Tilsyn med Skatteforvaltningens tilsyn med en databehandler

Dato: 15-12-2022
Afgørelse Offentlige myndigheder Ingen kritik Tilsyn / egendriftssag Databehandler Grundlæggende principper

Skatteforvaltningens tilsyn med en databehandler gav ikke anledning til kritik.

Journalnummer: 2021-421-0099

Resume

Datatilsynet har gennemført et skriftligt tilsyn med en af Gældsstyrelsens databehandlere. Udviklings – og Forenklingsstyrelsen (UFST), som henhører under Skatteforvaltningen, har oplyst til Datatilsynet, at Gældsstyrelsen er en del af Skatteforvaltningen, som er én samlet dataansvarlig. Herudover har UFST oplyst, at UFST varetager opgaven med at føre tilsyn med databehandlere.

Datatilsynet fandt ikke anledning til at tilsidesætte UFSTs vurdering af, at tilsynet med databehandleren i form af årlig indhentelse af revisionserklæringer efterfulgt af en gennemgang og opfølgning herpå, udgør et passende tilsyn med databehandleren.

Det fremgår desuden af Datatilsynets vejledning om tilsyn med databehandlere, at et tilsyn baseret på en erklæring udarbejdet af en uafhængig tredjepart er en måde, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandleren behandler følsomme eller fortrolige oplysninger om mange registrerede på vegne af den dataansvarlige.

Afgørelse

1. Skriftligt tilsyn med Gældsstyrelsens tilsyn med databehandlere

Gældsstyrelsen var blandt de myndigheder, som Datatilsynet i efteråret 2021 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Gældsstyrelsens tilsyn med databehandlere.

Ved brev af 9. november 2021 varslede Datatilsynet tilsynet med Gældsstyrelsen. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over databehandlere, som Gældsstyrelsen overlader følsomme og/eller fortrolige oplysninger til.

Ved brev af 30. november 2021 oplyste Udvikling- og Forenklingsstyrelsen (herefter UFST), at Gældsstyrelsen og Udviklings- og Forenklingsstyrelsen er en del af Skatteforvaltningen, som er én samlet dataansvarlig. Det fremgår af brevet, at det er UFST’s vurdering, at nogle af databehandleraftalerne indgået af det tidligere SKAT samt Implementeringscenter for Inddrivelse eller Skatteforvaltningen kunne være af relevans for tilsynet.

Datatilsynet oplyste ved e-mail af 22. februar 2022, at tilsynet havde forstået henvendelsen fra UFST således, at Skatteforvaltningen er dataansvarlig for den behandling af personoplysninger, der sker hos Gældsstyrelsen. Datatilsynet bad derfor om en liste over databehandlere hos Skatteforvaltningen, som vedrører Gældsstyrelsen, og hvor der overlades følsomme og/eller fortrolige oplysninger.

Gældsstyrelsen fremkom den 14. juli 2022 med en liste over styrelsens databehandlere.

På baggrund af listen valgte Datatilsynet at foretage kontrol af Gældsstyrelsens tilsyn med styrelsens databehandler Netcompany.

Datatilsynet anmodede den 15. juli 2022 Gældsstyrelsen om at oplyse, om:

  • styrelsens plan for dets tilsyn med Netcompany, herunder overvejelser om hyppighed og hvad der bliver ført tilsyn med
  • hvorvidt styrelsen har ført tilsyn med Netcompany
  • hvordan styrelsen har fulgt op på eventuelle gennemførte tilsyn med Netcompany.

UFST har ved brev af 26. august 2022 oplyst, at UFST (der er en styrelse i Skatteforvaltningen) varetager opgaven med at føre tilsyn med overholdelsen af databehandleraftaler på Skatteforvaltningens område, hvorfor UFST har svaret på Datatilsynets brev.

UFST fremsendte på den baggrund den 26. august 2022 en udtalelse i sagen.

2. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte UFTSTs vurdering af, at tilsynet med databehandleren Netcompany er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

3. Sagsfremstilling

Gældsstyrelsen har ved brev af 14. juli 2022 oplyst, at styrelsen er restanceinddrivelsesmyndighed for en lang række offentlige fordringshavere. Til inddrivelse anvendes to programmer. Det ene system, DMI, står over for udfasning i takt med, at fordringshavere og fordringer flyttes over i det andet system, PSRM.

Til systemet PSRM er der tilknyttet databehandleren Netcompany. Formålet med behandlingen af personoplysningerne er overordnet set at levere og drive inddrivelsessystemet. Gældsstyrelsen overlader følgende oplysninger til Netcompany:

  • navn, adresse og personnummer
  • oplysninger om børn og civilstatus
  • indkomstforhold, herunder oplysninger om løn, kapitalindkomst, aktiver, private gældsforhold og renter samt offentlige overførsler
  • restskatteforhold, familieydelse eller andre beløb, der potentielt kan modregnes i gældsforholdets karakter, herunder om gælden er relateret til et strafbart forhold (bøder eller sagsomkostninger)
  • alle betalinger og manglende betalinger på gælden
  • oplysninger om fælles gæld og hæftelsesforhold
  • oplysning om rykkere og andre inddrivelsesskridt, der har været iværksat over for skyldnere
  • transportaftaler med private kreditorer
  • oplysninger om helbredsforhold, herunder fx oplysninger om medicinforbrug

Oplysningerne vedrører hovedsageligt skyldnerne og fordringshavere. Derudover bliver der behandlet oplysninger om skyldnernes ægtefælle, børn, værger, advokater m.fl.

Gældsstyrelsen har oplyst, at Netcompany på vegne af Gældsstyrelsen foretager følgende behandlinger af personoplysninger: Indsamling, registrering, systematisering, opbevaring, ændring, søgning, brug, videregivelse, overladelse, profilering, sammenstilling eller samkøring, herunder i kontroløjemed, sletning samt blokering eller tilintetgørelse.

UFST har ved brev af 26. august 2022 oplyst, at UFST i Skatteforvaltningen varetager opgaven med at føre tilsyn med overholdelsen af databehandleraftaler, hvorfor UFST har svaret på Datatilsynets brev.

UFST har oplyst, at styrelsen årligt gennemfører en proces for tilsyn med databehandlere. Vurderingen af, hvorvidt der føres tilsyn med den enkelte databehandleraftale, tager udgangspunkt i risikoen for de registrerede, og UFST har derudover identificeret nogle store og betydelige leverandører, som styrelsen har valgt at føre tilsyn med hvert år. Netcompany er én af dem. Tilsynet omfatter en vurdering af leverandørens overholdelse af databehandleraftalen.

Herudover har UFST oplyst, at der er ført tilsyn med Netcompanys overholdelse af databehandleraftalen i 2021. Tilsynet er sket på baggrund af to revisionserklæringer, henholdsvis en generel ISAE3000 erklæring og en specifik ISAE3402 erklæring.

UFST har efter at have gennemgået de to revisionserklæringer stillet Netcompany nogle opfølgende spørgsmål, som Netcompany har besvaret tilfredsstillende. Tilsynet er herefter afsluttet den 1. juli 2022.

4. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 28, stk. 1, at en dataansvarlig udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Af databeskyttelsesforordningens artikel 24, stk. 1, fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Den dataansvarlige skal således være i stand til at påvise, at databehandleren giver tilstrækkelige garantier for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. Denne påvisning skal kunne foretages i hele behandlingsforløbet over tid, hvilket bl.a. kan ske ved kontroller.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”).

Endvidere følger det af forordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).

Herudover følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes.

Artikel 5, stk. 2, indeholder et ansvarlighedsprincip, som – efter Datatilsynet opfattelse – betyder, at den dataansvarlige skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål, og at oplysningerne behandles på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – også når den dataansvarlige beder en anden part (en databehandler eller underdatabehandler) om at behandle oplysningerne på sine vegne.

Manglende opfølgning på den behandling af personoplysninger, der sker hos databehandlere og underdatabehandlere, vil – efter Datatilsynets opfattelse – som udgangspunkt betyde, at den dataansvarlige ikke kan sikre eller påvise behandlingens overholdelse af de generelle principper for behandling af personoplysninger, herunder at oplysningerne behandles på en lovlig, rimelig og gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«), samt at oplysningerne behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Datatilsynet offentliggjorde i oktober 2021 en ny, praktisk anvendelig vejledning om, hvordan de dataansvarlige kan føre sådanne tilsyn[3]. Det fremgår af vejledningen, at jo større risici der er for de registrerede ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren. Dette gælder både i forhold til, hvordan den dataansvarlige skal føre tilsyn, og hvor ofte det skal ske.

Det fremgår videre af vejledningen, at et tilsyn baseret på en erklæring udarbejdet af en uafhængig tredjepart er en måde, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandleren behandler følsomme og fortrolige oplysninger om mange registrerede på vegne af den dataansvarlige.

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte UFSTs vurdering af, at tilsynet med databehandleren Netcompany er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Datatilsynet har herved lagt vægt på, at UFST årligt fører tilsyn med Netcompany, og at tilsynet omfatter en vurdering af Netcompanys overholdelse af databehandleraftalen.

Datatilsynet har endvidere lagt vægt på, at UFST har ført tilsyn med Netcompany ved at indhente en ISAE3000 erklæring og en ISAE3402 erklæring, at UFST har gennemgået erklæringerne og fulgt op med nogle opfølgende spørgsmål, og at UFST herefter har forholdt sig til svarene.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] https://www.datatilsynet.dk/Media/637710957381234368/Datatilsynet_Vejledning%20om%20tilsyn%20med%20databehandlere_oktober-2021.pdf