Schrems II-dommen – er det slut med persondata udenfor EU?

Vi skal alle lave gummifigurer

Min mindste datter kom en dag hjem fra børnehaven og viste mig en brunlig figur, hun havde lavet i skolen. Figuren var sådan lidt uniteressant som den stod der på køkkenbordet, men man klapper jo, som man skal som far. Hvad folkeskolen siger er altid rigtigt, og jeg skulle ikke lægge mig ud med en skolelærer for slet ikke at tale om en pædagog.

Figuren var lavet af genbrugsgummi fra cykeldæk, og børnene skulle lave dem for at redde klodens klima. Genbrug er jo vejen frem, og det er jo også rigtigt nok.

Lærerne fik dog i den bedste mening efter min opfattelse skubbet det største problem ud til dem, der reelt har mindst indflydelse på det.

Det er lidt det samme i Schrems II-sagen. Problemet ligger nu hos samtlige af de CVR-numre, der eksempelvis mere eller mindre direkte køber cloudtjenester i USA eller i andre tredjelande.

Jeg vil ikke gennemgå dommen her. Det er gjort bedre andre steder. Jeg vil i stedet fokusere på Databeskyttelsesrådets seneste FAQ. Der er foreløbigt svaret på 12 spørgsmål.

Indenfor grænserne af tåleligt juridisk, teknisk og organisatorisk besvær må man samlet set sige, at USA som udgangspunkt på nuværende tidspunkt er et tredjeland, man ikke kan overføre persondata til. Det generelle beskyttelsesniveau i landet er for lavt. Og man kan ikke risikovurdere sig ud af det. Der er således en bundgrænse, man ikke kan risikovurdere sig over.

Har man uanede mængder af ressourcer, er jeg ikke engang sikker på, at man kan komme i mål med det, for hvordan skal man kontraktuelt sikre det samme beskyttelsesniveau i USA som i EU? Det er en opgave EU må slås med overfor USAs regering, herunder ved flere forskellige bilaterale forhandlinger alt efter hvem der har noget at trykke med.

I stedet skal vi nu alle til at lave figurer af brugte cykeldæk. Vi skal alle hver især til at sikre, at USAs regering ikke ligger på bunden af Atlanterhavet og lytter med på datatrafikken fra Europa.

Undtagelsesvis kan der ske overførsel til USA med hjemmel i Artikel 49, men det er i sig selv temmelig besværligt at bruge en af undtagelserne (læs: Vi kommer nemt over tålegrænsen for almindeligt juridisk, teknisk og organisatorisk besvær). Og ingen af undtagelserne afhjælper det reelle behov for overførsel til især USA, som temmelig mange dataansvarlige og databehandlere har.

I arbejdssammenhæng dækker undtagelserne dog, at en medarbejder i en dansk virksomhed mailer engang i mellem med en medarbejder i en amerikansk virksomhed, men der skal nok ikke meget til, før rammerne i undtagelsen sprænges. Man kan som global virksomhed eksempelvis ikke længere lave løn centralt i USA. Jo bevares, det kan man da, men så skal man sikre, at beskyttelsesniveauet er det samme som i EU. Og så er det min påstand, at rammerne for tåleligt juridisk, teknisk og organisatorisk besvær let sprænges.

Grænsen for tåleligt juridisk, teknisk og organisatorisk besvær

Er man dataansvarlig eller databehandler med behandlingsaktiviteter i USA eller et andet tredjeland, må det juridiske råd lyde: Hyr et globalt advokatfirma, der kan tjekke op på beskyttelsesnivauet i de tredjelande, hvor du har persondata til behandling. Er man et globalt firma, kan man sætte juridisk afdeling i de forskellige lande i sving. Du kan også overveje at flytte persondatabehandlingen til EU, da grænsen for, hvor meget mere det må koste, lige har flyttet sig. Og så må man tage det på en prisstigning eller en anmodning om en ekstrabevilling. I sidste ende havner regningen hos kunden/skatteborgeren.

Kan man under ingen omstændigheder trække sine behandlingsaktiveter til EU (inklusiv support, udvikling og beredskabshændelser), og man har ikke lyst til at hyre det globale advokatfirma, må man – uanset overførselsgrundlag – gennemføre de nødvendige juridiske analyser fra skrivebordet, fortsætte med behandlingen og så satse på, at man ikke bliver taget i det, og hvis det sker, satse på at man har lavet en ok god analyse, der viser, at man da var i god tro om et givet tredjelands beskyttelsesniveau. Det ligger dog nok lidt tungt at slippe afsted med det i forhold til USA, med mindre vi får ny lovgivning derovre.

Det ville således være en stor hjælp, hvis Databeskyttelsesrådet lavede en “blacklist”, som kunne bruges til at vise, hvilke lande der er stærkt tvivlsomme at overføre til. Her ville så USA lige nu stå øverst. Så var der da et godt udgangspunkt at arbejde videre med, når de forskellige lande juridisk set var fortygget af Databeskyttelsesrådet – ikke mindst i forhold til afgørelse af, hvorfra man med sikkerhed skal få sine data til EU hurtigst muligt. Man ville have en slags negativliste som modstykke til listen med de sikre tredjelande, der kan siges at være positivlisten.

Under alle omstændigheder er det slået fast, at enhver dataansvarlig, der ikke tager sine behandlingsaktiviteter til EU, skal kende til slutbehandlerens nationalitet i et givent tredjeland, så man kan vurdere beskyttelsesniveauet dér. Det vil ikke længere være nok at acceptere, at der kan ske videreoverførsel fra et tredjeland til et andet tredjeland på et eller flere af de tilgængelige grundlag, jf. svar nr. 9:

“The Court has indicated that SCCs as a rule can still be used to transfer data to a third country, however the threshold set by the Court for transfers to the U.S. applies for any third country.”

Hvad gør EU selv med egne it-systemer?

De gør foreløbigt ikke det store – de afventer deres egen analyse af dommen. European Data Protection Supervisor, som blandt andet er Datatilsyn for EUs egne institutioner, udtaler således følgende:

“As the supervisory authority of the EU institutions, bodies, offices and agencies, the EDPS is carefully analysing the consequences of the judgment on the contracts concluded by EU institutions, bodies, offices and agencies.”

Men noget må de gøre. For Supervisoren har netop også afsluttet en større undersøgelse af EUs brug af Microsofts services, som påviste en del problemer.

Hvad kommer der til at ske nu?

Mit gæt er, at databehandlerne snart skriver til de dataansvarlige, at data nu er flyttet til EU. Derefter går databehandlerne i gang med at finde ud af, hvordan data så rent faktisk flyttes til EU. I mellemtiden har de forskellige tilsyn nok alligevel travlt med at rejse til møder og klø sig i nakken.

Men den enkelte databehandler kan nok alligevel ikke vente på, at det europæiske datacenter, GAIA-X, bliver færdigt. Formålet med projektet er netop, at data skal forblive på europæiske hænder:

“Data sovereignty: Existing cloud offerings are currently dominated by non-European providers, that are able to rapidly scale their infrastructure, and that hold significant market power and large amounts of capital. At the same time, we are seeing growing international tensions and trade conflicts across the globe. Europe needs to ensure that it can establish and maintain digital sovereignty permanently.”

Indtil da må vi – som altid – gøre vores bedste for at finde balancen mellem efterlevelse og tålegrænsen for almindeligt juridisk, teknisk og organisatorisk besvær. Der er mange muligheder, der skal risikovurderes, kontrakter der skal tjekkes efter og formentlig data, der skal flyttes – det hjælper vi jer gerne med.

Microsofts (under-)databehandlere – har du styr på dem?

I forlængelse af Unitas’ blog-post omkring tilsyn af databehandlere, kan vi oplyse om, at det nu er muligt at abonnere på listen over Microsofts (under-)databehandlere.

Microsoft skal først have ros for tilbage i september 2019 at skære MARKANT ned på antallet af deres (under-)databehandlere. Nu er listen langt mere overskuelig.

Men hvad så, når der sker ændringer på listen? Nu kan du abonnere på listen. Klik ind på https://www.microsoft.com/da-dk/trust-center/privacy/data-access

Vælg dernæst i bunden af teksten ‘Lister over subprocessorer’ og klik på linket ‘Listen over…’ som vist på billedet.

Listen hentes direkte i en PDF-fil, som du kan åbne med det samme…

Tilbage i browseren vælger du i toppen af billedet ‘My Library’ (log evt. ind hvis du bliver bedt om det med din M365 konto).

Du kan nu vælge, hvilke dokumenter du vil abonnere på, herunder også den famøse liste over underdatabehandlere.

Klik på ‘Notification Settings’ og angiv, hvor ofte du vil underrettes. Voila! Det var det.

Screener du eller fører du tilsyn med din leverandør af it-ydelser?

Med de mange regler, der gælder i dag, giver det rigtig god mening at foretage en screening af såvel nuværende som nye IT-leverandører. Forestil dig, at du skal bruge en ny leverandør af et administrativt system til din virksomhed. Hvilke parametre vælger du efter i dag?

  • Pris
  • De har et godt ry
  • Jeg har brugt dem før
  • De har branchekendskab

Argumenter, der kan være ganske udmærkede. Men måske du skulle kigge dem lidt mere efter i sømmene.

I forbindelse med de tilsyn af leverandører/databehandlere, som Unitas udfører for en række kunder, står det klart, at ikke alle leverandører endnu er vågnet helt op til de moderne krav, man som kunde bør og skal stille til sin leverandør. Derfor har Unitas udarbejdet en procedure for tilsyn samt et tilsynsskema, der også i GDPR-sammenhæng sikrer dig, at du vælger en sikker leverandør.

En sikker leverandør er en leverandør, der har styr på sine interne politikker, retningslinier, tekniske og organisatoriske foranstaltninger, hvor data opbevares, om usikre 3. lande benyttes, om din databehandler foretager tilstrækkeligt tilsyn med evt. underdatabehandlere m.m.

Ved at anvende tilsynsskemaet får du hurtigt et billede af, hvor seriøs leverandørerne er omkring sikkerhed. Det er sikkerhed om dig og dine medarbejdere eller kunders data, det drejer sig om. Og det er dig, der er ansvarlig for disse data. Derfor er det uhyre vigtigt for dig som dataansvarlig, at du vælger de rette leverandører.

Har du eksisterende leverandører, som du vil have kontrolleret, benyttes samme procedure. Måske det er tid til en snak med din leverandør ud fra de svar, du modtager?

Leverandørerne vil helt sikkert blive udfordret. Men det er dagens konkurrenceparameter, og man finder meget hurtigt ud af, om man har sine æg i en sikker eller usikker rede.

Unitas håber med dette at kunne hjælpe dig og din virksomhed med såvel databeskyttelse som med at lette opgaven at føre tilsyn med databehandlerne. Jo mere databehandleren tager sin opgave seriøst, jo nemmere får du det.

Er du en del af en større virksomhed med separat indkøbs- eller sourcingafdeling, kan du med fordel dele dette indlæg med dine kollegaer i de afdelinger, da det i høj grad også berører dem.

Har du behov for assistance med at foretage screening af nye leverandører eller tilsyn med eksisterende leverandører, er du meget velkommen til at henvende dig.

Tid til fordybelse – COVID-19

Som videnarbejder er du sandsynligvis vant til at arbejde hjemmefra af og til. Men nok ikke alle ugens dage.

Her efter en uge har du sandsynligvis – ligesom vi – fundet ud af, at det kræver noget af os, som vi måske ikke er vant til i helt samme omfang.

Men for mange giver det også mulighed for fordybelse og koncentration til at løse nogle opgaver, som det ellers kan være svært at finde tid og rum til.

I UNITAS bruger vi fx tiden mellem kundeopgaver på at optimere og opdatere vores serviceydelser. Det næste er en version 2 af vores inspektionsrapport, der på mange måder kan sidestilles med en ISAE3000-erklæring. Men som udmærker sig ved at have et større fokus på selve den teknisk implementering af sikkerhedsforanstaltninger – vi har flere elementer fra ‘under motorhjelmen’ end fra helikopteren, og dermed bliver inspektionen meget konkret og brugbar. Vi laver ikke bare et “flyover” – vi lander og fikser det!

UNITAS anbefaler, at du bruger tiden på en række GDPR-relaterede opgaver. De er endda lovpligtige, hvorfor du allerede nu har din begrundelse for at få en tidsregistreringskode på plads og dermed et sted at parkere dine timer 😉

De opgaver, som du med fordel kan bruge kvalitetstid på, er bl.a.:

  • Tilsyn af databehandlere
  • Sikre at de databehandleraftaler, din virksomhed har indgået, også er indgået og gyldige
  • Tjek om der er sket ændringer i de dokumenterede behandlingsaktiviteter og opdatere dokumentationen
  • Review af risikovurderinger – ikke mindst vedrørende folks fjernforbindelser, som er udsatte for tiden
  • Følge op på om evt. kortlagte gaps ved seneste risikovurdering er lukket eller få lagt en plan for at få dem lukket
  • Læse op på hvilke nye krav og vejledninger, der er kommet, siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018 – og ja, der er sket en hel del!
  • Få udført de kontroller, som du godt ved skulle have været udført, men ikke lige fundet tid til i en travl hverdag
  • Træn dine medarbejdere i it-sikkerhed – hvis det halter for dig og virksomheden, kan I med fordel se på en leverandør af enkelt online-træning som Cyber Pilot der leverer økonomisk overskuelig træning hurtigt og fuldt integreret med Azure AD (brugerintegration)

… der er nok at se til, så det er bare at komme i gang!

Og skulle du få brug for råd, vejledning eller ressourcer til selve gennemførelsen, hører vi naturligvis gerne fra dig.

Rigtig god arbejdslyst!

Lidt om indsigtsanmodning og en nem 1-2-3 guide

Antallet af indberetning af brud på GDPR stiger støt. Vi kan nu konstatere, at mere end 5.000 indberetninger i DK har fundet sted det første år. Ser vi på 2018 alene var det 3.100 indberetninger. Langt under de 15.400 i Holland, men alligevel en del.

Hvordan håndterer du egentlig en indsigtsanmodning? Dem, der nu har prøvet det, ved godt, hvad der skal ske. I hvert fald til næste gang. Men alle jer, der endnu ikke har været udsat for en anmodning fra en tidligere ansat, en kunde i jeres webshop eller andre, har noget i vente. Det er derfor en god idé at være beredt.

Det er heldigvis ikke raketvidenskab. Datatilsynet har naturligvis formuleret en vejledning, der er så blød i kanterne, at det ikke nødvendigvis for almindelige mennesker kan omsættes til pragmatik. Men det kan deres skabeloner – de er tilpas nemme og alligevel grundige.

Vi giver dig derfor en kort guide her, som gør det muligt for dig og din virksomhed – lille som stor – at besvare en henvendelse.

  1. Når din virksomhed modtager en henvendelse, skal du på forhånd have udpeget, hvem der skal være ansvarlig for behandling af henvendelsen. Brug gerne en dedikeret e-mail adresse til formålet som f.eks. persondata@virksomhed.dk
  2. Start med at besvare mailen med en bekræftelse og at du ønsker en mere klar identifikation af afsenderen. Bed om information, som kun afsenderen kan kende til. Er det en tidligere medarbejder, kan et medarbejdernummer samt et nyligt billede af vedkommende bruges. Er det en webshop-kunde kan kundenummer samt f.eks. en kopi af seneste faktura være en mulighed. Bed ikke om mere end nødvendigt, men nok til at du er sikker på identiteten på den person, der henvender sig. Ring evt. vedkommende op.

    Husk at kommunikere via en krypteret forbindelse. Måske du har mulighed for at benytte en tredjepartsløsning som eksempelvis Sikker Post, Outlook-kryptering eller andet.
  1. Når afsenderen henvender sig igen med fornøden dokumentation, skal du besvare med hvilke typer af data, som du ligger inde med. Vi fortsætter med eksemplet med en tidligere medarbejder, der er fratrådt for 3 år siden.

Anvend gerne denne standardskabelon https://www.datatilsynet.dk/media/6889/bilag_a_og_b_-_skabeloner_til_oplysningspligt_og_indsigtsret.docx fra Datatilsynet for besvarelse. Den sikrer den rette oplysningspligt, og hjælper dig samtidig til, at komme hele vejen omkring.

Du har sandsynligvis allerede udarbejdet din artikel 30-fortegnelse (selve databahendlingsdokumentationen for hvilken behandling virksomheden foretager, formål, opbevaringsperiode, lovhjemmel etc.). Her kan du finde frem til, hvor du har informationer om tidligere medarbejdere. Typisk en personalemappe der indeholder en kopi af ansættelseskontrakten, kopi af timesedler, lønsedler etc.

  1. I skabelonen fra Datatilsynet fylder du nu informationer i om, hvilke data virksomheden ligger inde med. Og nu er det altså vigtigt – du skal være ærlig! Så har du dokumenteret og tidligere oplyst dine medarbejdere om, at I gemmer timesedler i 24 måneder, men her efter 36 måneder stadig har kopier liggende. Ja, så SKAL du altså oplyse dette. Bagefter kan du så få dem slettet/makuleret hurtigst muligt.
  2. Du skal sikre dokumentationen i et maskinlæsbart format. Det kan f.eks. være PDF-filer. Har du derfor fysiske timesedler liggende, skal de scannes og gemmes som PDF, som du vedlægger til modtageren.
  3. Send den samlede information til afsender og afvent evt. videre forløb.

Du har i første omgang en måned til at besvare henvendelsen. Dog skal det helst ske uden unødig forsinkelse.

Ovenstående er en simpel tilgang, men klarer jobbet.

Skal du have hjælp til at have ovenstående beredskab på plads – såvel skabeloner, procedure som teknisk implementering af sikker kommunikationsløsning – er du meget velkommen til at henvende dig.

Har Facebook et ansvar for din ulovlige markedsføring?

Til overvejelse: Når du sender målrettede reklamer gennem Facebook, skal du overholde markedsføringslovens § 3 (erhvervsdrivende skal udvise god markedsføringsskik under hensyntagen til forbrugere, erhvervsdrivende og almene samfundsinteresser). Det siger Forbrugerombudsmanden. Overtræder du alligevel reglerne, skal Facebook så gøre dig opmærksom på det i henhold til databeskyttelsesreglerne?

Det kan være konsekvensen af følgende forordningsbestemte vilkår i Datatilsynets standard for databehandleraftaler:

Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Hvis Facebook ikke benytter Datatilsynets standard, burde vilkåret om databehandlerens underretningspligt ved ulovlig instruks alligevel være en del af databehandleraftalen, da underretningspligten som nævnt er forordningsbestemt, jf. artikel 28(3, andet afsnit).

Underretningspligten omfatter herefter instrukser i strid med “databeskyttelsesbestemmelser i […] medlemsstaternes nationale ret”.

Markedsføringslovens § 3 beskytter netop efter lovbemærkningerne “forbrugerens personlige integritet” og “privatlivets fred”. Så markedsføringslovens § 3 omhandler vel også databeskyttelse?

Er Facebook her databehandler, og handler markedsføringslovens § 3 også om databeskyttelse, skulle Facebook efter alt at dømme nok have kommet Forbrugerombudsmanden i forkøbet og underrettet annoncøren om den mulige overtrædelse.

Er Facebook i stedet dataansvarlig, må Facebook formentlig sidestilles med den, der overtræder markedsføringslovens § 3. Det er nok ikke en position, Facebook ønsker. Så hellere være databehandler i denne sammenhæng.

Og når nu vi er i gang skal e-handelslovens § 16(1) også med. Der står nemlig noget om ansvar for indholdet på sin hjemmeside:

En tjenesteyder er ikke ansvarlig for oplagring af information eller for indholdet af den oplagrede information, når oplagringen sker på anmodning af en tjenestemodtager, der har leveret informationen, og hvis tjenesteyderen

1) ikke har kendskab til den ulovlige eller skadevoldende aktivitet eller information og, for så vidt angår erstatningskrav, ikke har kendskab til forhold eller omstændigheder, hvoraf den skadevoldende aktivitet eller information fremgår, eller

2) fra det tidspunkt, hvor tjenesteyderen får et kendskab som nævnt i nr. 1, straks tager skridt til at fjerne informationen eller hindre adgangen til den.

Det er lidt knudret. Men udgangspunktet er faktisk, at man er ansvarlig for det indhold, der ligger på ens hjemmeside. Så kan man være fritaget for ansvaret under visse betingelser.

I det her tilfælde er Facebook efter ordlyden kun fritaget for ansvar, hvis de ikke havde kendskab til det ulovlige indhold (den ulovlige markedsføring), eller hvis de havde kendskab ikke tog skridt ( i tide) til at fjerne eller hindre adgangen. Og det er jo så en vurderingssag.

Under alle omstændigheder er det sidste nok ikke skrevet om sammenhængen mellem databeskyttelsesreglerne, e-handelsloven og markedsføringsloven. Den kan de jo tage videre med i kantinen i Valby, hvor både Datatilsynet og Forbrugerombudsmanden har til huse på Carl Jacobsens Vej.

De kan passende starte med at drøfte, om og i givet fald i hvilket omfang artikel 28(3, andet afsnit), der udrykkeligt henviser til artikel 28(2h) om tilsyn, vitterligt skal forstås som fastlagt i Datatilsynets standard og som gengivet ovenfor.

BREXIT – Sådan gør du det enkelt

Brexit means Brexit. Og ud kom de. Endelig. Så nu tør vi godt skrive lidt om, hvad Brexit betyder i forhold til databeskyttelsesreglerne.

I aftalen mellem EU og Det Forenede Kongerige/UK fremgår det, at 2020 er en overgangsperiode, hvor EUs regler fortsat gælder i UK. Se således artiklerne 126 – 127:

Artikel 126:

Der er en overgangs- eller gennemførelsesperiode, som starter på dagen for denne aftales ikrafttræden og slutter den 31. december 2020.

Artikel 127(1):

Medmindre andet er fastsat i denne aftale, finder EU-retten anvendelse på og i Det Forenede Kongerige i overgangsperioden.

Artikel 127(3):

I overgangsperioden har den EU-ret, som finder anvendelse i henhold til stk. 1, samme retsvirkninger over for og i Det Forenede Kongerige som i Unionen og dens medlemsstater, og den fortolkes og anvendes i overensstemmelse med de samme metoder og generelle principper, som finder anvendelse i Unionen.

Hvad gælder i overgangsperioden i 2020?

Alt er som det plejer at være. UK er ikke et tredjeland efter GDPR i 2020. Så du skal i 2020 eksempelvis ikke oplyse om, at du eventuelt overfører data til UK:

Während des Übergangszeitraums würde Großbritannien also nicht als Drittland im Sinne von Kapitel V DS-GVO gelten, so dass Verantwortliche oder Auftragsverarbeiter in der EU, die personenbezogenen Daten in den Inselstaat übermitteln, die einschlägigen Vorschriften nicht anwenden müssten.

Du skal heller ikke bruge EU-Kommissionens standardbestemmelser om databeskyttelse (Standard Contractual Clause) for at føre data til UK.

Hvad gælder efter overgangsperioden?

Da UK nu er ude af EU, kan EU gå i gang med at undersøge, om databeskyttelsen i UK er tilstrækkelig. Det fremgår af side 4 i “Political Declaration setting out the framework for the future relationship between the European Union and the United Kingdom” (fremhævet med fed):

The Union’s data protection rules provide for a framework allowing the European Commission to recognise a third country’s data protection standards as providing an adequate level of protection, thereby facilitating transfers of personal data to that third country. On the basis of this framework, the European Commission will start the assessments with respect to the United Kingdom as soon as possible after the United Kingdom’s withdrawal, endeavouring to adopt decisions by the end of 2020, if the applicable conditions are met.

I UK vil man samtidig sørge for, at det også er nemt at overføre personoplysninger til EU:

Noting that the United Kingdom will be establishing its own international transfer regime, the United Kingdom will in the same timeframe take steps to ensure the comparable facilitation of transfers of personal data to the Union, if the applicable conditions are met.

Med lidt held burde tingene passe sammen omkring årsskriftet 2021: EU har godkendt UK som et sikkert tredjeland, og UK har gjort det let at overføre personoplysninger til EU.

Sådan finder du ud af, om du har databehandling i UK i 2021

I hvert fald fortegnelser, risikovurderinger og oplysningsmeddelelser skal opdateres, hvis du efter 2021 har behandling i UK.

Hvis man sender personoplysninger til UK som dataansvarlig, burde det være ret enkelt at kortlægge: Har man modtagere, herunder datterselskaber, i UK eller ej?

Man kan som dataansvarlig også have behandling i UK gennem sine databehandlerkæder. Det kan være lidt knudret at finde ud af: Måske har underdatabehandleren ikke behandling af dine data i UK, men så kan det være, at underdatabehandlerens databehandler har det.

Ved det lejlighedsvise tilsyn med dine databehandlere kan du derfor bede om, at de oplyser, om de har kendskab til behandling i UK længere nede i behandlerkæden.

Det kan være ganske svært at komme til bunds i, om slutbehandleren behandler personoplysninger på dine vegne i UK eller ej. Bruges tilsynet imidlertid som værktøj, kan man da i hvert fald komme godt i gang – og det må kunne nås inden 2021.

KL vs. Datatilsynet: Opgaverne skal samles – og lad være med at bruge samtykke som grundlag

Kampen endte uafgjort: Forståelige frustrationer blev mødt af gode svar.

Udover at elever ikke skal klippes ud af billeder, når de skifter skole, fik vi klarlagt endnu engang, at samtykke altid er den værst tænkelige hjemmel. Brug noget andet – hvad som helst andet, bare brug noget andet. Eksempelvis myndighedsudøvelse.

Offentlige myndigheder bør ganske enkelt aldrig tænke samtykke først, men altid starte i hjemlen myndighedsudøvelse. Ofte må det således antages, at særlovgivning på social-, skole- eller serviceområdet må antages at være fuldt ud tilstrækkeligt til, at der kan behandles de personoplysninger, der er relevante og nødvendige for at udføre de opgaver, som er formålet med særlovgivningen.

Og så var budskabet centralisér! Centralisér internt, så det aldrig er den enkelte sagsbehandler, der skal tage stilling til GDPR, risikovurderingen og hvad der skal behandles:

Det bør efter Datatilsynets opfattelse ikke være den enkelte pædagog, sundhedsplejerske eller sagsbehandler, der har til opgave at dokumentere lovlig håndtering af borgernes data. Kommunen må sørge for, at korrekt behandling af personoplysninger i det daglige arbejde understøttes såvel teknisk som organisatorisk.

Datatilsynet gjorde også opmærksom på, at KL bør går forrest med et adfærdskodeks, så kommunerne føler sig mere trygge i den daglige anvendelse af forordningen:

En mulighed er også, at KL udarbejder et adfærdskodeks. Et adfærdskodeks er et sæt retningslinjer, som skal bidrage til at sikre, at de myndigheder, der tilslutter sig kodekset, anvender databeskyttelsesreglerne korrekt.

I forhold til databehandlerne var budskabet også centralisér: Det gælder især indgåelse af databehandleraftaler og tilsyn og kontrol. KL kan her gøre en del. Så bolden tilbage på KLs banehalvdel. KL angiver:

Kommunerne oplever det voldsomt resursekrævende at følge GDPR-kravet om, at de selv – eller dyre revisorer på deres vegne – skal føre tilsyn med deres databehandlere. For hver enkelt kommune er der tale om flere hundrede aftaler. Desuden skal mange kommuner føre nøjagtigt den samme kontrol med samme databehandler, hvilket ikke øger datasikkerheden.

Svaret fra Datatilsynet synes at ligge lige for:

Når man behandler personoplysninger, og særligt når disse videregives til andre, herunder databehandlere, medfølger et ansvar, f.eks. at føre tilsyn med sine databehandlere. Dette er et specifikt krav efter forordningen. For at lette dette arbejde har Datatilsynet har udgivet en vejledning specifikt relateret til tilsyn med databehand-lere. Det fremgår bl.a. af tilsynets vejledning, at den dataansvarlige med fordel kan tilrettelægge sit tilsyn på baggrund af den risikovurdering, som den dataansvarlige har foretaget. Hvor ofte og hvordan der skal føres tilsyn med databehandlere kan derfor variere alt efter risikoen for borgernes rettigheder og frihedsrettigheder. Også i denne sammenhæng bifalder Datatilsynet et eventuelt samarbejde myndighederne imellem.

Hvis kommunerne lige præcis vil have mere tid til de varme opgaver, må man opfordre til at pulje de kolde. Derefter er det også nemmere at pege på, at regningen skal sendes videre til staten, da udgiften på det kolde netop ikke er defineret af serviceniveau og lokale beslutninger, men af lovgivning der kommer langvejs fra. Men det kan nu også være os, der her er for excelarksoptimistiske. Centralisering af it er som regel ikke så let endda.

Men her skal man dog huske, at der ikke er tale om centralisering af it i traditionel forstand. Det er blot compliancedelen, der skal samles. Og det skal kunne lade sig gøre. Det kan ske helt lavpraktisk ved at dele oplysninger digitalt – det kan også ske ved at oprette en særlig GDPR-shared service for kommunerne med en fast defineret opgaveportefølje.

Som overalt hvor compliance dukker op I horisonten, når man har outsourcet it (uden at overveje compiancekonsekvenser), går det op for en, at teknikerne i kælderen hurtigt skal erstattes af slipsedyr på gangene. Ingen har sagt det skulle være let – og det bliver det aldrig. Det er bare at komme I gang!

Datatilsynets nye standardkontraktbestemmelser: Hvad er nyt? Og hvad skal du være opmærksom på?

UNITAS svarer her på de almindeligste spørgsmål til Datatilsynets standardkontraktbestemmelser samt fremhæver en række ændringer.

Standardkontraktbestemmelserne erstatter databehandleraftaleskabelonen

Standardkontraktbestemmelserne er en revideret udgave af Datatilsynets databehandleraftaleskabelon og kaldes i det følgende Bestemmelserne.

Helt overordnet skal det med, at Bestemmelserne i sin fulde udstrækning er gjort obligatoriske at aftale, hvis man vil opnå en forøget sikkerhed for efterlevelse, når man indgår en databehandleraftale. Væk er således den gamle skelnen mellem tekst, der skulle aftales, og tekst, der kunne aftales.

Er jeg sikker, hvis jeg anvender Bestemmelserne?

Man skulle tro, man var på sikker grund, hvis man anvender Bestemmelserne. Det er dog langtfra sikkert.

Hvor meget anvendelse af Bestemmelserne reelt nedbringer risikoen ved et tilsyn afhænger af, i hvilket omfang du reelt følger Bestemmelserne.

Databeskyttelsesrådet, som har godkendt Bestemmelserne, skriver således følgende (se understregning):

to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.”

Det vil I al sin enkelhed sige, at man kun er fredet i det omfang, man reelt har vedtaget Bestemmelserne uden at ændre dem. Har man blot udfyldt dem, vil man være fredet.

Men er Bestemmelserne udfyldt forkert, på en utilstrækkelig måde eller på en måde, der strider mod andre vilkår i Bestemmelserne, må man forvente, at Datatilsynet vil interessere sig for afvigelserne, og at afvigelserne vil blive sanktioneret.

Hvad gør jeg, hvis jeg har anvendt Datatilsynets gamle skabelon?

Datatilsynet har i det tilfælde manet til besindighed:

”Organisationer, som har baseret sine databehandleraftaler på Datatilsynets oprindelige skabelon, bør dog ikke være bekymrede for, hvorvidt de fortsat overholder databeskyttelsesreglerne.

Datatilsynet er opmærksom på det store tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato.”

Hvad hvis jeg ikke anvender Bestemmelserne?

Bestemmelserne må antages at sætte en ny standard for, hvad en databehandleraftale skal indeholde. Det giver derfor sig selv, at anvender man databehandleraftaler, der afviger fra Bestemmelserne, vil det medføre en forøget risiko for, at det vurderes, at man har begået en overtrædelse.

Kan jeg bruge Bestemmelserne i min europæiske koncern?

Det er der selvsagt intet i vejen for. Datatilsynet har således netop stillet en engelsk udgave til rådighed.

Samtidig kan man spørge sig selv, om det tyske eller det franske datatilsyn vil interessere sig for Bestemmelserne, hvis man har anvendt Bestemmelserne i hele sin europæiske koncern, eller om tilsynene også vil være tilbageholdende med at undersøge Bestemmelsernes indhold nærmere?

Hertil må man svare, at det må være sådan, at det som udgangspunkt alene er det danske Datatilsyn, der vil træde tilbage fra at undersøge databehandleraftaler nærmere.

Det må dog nok også erkendes, at de europæiske datatilsyn samtidig vil respektere, at Bestemmelserne er blevet til gennem sammenhængsmekanismen i databeskyttelsesforordningen. Norge har som medlem af EØS da netop også tilkendegivet, at Bestemmelserne er anvendelige i Norge, da de er godkendt af Databeskyttelsesrådet.

Alt i alt må det således antages, at det danske såvel som de europæiske datatilsyn vil undlade at undersøge databehandleraftaler nærmere, hvis det kan konstateres, at en dataansvarlig eller en databehandler helt generelt har vedtaget, at Bestemmelserne anvendes, samt at det kan konstateres, at det faktisk er tilfældet, at de er anvendt.

I sidste ende har idéen med Bestemmelserne nok også været, at lette tilsynsarbejdet. Myndighederne har nok ikke den store lyst til at bruge ganske meget tid på at gennemgå databehandleraftaler – så hellere konstatere, at Bestemmelserne anvendes, og så bruge tiden på andre tilsynsopgaver.

Omvendt kan tilsynet have skabt en del merarbejde for sig selv med Bestemmelserne, for nu er det lysende klart, hvis Bestemmelserne ikke anvendes, og så skal man til at læse de faktisk indgåede databehandleraftaler igennem.

Der er fejl i Bestemmelsernes danske udgave. Hvad gør jeg?

I den danske udgave af Bestemmelserne er der desværre indløbet i hvert fald tre fejl.

I punkt 7.7 skal der ikke stå, ”Hvis databehandleren ikke opfylder..”, men i stedet, ”Hvis underdatabehandleren ikke opfylder..”

I punkt 9.2 er der en henvisning til punkt 6.4. Men punkt 6.4 findes ikke. Der skal formentlig henvises til punkt 6.3 i stedet.

I punkt 14.5 er ”den dataansvarlige” fejlagtigt angivet som navn på begge parter. Der skulle selvsagt have stået ”databehandler” det ene sted.

Først- og sidstnævnte fejl har ikke indsneget sig i den engelske udgave af Bestemmelserne.

Det må antages at være ganske ufarligt at rette fejlene. Samtidig vil Datatilsynet formentlig selv få rettet dem snarest.

Hvad betyder det, at Bestemmelserne har forrang?

Bestemmelserne har forrang. Det betyder, at du i det samlede kontraktgrundlag skal sikre dig, at det alene er i Bestemmelserne, at der står noget om databeskyttelse.

Står der noget om databeskyttelse andre steder i kontraktgrundlaget, som ikke er reguleret af Bestemmelserne, vil det som udgangspunkt indebære, at Bestemmelserne ikke er korrekt anvendt, og man mister herefter den beskyttelse, som Bestemmelserne giver.

At Bestemmelserne har forrang indebærer dog også, at man i et vist omfang er vaccineret mod forkert anvendelse af Bestemmelserne, så længe de øvrige vilkår om databeskyttelse i kontraktgrundlaget reelt dækker det samme som Bestemmelserne.

Skal databehandleren tjekke, om den dataansvarlige gør noget ulovligt?

Det kan slås fast, at databehandleren låner behandlingsgrundlaget fra den dataansvarlige.

Det vil i al sin enkelhed sige, at databehandleren ikke skal have et selvstændigt grundlag for sin behandling af personoplysninger på vegne af den dataansvarlige.

Leverer man hosting til det offentlige, vil man ”arve” behandlingsgrundlaget fra den offentlige institution, der er den dataansvarlige. I de fleste tilfælde vil det være grundlaget myndighedsudøvelse. Så langt, så godt.

I punkt 4.2 i Bestemmelserne er det angivet, at databehandleren skal underrette den dataansvarlige omgående, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Det stod også i den gamle standarddatabehandleraftale.

Som noget nyt, er det imidlertid medtaget, at parterne ”bør” forudse og overveje konsekvenserne, der kan følge af en ulovlig instruks, som den dataansvarlige har givet, og regulere dette i en ”aftale mellem parterne”.

Eftersom der står ”bør”, og da anbefalingen er indsat som en note, må dette forstås som, at parterne kan undlade at tage højde for denne situation, og at dette fravalg ikke påvirker, om man har anvendt Bestemmelserne korrekt.

Vil man følge anbefalingen, kan man starte med ganske enkelt at angive, at databehandleren ikke må følge en instruks, som databehandleren mener er ulovlig. Herefter må parterne i fællesskab komme til en overensstemmelse om lovligheden af instruksen.

Men dette løser ikke det overordnede problem, som omhandler spørgsmålet om, hvorvidt databehandleren skal overvåge den dataansvarliges brug af databehandlerens services.

Anvender den dataansvarlige databehandleren til at sende markedsføring ud til personer, der ikke har givet samtykke hertil, og databehandleren er vidende om det, må det antages, at databehandleren skal underrette den dataansvarlige samt eventuelt undlade at sende markedsføringsmaterialet. Dette forekommer formentlig kun ganske sjældent i praksis.

Hvor langt rækker databehandlerens undersøgelsespligt? Det er for tidligt at svare på, men på nuværende tidspunkt er det vores bud, at det ikke er nødvendigt, at databehandleren sætter et egentligt overvågningssystem op, der på en eller anden måde overvåger den dataansvarliges behandlingsaktiviteter gennem databehandlerens services nærmere. Retspraksis kan dog gøre os klogere.

Skal både den dataansvarlige og databehandleren udarbejde en risikovurdering?

Ja.

Det er tydeliggjort i punkterne 6.1 og 6.2, at både den dataansvarlige og databehandleren skal udarbejde en risikovurdering, der dækker den aktivitet, databehandleren skal udføre på vegne af den dataansvarlige.

Databehandlerens risikovurdering skal ske ”uafhængigt af den dataansvarlige”. Den dataansvarlige skal dog stille den nødvendige information til rådighed for databehandleren, så databehandleren kan opfylde sin forpligtelse.

Samlet set kan man sige, at enhver indgået databehandleraftale skal være ledsaget af i hvert fald to compliancedokumenter: Nemlig den dataansvarlige og databehandlerens risikovurderinger.

Har man således indgået en række databehandleraftaler, og eventuelt anvendt Bestemmelserne, men mangler man sine risikovurderinger, vil der herefter være tale om en overtrædelse af databeskyttelsesforordningen.

Det må dog være muligt for især databehandleren at udarbejde en standardrisikovurdering, der dækker de behandlingsaktiviteter, som en tilbudt service medfører.

Hvilke sikkerhedsforanstaltninger skal nævnes?

Kun supplerende sikkerhedsforanstaltninger skal nævnes i bilag C.

Kommer den dataansvarlige således frem til på baggrund af sin risikovurdering, at databehandlerens eksisterende sikkerhed er tilstrækkelig, vil det ikke være nødvendigt at beskrive de relevante tekniske og organisatoriske foranstaltninger i bilag C. Dette forudsætter dog selvsagt, at den dataansvarlige har taget kvalificeret stilling til den eksisterende sikkerhed hos databehandleren.

Du skal angive den særlovgivning, som påvirker behandlingsaktiviteten efter ophør

Er databehandleren forpligtet til at opbevare personoplysninger, efter tjenesten er ophørt, skal det fremgå af databehandleraftalens punkt 11.2, hvad det er for lovgivning, der binder databehandleren.

Parterne skal adskille de forskellige behandlingsaktiviteter og udfylde bilag A for hver behandlingsaktivitet

Spørgsmålet er herefter, hvornår der er tale om to forskellige behandlingsaktiviteter, der kræver, at man udfylder et særskilt bilag A.

Databehandlerne skal nok vænne sig til, at hver enkelt service, de tilbyder, skal have sin egen bilag A med oplysninger om den specifikke behandling af personoplysninger.

Samtidig må det antages, at mange dataansvarlige får svært ved at holde styr på, om en service, der købes samlet rent aftaleretligt, reelt skal adskilles rent databeskyttelsesretligt.

Det skal specificeres så meget som muligt, hvilke personoplysninger, der vil blive behandlet

Det vil således ikke være nok i bilag A at angive, at der behandles almindelige personoplysninger. Det skal fremgå direkte, hvad det er for personoplysninger, der behandles.

Du må ikke bare henvise til hovedaftalen

I bilag C skal du beskrive behandlingens genstand/instruks. Her er det ikke længere – som ofte set – nok at henvise til hovedaftalen.

Det må således antages, at mange it-serviceydere skal kunne beskrive deres service med en højere grad af præcision end i dag, herunder eksempelvis ved hjælp af en dataflowbeskrivelse eller en redegørelse for servicens sammensætning af behandlingsprocesser.

Det skal konkretiseres, hvordan databehandleren skal bistå

I bilag C, punkt C.3, skal det fremgå konkret, hvordan databehandleren skal bistå den dataansvarlige med overholdelse af de registreredes rettigheder. Det vil sige, at det ikke er nok, at det er angivet, at databehandleren skal bistå. Det skal fremgå, hvordan databehandleren skal bistå.

Det samme gælder databehandlerens bistand i forhold til anmeldelse, underretning, udarbejdelse af konsekvensanalyse samt høring af den kompetente tilsynsmyndighed.

Omfang og udstrækning af bistandsforpligtelsen skal overvejes og beskrives. Ikke alle bistandsforpligtelser vil være relevante i alle tilfælde, herunder for eksempel hvis der ikke skal udarbejdes en konsekvensanalyse.

Databehandleren skal med andre ord sætte sig ned og gennemtænke, hvordan man helt konkret vil arbejde med en anmodning om indsigt, en anmodning om sletning, en anmodning om dataportabilitet osv.

Det samme gælder for eksempel en brudsituation. Hvad gør databehandleren her for at hjælpe den dataansvarlige?

Herefter skal det beskrives i en procedure, hvordan databehandleren konkret reagerer i de enkelte situationer, hvorefter der kan henvises til denne procedure i punkt C.3.

Skal jeg have en revisionserklæring fra databehandleren?

Nej.

Det er ikke et krav, at databehandleren får udarbejdet en revisionserklæring fra et revisionshus efter eksempelvis ISAE 3000-standarden. Den dataansvarlige kan heller ikke kræve en sådan erklæring.

Den dataansvarlige skal i stedet forud for indgåelsen af Bestemmelserne i forlængelse af sin risikovurdering fastlægge, hvordan man vil føre tilsyn med databehandleren og eventuelt dennes underdatabehandlere.

Der er i øvrigt ikke noget nyt i denne aktive tilsynsforpligtelse. Den har været gældende også under persondataloven.

Den dataansvarlige skal have adgang til databehandlerens system ved revisioner, herunder inspektioner

Det er angivet som noget nyt, at den dataansvarlige som udgangspunkt skal have adgang til databehandlerens “systemer”.

Denne udvidelse af tilsynsretten følger direkte af Databeskyttelsesrådets udtalelse til Datatilsynet. Rådet mente således, at tilsynsretten skulle udvides (afsnit 46, side 14):

Indeed, rights of the data controller in the framework of inspections and/or audit should not be limited to the facilities of the processor or sub-processors. The data controller should have access to the places where the processing is being carried out. This includes physical facilities as well as systems used for and related to the processing.”

Hvad der præcist ligger i dette, og hvordan det skal udspille sig i praksis, tør vi ikke gætte på, men der synes umiddelbart at være tale om en noget vidtgående adgang, der kan vise sig at være ubehagelig for databehandleren.

Det er dog formentlig ikke mange dataansvarlige, der vil gøre brug af retten, hvis det overhovedet lykkes at få databehandleren til at acceptere et vilkår om adgang til ”systemerne”.