Databehandlere

Sondringen mellem hvem der er dataansvarlig, og hvem der er databehandler er vigtig, fordi kravene til en dataansvarlig og en…

Sondringen mellem hvem der er dataansvarlig, og hvem der er databehandler er vigtig, fordi kravene til en dataansvarlig og en databehandler er forskellige. Den dataansvarlige defineres som den, der alene eller sammen med andre, afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. F.eks. er…
Tilsyn med databehandlere
Som dataansvarlig skal man føre tilsyn med sine databehandlere. Hvor omfattende og intensivt tilsynet skal være, afhænger af omfanget, typen og hvilken behandling af personoplysninger, der overlades til en databehandler. Datatilsynet har udarbejdet en vejledning med en enkel model for det obligatoriske tilsyn og en række tilhørende tilsynskoncepter. Vejledningen kan læses her. Vejledende model for hvor omfattende tilsyn, der skal føres Datatilsynets vejledning opstiller en enkel pointskala, hvor man som dataansvarlig gennem fire spørgsmål tildeles point ud fra forskellige parametre i forhold til hvor stor en risiko, behandlingen af personoplysninger udgør for den registrerede. Summen af disse point afgør, hvor ressourcekrævende et tilsyn man skal føre, og hvilket koncept for tilsyn man kan anvende.
  • Får man mellem 1-2 point, kan man vælge mellem koncept 1-6.
  • Får man mellem 3-4 point, kan man vælge mellem koncept 2-6.
  • Får man mellem 5-6 point, kan man vælge mellem koncept 3-6.
  • Får man mellem 7-10 point, kan man vælge mellem koncept 5-6.
Det første spørgsmål er, hvor mange registrerede personer, der overlades oplysninger om til databehandleren. Jo flere registrerede personer, desto større risiko for behandling af personoplysningerne i strid med persondatareglerne. Er der personoplysninger på under 1.000 registrerede opnår man 1 point. Er der mellem 1.000-10.000 registrerede opnår man 2 point. Er der over 10.000 registrerede opnår man 3 point. Det andet spørgsmål er, om der overlades følsomme personoplysninger til databehandleren. Er dette tilfældet, skal tilsynet intensiveres. Følsomme oplysninger er eksempelvis oplysninger om helbred eller politisk overbevisning. Hvis der behandles sådanne oplysninger, opnår man yderligere 3 point. Det tredje spørgsmål er, om der overlades fortrolige personoplysninger til databehandleren. Fortrolige personoplysninger er særligt beskyttelsesværdige oplysninger i form af oplysninger, der efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Der findes ingen entydig definition af, hvad der konkret udgør en fortrolig oplysning, men som dataansvarlig skal man ved vurderingen overveje om den konkrete oplysning vil være ubehagelig for den pågældende person at få offentliggjort. I tilfælde af at der behandles personoplysninger af denne type, bør tilsynet intensiveres, og man opnår derfor yderligere 2 point. Det fjerde og sidste spørgsmål er, om der overlades personoplysninger, som undergår en særlig form for behandling. En personoplysning er undergivet særlig behandling, når den går tæt på vedkommendes privatliv. Der findes ingen entydig definition af, hvornår en behandling i sig selv er indgribende. En særlig behandlingsform kan f.eks. være en behandling af lokationsdata med henblik på at kortlægge eller følge personens adfærd. Såfremt der behandles sådanne personoplysninger, opnår man yderligere 2 point. Når de fire ovennævnte spørgsmål er besvaret, lægges alle points sammen. Herefter er det muligt at vurdere hvilket koncept man bør benytte. Eksempel: Man har under 1.000 registrerede og har derved fået 1 point. Man har desuden behandling af følsomme oplysninger og opnår derfor yderligere 3 point. Man har ingen beskyttelsesværdige oplysninger og heller ingen særlig form for behandling. Den samlede score udgør herefter 4 point, hvilket betyder at man kan vælge mellem koncept 2-6. 6 vejledende tilsynskoncepter Den dataansvarlige kan føre tilsyn efter seks vejledende koncepter. Det bemærkes dog, at der ikke er noget til hinder for, at man skifter koncept eller skærper tilsynet ved f.eks. at lade koncepterne supplere hinanden. Det afgørende er, at man benytter et koncept, der som minimum passer med den pointscore man fik ved besvarelsen af spørgsmålene. Se ovenfor.
  • Koncept 1: Den dataansvarlige skal ikke gøre noget, medmindre denne bliver opmærksom på, at der er noget galt hos databehandleren. Mellem 1-2 point.
  • Koncept 2: Den dataansvarlige benytter en troværdig databehandler, og denne har bekræftet overfor den dataansvarlige, at alle krav i databehandleraftalen efterleves. I disse tilfælde er der ikke grund til at reagere, medmindre man bliver opmærksom på kritisable forhold. Mellem 1-4 point.
  • Koncept 3: Databehandleren giver årligt den dataansvarlige en skriftlig status på forhold, der er omfattet af databehandleraftalen, og andre relevante områder. Den dataansvarlige kan evt. spørge til oplevede sikkerhedsbrud. Mellem 1-6 point.
  • Koncept 4: Databehandleren har en relevant og opdateret certificering, eller følger et såkaldt adfærdskodeks, som er relevant for behandlingsaktiviteterne. Den dataansvarlige skal dog være opmærksom på at kravene til databehandleraftalen overholdes i certificeringen eller adfærdskodekset. Mellem 1-6 point.
  • Koncept 5: En uafhængig tredjepart har ført et dokumenteret tilsyn med databehandleren på et område, som også dækker virksomhedens behandlingsaktiviteter. Den dataansvarlige skal sikre sig, at tilsynet omhandler overholdelse af databehandleraftalen, at tilsynet dækker eventuelle særlige aftalte krav i databehandleraftalen, at tilsynet også har fokus på, om databehandleren sikrer efterlevelse af krav samt at tredjeparten er uafhængig. Mellem 1-10 point.
  • Koncept 6: Den dataansvarlige fører selv eller i samarbejde med andre et dokumenteret tilsyn med databehandleren. I disse tilfælde er det vigtigt, at den dataansvarlige er opmærksom på alle risici forbundet med databehandlingen. Mellem 1-10 point.
Hvad skal der føres tilsyn med Databehandleraftalen som er indgået mellem den dataansvarlige og databehandleren danner rammerne for, hvad den dataansvarlige skal føre tilsyn med. Databehandleraftalen skal overholde en række krav:
  • Databehandlerens medarbejdere, der behandler personoplysninger, skal have underskrevet en fortrolighedsaftale eller er underlagt en passende lovbestemt tavshedspligt.
  • Databehandleren skal iht. behandlingen gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger med fokus på risikoen for de registrerede samt gennemfører eventuelle særlige aftalte sikkerhedskrav.
  • Databehandleren må ikke gøre brug af en underdatabehandler uden den dataansvarliges godkendelse.
  • Databehandleren skal pålægge eventuelle underdatabehandlere samme forpligtelser som dem databehandleren selv er underlagt i databehandleraftalen mellem den dataansvarlige og databehandleren selv. Desuden skal databehandleren fører tilsyn med eventuelle underdatabehandlere.
  • Databehandleren skal så vidt muligt bistå den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, så den dataansvarlige kan opfylde sin forpligtelse til at besvare anmodninger om at udøve de registreredes rettigheder.
  • Databehandleren skal bistå den dataansvarlige f.eks. i forhold til sin forpligtelse til at anmelde brud på persondatasikkerheden til Datatilsynet.
  • Databehandleren skal slette eller tilbagelevere alle personoplysninger til den dataansvarlige, når databehandlerens service ophører.
  • Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i databehandleraftalen, til rådighed for den dataansvarlige.
Tilsynenes hyppighed Jo mere kritisk databehandlingen er for de registrerede personer, desto større er behovet for tilsyn. Datatilsynet har ikke udsendt et specifikt krav om, hvor ofte den dataansvarlige skal føre tilsyn. GLS-A anbefaler imidlertid at der føres tilsyn en gang årligt. Den dataansvarlige bør dog forholde sig til, at arbejdet med og virksomhedens brug af personoplysninger er dynamisk, og dermed også måden hvorpå personoplysningerne skal behandles. De til enhver tid gældende databehandleraftaler og tilsynet hermed skal afspejle de faktiske forhold i virksomheden.