Databehandleraftaler og de dataansvarlige: Aftalegrundlaget

GDPR: Aftaler med leverandører ved behandling af personoplysninger

Henning Mortensen

November 20, 2019

De fleste dataansvarlige bruger en række leverandører til at behandle personoplysninger for sig. Når det sker, er det centralt, at der er indgået databehandleraftaler mellem parterne, som sikrer, at behandlingen foregår på en lovlig måde. I denne artikel vil vi se på den del af aftalegrundlaget, som forordningen stiller krav til.

Dataansvarlige, databehandlere og fælles dataansvar

Det første forhold man skal tage stilling til, er hvilken konstruktion, der er mellem parterne. I henhold til forordningen er den, som bestemmer formålet med behandlingen af personoplysninger og midlerne til behandlingen, dataansvarlig. Den, som behandler personoplysninger under instruktion (på vegne af den dataansvarlige), er databehandler. Datatilsynet har ved flere lejligheder præciseret begreberne. Datatilsynet har bl.a. udtalt, at der skal lægges vægt på ydelsens karakter, når det bestemmes, om der er tale om en dataansvarlig/databehandler-konstruktion. Det vil sige, at der skal tages stilling til, hvorvidt instruksen faktisk er en instruks i at behandle personoplysninger, eller om det er en instruks i noget andet, hvor det evt. kunne ske, at der behandles personoplysninger.

Eksempel 1: et HR-system i skyen (cloud-løsning)
En organisation behandler personoplysninger i forbindelse med ansættelsesprocesser og ansættelsesforhold. Organisationen angiver, at formålet er personaleadministration og bestemmer, at dette skal ske i et cloudbaseret HR-system. Organisationen er dataansvarlig, fordi den har bestemt formålet og middel. Organisationen bestemmer, at cloudleverandøren skal registrere medarbejderens navn, titel, funktionel placering, løn, kontaktoplysninger m.v. til brug for lønadministration, organisationsdiagrammer med navne og titler m.v. Der foreligger altså en klar instruktion i at behandle personoplysninger om de ansatte. Leverandøren af tjenesten er derfor databehandler.

Eksempel 2: It-konsulent til HR-system
En organisation hyrer en it-konsulent til at lave et webinterface til det cloudbaserede HR-system, hvor medarbejderne selv kan indtaste oplysninger om f.eks. nærmeste pårørende eller nummerplader på deres bil, hvis de ønsker at parkere på organisationens arealer. Systemet skal altså eksplicit behandle personoplysninger, men der ligger ikke en konkret instruktion til it-konsulenten i at behandle personoplysninger. Instruktionen er at lave et system i form af et webinterface. Hvis it-konsulenten, i forbindelse med den ydelse (programmering) der leveres, kommer til at behandle personoplysninger, bliver vedkommende selvstændig dataansvarlig.

Ovenstående illustrerer, at der kan være tale om en dataansvarlig/databehandler-konstruktion og en konstruktion med to selvstændigt dataansvarlige. Der er imidlertid en tredje mulighed: Begge parter kan bestemme formål og midler i fællesskab. Denne tredje mulighed kaldes for fælles dataansvar, men vil ikke uddybes yderligere her.

Kontrakter og aftaler

Når to parter indgår aftaler med hinanden, vil der ofte foreligge en kontrakt. Kontrakten kan indeholde oplysninger om, hvilken ydelse, der indkøbes, til hvilken pris, i hvilken periode, med hvilken oppetid, tilgængelighed for et maksimalt antal brugere og endelig præcisere, hvad der falder inden- og uden for kontrakten.
Det er vigtigt at holde styr på disse kontrakter og styre deres indhold, så man ikke pludselig får en stor bøde for ikke at have et tilstrækkeligt antal licenser. Dette kaldes kontraktstyring. Der kan i tilknytning til kontrakten være forskellige bilag – f.eks. kontaktoplysninger, sikkerhedskrav eller fortrolighedsklausuler.
Hvis der er tale om en databehandlerkonstruktion, skal der desuden foreligge en databehandleraftale, som typisk vil have forrang for kontrakten. Aftalen skal udformes i henhold til kravene i persondataforordningen, og man kan evt. anvende Datatilsynets skabelon. Mindre organisationer må ofte tage til takke med den standarddatabehandleraftale, som leverandøren tilbyder.

Den lovlige databehandleraftale

For at være lovlig skal databehandleraftalen (kontrakten) som minimum indeholde følgende punkter:

En præcis beskrivelse af hvilke parter, som er omfattet af aftalen
En henvisning til det retlige grundlag, som aftalen har til hensigt at opfylde (særligt artikel 28, stk. 3 i persondataforordningen og evt. databeskyttelsesloven)
Relationerne mellem parterne: Hvem er dataansvarlig og hvem er databehandler?
Præcisering af, at databehandleren handler under instruks
Præcisering af oplysninger om behandlingen, herunder formål, typen af personoplysninger, kategorier af registrerede og varighed af behandling – evt. beskrevet detaljeret i et bilag
Præcisering af at databehandlerens medarbejdere er forpligtet til fortrolighed
Præcisering af at databehandleren implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger. Disse kan evt. yderligere præciseres i et bilag til databehandleraftalen
Præcisering af de omstændigheder der skal være opfyldt for at databehandleren kan anvende underdatabehandlere – evt. en konkret liste over underdatabehandlere i et bilag
Præcisering af omstændighederne for evt. overførsel til tredjelande – herunder fastlæggelse af retligt grundlag
Præcisering af hvordan databehandleren skal hjælpe den dataansvarlige med at opfylde de registreredes rettigheder – f.eks. oplysning, indsigt og sletning
Præcisering af at databehandleren uden ophør skal meddele evt. sikkerhedsbrud til den dataansvarlige, som så tager stilling til anmeldelse til tilsynsmyndigheden og evt. de registrerede
Præcisering af hjælp til evt. konsekvensanalyse og høring af tilsynsmyndigheden
Præcisering af hvad der skal ske med personoplysningerne, hvis aftalen mellem parterne ophører – f.eks. tilbagelevering eller sletning
Præcisering af omstændighederne for tilsyn og revision – herunder mulighederne for at den dataansvarlige kan påse, at aftalerne er overholdt
Eventuelle konsekvenser ved misligholdelse af aftalen
Præcisering af ikraftræden og ophør

Tilsyn med databehandlerne

Som det fremgår ovenfor, har den dataansvarlige ansvaret for behandlingerne, og det indebærer en pligt til at påse, at databehandleren efterlever de aftaler, der er indgået. Det er særlig vigtigt at have fokus på de sikkerhedsforanstaltninger, som parterne har aftalt, der skal tilvejebringes. Lovgivningen stiller krav om, at der gennemføres tilsyn, men ikke konkrete og detaljerede krav til grundighed, frekvens m.v.
Den dataansvarlige kan selv sørge for, at aftalen efterleves eller få en uafhængig tredjepart til at gøre det. Sidstnævnte option er ofte den eneste mulighed, når man har med større databehandlere at gøre, fordi det i sig selv ville være en sikkerhedsbrist at lukke mange kunder (dataansvarlige) ind i et datacenter.

Hvis man forlader sig på uafhængige parters evalueringer, f.eks. revisionserklæringer eller certificeringer, er det centralt, at man kontrollerer, at evalueringen dækker netop de behandlinger, som databehandleren foretager for den dataansvarlige (scope). De sikkerhedsforanstaltninger som konkret vælges af databehandleren (og den dataansvarlige), bør baseres på en konkret vurdering af risici. Det er i øvrigt databehandleren, som gennemfører tilsyn med sine under-databehandlere. Men det er den dataansvarlige, som har pligt til at sørge for, at databehandleren har gennemført disse tilsyn med under-databehandlerne, og at resultaterne har været tilfredsstillende.

Det er den dataansvarliges risikovurdering, som er afgørende for hvor ofte tilsynet skal foretages og hvor grundigt det skal være. Alt i alt vil tilsynene altså et meget langt stykke hen af vejen være en konkret vurdering.