Alvorlig kritik: underdatabehandler afviste at udlevere oplysninger til den dataansvarlige

Dato: 07-02-2022

Datatilsynet udtaler alvorlig kritik af, at en (under)databehandler afviste at tilbagelevere en række kundeoplysninger til den dataansvarlige.

Journalnummer: 2022-431-0167

Resumé

En dataansvarlig klagede over, at deres tidligere underleverandør af et it-system ikke ville tilbagelevere den dataansvarliges kundeoplysninger.

På baggrund af klagen indledte Datatilsynet en sag af egen drift over for virksomhedens tidligere it-leverandør (i sagen omtalt som virksomhedens underdatabehandler).

I afgørelsen har tilsynet udtalt alvorlig kritik, udstedt påbud om tilbagelevering af den dataansvarliges kundeoplysninger samt udstedt et forbud mod at behandle de omtalte kundeoplysninger, medmindre behandlingen sker efter den dataansvarliges instruks.

De faktiske forhold var afgørende

Af sagen fremgår det, at der var indgået en databehandleraftale mellem underdatabehandleren og databehandleren, hvori databehandleren var anført som dataansvarlig over for underdatabehandleren (og således ikke den oprindelige dataansvarlige).
Underdatabehandleren afviste – med henvisning til denne aftale – at have handlet i strid med databeskyttelsesforordningen, ved ikke at imødekomme den dataansvarliges krav om udlevering af data. De anførte, at de som forhandlerens underdatabehandler ikke var underlagt den dataansvarliges direkte instruktionsbeføjelse, hvorfor den oprindelige dataansvarlige ikke kunne instruere dem i at tilbagelevere kundeoplysningerne.

Datatilsynet fandt i sagen frem til, at de nævnte kundeoplysninger både af databehandleren og underdatabehandleren de facto blev behandlet på vegne den oprindelige dataansvarlige. Derfor kunne det forhold, at underdatabehandleren og databehandleren havde indgået en databehandleraftale, hvori databehandleren anført som værende dataansvarlig, ikke føre et andet resultalt.

I den sammenhæng bemærkede Datatilsynet, at underdatabehandleren selv havde fastlagt formålet med opbevaringen ved ikke at imødekomme den dataansvarliges anmodning om at tilbagelevering af de omtalte kundedata og derved også blev selvstændig dataansvarlig for den fortsatte opbevaring af kundeoplysningerne.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at databehandler b’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 6, stk. 1, artikel 9, stk. 2, og databeskyttelseslovens § 11, stk. 2, jf. databeskyttelsesforordningens artikel 28, stk. 10.

Samtidig finder Datatilsynet, at der er grundlag for at meddele databehandler b påbud om at udlevere den dataansvarliges kundedata. Datatilsynet meddeler endvidere databehandler b et forbud mod at behandle den dataansvarliges kundedata efter, at disse er udleveret til den dataansvarlige, medmindre behandlingen sker efter instruks fra den dataansvarlige. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. Forbuddet mod behandling meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f.

Ifølge databeskyttelseslovens[2]  § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et forbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2.

Fristen for efterlevelse af påbuddet er den 21. februar 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at den dataansvarlige i perioden fra 2017 til 2019 anvendte databehandler a som leverandør og databehandler af et IT-system, der skulle opbevare den dataansvarliges kundedata, herunder at der skulle ske behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 6, stk. 1, artikel 9, stk. 2, samt databeskyttelseslovens § 11, stk. 2.

Det fremgår videre af sagen, at databehandler a anvendte databehandler b som underdatabehandler i forbindelse med it-systemet.

Endelig følger det af sagen, at databehandler a opsagde sin aftale med databehandler b den 19. november 2019.

2.1. Den dataansvarliges bemærkninger

Den dataansvarlige har overordnet anført, at den dataansvarlige i oktober 2019 – da databehandler a lavede sit eget journalsystem – flyttede med over på databehandler a’s journalsystem.

Den dataansvarlige har videre anført, at den dataansvarlige, i samme forbindelse, anmodede databehandler b om at få udleveret den dataansvarliges kundedata, men at databehandler b ikke ønskede at tilbagelevere den dataansvarliges kundedata i et læsbart format uden betaling.

Derudover fremgår det af den databehandleraftale, som den dataansvarlige har fremsendt til Datatilsynet, at databehandler a er databehandler på vegne af den dataansvarlige.

Med hensyn til brugen af underdatabehandlere fremgår følgende af aftalens punkt 4.2:

”Databehandleren skal forinden brug af en underdatabehandler indgå en skriftlig aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges de samme forpligtelser, som databehandleren har påtaget sig ved denne aftale, herunder pligten at gennemføre passende tekniske og organisatoriske foranstaltning til sikring af, at behandlingen opfylder kravene i persondataforordningen.”

2.2.Databehandler b’s bemærkninger

Databehandler b har overordnet anført, at databehandler b ikke ønsker at udlevere den dataansvarliges kundedata, idet databehandler b ikke har nogen kontraktuel relation til den dataansvarlige.  

Derudover fremgår det af den databehandleraftale, som databehandler b har fremsendt til Datatilsynet, at databehandler b er databehandler på vegne af databehandler a, der i denne sammenhæng er angivet som dataansvarlig.

Databehandler b har videre anført, at udlevering af data direkte til den dataansvarlige – uden om den forhandler, der over for den dataansvarlige er ansvarlig for leverancen af [udeladt systemnavn] system – udgør en betalbar ydelse.

Databehandler b har desuden anført, at databehandler b ikke har handlet i strid med databeskyttelsesforordningens regler ved ikke at imødekomme den dataansvarliges krav om udlevering af data, idet databehandler b som forhandlerens underdatabehandler ikke er underlagt den dataansvarliges direkte instruktionsbeføjelse, hvorfor den dataansvarlige ikke har mulighed for selv at instruere databehandler b i at tilbagelevere den dataansvarliges data.

Databehandler b har videre anført, at ændringer i instruksen skal ske via databehandler c, som har fået overdraget kundeforholdet med den dataansvarlige fra databehandler a.

3. Begrundelse for Datatilsynets afgørelse

3.1. Databeskyttelsesforordningens artikel 4, nr. 7

Datatilsynet lægger – på baggrund af det af databehandlere b og den dataansvarlige oplyste – til grund, at X er dataansvarlig og, at databehandler b er underdatabehandler.

Databeskyttelsesforordningens artikel 4, nr. 7, definerer den dataansvarlige som den, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

Den behandling af personoplysninger, der sker i denne sag, er en opbevaring af oplysninger om den dataansvarliges kunder. Det er tilsynets vurdering, at opbevaringen af den dataansvarliges kundedata alene er sket til den dataansvarliges formål.

Det er Datatilsynets opfattelse, at det afgørende for vurderingen af, hvem der er dataansvarlig eller databehandler, er de faktiske omstændigheder og ikke, hvad der måtte være aftalt kontraktuelt mellem to databehandlere.

Det forhold, at databehandler b og databehandler a har indgået en databehandleraftale, hvori databehandler a er anført som værende dataansvarlig kan derfor ikke føre til, at databehandler a bliver dataansvarlig, idet databehandler a og underdatabehandler b de facto behandler oplysningerne på vegne af den dataansvarlige og til den dataansvarliges formål.

3.2. Databeskyttelsesforordningens artikel 28

En databehandler må alene behandle personoplysninger efter den dataansvarliges instruks.

En databehandler anses for at være selvstændig dataansvarlig for en behandling, hvis denne går ud over den givne instruks, og databehandleren selv fastlægger formål og hjælpemidler jf. databeskyttelsesforordningens artikel 28, stk. 10.

Det er endvidere Datatilsynets vurdering, at to databehandlere ikke indbyrdes kan aftale sig ud af den instruks, den oprindelige dataansvarlige har givet.

Den dataansvarlige har i sagen anmodet databehandler b om at få tilbageleveret sine kundedata. Denne anmodning har databehandler b ikke imødekommet under henvisning til, at databehandler b som forhandlerens underdatabehandler ikke er underlagt den dataansvarliges direkte instruktionsbeføjelse.

Det er Datatilsynets opfattelse, at en databehandler (herunder en underdatabehandler) kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.

Videre er det tilsynets opfattelse, at en databehandler der handler uden for den dataansvarliges instruks, bliver selvstændigt dataansvarlig for behandlingen.

Datatilsynet finder således, at databehandler b som underdatabehandler – ved ikke at imødekomme den dataansvarliges anmodning om at tilbagelevere X’s kundedata – selv har fastlagt formålet med behandlingen og derved også er selvstændig dataansvarlig for den fortsatte opbevaring af X’s kundeoplysninger.

I forlængelse heraf finder Datatilsynet, at databehandler b’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1, artikel 9, stk. 2, og databeskyttelseslovens § 11, stk. 2, jf. databeskyttelsesforordningens artikel 28, stk. 10.

3.3. Sammenfatning

Datatilsynet finder på baggrund af ovenstående grundlag for at udtale alvorlig kritik af, at databehandler b’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1, artikel 9, stk. 2, og databeskyttelseslovens § 11, stk. 2, jf. databeskyttelsesforordningens artikel 28, stk. 10.

Datatilsynet finder endelig, at der er grundlag for at meddele databehandler b påbud om at udlevere den dataansvarliges kundedata. Datatilsynet meddeler desuden databehandler b et forbud mod at behandle den dataansvarliges kundedata efter, at databehandler b har udleveret den dataansvarliges kundedata. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. Forbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).