Journalnummer: 2022-212-3470.
Resume
Region Midtjylland har rettet henvendelse til Datatilsynet med henblik på at få tilsynets vurdering af, hvorvidt en it-virksomhed, der leverer colocation, skal anses som en databehandler for den organisation, som ydelsen leveres til.
I sit svar til Region Midtjylland har Datatilsynet oplyst, at det er tilsynets vurdering, at en virksomhed, myndighed eller anden organisation, der leverer colocation, ikke skal anses som en databehandler for de organisationer, som ydelsen leveres til. Det gælder særligt, hvis leverandøren af colocation ikke har adgang til de personoplysninger, der behandles på de servere mv., som leverandøren opbevarer.
Det er Datatilsynet opfattelse, at levering af colocation først og fremmest drejer sig om levering af en anden ydelse end behandling af personoplysninger, navnlig fysiske faciliteter samt internet og strømforsyning. Der er dog blot tale om et udgangspunkt.
Datatilsynet har i sin besvarelse til Region Midtjylland peget på en række omstændigheder, der kan føre til, at virksomheden, der leverer colocation, alligevel skal anses som databehandler.
1. Henvendelsen
Region Midtjylland har den 17. februar 2022 henvendt sig til Datatilsynet med et spørgsmål om, hvorvidt colocation af servere, som benyttes til behandling af personoplysninger, indebærer, at leverandøren af colocation skal anses som databehandler for den pågældende behandling.
Region Midtjylland har tidligere den 5. november 2018 og igen den 10. februar 2021 henvendt sig til Datatilsynet med bl.a. ovenstående spørgsmål.
I den forbindelse oplyste Region Midtjylland, at colocation er en opbevaringsservice, som leveres af it-virksomheder. Regionen placerer egne servere i et serverskab hos en virksomhed, som leverer serverskabet. Hertil leverer virksomheden en række ydelser, som bl.a. omfatter (i) internetforbindelse til og fra regionens server, (ii) fysiske foranstaltninger for at sikre forsyningssikkerhed og beskytte mod fysiske og miljømæssige hændelser (bl.a. strømsvigt, vandskader og brand), og (iii) fysisk områdesikring (alarmer, låse mv.).
Ydelsen, som virksomheden leverer, har ikke til formål at behandle personoplysninger på vegne af regionen. Virksomheden er derimod ansvarlig for den fysiske sikkerhed.
2. Besvarelse
Databeskyttelsesforordningens artikel 4, nr. 2, definerer behandling som enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for.
Derudover fremgår det af bestemmelsens nr. 8, at en databehandler er en person eller organisation, der behandler personoplysninger på den dataansvarliges vegne.
Det er Datatilsynets overordnede vurdering, at en virksomhed, myndighed eller anden organisation, der leverer colocation, ikke skal anses som en databehandler for de organisationer, som ydelsen leveres til.
Denne vurdering forudsætter, at virksomheden, der leverer colocation, ikke har adgang til personoplysninger, der behandles på de servere mv., som virksomheden opbevarer. Det kan eksempelvis være tilfældet, hvor kunden har placeret egne servere, der er blevet tilsluttet strøm- og internetforbindelse, i et aflåst serverskab, som udelukkende kunden har adgang til.
Ydelsen består således efter Datatilsynets opfattelse ikke i behandling af personoplysninger på vegne af og efter instruks fra den virksomhed eller myndighed, som ydelsen leveres til.[1]
Levering af colocation drejer sig først og fremmest om levering af en anden ydelse end behandling af personoplysninger, navnlig fysiske faciliteter samt internet og strømforsyning, Derudover har virksomheden, der leverer colocation, som udgangspunkt ikke adgang til oplysningerne, der opbevares på serverne. Det vil sige, at ydelsen er af rent praktisk karakter.
Datatilsynet bemærker imidlertid, at der er tale om et udgangspunkt. En række omstændigheder kan føre til, at virksomheden, der leverer colocation, i et vist omfang skal anses som databehandler. Det kan være bl.a. være tilfældet, hvis:
- Virksomheden har adgang til personoplysningerne, f.eks. adgang til serverskabet, og kan tilgå de oplysninger, der behandles på serverne
- Virksomheden kan (og har eventuelt til opgave at) udskifte harddiske, hukommelse mv. på de servere, der opbevares
- Virksomheden kan (og har eventuelt til opgave at) flytte, genstarte eller på anden måde håndtere serverne, hvor oplysningerne behandles
- Virksomheden leverer yderligere ydelser end fysiske faciliteter samt strøm og internet
For så vidt angår punkt d) kan der eksempelvis være tale om ydelser i form af firewall, backup, redundans eller andre lignende sikkerhedsforanstaltninger, som indebærer behandling af personoplysninger. Det bemærkes i den forbindelse, at databehandlerydelsen i givet fald angår denne (tillægs)ydelse og ikke nødvendigvis selve leveringen af colocation.
I øvrigt bemærker Datatilsynet, at virksomheden, der leverer colocation, som udgangspunkt vil være den dataansvarlige for behandling af personoplysninger, der sker som led i de fysiske sikkerhedsforanstaltninger, som virksomheden har etableret. Det kan bl.a. omfatte registrering af besøgende, log af nøglebrikker, tv-overvågning mv.
Organisationer, der benytter colocation, er dog fortsat forpligtede – som den dataansvarlige – til at etablere passende behandlingssikkerhed, jf. databeskyttelsesforordningens artikel 32. Det indebærer, at organisationen skal have kendskab til de sikkerhedsforanstaltninger, som virksomheden, der leverer colocation, har etableret, og vurdere, om disse er tilstrækkelige i forhold til de risici, der er forbundet med den pågældende behandlingsaktivitet.
[1] Der henvises i den forbindelse til afsnit 3.1.1 i Datatilsynets vejledning om dataansvarlige og databehandlere, s. 7f., samt afsnit 5 i Det Europæiske Databeskyttelsesråds retningslinjer om begreberne dataansvarlig og databehandler, s. 28ff.