Posted on

Lidt om indsigtsanmodning og en nem 1-2-3 guide

Antallet af indberetning af brud på GDPR stiger støt. Vi kan nu konstatere, at mere end 5.000 indberetninger i DK har fundet sted det første år. Ser vi på 2018 alene var det 3.100 indberetninger. Langt under de 15.400 i Holland, men alligevel en del.

Hvordan håndterer du egentlig en indsigtsanmodning? Dem, der nu har prøvet det, ved godt, hvad der skal ske. I hvert fald til næste gang. Men alle jer, der endnu ikke har været udsat for en anmodning fra en tidligere ansat, en kunde i jeres webshop eller andre, har noget i vente. Det er derfor en god idé at være beredt.

Det er heldigvis ikke raketvidenskab. Datatilsynet har naturligvis formuleret en vejledning, der er så blød i kanterne, at det ikke nødvendigvis for almindelige mennesker kan omsættes til pragmatik. Men det kan deres skabeloner – de er tilpas nemme og alligevel grundige.

Vi giver dig derfor en kort guide her, som gør det muligt for dig og din virksomhed – lille som stor – at besvare en henvendelse.

  1. Når din virksomhed modtager en henvendelse, skal du på forhånd have udpeget, hvem der skal være ansvarlig for behandling af henvendelsen. Brug gerne en dedikeret e-mail adresse til formålet som f.eks. persondata@virksomhed.dk
  2. Start med at besvare mailen med en bekræftelse og at du ønsker en mere klar identifikation af afsenderen. Bed om information, som kun afsenderen kan kende til. Er det en tidligere medarbejder, kan et medarbejdernummer samt et nyligt billede af vedkommende bruges. Er det en webshop-kunde kan kundenummer samt f.eks. en kopi af seneste faktura være en mulighed. Bed ikke om mere end nødvendigt, men nok til at du er sikker på identiteten på den person, der henvender sig. Ring evt. vedkommende op.

    Husk at kommunikere via en krypteret forbindelse. Måske du har mulighed for at benytte en tredjepartsløsning som eksempelvis Sikker Post, Outlook-kryptering eller andet.
  1. Når afsenderen henvender sig igen med fornøden dokumentation, skal du besvare med hvilke typer af data, som du ligger inde med. Vi fortsætter med eksemplet med en tidligere medarbejder, der er fratrådt for 3 år siden.

Anvend gerne denne standardskabelon https://www.datatilsynet.dk/media/6889/bilag_a_og_b_-_skabeloner_til_oplysningspligt_og_indsigtsret.docx fra Datatilsynet for besvarelse. Den sikrer den rette oplysningspligt, og hjælper dig samtidig til, at komme hele vejen omkring.

Du har sandsynligvis allerede udarbejdet din artikel 30-fortegnelse (selve databahendlingsdokumentationen for hvilken behandling virksomheden foretager, formål, opbevaringsperiode, lovhjemmel etc.). Her kan du finde frem til, hvor du har informationer om tidligere medarbejdere. Typisk en personalemappe der indeholder en kopi af ansættelseskontrakten, kopi af timesedler, lønsedler etc.

  1. I skabelonen fra Datatilsynet fylder du nu informationer i om, hvilke data virksomheden ligger inde med. Og nu er det altså vigtigt – du skal være ærlig! Så har du dokumenteret og tidligere oplyst dine medarbejdere om, at I gemmer timesedler i 24 måneder, men her efter 36 måneder stadig har kopier liggende. Ja, så SKAL du altså oplyse dette. Bagefter kan du så få dem slettet/makuleret hurtigst muligt.
  2. Du skal sikre dokumentationen i et maskinlæsbart format. Det kan f.eks. være PDF-filer. Har du derfor fysiske timesedler liggende, skal de scannes og gemmes som PDF, som du vedlægger til modtageren.
  3. Send den samlede information til afsender og afvent evt. videre forløb.

Du har i første omgang en måned til at besvare henvendelsen. Dog skal det helst ske uden unødig forsinkelse.

Ovenstående er en simpel tilgang, men klarer jobbet.

Skal du have hjælp til at have ovenstående beredskab på plads – såvel skabeloner, procedure som teknisk implementering af sikker kommunikationsløsning – er du meget velkommen til at henvende dig.

Posted on

Har Facebook et ansvar for din ulovlige markedsføring?

Til overvejelse: Når du sender målrettede reklamer gennem Facebook, skal du overholde markedsføringslovens § 3 (erhvervsdrivende skal udvise god markedsføringsskik under hensyntagen til forbrugere, erhvervsdrivende og almene samfundsinteresser). Det siger Forbrugerombudsmanden. Overtræder du alligevel reglerne, skal Facebook så gøre dig opmærksom på det i henhold til databeskyttelsesreglerne?

Det kan være konsekvensen af følgende forordningsbestemte vilkår i Datatilsynets standard for databehandleraftaler:

Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Hvis Facebook ikke benytter Datatilsynets standard, burde vilkåret om databehandlerens underretningspligt ved ulovlig instruks alligevel være en del af databehandleraftalen, da underretningspligten som nævnt er forordningsbestemt, jf. artikel 28(3, andet afsnit).

Underretningspligten omfatter herefter instrukser i strid med “databeskyttelsesbestemmelser i […] medlemsstaternes nationale ret”.

Markedsføringslovens § 3 beskytter netop efter lovbemærkningerne “forbrugerens personlige integritet” og “privatlivets fred”. Så markedsføringslovens § 3 omhandler vel også databeskyttelse?

Er Facebook her databehandler, og handler markedsføringslovens § 3 også om databeskyttelse, skulle Facebook efter alt at dømme nok have kommet Forbrugerombudsmanden i forkøbet og underrettet annoncøren om den mulige overtrædelse.

Er Facebook i stedet dataansvarlig, må Facebook formentlig sidestilles med den, der overtræder markedsføringslovens § 3. Det er nok ikke en position, Facebook ønsker. Så hellere være databehandler i denne sammenhæng.

Og når nu vi er i gang skal e-handelslovens § 16(1) også med. Der står nemlig noget om ansvar for indholdet på sin hjemmeside:

En tjenesteyder er ikke ansvarlig for oplagring af information eller for indholdet af den oplagrede information, når oplagringen sker på anmodning af en tjenestemodtager, der har leveret informationen, og hvis tjenesteyderen

1) ikke har kendskab til den ulovlige eller skadevoldende aktivitet eller information og, for så vidt angår erstatningskrav, ikke har kendskab til forhold eller omstændigheder, hvoraf den skadevoldende aktivitet eller information fremgår, eller

2) fra det tidspunkt, hvor tjenesteyderen får et kendskab som nævnt i nr. 1, straks tager skridt til at fjerne informationen eller hindre adgangen til den.

Det er lidt knudret. Men udgangspunktet er faktisk, at man er ansvarlig for det indhold, der ligger på ens hjemmeside. Så kan man være fritaget for ansvaret under visse betingelser.

I det her tilfælde er Facebook efter ordlyden kun fritaget for ansvar, hvis de ikke havde kendskab til det ulovlige indhold (den ulovlige markedsføring), eller hvis de havde kendskab ikke tog skridt ( i tide) til at fjerne eller hindre adgangen. Og det er jo så en vurderingssag.

Under alle omstændigheder er det sidste nok ikke skrevet om sammenhængen mellem databeskyttelsesreglerne, e-handelsloven og markedsføringsloven. Den kan de jo tage videre med i kantinen i Valby, hvor både Datatilsynet og Forbrugerombudsmanden har til huse på Carl Jacobsens Vej.

De kan passende starte med at drøfte, om og i givet fald i hvilket omfang artikel 28(3, andet afsnit), der udrykkeligt henviser til artikel 28(2h) om tilsyn, vitterligt skal forstås som fastlagt i Datatilsynets standard og som gengivet ovenfor.

Posted on

BREXIT – Sådan gør du det enkelt

Brexit means Brexit. Og ud kom de. Endelig. Så nu tør vi godt skrive lidt om, hvad Brexit betyder i forhold til databeskyttelsesreglerne.

I aftalen mellem EU og Det Forenede Kongerige/UK fremgår det, at 2020 er en overgangsperiode, hvor EUs regler fortsat gælder i UK. Se således artiklerne 126 – 127:

Artikel 126:

Der er en overgangs- eller gennemførelsesperiode, som starter på dagen for denne aftales ikrafttræden og slutter den 31. december 2020.

Artikel 127(1):

Medmindre andet er fastsat i denne aftale, finder EU-retten anvendelse på og i Det Forenede Kongerige i overgangsperioden.

Artikel 127(3):

I overgangsperioden har den EU-ret, som finder anvendelse i henhold til stk. 1, samme retsvirkninger over for og i Det Forenede Kongerige som i Unionen og dens medlemsstater, og den fortolkes og anvendes i overensstemmelse med de samme metoder og generelle principper, som finder anvendelse i Unionen.

Hvad gælder i overgangsperioden i 2020?

Alt er som det plejer at være. UK er ikke et tredjeland efter GDPR i 2020. Så du skal i 2020 eksempelvis ikke oplyse om, at du eventuelt overfører data til UK:

Während des Übergangszeitraums würde Großbritannien also nicht als Drittland im Sinne von Kapitel V DS-GVO gelten, so dass Verantwortliche oder Auftragsverarbeiter in der EU, die personenbezogenen Daten in den Inselstaat übermitteln, die einschlägigen Vorschriften nicht anwenden müssten.

Du skal heller ikke bruge EU-Kommissionens standardbestemmelser om databeskyttelse (Standard Contractual Clause) for at føre data til UK.

Hvad gælder efter overgangsperioden?

Da UK nu er ude af EU, kan EU gå i gang med at undersøge, om databeskyttelsen i UK er tilstrækkelig. Det fremgår af side 4 i “Political Declaration setting out the framework for the future relationship between the European Union and the United Kingdom” (fremhævet med fed):

The Union’s data protection rules provide for a framework allowing the European Commission to recognise a third country’s data protection standards as providing an adequate level of protection, thereby facilitating transfers of personal data to that third country. On the basis of this framework, the European Commission will start the assessments with respect to the United Kingdom as soon as possible after the United Kingdom’s withdrawal, endeavouring to adopt decisions by the end of 2020, if the applicable conditions are met.

I UK vil man samtidig sørge for, at det også er nemt at overføre personoplysninger til EU:

Noting that the United Kingdom will be establishing its own international transfer regime, the United Kingdom will in the same timeframe take steps to ensure the comparable facilitation of transfers of personal data to the Union, if the applicable conditions are met.

Med lidt held burde tingene passe sammen omkring årsskriftet 2021: EU har godkendt UK som et sikkert tredjeland, og UK har gjort det let at overføre personoplysninger til EU.

Sådan finder du ud af, om du har databehandling i UK i 2021

I hvert fald fortegnelser, risikovurderinger og oplysningsmeddelelser skal opdateres, hvis du efter 2021 har behandling i UK.

Hvis man sender personoplysninger til UK som dataansvarlig, burde det være ret enkelt at kortlægge: Har man modtagere, herunder datterselskaber, i UK eller ej?

Man kan som dataansvarlig også have behandling i UK gennem sine databehandlerkæder. Det kan være lidt knudret at finde ud af: Måske har underdatabehandleren ikke behandling af dine data i UK, men så kan det være, at underdatabehandlerens databehandler har det.

Ved det lejlighedsvise tilsyn med dine databehandlere kan du derfor bede om, at de oplyser, om de har kendskab til behandling i UK længere nede i behandlerkæden.

Det kan være ganske svært at komme til bunds i, om slutbehandleren behandler personoplysninger på dine vegne i UK eller ej. Bruges tilsynet imidlertid som værktøj, kan man da i hvert fald komme godt i gang – og det må kunne nås inden 2021.

Posted on

KL vs. Datatilsynet: Opgaverne skal samles – og lad være med at bruge samtykke som grundlag

Kampen endte uafgjort: Forståelige frustrationer blev mødt af gode svar.

Udover at elever ikke skal klippes ud af billeder, når de skifter skole, fik vi klarlagt endnu engang, at samtykke altid er den værst tænkelige hjemmel. Brug noget andet – hvad som helst andet, bare brug noget andet. Eksempelvis myndighedsudøvelse.

Offentlige myndigheder bør ganske enkelt aldrig tænke samtykke først, men altid starte i hjemlen myndighedsudøvelse. Ofte må det således antages, at særlovgivning på social-, skole- eller serviceområdet må antages at være fuldt ud tilstrækkeligt til, at der kan behandles de personoplysninger, der er relevante og nødvendige for at udføre de opgaver, som er formålet med særlovgivningen.

Og så var budskabet centralisér! Centralisér internt, så det aldrig er den enkelte sagsbehandler, der skal tage stilling til GDPR, risikovurderingen og hvad der skal behandles:

Det bør efter Datatilsynets opfattelse ikke være den enkelte pædagog, sundhedsplejerske eller sagsbehandler, der har til opgave at dokumentere lovlig håndtering af borgernes data. Kommunen må sørge for, at korrekt behandling af personoplysninger i det daglige arbejde understøttes såvel teknisk som organisatorisk.

Datatilsynet gjorde også opmærksom på, at KL bør går forrest med et adfærdskodeks, så kommunerne føler sig mere trygge i den daglige anvendelse af forordningen:

En mulighed er også, at KL udarbejder et adfærdskodeks. Et adfærdskodeks er et sæt retningslinjer, som skal bidrage til at sikre, at de myndigheder, der tilslutter sig kodekset, anvender databeskyttelsesreglerne korrekt.

I forhold til databehandlerne var budskabet også centralisér: Det gælder især indgåelse af databehandleraftaler og tilsyn og kontrol. KL kan her gøre en del. Så bolden tilbage på KLs banehalvdel. KL angiver:

Kommunerne oplever det voldsomt resursekrævende at følge GDPR-kravet om, at de selv – eller dyre revisorer på deres vegne – skal føre tilsyn med deres databehandlere. For hver enkelt kommune er der tale om flere hundrede aftaler. Desuden skal mange kommuner føre nøjagtigt den samme kontrol med samme databehandler, hvilket ikke øger datasikkerheden.

Svaret fra Datatilsynet synes at ligge lige for:

Når man behandler personoplysninger, og særligt når disse videregives til andre, herunder databehandlere, medfølger et ansvar, f.eks. at føre tilsyn med sine databehandlere. Dette er et specifikt krav efter forordningen. For at lette dette arbejde har Datatilsynet har udgivet en vejledning specifikt relateret til tilsyn med databehand-lere. Det fremgår bl.a. af tilsynets vejledning, at den dataansvarlige med fordel kan tilrettelægge sit tilsyn på baggrund af den risikovurdering, som den dataansvarlige har foretaget. Hvor ofte og hvordan der skal føres tilsyn med databehandlere kan derfor variere alt efter risikoen for borgernes rettigheder og frihedsrettigheder. Også i denne sammenhæng bifalder Datatilsynet et eventuelt samarbejde myndighederne imellem.

Hvis kommunerne lige præcis vil have mere tid til de varme opgaver, må man opfordre til at pulje de kolde. Derefter er det også nemmere at pege på, at regningen skal sendes videre til staten, da udgiften på det kolde netop ikke er defineret af serviceniveau og lokale beslutninger, men af lovgivning der kommer langvejs fra. Men det kan nu også være os, der her er for excelarksoptimistiske. Centralisering af it er som regel ikke så let endda.

Men her skal man dog huske, at der ikke er tale om centralisering af it i traditionel forstand. Det er blot compliancedelen, der skal samles. Og det skal kunne lade sig gøre. Det kan ske helt lavpraktisk ved at dele oplysninger digitalt – det kan også ske ved at oprette en særlig GDPR-shared service for kommunerne med en fast defineret opgaveportefølje.

Som overalt hvor compliance dukker op I horisonten, når man har outsourcet it (uden at overveje compiancekonsekvenser), går det op for en, at teknikerne i kælderen hurtigt skal erstattes af slipsedyr på gangene. Ingen har sagt det skulle være let – og det bliver det aldrig. Det er bare at komme I gang!

Posted on

Datatilsynets nye standardkontraktbestemmelser: Hvad er nyt? Og hvad skal du være opmærksom på?

UNITAS svarer her på de almindeligste spørgsmål til Datatilsynets standardkontraktbestemmelser samt fremhæver en række ændringer.

Standardkontraktbestemmelserne erstatter databehandleraftaleskabelonen

Standardkontraktbestemmelserne er en revideret udgave af Datatilsynets databehandleraftaleskabelon og kaldes i det følgende Bestemmelserne.

Helt overordnet skal det med, at Bestemmelserne i sin fulde udstrækning er gjort obligatoriske at aftale, hvis man vil opnå en forøget sikkerhed for efterlevelse, når man indgår en databehandleraftale. Væk er således den gamle skelnen mellem tekst, der skulle aftales, og tekst, der kunne aftales.

Er jeg sikker, hvis jeg anvender Bestemmelserne?

Man skulle tro, man var på sikker grund, hvis man anvender Bestemmelserne. Det er dog langtfra sikkert.

Hvor meget anvendelse af Bestemmelserne reelt nedbringer risikoen ved et tilsyn afhænger af, i hvilket omfang du reelt følger Bestemmelserne.

Databeskyttelsesrådet, som har godkendt Bestemmelserne, skriver således følgende (se understregning):

to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.”

Det vil I al sin enkelhed sige, at man kun er fredet i det omfang, man reelt har vedtaget Bestemmelserne uden at ændre dem. Har man blot udfyldt dem, vil man være fredet.

Men er Bestemmelserne udfyldt forkert, på en utilstrækkelig måde eller på en måde, der strider mod andre vilkår i Bestemmelserne, må man forvente, at Datatilsynet vil interessere sig for afvigelserne, og at afvigelserne vil blive sanktioneret.

Hvad gør jeg, hvis jeg har anvendt Datatilsynets gamle skabelon?

Datatilsynet har i det tilfælde manet til besindighed:

”Organisationer, som har baseret sine databehandleraftaler på Datatilsynets oprindelige skabelon, bør dog ikke være bekymrede for, hvorvidt de fortsat overholder databeskyttelsesreglerne.

Datatilsynet er opmærksom på det store tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato.”

Hvad hvis jeg ikke anvender Bestemmelserne?

Bestemmelserne må antages at sætte en ny standard for, hvad en databehandleraftale skal indeholde. Det giver derfor sig selv, at anvender man databehandleraftaler, der afviger fra Bestemmelserne, vil det medføre en forøget risiko for, at det vurderes, at man har begået en overtrædelse.

Kan jeg bruge Bestemmelserne i min europæiske koncern?

Det er der selvsagt intet i vejen for. Datatilsynet har således netop stillet en engelsk udgave til rådighed.

Samtidig kan man spørge sig selv, om det tyske eller det franske datatilsyn vil interessere sig for Bestemmelserne, hvis man har anvendt Bestemmelserne i hele sin europæiske koncern, eller om tilsynene også vil være tilbageholdende med at undersøge Bestemmelsernes indhold nærmere?

Hertil må man svare, at det må være sådan, at det som udgangspunkt alene er det danske Datatilsyn, der vil træde tilbage fra at undersøge databehandleraftaler nærmere.

Det må dog nok også erkendes, at de europæiske datatilsyn samtidig vil respektere, at Bestemmelserne er blevet til gennem sammenhængsmekanismen i databeskyttelsesforordningen. Norge har som medlem af EØS da netop også tilkendegivet, at Bestemmelserne er anvendelige i Norge, da de er godkendt af Databeskyttelsesrådet.

Alt i alt må det således antages, at det danske såvel som de europæiske datatilsyn vil undlade at undersøge databehandleraftaler nærmere, hvis det kan konstateres, at en dataansvarlig eller en databehandler helt generelt har vedtaget, at Bestemmelserne anvendes, samt at det kan konstateres, at det faktisk er tilfældet, at de er anvendt.

I sidste ende har idéen med Bestemmelserne nok også været, at lette tilsynsarbejdet. Myndighederne har nok ikke den store lyst til at bruge ganske meget tid på at gennemgå databehandleraftaler – så hellere konstatere, at Bestemmelserne anvendes, og så bruge tiden på andre tilsynsopgaver.

Omvendt kan tilsynet have skabt en del merarbejde for sig selv med Bestemmelserne, for nu er det lysende klart, hvis Bestemmelserne ikke anvendes, og så skal man til at læse de faktisk indgåede databehandleraftaler igennem.

Der er fejl i Bestemmelsernes danske udgave. Hvad gør jeg?

I den danske udgave af Bestemmelserne er der desværre indløbet i hvert fald tre fejl.

I punkt 7.7 skal der ikke stå, ”Hvis databehandleren ikke opfylder..”, men i stedet, ”Hvis underdatabehandleren ikke opfylder..”

I punkt 9.2 er der en henvisning til punkt 6.4. Men punkt 6.4 findes ikke. Der skal formentlig henvises til punkt 6.3 i stedet.

I punkt 14.5 er ”den dataansvarlige” fejlagtigt angivet som navn på begge parter. Der skulle selvsagt have stået ”databehandler” det ene sted.

Først- og sidstnævnte fejl har ikke indsneget sig i den engelske udgave af Bestemmelserne.

Det må antages at være ganske ufarligt at rette fejlene. Samtidig vil Datatilsynet formentlig selv få rettet dem snarest.

Hvad betyder det, at Bestemmelserne har forrang?

Bestemmelserne har forrang. Det betyder, at du i det samlede kontraktgrundlag skal sikre dig, at det alene er i Bestemmelserne, at der står noget om databeskyttelse.

Står der noget om databeskyttelse andre steder i kontraktgrundlaget, som ikke er reguleret af Bestemmelserne, vil det som udgangspunkt indebære, at Bestemmelserne ikke er korrekt anvendt, og man mister herefter den beskyttelse, som Bestemmelserne giver.

At Bestemmelserne har forrang indebærer dog også, at man i et vist omfang er vaccineret mod forkert anvendelse af Bestemmelserne, så længe de øvrige vilkår om databeskyttelse i kontraktgrundlaget reelt dækker det samme som Bestemmelserne.

Skal databehandleren tjekke, om den dataansvarlige gør noget ulovligt?

Det kan slås fast, at databehandleren låner behandlingsgrundlaget fra den dataansvarlige.

Det vil i al sin enkelhed sige, at databehandleren ikke skal have et selvstændigt grundlag for sin behandling af personoplysninger på vegne af den dataansvarlige.

Leverer man hosting til det offentlige, vil man ”arve” behandlingsgrundlaget fra den offentlige institution, der er den dataansvarlige. I de fleste tilfælde vil det være grundlaget myndighedsudøvelse. Så langt, så godt.

I punkt 4.2 i Bestemmelserne er det angivet, at databehandleren skal underrette den dataansvarlige omgående, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Det stod også i den gamle standarddatabehandleraftale.

Som noget nyt, er det imidlertid medtaget, at parterne ”bør” forudse og overveje konsekvenserne, der kan følge af en ulovlig instruks, som den dataansvarlige har givet, og regulere dette i en ”aftale mellem parterne”.

Eftersom der står ”bør”, og da anbefalingen er indsat som en note, må dette forstås som, at parterne kan undlade at tage højde for denne situation, og at dette fravalg ikke påvirker, om man har anvendt Bestemmelserne korrekt.

Vil man følge anbefalingen, kan man starte med ganske enkelt at angive, at databehandleren ikke må følge en instruks, som databehandleren mener er ulovlig. Herefter må parterne i fællesskab komme til en overensstemmelse om lovligheden af instruksen.

Men dette løser ikke det overordnede problem, som omhandler spørgsmålet om, hvorvidt databehandleren skal overvåge den dataansvarliges brug af databehandlerens services.

Anvender den dataansvarlige databehandleren til at sende markedsføring ud til personer, der ikke har givet samtykke hertil, og databehandleren er vidende om det, må det antages, at databehandleren skal underrette den dataansvarlige samt eventuelt undlade at sende markedsføringsmaterialet. Dette forekommer formentlig kun ganske sjældent i praksis.

Hvor langt rækker databehandlerens undersøgelsespligt? Det er for tidligt at svare på, men på nuværende tidspunkt er det vores bud, at det ikke er nødvendigt, at databehandleren sætter et egentligt overvågningssystem op, der på en eller anden måde overvåger den dataansvarliges behandlingsaktiviteter gennem databehandlerens services nærmere. Retspraksis kan dog gøre os klogere.

Skal både den dataansvarlige og databehandleren udarbejde en risikovurdering?

Ja.

Det er tydeliggjort i punkterne 6.1 og 6.2, at både den dataansvarlige og databehandleren skal udarbejde en risikovurdering, der dækker den aktivitet, databehandleren skal udføre på vegne af den dataansvarlige.

Databehandlerens risikovurdering skal ske ”uafhængigt af den dataansvarlige”. Den dataansvarlige skal dog stille den nødvendige information til rådighed for databehandleren, så databehandleren kan opfylde sin forpligtelse.

Samlet set kan man sige, at enhver indgået databehandleraftale skal være ledsaget af i hvert fald to compliancedokumenter: Nemlig den dataansvarlige og databehandlerens risikovurderinger.

Har man således indgået en række databehandleraftaler, og eventuelt anvendt Bestemmelserne, men mangler man sine risikovurderinger, vil der herefter være tale om en overtrædelse af databeskyttelsesforordningen.

Det må dog være muligt for især databehandleren at udarbejde en standardrisikovurdering, der dækker de behandlingsaktiviteter, som en tilbudt service medfører.

Hvilke sikkerhedsforanstaltninger skal nævnes?

Kun supplerende sikkerhedsforanstaltninger skal nævnes i bilag C.

Kommer den dataansvarlige således frem til på baggrund af sin risikovurdering, at databehandlerens eksisterende sikkerhed er tilstrækkelig, vil det ikke være nødvendigt at beskrive de relevante tekniske og organisatoriske foranstaltninger i bilag C. Dette forudsætter dog selvsagt, at den dataansvarlige har taget kvalificeret stilling til den eksisterende sikkerhed hos databehandleren.

Du skal angive den særlovgivning, som påvirker behandlingsaktiviteten efter ophør

Er databehandleren forpligtet til at opbevare personoplysninger, efter tjenesten er ophørt, skal det fremgå af databehandleraftalens punkt 11.2, hvad det er for lovgivning, der binder databehandleren.

Parterne skal adskille de forskellige behandlingsaktiviteter og udfylde bilag A for hver behandlingsaktivitet

Spørgsmålet er herefter, hvornår der er tale om to forskellige behandlingsaktiviteter, der kræver, at man udfylder et særskilt bilag A.

Databehandlerne skal nok vænne sig til, at hver enkelt service, de tilbyder, skal have sin egen bilag A med oplysninger om den specifikke behandling af personoplysninger.

Samtidig må det antages, at mange dataansvarlige får svært ved at holde styr på, om en service, der købes samlet rent aftaleretligt, reelt skal adskilles rent databeskyttelsesretligt.

Det skal specificeres så meget som muligt, hvilke personoplysninger, der vil blive behandlet

Det vil således ikke være nok i bilag A at angive, at der behandles almindelige personoplysninger. Det skal fremgå direkte, hvad det er for personoplysninger, der behandles.

Du må ikke bare henvise til hovedaftalen

I bilag C skal du beskrive behandlingens genstand/instruks. Her er det ikke længere – som ofte set – nok at henvise til hovedaftalen.

Det må således antages, at mange it-serviceydere skal kunne beskrive deres service med en højere grad af præcision end i dag, herunder eksempelvis ved hjælp af en dataflowbeskrivelse eller en redegørelse for servicens sammensætning af behandlingsprocesser.

Det skal konkretiseres, hvordan databehandleren skal bistå

I bilag C, punkt C.3, skal det fremgå konkret, hvordan databehandleren skal bistå den dataansvarlige med overholdelse af de registreredes rettigheder. Det vil sige, at det ikke er nok, at det er angivet, at databehandleren skal bistå. Det skal fremgå, hvordan databehandleren skal bistå.

Det samme gælder databehandlerens bistand i forhold til anmeldelse, underretning, udarbejdelse af konsekvensanalyse samt høring af den kompetente tilsynsmyndighed.

Omfang og udstrækning af bistandsforpligtelsen skal overvejes og beskrives. Ikke alle bistandsforpligtelser vil være relevante i alle tilfælde, herunder for eksempel hvis der ikke skal udarbejdes en konsekvensanalyse.

Databehandleren skal med andre ord sætte sig ned og gennemtænke, hvordan man helt konkret vil arbejde med en anmodning om indsigt, en anmodning om sletning, en anmodning om dataportabilitet osv.

Det samme gælder for eksempel en brudsituation. Hvad gør databehandleren her for at hjælpe den dataansvarlige?

Herefter skal det beskrives i en procedure, hvordan databehandleren konkret reagerer i de enkelte situationer, hvorefter der kan henvises til denne procedure i punkt C.3.

Skal jeg have en revisionserklæring fra databehandleren?

Nej.

Det er ikke et krav, at databehandleren får udarbejdet en revisionserklæring fra et revisionshus efter eksempelvis ISAE 3000-standarden. Den dataansvarlige kan heller ikke kræve en sådan erklæring.

Den dataansvarlige skal i stedet forud for indgåelsen af Bestemmelserne i forlængelse af sin risikovurdering fastlægge, hvordan man vil føre tilsyn med databehandleren og eventuelt dennes underdatabehandlere.

Der er i øvrigt ikke noget nyt i denne aktive tilsynsforpligtelse. Den har været gældende også under persondataloven.

Den dataansvarlige skal have adgang til databehandlerens system ved revisioner, herunder inspektioner

Det er angivet som noget nyt, at den dataansvarlige som udgangspunkt skal have adgang til databehandlerens “systemer”.

Denne udvidelse af tilsynsretten følger direkte af Databeskyttelsesrådets udtalelse til Datatilsynet. Rådet mente således, at tilsynsretten skulle udvides (afsnit 46, side 14):

Indeed, rights of the data controller in the framework of inspections and/or audit should not be limited to the facilities of the processor or sub-processors. The data controller should have access to the places where the processing is being carried out. This includes physical facilities as well as systems used for and related to the processing.”

Hvad der præcist ligger i dette, og hvordan det skal udspille sig i praksis, tør vi ikke gætte på, men der synes umiddelbart at være tale om en noget vidtgående adgang, der kan vise sig at være ubehagelig for databehandleren.

Det er dog formentlig ikke mange dataansvarlige, der vil gøre brug af retten, hvis det overhovedet lykkes at få databehandleren til at acceptere et vilkår om adgang til ”systemerne”.