Aftaler med leverandører ved behandling af personoplysninger

Aftaler med leverandører ved behandling af personoplysninger

De fleste dataansvarlige bruger en række leverandører til at behandle personoplysninger for sig. Når det sker, er det centralt at der er indgået aftaler mellem parterne, som sikrer, at behandlingen foregår på en lovlig måde. I denne artikel vil vi se på den del af aftalegrundlaget, som forordningen stiller krav til.

Dataansvarlig, databehandler og fælles dataansvar

Det første forhold man skal tage stilling til, er hvilken konstruktion der er mellem parterne. I henhold til forordningen er den, som bestemmer formålet med behandlingen af personoplysninger og midlerne til behandlingen, dataansvarlig. Den, som behandler personoplysninger under instruktion (på vegne af den dataansvarlige), er databehandler. Datatilsynet har ved flere lejligheder præciseret begreberne. Datatilsynet har bl.a. udtalt, at der skal lægges vægt på ydelsens karakter, når det bestemmes, om der er tale om en dataansvarlig/databehandler-konstruktion. Det vil sige, at der skal tages stilling til, om instruksen faktisk er en instruks i at behandle personoplysninger, eller om det er en instruks i noget andet, hvor det evt. kunne ske, at der behandles personoplysninger.

Eksempel 1: HR-system i clouden
En organisation behandler personoplysninger i forbindelse med ansættelsesforholdene. Organisationen fastsætter formålet personaleadministration og bestemmer, at dette skal ske i et HR-system i clouden. Organisationen er dataansvarlig, fordi den har bestemt formål og middel. Organisationen bestemmer, at cloudleverandøren skal registrere medarbejderens navn, titel, funktionel placering, løn, kontaktoplysninger m.v. til brug for lønadministration, organisationsdiagrammer med navne og titler m.v. Der foreligger altså en klar instruktion i at behandle personoplysninger om de ansatte. Leverandøren er derfor databehandler.

Eksempel 2: IT-konsulent til HR-system
En organisation hyrer en IT-konsulent til at lave et webinterface til HR-systemet i skyen, hvor medarbejderne selv kan indtaste oplysninger om f.eks. nærmeste pårørende eller nummerplader på deres bil, hvis de ønsker at parkere på organisationens arealer. Systemet skal altså eksplicit behandle personoplysninger, men der ligger ikke en konkret instruktion til IT-konsulenten i at behandle personoplysninger. Instruktionen er at lave et system i form af et webinterface. Hvis IT-konsulenten, i forbindelse med den ydelse (programmering) der leveres, kommer til at behandle personoplysninger, bliver IT-konsulenten selvstændig dataansvarlig.

Ovenstående illustrerer, at der kan være tale om en dataansvarlig/databehandler-konstruktion og en konstruktion med to selvstændigt dataansvarlige. Der er imidlertid en tredje mulighed: Begge parter kan bestemme formål og midler i fællesskab. Denne tredje mulighed kaldes for fælles dataansvar, og forfølges ikke yderligere her.

Kontrakter og aftaler

Når to parter indgår aftaler med hinanden, vil der ofte foreligge en kontrakt. Kontrakten kan indeholde oplysninger om hvilken ydelse, der indkøbes, til hvilken pris, i hvilken periode, med hvilken oppetid, tilgængelig for et maksimalt antal brugere og præcisere, hvad der falder indenfor og udenfor kontrakten. Det er vigtigt at holde styr på disse kontrakter og styre deres indhold, så man f.eks. ikke pludselig får en stor bøde, for ikke at have et tilstrækkeligt antal licenser. Dette kaldes kontraktstyring. Der kan i tilknytning til kontrakten være forskellige bilag – f.eks. kontaktoplysninger, sikkerhedskrav eller fortrolighedsklausuler.
Hvis der er tale om en databehandlerkonstruktion, skal der desuden foreligge en databehandleraftale, som typisk vil have forrang for kontrakten. Aftalen skal udformes i henhold til kravene i persondataforordningen, og man kan evt. anvende Datatilsynets skabelon. Mindre organisationer må ofte tage til takke med den standarddatabehandleraftale, som leverandøren tilbyder.

Den lovlige databehandleraftale

For at være lovlig skal databehandleraftalen som minimum indeholde følgende punkter:

  • En præcis beskrivelse af hvilke parter, som er omfattet af aftalen
  • En henvisning til det retlige grundlag, som aftalen har til hensigt at opfylde (særligt artikel 28, stk. 3 i persondataforordningen og evt. databeskyttelsesloven)
  • Relationerne mellem parterne: Hvem er dataansvarlig og hvem er databehandler?
  • Præcisering af at databehandleren handler under instruks
  • Præcisering af oplysninger om behandlingen, herunder formål, typen af personoplysninger, kategorier af registrerede og varighed af behandling – evt. beskrevet detaljeret i et bilag
  • Præcisering af at databehandlerens medarbejdere er forpligtet til fortrolighed
  • Præcisering af at databehandleren implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger. Disse kan evt. yderligere præciseres i et bilag til databehandleraftalen
  • Præcisering af de omstændigheder der skal være opfyldt for at databehandleren kan anvende underdatabehandlere – evt. en konkret liste over underdatabehandlere i et bilag
  • Præcisering af omstændighederne for evt. overførsel til tredjelande – herunder fastlæggelse af retligt grundlag
  • Præcisering af hvordan databehandleren skal hjælpe den dataansvarlige med at opfylde de registreredes rettigheder – f.eks. oplysning, indsigt og sletning
  • Præcisering af at databehandleren uden ophør skal meddele evt. sikkerhedsbrud til den dataansvarlige, som så tager stilling til anmeldelse til tilsynsmyndigheden og evt. de registrerede
  • Præcisering af hjælp til evt. konsekvensanalyse og høring af tilsynsmyndigheden
  • Præcisering af hvad der skal ske med personoplysningerne, hvis aftalen mellem parterne ophører – f.eks. tilbagelevering eller sletning
  • Præcisering af omstændighederne for tilsyn og revision – herunder mulighederne for at den dataansvarlige kan påse, at aftalerne er overholdt
  • Eventuelle konsekvenser ved misligholdelse af aftalen
  • Præcisering af ikraftræden og ophør

Tilsyn med databehandlerne

Som det fremgår ovenfor har den dataansvarlige ansvaret for behandlingerne, og det indebærer en pligt til at påse, at databehandleren efterlever de aftaler der er indgået. Det er særlig vigtigt at have fokus på de sikkerhedsforanstaltninger, som parterne har aftalt, der skal tilvejebringes. Lovgivningen stiller krav om at der gennemføres tilsyn, men ikke konkrete og detaljerede krav til grundighed, frekvens m.v.
Den dataansvarlige kan selv påse, at aftalen efterleves eller få en uafhængig tredjepart til at gøre det. Sidstnævnte option er ofte den eneste mulighed, når man har med større databehandlere at gøre, fordi det i sig selv ville være en sikkerhedsbrist at lukke mange kunder (dataansvarlige) ind i et datacenter.

Hvis man forlader sig på uafhængige parters evalueringer, f.eks. revisionserklæringer eller certificeringer, er det centralt, at man kontrollerer, at evalueringen dækker netop de behandlinger databehandleren foretager for den dataansvarlige (scope). De sikkerhedsforanstaltninger, som konkret vælges af databehandleren (og den dataansvarlige), bør baseres på en konkret vurdering af risici. Det er i øvrigt databehandleren, som gennemfører tilsyn med sine under-databehandlere. Men det er den dataansvarlige, som er pligtig til at tilse, at databehandleren har gennemført disse tilsyn med under-databehandlerne, og at resultaterne har været tilfredsstillende.

Det er den dataansvarliges risikovurdering, som er afgørende for hvor ofte tilsynet skal foretages og hvor grundigt det skal være. Alt i alt vil tilsynene altså et meget langt stykke hen af vejen være en konkret vurdering.

Links 

Datatilsynets vejledning om dataansvarlige og databehandlere:
https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf

Datatilsynets uddybende udtalelse om vikarer og konsulenter:
https://www.datatilsynet.dk/media/6939/dataansvar-vikarer-og-konsulenter.pdf

Datatilsynets skabelon for databehandleraftaler:
https://www.datatilsynet.dk/media/6815/standard-databehandleraftale.docx

Datatilsynets vejledende tekst om tilsyn med databehandlere:
https://www.datatilsynet.dk/media/6865/vejledende-tekst-om-tilsyn-med-databehandlere-og-underdatabehandlere.pdf 

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin