UNITAS svarer her på de almindeligste spørgsmål til Datatilsynets standardkontraktbestemmelser samt fremhæver en række ændringer.
Standardkontraktbestemmelserne erstatter databehandleraftaleskabelonen
Standardkontraktbestemmelserne er en revideret udgave af Datatilsynets databehandleraftaleskabelon og kaldes i det følgende Bestemmelserne.
Helt overordnet skal det med, at Bestemmelserne i sin fulde udstrækning er gjort obligatoriske at aftale, hvis man vil opnå en forøget sikkerhed for efterlevelse, når man indgår en databehandleraftale. Væk er således den gamle skelnen mellem tekst, der skulle aftales, og tekst, der kunne aftales.
Er jeg sikker, hvis jeg anvender Bestemmelserne?
Man skulle tro, man var på sikker grund, hvis man anvender Bestemmelserne. Det er dog langtfra sikkert.
Hvor meget anvendelse af Bestemmelserne reelt nedbringer risikoen ved et tilsyn afhænger af, i hvilket omfang du reelt følger Bestemmelserne.
Databeskyttelsesrådet, som har godkendt Bestemmelserne, skriver således følgende (se understregning):
”to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.”
Det vil I al sin enkelhed sige, at man kun er fredet i det omfang, man reelt har vedtaget Bestemmelserne uden at ændre dem. Har man blot udfyldt dem, vil man være fredet.
Men er Bestemmelserne udfyldt forkert, på en utilstrækkelig måde eller på en måde, der strider mod andre vilkår i Bestemmelserne, må man forvente, at Datatilsynet vil interessere sig for afvigelserne, og at afvigelserne vil blive sanktioneret.
Hvad gør jeg, hvis jeg har anvendt Datatilsynets gamle skabelon?
Datatilsynet har i det tilfælde manet til besindighed:
”Organisationer, som har baseret sine databehandleraftaler på Datatilsynets oprindelige skabelon, bør dog ikke være bekymrede for, hvorvidt de fortsat overholder databeskyttelsesreglerne.
Datatilsynet er opmærksom på det store tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato.”
Hvad hvis jeg ikke anvender Bestemmelserne?
Bestemmelserne må antages at sætte en ny standard for, hvad en databehandleraftale skal indeholde. Det giver derfor sig selv, at anvender man databehandleraftaler, der afviger fra Bestemmelserne, vil det medføre en forøget risiko for, at det vurderes, at man har begået en overtrædelse.
Kan jeg bruge Bestemmelserne i min europæiske koncern?
Det er der selvsagt intet i vejen for. Datatilsynet har således netop stillet en engelsk udgave til rådighed.
Samtidig kan man spørge sig selv, om det tyske eller det franske datatilsyn vil interessere sig for Bestemmelserne, hvis man har anvendt Bestemmelserne i hele sin europæiske koncern, eller om tilsynene også vil være tilbageholdende med at undersøge Bestemmelsernes indhold nærmere?
Hertil må man svare, at det må være sådan, at det som udgangspunkt alene er det danske Datatilsyn, der vil træde tilbage fra at undersøge databehandleraftaler nærmere.
Det må dog nok også erkendes, at de europæiske datatilsyn samtidig vil respektere, at Bestemmelserne er blevet til gennem sammenhængsmekanismen i databeskyttelsesforordningen. Norge har som medlem af EØS da netop også tilkendegivet, at Bestemmelserne er anvendelige i Norge, da de er godkendt af Databeskyttelsesrådet.
Alt i alt må det således antages, at det danske såvel som de europæiske datatilsyn vil undlade at undersøge databehandleraftaler nærmere, hvis det kan konstateres, at en dataansvarlig eller en databehandler helt generelt har vedtaget, at Bestemmelserne anvendes, samt at det kan konstateres, at det faktisk er tilfældet, at de er anvendt.
I sidste ende har idéen med Bestemmelserne nok også været, at lette tilsynsarbejdet. Myndighederne har nok ikke den store lyst til at bruge ganske meget tid på at gennemgå databehandleraftaler – så hellere konstatere, at Bestemmelserne anvendes, og så bruge tiden på andre tilsynsopgaver.
Omvendt kan tilsynet have skabt en del merarbejde for sig selv med Bestemmelserne, for nu er det lysende klart, hvis Bestemmelserne ikke anvendes, og så skal man til at læse de faktisk indgåede databehandleraftaler igennem.
Der er fejl i Bestemmelsernes danske udgave. Hvad gør jeg?
I den danske udgave af Bestemmelserne er der desværre indløbet i hvert fald tre fejl.
I punkt 7.7 skal der ikke stå, ”Hvis databehandleren ikke opfylder..”, men i stedet, ”Hvis underdatabehandleren ikke opfylder..”
I punkt 9.2 er der en henvisning til punkt 6.4. Men punkt 6.4 findes ikke. Der skal formentlig henvises til punkt 6.3 i stedet.
I punkt 14.5 er ”den dataansvarlige” fejlagtigt angivet som navn på begge parter. Der skulle selvsagt have stået ”databehandler” det ene sted.
Først- og sidstnævnte fejl har ikke indsneget sig i den engelske udgave af Bestemmelserne.
Det må antages at være ganske ufarligt at rette fejlene. Samtidig vil Datatilsynet formentlig selv få rettet dem snarest.
Hvad betyder det, at Bestemmelserne har forrang?
Bestemmelserne har forrang. Det betyder, at du i det samlede kontraktgrundlag skal sikre dig, at det alene er i Bestemmelserne, at der står noget om databeskyttelse.
Står der noget om databeskyttelse andre steder i kontraktgrundlaget, som ikke er reguleret af Bestemmelserne, vil det som udgangspunkt indebære, at Bestemmelserne ikke er korrekt anvendt, og man mister herefter den beskyttelse, som Bestemmelserne giver.
At Bestemmelserne har forrang indebærer dog også, at man i et vist omfang er vaccineret mod forkert anvendelse af Bestemmelserne, så længe de øvrige vilkår om databeskyttelse i kontraktgrundlaget reelt dækker det samme som Bestemmelserne.
Skal databehandleren tjekke, om den dataansvarlige gør noget ulovligt?
Det kan slås fast, at databehandleren låner behandlingsgrundlaget fra den dataansvarlige.
Det vil i al sin enkelhed sige, at databehandleren ikke skal have et selvstændigt grundlag for sin behandling af personoplysninger på vegne af den dataansvarlige.
Leverer man hosting til det offentlige, vil man ”arve” behandlingsgrundlaget fra den offentlige institution, der er den dataansvarlige. I de fleste tilfælde vil det være grundlaget myndighedsudøvelse. Så langt, så godt.
I punkt 4.2 i Bestemmelserne er det angivet, at databehandleren skal underrette den dataansvarlige omgående, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Det stod også i den gamle standarddatabehandleraftale.
Som noget nyt, er det imidlertid medtaget, at parterne ”bør” forudse og overveje konsekvenserne, der kan følge af en ulovlig instruks, som den dataansvarlige har givet, og regulere dette i en ”aftale mellem parterne”.
Eftersom der står ”bør”, og da anbefalingen er indsat som en note, må dette forstås som, at parterne kan undlade at tage højde for denne situation, og at dette fravalg ikke påvirker, om man har anvendt Bestemmelserne korrekt.
Vil man følge anbefalingen, kan man starte med ganske enkelt at angive, at databehandleren ikke må følge en instruks, som databehandleren mener er ulovlig. Herefter må parterne i fællesskab komme til en overensstemmelse om lovligheden af instruksen.
Men dette løser ikke det overordnede problem, som omhandler spørgsmålet om, hvorvidt databehandleren skal overvåge den dataansvarliges brug af databehandlerens services.
Anvender den dataansvarlige databehandleren til at sende markedsføring ud til personer, der ikke har givet samtykke hertil, og databehandleren er vidende om det, må det antages, at databehandleren skal underrette den dataansvarlige samt eventuelt undlade at sende markedsføringsmaterialet. Dette forekommer formentlig kun ganske sjældent i praksis.
Hvor langt rækker databehandlerens undersøgelsespligt? Det er for tidligt at svare på, men på nuværende tidspunkt er det vores bud, at det ikke er nødvendigt, at databehandleren sætter et egentligt overvågningssystem op, der på en eller anden måde overvåger den dataansvarliges behandlingsaktiviteter gennem databehandlerens services nærmere. Retspraksis kan dog gøre os klogere.
Skal både den dataansvarlige og databehandleren udarbejde en risikovurdering?
Ja.
Det er tydeliggjort i punkterne 6.1 og 6.2, at både den dataansvarlige og databehandleren skal udarbejde en risikovurdering, der dækker den aktivitet, databehandleren skal udføre på vegne af den dataansvarlige.
Databehandlerens risikovurdering skal ske ”uafhængigt af den dataansvarlige”. Den dataansvarlige skal dog stille den nødvendige information til rådighed for databehandleren, så databehandleren kan opfylde sin forpligtelse.
Samlet set kan man sige, at enhver indgået databehandleraftale skal være ledsaget af i hvert fald to compliancedokumenter: Nemlig den dataansvarlige og databehandlerens risikovurderinger.
Har man således indgået en række databehandleraftaler, og eventuelt anvendt Bestemmelserne, men mangler man sine risikovurderinger, vil der herefter være tale om en overtrædelse af databeskyttelsesforordningen.
Det må dog være muligt for især databehandleren at udarbejde en standardrisikovurdering, der dækker de behandlingsaktiviteter, som en tilbudt service medfører.
Hvilke sikkerhedsforanstaltninger skal nævnes?
Kun supplerende sikkerhedsforanstaltninger skal nævnes i bilag C.
Kommer den dataansvarlige således frem til på baggrund af sin risikovurdering, at databehandlerens eksisterende sikkerhed er tilstrækkelig, vil det ikke være nødvendigt at beskrive de relevante tekniske og organisatoriske foranstaltninger i bilag C. Dette forudsætter dog selvsagt, at den dataansvarlige har taget kvalificeret stilling til den eksisterende sikkerhed hos databehandleren.
Du skal angive den særlovgivning, som påvirker behandlingsaktiviteten efter ophør
Er databehandleren forpligtet til at opbevare personoplysninger, efter tjenesten er ophørt, skal det fremgå af databehandleraftalens punkt 11.2, hvad det er for lovgivning, der binder databehandleren.
Parterne skal adskille de forskellige behandlingsaktiviteter og udfylde bilag A for hver behandlingsaktivitet
Spørgsmålet er herefter, hvornår der er tale om to forskellige behandlingsaktiviteter, der kræver, at man udfylder et særskilt bilag A.
Databehandlerne skal nok vænne sig til, at hver enkelt service, de tilbyder, skal have sin egen bilag A med oplysninger om den specifikke behandling af personoplysninger.
Samtidig må det antages, at mange dataansvarlige får svært ved at holde styr på, om en service, der købes samlet rent aftaleretligt, reelt skal adskilles rent databeskyttelsesretligt.
Det skal specificeres så meget som muligt, hvilke personoplysninger, der vil blive behandlet
Det vil således ikke være nok i bilag A at angive, at der behandles almindelige personoplysninger. Det skal fremgå direkte, hvad det er for personoplysninger, der behandles.
Du må ikke bare henvise til hovedaftalen
I bilag C skal du beskrive behandlingens genstand/instruks. Her er det ikke længere – som ofte set – nok at henvise til hovedaftalen.
Det må således antages, at mange it-serviceydere skal kunne beskrive deres service med en højere grad af præcision end i dag, herunder eksempelvis ved hjælp af en dataflowbeskrivelse eller en redegørelse for servicens sammensætning af behandlingsprocesser.
Det skal konkretiseres, hvordan databehandleren skal bistå
I bilag C, punkt C.3, skal det fremgå konkret, hvordan databehandleren skal bistå den dataansvarlige med overholdelse af de registreredes rettigheder. Det vil sige, at det ikke er nok, at det er angivet, at databehandleren skal bistå. Det skal fremgå, hvordan databehandleren skal bistå.
Det samme gælder databehandlerens bistand i forhold til anmeldelse, underretning, udarbejdelse af konsekvensanalyse samt høring af den kompetente tilsynsmyndighed.
Omfang og udstrækning af bistandsforpligtelsen skal overvejes og beskrives. Ikke alle bistandsforpligtelser vil være relevante i alle tilfælde, herunder for eksempel hvis der ikke skal udarbejdes en konsekvensanalyse.
Databehandleren skal med andre ord sætte sig ned og gennemtænke, hvordan man helt konkret vil arbejde med en anmodning om indsigt, en anmodning om sletning, en anmodning om dataportabilitet osv.
Det samme gælder for eksempel en brudsituation. Hvad gør databehandleren her for at hjælpe den dataansvarlige?
Herefter skal det beskrives i en procedure, hvordan databehandleren konkret reagerer i de enkelte situationer, hvorefter der kan henvises til denne procedure i punkt C.3.
Skal jeg have en revisionserklæring fra databehandleren?
Nej.
Det er ikke et krav, at databehandleren får udarbejdet en revisionserklæring fra et revisionshus efter eksempelvis ISAE 3000-standarden. Den dataansvarlige kan heller ikke kræve en sådan erklæring.
Den dataansvarlige skal i stedet forud for indgåelsen af Bestemmelserne i forlængelse af sin risikovurdering fastlægge, hvordan man vil føre tilsyn med databehandleren og eventuelt dennes underdatabehandlere.
Der er i øvrigt ikke noget nyt i denne aktive tilsynsforpligtelse. Den har været gældende også under persondataloven.
Den dataansvarlige skal have adgang til databehandlerens system ved revisioner, herunder inspektioner
Det er angivet som noget nyt, at den dataansvarlige som udgangspunkt skal have adgang til databehandlerens “systemer”.
Denne udvidelse af tilsynsretten følger direkte af Databeskyttelsesrådets udtalelse til Datatilsynet. Rådet mente således, at tilsynsretten skulle udvides (afsnit 46, side 14):
”Indeed, rights of the data controller in the framework of inspections and/or audit should not be limited to the facilities of the processor or sub-processors. The data controller should have access to the places where the processing is being carried out. This includes physical facilities as well as systems used for and related to the processing.”
Hvad der præcist ligger i dette, og hvordan det skal udspille sig i praksis, tør vi ikke gætte på, men der synes umiddelbart at være tale om en noget vidtgående adgang, der kan vise sig at være ubehagelig for databehandleren.
Det er dog formentlig ikke mange dataansvarlige, der vil gøre brug af retten, hvis det overhovedet lykkes at få databehandleren til at acceptere et vilkår om adgang til ”systemerne”.