vis ført løbende tilsyn med behandling af personoplysninger hos de databehandlere, som var udpeget af tilsynet til stikprøvekontrol. Modsat havde Randers Kommune ført løbende tilsyn med sine databehandlere ved, at kommunen indhentede revisionserklæringer efter ISAE 3000 eller ISAE 3402, og kommunen samtidig kunne dokumentere, at de havde forholdt sig til indholdet af erklæringerne.

Datatilsynet slog desuden ned på, at kommunerne ikke havde ført faktisk tilsyn med sine underdatabehandlere. For begge kommuners vedkommende henviste de til, at der i aftalerne/erklæringer med databehandlerne fremgik, at databehandlerne ville foretage tilsyn med sine underdatabehandlere, og at kommunerne gav udtryk for generelt at have tillid hertil. Datatilsynet lagde imidlertid til grund, at kommunerne ikke aktivt havde forholdt sig til, om databehandleren rent faktisk havde ført tilsynet, og hvad resultatet af tilsyn i givet fald ville vise om underdatabehandlerens behandling af personoplysninger. At den dataansvarlige skal føre tilsyn med underdatabehandlere er nok kommet som en overraskelse for mange, men denne forpligtelse fremgik allerede af tilsynets vejledende tekst om tilsyn med databehandlere og underdatabehandlere fra maj 2018. De to afgørelser er dermed et klart udtryk for, at tilsynet agter at håndhæve deres vejledning i praksis.

Vores anbefalinger

Selvom kommunerne slap med alvorlig kritik, så viser afgørelserne klart, at man som dataansvarlig skal have indgået aftaler med samtlige af de databehandlere, som behandler personoplysninger på den dataansvarliges vegne, og at de indgåede aftaler indholdsmæssigt skal være i overensstemmelse med artikel 28, stk. 3. Det bemærkes, at Datatilsynet for nylig har udtalt, at de på nuværende tidspunkt er tilbageholdende med at give bøder til offentlige myndigheder pga. usikkerhed omkring selve udmålingen. Tilsynet afventer derfor en udtalelse fra Justitsministeriet herom.

Vi kan se i afgørelserne, at den dataansvarlige først og fremmest skal sikre sig, at aftalen indeholder regulering af de lovpligtige bestemmelser, herunder den praktiske håndtering af parternes forpligtelser. Derudover må databehandleren ikke få for vide rammer til at bestemme over oplysningerne til egne formål, og den dataansvarlige skal have tid nok til at fremsætte indsigelser over for ny underdatabehandlere. Udstrækningen af sidstnævnte frist afhænger særligt af den dataansvarliges interne ressourcer og kompetencer til selv at foretage en vurdering af nye underdatabehandlere. Endelig kan den dataansvarlige med fordel udarbejde en oversigt over eventuelle databehandlere, som der endnu ikke er et (gyldigt) aftaleforhold med, da dette vil afspejle konkrete overvejelser, som kan fremvises til Datatilsynet.

Den dataansvarlige bør også have formelle procedurer for at føre løbende tilsyn med sine databehandlere. Der skal gøres overvejelser om, hvordan og hvor ofte tilsynene skal foretages, samt hvilke dokumenter, der skal udarbejdes, således at tilsynene kan dokumenteres. Dette kan f.eks. omfatte interne notater om gennemgang af revisionserklæringer eller udarbejdede tilsynsrapporter over fysiske tilsyn mv.

Til sidst skal det fremhæves, at der bør være en klar aftale med databehandleren om, at denne fører løbende tilsyn med sine underdatabehandlere, og at den dataansvarlige får stillet dokumentation for de førte tilsyn til rådighed. Den dataansvarlige bør evt. bede databehandleren om at tilsende en plan over, hvordan denne vil føre de aftalte tilsyn med underdatabehandlerne. Den dataansvarlige skal dog her være klar over, at denne er forpligtet til at gennemse den tilsendte dokumentation og vurdere, om det er tilfredsstillende, ligesom det er tilfældet ved sine egne databehandlere.

Datatilsynets afgørelser kan læses her (for Viborg Kommune) og her (for Randers Kommune). 

 

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.

Jesper Løffler Nielsen

Jesper Løffler Nielsen

Associeret partner, advokat (L), Ph.D., leder af Focus Advokaters Tech Team Læs mere
  2. Focus Advokater
  3. Forretningsområder
  4. Specialjura
  5. Persondata (GDPR)
  6. Er dine databehandleraftaler gyldige?
Kontakt os

Se alle medarbejdere eller søg herunder

Tilmeld nyhedsbrev

Hold dig opdateret med nyheder fra Focus Advokater

Tilmeld

Nyheder
Se flere nyheder
Arrangementer
Se flere arrangementer