UNITAS svarer her på de almindeligste spørgsmål til Datatilsynets standardkontraktbestemmelser samt fremhæver en række ændringer.
Standardkontraktbestemmelserne erstatter databehandleraftaleskabelonen
Standardkontraktbestemmelserne er en revideret udgave af Datatilsynets databehandleraftaleskabelon og kaldes i det følgende Bestemmelserne.
Helt overordnet skal det med, at Bestemmelserne
i sin fulde udstrækning er gjort obligatoriske at aftale, hvis man vil opnå en
forøget sikkerhed for efterlevelse, når man indgår en databehandleraftale. Væk
er således den gamle skelnen mellem tekst, der skulle aftales, og tekst, der kunne
aftales.
Er jeg sikker, hvis jeg anvender Bestemmelserne?
Man skulle tro, man var på sikker grund,
hvis man anvender Bestemmelserne. Det er dog langtfra sikkert.
Hvor meget anvendelse af Bestemmelserne
reelt nedbringer risikoen ved et tilsyn afhænger af, i hvilket omfang du reelt følger
Bestemmelserne.
Databeskyttelsesrådet, som har godkendt Bestemmelserne,
skriver således følgende (se understregning):
”to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.”
Det vil I al sin enkelhed sige, at man kun
er fredet i det omfang, man reelt har vedtaget Bestemmelserne uden at ændre dem.
Har man blot udfyldt dem, vil man være fredet.
Men er Bestemmelserne udfyldt forkert, på
en utilstrækkelig måde eller på en måde, der strider mod andre vilkår i
Bestemmelserne, må man forvente, at Datatilsynet vil interessere sig for afvigelserne,
og at afvigelserne vil blive sanktioneret.
Hvad gør jeg, hvis jeg har anvendt Datatilsynets
gamle skabelon?
Datatilsynet har i det tilfælde manet til besindighed:
”Organisationer, som har baseret sine
databehandleraftaler på Datatilsynets oprindelige skabelon, bør dog ikke være
bekymrede for, hvorvidt de fortsat overholder databeskyttelsesreglerne.
Datatilsynet er opmærksom på det store
tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete
databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang
og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på
tilsynets oprindelige skabelon, og som er indgået inden dags dato.”
Hvad hvis jeg ikke anvender
Bestemmelserne?
Bestemmelserne må antages at sætte en ny standard
for, hvad en databehandleraftale skal indeholde. Det giver derfor sig selv, at anvender
man databehandleraftaler, der afviger fra Bestemmelserne, vil det medføre en
forøget risiko for, at det vurderes, at man har begået en overtrædelse.
Kan jeg bruge Bestemmelserne i min
europæiske koncern?
Det er der selvsagt intet i vejen for. Datatilsynet har således netop stillet en engelsk udgave til rådighed.
Samtidig kan man spørge sig selv, om det
tyske eller det franske datatilsyn vil interessere sig for Bestemmelserne, hvis
man har anvendt Bestemmelserne i hele sin europæiske koncern, eller om tilsynene
også vil være tilbageholdende med at undersøge Bestemmelsernes indhold nærmere?
Hertil må man svare, at det må være sådan, at det som udgangspunkt alene er det danske Datatilsyn, der vil træde tilbage fra at undersøge databehandleraftaler nærmere.
Det må dog nok også erkendes, at de europæiske datatilsyn samtidig vil respektere, at Bestemmelserne er blevet til gennem sammenhængsmekanismen i databeskyttelsesforordningen. Norge har som medlem af EØS da netop også tilkendegivet, at Bestemmelserne er anvendelige i Norge, da de er godkendt af Databeskyttelsesrådet.
Alt i alt må det således antages, at det danske såvel som de europæiske datatilsyn vil undlade at undersøge databehandleraftaler nærmere, hvis det kan konstateres, at en dataansvarlig eller en databehandler helt generelt har vedtaget, at Bestemmelserne anvendes, samt at det kan konstateres, at det faktisk er tilfældet, at de er anvendt.
I sidste ende har idéen med Bestemmelserne nok også været, at lette tilsynsarbejdet. Myndighederne har nok ikke den store lyst til at bruge ganske meget tid på at gennemgå databehandleraftaler – så hellere konstatere, at Bestemmelserne anvendes, og så bruge tiden på andre tilsynsopgaver.
Omvendt kan tilsynet have skabt en del merarbejde for sig selv med Bestemmelserne, for nu er det lysende klart, hvis Bestemmelserne ikke anvendes, og så skal man til at læse de faktisk indgåede databehandleraftaler igennem.
Der er fejl i Bestemmelsernes danske
udgave. Hvad gør jeg?
I den danske udgave af Bestemmelserne er
der desværre indløbet i hvert fald tre fejl.
I punkt 7.7 skal der ikke stå, ”Hvis databehandleren ikke opfylder..”, men i stedet, ”Hvis underdatabehandleren ikke opfylder..”
I punkt 9.2 er der en henvisning til punkt
6.4. Men punkt 6.4 findes ikke. Der skal formentlig henvises til punkt 6.3 i
stedet.
I punkt 14.5 er ”den dataansvarlige” fejlagtigt
angivet som navn på begge parter. Der skulle selvsagt have stået ”databehandler”
det ene sted.
Først- og sidstnævnte fejl har ikke indsneget sig i den engelske udgave af Bestemmelserne.
Det må antages at være ganske ufarligt at
rette fejlene. Samtidig vil Datatilsynet formentlig selv få rettet dem snarest.
Hvad
betyder det, at Bestemmelserne har forrang?
Bestemmelserne har
forrang. Det betyder, at du i det samlede kontraktgrundlag skal sikre dig, at det
alene er i Bestemmelserne, at der står noget om databeskyttelse.
Står der noget om
databeskyttelse andre steder i kontraktgrundlaget, som ikke er reguleret af
Bestemmelserne, vil det som udgangspunkt indebære, at Bestemmelserne ikke er
korrekt anvendt, og man mister herefter den beskyttelse, som Bestemmelserne
giver.
At Bestemmelserne har
forrang indebærer dog også, at man i et vist omfang er vaccineret mod forkert
anvendelse af Bestemmelserne, så længe de øvrige vilkår om databeskyttelse i
kontraktgrundlaget reelt dækker det samme som Bestemmelserne.
Skal
databehandleren tjekke, om den dataansvarlige gør noget ulovligt?
Det
kan slås fast, at databehandleren låner behandlingsgrundlaget fra den
dataansvarlige.
Det
vil i al sin enkelhed sige, at databehandleren ikke skal have et selvstændigt
grundlag for sin behandling af personoplysninger på vegne af den dataansvarlige.
Leverer
man hosting til det offentlige, vil man ”arve” behandlingsgrundlaget fra den
offentlige institution, der er den dataansvarlige. I de fleste tilfælde vil det
være grundlaget myndighedsudøvelse. Så langt, så godt.
I
punkt 4.2 i Bestemmelserne er det angivet, at databehandleren skal underrette
den dataansvarlige omgående, hvis en instruks efter databehandlerens mening er
i strid med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden
EU-ret eller medlemsstaternes nationale ret. Det stod også i den gamle standarddatabehandleraftale.
Som noget nyt, er det imidlertid medtaget, at parterne ”bør” forudse og overveje konsekvenserne, der kan følge af en ulovlig instruks, som den dataansvarlige har givet, og regulere dette i en ”aftale mellem parterne”.
Eftersom
der står ”bør”, og da anbefalingen er indsat som en note, må dette forstås som,
at parterne kan undlade at tage højde for denne situation, og at dette fravalg
ikke påvirker, om man har anvendt Bestemmelserne korrekt.
Vil
man følge anbefalingen, kan man starte med ganske enkelt at angive, at
databehandleren ikke må følge en instruks, som databehandleren mener er ulovlig.
Herefter må parterne i fællesskab komme til en overensstemmelse om lovligheden
af instruksen.
Men dette løser ikke det overordnede problem, som omhandler spørgsmålet om, hvorvidt databehandleren skal overvåge den dataansvarliges brug af databehandlerens services.
Anvender den dataansvarlige databehandleren til at sende markedsføring ud til personer, der ikke har givet samtykke hertil, og databehandleren er vidende om det, må det antages, at databehandleren skal underrette den dataansvarlige samt eventuelt undlade at sende markedsføringsmaterialet. Dette forekommer formentlig kun ganske sjældent i praksis.
Hvor langt rækker databehandlerens undersøgelsespligt? Det er for tidligt at svare på, men på nuværende tidspunkt er det vores bud, at det ikke er nødvendigt, at databehandleren sætter et egentligt overvågningssystem op, der på en eller anden måde overvåger den dataansvarliges behandlingsaktiviteter gennem databehandlerens services nærmere. Retspraksis kan dog gøre os klogere.
Skal både den dataansvarlige og databehandleren
udarbejde en risikovurdering?
Ja.
Det er tydeliggjort i punkterne 6.1 og 6.2,
at både den dataansvarlige og databehandleren skal udarbejde en
risikovurdering, der dækker den aktivitet, databehandleren skal udføre på vegne
af den dataansvarlige.
Databehandlerens risikovurdering skal ske ”uafhængigt
af den dataansvarlige”. Den dataansvarlige skal dog stille den nødvendige
information til rådighed for databehandleren, så databehandleren kan opfylde
sin forpligtelse.
Samlet set kan man sige, at enhver indgået
databehandleraftale skal være ledsaget af i hvert fald to compliancedokumenter:
Nemlig den dataansvarlige og databehandlerens risikovurderinger.
Har man således indgået en række databehandleraftaler,
og eventuelt anvendt Bestemmelserne, men mangler man sine risikovurderinger,
vil der herefter være tale om en overtrædelse af databeskyttelsesforordningen.
Det må dog være muligt for især databehandleren
at udarbejde en standardrisikovurdering, der dækker de behandlingsaktiviteter, som
en tilbudt service medfører.
Hvilke
sikkerhedsforanstaltninger skal nævnes?
Kun
supplerende sikkerhedsforanstaltninger skal nævnes i bilag C.
Kommer
den dataansvarlige således frem til på baggrund af sin risikovurdering, at
databehandlerens eksisterende sikkerhed er tilstrækkelig, vil det ikke være
nødvendigt at beskrive de relevante tekniske og organisatoriske foranstaltninger
i bilag C. Dette forudsætter dog selvsagt, at den dataansvarlige har taget
kvalificeret stilling til den eksisterende sikkerhed hos databehandleren.
Du
skal angive den særlovgivning, som påvirker behandlingsaktiviteten efter ophør
Er
databehandleren forpligtet til at opbevare personoplysninger, efter tjenesten
er ophørt, skal det fremgå af databehandleraftalens punkt 11.2, hvad det er for
lovgivning, der binder databehandleren.
Parterne skal adskille de forskellige behandlingsaktiviteter og udfylde bilag A for hver behandlingsaktivitet
Spørgsmålet er herefter, hvornår der er tale om to forskellige behandlingsaktiviteter, der kræver, at man udfylder et særskilt bilag A.
Databehandlerne skal nok vænne sig til, at hver enkelt service, de tilbyder, skal have sin egen bilag A med oplysninger om den specifikke behandling af personoplysninger.
Samtidig må det antages, at mange dataansvarlige får
svært ved at holde styr på, om en service, der købes samlet rent aftaleretligt,
reelt skal adskilles rent databeskyttelsesretligt.
Det skal specificeres så meget som muligt, hvilke personoplysninger,
der vil blive behandlet
Det vil således ikke være nok i bilag A at angive, at
der behandles almindelige personoplysninger. Det skal fremgå direkte, hvad det
er for personoplysninger, der behandles.
Du
må ikke bare henvise til hovedaftalen
I bilag
C skal du beskrive behandlingens genstand/instruks. Her er det ikke længere – som
ofte set – nok at henvise til hovedaftalen.
Det
må således antages, at mange it-serviceydere skal kunne beskrive deres service
med en højere grad af præcision end i dag, herunder eksempelvis ved hjælp af en
dataflowbeskrivelse eller en redegørelse for servicens sammensætning af
behandlingsprocesser.
Det
skal konkretiseres, hvordan databehandleren skal bistå
I
bilag C, punkt C.3, skal det fremgå konkret, hvordan databehandleren skal bistå
den dataansvarlige med overholdelse af de registreredes rettigheder. Det vil
sige, at det ikke er nok, at det er angivet, at databehandleren skal bistå. Det
skal fremgå, hvordan databehandleren skal bistå.
Det
samme gælder databehandlerens bistand i forhold til anmeldelse, underretning, udarbejdelse
af konsekvensanalyse samt høring af den kompetente tilsynsmyndighed.
Omfang
og udstrækning af bistandsforpligtelsen skal overvejes og beskrives. Ikke alle
bistandsforpligtelser vil være relevante i alle tilfælde, herunder for eksempel
hvis der ikke skal udarbejdes en konsekvensanalyse.
Databehandleren
skal med andre ord sætte sig ned og gennemtænke, hvordan man helt konkret vil arbejde
med en anmodning om indsigt, en anmodning om sletning, en anmodning om
dataportabilitet osv.
Det
samme gælder for eksempel en brudsituation. Hvad gør databehandleren her for at
hjælpe den dataansvarlige?
Herefter
skal det beskrives i en procedure, hvordan databehandleren konkret reagerer i
de enkelte situationer, hvorefter der kan henvises til denne procedure i punkt
C.3.
Skal
jeg have en revisionserklæring fra databehandleren?
Nej.
Det er ikke et krav, at databehandleren får udarbejdet en revisionserklæring fra et revisionshus efter eksempelvis ISAE 3000-standarden. Den dataansvarlige kan heller ikke kræve en sådan erklæring.
Den dataansvarlige skal i stedet forud for indgåelsen af Bestemmelserne i forlængelse af sin risikovurdering fastlægge, hvordan man vil føre tilsyn med databehandleren og eventuelt dennes underdatabehandlere.
Der
er i øvrigt ikke noget nyt i denne aktive tilsynsforpligtelse. Den har været
gældende også under persondataloven.
Den
dataansvarlige skal have adgang til databehandlerens system ved revisioner,
herunder inspektioner
Det er angivet som noget nyt, at den dataansvarlige
som udgangspunkt skal have adgang til databehandlerens “systemer”.
Denne udvidelse af tilsynsretten følger direkte af Databeskyttelsesrådets udtalelse til Datatilsynet. Rådet mente således, at tilsynsretten skulle udvides (afsnit 46, side 14):
”Indeed, rights of
the data controller in the framework of inspections and/or audit should not be
limited to the facilities of the processor or sub-processors. The data
controller should have access to the places where the processing is being
carried out. This includes physical facilities as well as systems used for and
related to the processing.”
Hvad der præcist ligger i dette, og hvordan det skal udspille sig i praksis, tør vi ikke gætte på, men der synes umiddelbart at være tale om en noget vidtgående adgang, der kan vise sig at være ubehagelig for databehandleren.
Det er dog formentlig ikke mange dataansvarlige, der
vil gøre brug af retten, hvis det overhovedet lykkes at få databehandleren til
at acceptere et vilkår om adgang til ”systemerne”.