Vilkår i databehandleraftalen om overførsler af personoplysninger til tredjelande

Journalnummer: 2025-211-3556.

Resume

Som led i at gennemføre tilsyn med databehandlere for kommunerne, oplever Det fælleskommunale Databehandlersekretariat en tilbagevendende problemstilling om, hvornår vilkår i databehandleraftaler om at overføre oplysninger til tredjelande skal anses som instrukser i databeskyttelsesretlig forstand, og hvorvidt der skal iagttages et overførselsgrundlag i forordningens kapitel V.

Selvom Datatilsynet har forholdt sig til dele af problematikken i forbindelse med tilsynets udtalelse til KOMBIT om tilsigtede og utilsigtede overførsler til tredjelande, er der, ifølge sekretariatet, stadig en vis usikkerhed forbundet med de vilkår, der fremgår af databehandleraftaler ved brugen af cloudleverandører.

Set i forhold til Datatilsynets oprindelige brug af begrebet ”tilsigtet” eller ”utilsigtet”, der var tiltænkt at dække hele udfaldsrummet af mulige behandlinger, har Det Europæiske Databeskyttelsesråd (EDPB) i sin udtalelse 22/2024 om brugen af (under)databehandlere skabt et afgrænset område, der er hverken eller.

I praksis betyder det, at der ikke vil være tale om utilsigtede overførsler, medmindre man som dataansvarlig aktivt har instrueret databehandleren udtømmende i, hvilke overførsler der er accepteret eller ved at instruere om ikke at overføre oplysninger til tredjelande på baggrund af en uafgrænset og/eller uspecifik formulering.

- Datatilsynet har tidligere udtalt, at der ville være tale om en tilsigtet overførsel, allerede hvis det fremgik af databehandleraftalen, at databehandleren forbeholdt sig retten til at overføre oplysninger til tredjelande i særlige tilfælde, fortæller Kasper Folmar, specialkonsulent i Datatilsynet, og fortsætter:

- Det Europæiske Databeskyttelsesråd har siden nuanceret spørgsmålet om sådanne vilkår i databehandleraftalen. Med denne besvarelse har vi forsøgt at skabe klarhed over retstilstanden i lyset af EDPB’s udtalelse.

Besvarelse af forespørgsel

1. Henvendelsen

Det fælleskommunale Databehandlersekretariat (herefter DBS eller Sekretariatet) har på vegne af 74 kommuner henvendt til sig til Datatilsynet med en række spørgsmål, der relaterer sig til overførsel af personoplysninger til tredjelande ved brugen af cloudleverandører.

DBS har i sin henvendelse henvist til tilsynets udtalelse til KOMBIT om tilsigtede eller utilsigtede overførsler til tredjelande, hvor tilsynet til dels har forholdt sig til problematikken. DBS har oplyst, at der (stadig) er usikkerhed omkring fortolkningen af databeskyttelsesreglerne, når (under)databehandlere overfører oplysninger til tredjelande på vegne af kommunerne i rollen som dataansvarlig.

Sekretariatet har konkret oplistet følgende spørgsmål:

”[…]

Spørgsmål:

I aftalen mellem en databehandler og en cloudleverandør (underdatabehandler) fremkommer vilkår om, at der i særlige tilfælde vil kunne ske en overførsel af personoplysninger til tredjelande.

1. Vil der i et sådant tilfælde være tale om en tredjelandsoverførsel, når en databehandler har aftalt med en underdatabehandler, at der i forbindelse med behandlingen af personoplysninger i visse tilfælde vil kunne ske en overførsel til tredjelande?
2. Kan Datatilsynet be- eller afkræfte hvorvidt kravene i forbindelse med tredjelandsoverførsler skal iagttages, herunder angivelse af instruks og overførselsgrundlag i databehandleraftalen mellem dataansvarlig og databehandler, når det er aftalt med en underdatabehandler, at der i forbindelse med behandlingen i visse tilfælde vil kunne ske en overførsel af personoplysninger til tredjelande?
3. Kan en vurdering af sandsynligheden for risikoen for en potentiel overførsel af personoplysninger til tredjelande have betydning for, hvorvidt kravene i forbindelse med tredjelandsoverførsler skal iagttages?

Supplerende spørgsmål:

Herudover har vi et par supplerende spørgsmål til anvendelsen af skabelonen til databehandleraftale, som vi også kan se skaber usikkerhed, og fortolkes meget forskelligt, som vi håber Datatilsynet kan være behjælpelige med at afklare.

1. Til Bilag B, B.1: Hvordan er tabellen her tænkt udfyldt? Er det alle underdatabehandlere i databehandlerkæden, som skal fremgå af B.1, eller er det kun de direkte underdatabehandlere (1. led) til databehandleren, som skal fremgå af B.1?
2. Til Bilag C, C.5: Skal alle lokationer hvorfra der kan ske behandling af personoplysninger fremgå heraf, eller er det virksomhedsadresser på de virksomheder, som ejer lokationerne?
3. Hvor der er givet en generel godkendelse af underdatabehandlere, så skal der gives meddelelse til den dataansvarlige, når der sker ændringer af direkte underdatabehandlere (1. led). Skal der også gives meddelelse til den dataansvarlige, hvor der sker ændringer længere nede i kæden om ændringer?

[…]”

2. Besvarelse

Ad vilkår i databehandleraftalen om overførsler af oplysninger til tredjelande

En problemstilling opstår i den situation, hvor det fremgår af databehandleraftalen, at personoplysningerne som udgangspunkt behandles inden for EU/EØS, men hvor det samtidig følger af aftalen eller bilag hertil, at udgangspunktet kan fraviges i særlige tilfælde, idet der kan forekomme overførsler til tredjelande. Det kan fx være tilfældet, hvor det er nødvendigt for at leve op til lovgivningen eller en bindende afgørelse fra en offentlig myndighed i et tredjeland. Her består spørgsmålet navnlig i, om der vil være tale om en tilsigtet eller utilsigtet (Datatilsynets sprogbrug) overførsel til tredjelande, hvis undtagelsen bringes i spil. Sagt på en anden måde, om den dataansvarlige – som en del af de behandlingsscenarier vedkommende har tilladt databehandleren at udføre – har accepteret denne type af potentielle overførsler.

Datatilsynet har tidligere besvaret en henvendelse fra KOMBIT om netop denne problemstilling, der kort kan opsummeres således:

KOMBIT, der leverede it-systemet til Aula til landets kommuner, anmodede Datatilsynet om en udtalelse vedrørende spørgsmålet om, hvorvidt der vil være tale om en utilsigtet tredjelandsoverførsel, når det fremgår af databehandleraftalen, at databehandleren forbeholder sig ret til at udlevere personoplysninger på baggrund af afgørelser fra offentlige myndigheder, herunder i tredjelande.

KOMBIT oplyste, at der som udgangspunkt blev behandlet personoplysninger inden for EU/EØS, men at det fremgik af databehandleraftalen mellem underleverandørerne Netcompany og Amazon Web Services (AWS), at dette udgangspunkt kunne fraviges, hvis det var nødvendigt for at leve op til lovgivningen eller en bindende afgørelse fra en offentlig myndighed ”[…] except as necessary to comply with the law or binding order of a governmental body”.

Datatilsynet udtalte, at der ville være tale om en tilsigtet overførsel af personoplysninger til tredjelande for kommunernes vedkommende, hvis og i det omfang AWS måtte imødekomme en anmodning fra en offentlig myndighed i et tredjeland, der omfattede personoplysninger, som kommunerne var dataansvarlige for. Situationen stod således i modsætning til den situation, hvor en databehandler i strid med databehandleraftalen overfører personoplysninger til et eller flere tredjelande.

Datatilsynet lagde i den forbindelse vægt på, at kommunerne – i henhold til databehandleraftalen – herved instruerede AWS i at overføre personoplysninger til offentlige myndigheder i tredjelande, dog uden at være afgrænset til specifikke lande.

Det var på den baggrund Datatilsynets opfattelse, at kommunerne skulle sikre sig, at reglerne i databeskyttelsesforordningens kapitel V skulle iagttages, hvis eller når AWS i henhold til instruksen foretog sådanne overførsler.

Datatilsynet bemærkede, at denne situation således ikke skulle betragtes som et spørgsmål om passende behandlingssikkerhed efter databeskyttelsesforordningens artikel 32.^[1]

Det Europæiske Databeskyttelsesråd (EDPB) har siden præciseret, at en formulering som ”[…] unless required to do so by law or binding order of a governmental body”, eller tilsvarende, efter rådets opfattelse, ikke er tilstrækkelig specifik og afgrænset til at kunne kvalificere som en dokumenteret instruks om overførsler til tredjelande[2]. Det påhviler i den forbindelse den dataansvarlige at sikre sig, at kontrakten binder databehandleren til udelukkende at handle på en måde der er klar og forudsigelig for den dataansvarlige[3], hvilket i det samlede aftalegrundlag kræver klare (og lovlige) instrukser i databehandleraftalen.

I lyset af EDPB’s udtalelse, er der et udfaldsrum, hvor formuleringer i databehandleraftalen, der er for upræcise til at dække en specifik behandling af personoplysninger, ikke – som sådan – er udtryk for tilsigtede overførsler, hvis eller når de bringes i spil. Det kan være tilfældet, hvor en formulering ikke er afgrænset i forhold til hvilke tredjelandes lovgivning eller bindende afgørelser, der kan være tale om. Set i forhold til Datatilsynets oprindelige brug af det pædagogiske begreb ”tilsigtet” eller ”utilsigtet”, der var tiltænkt at dække hele udfaldsrummet af mulige behandlinger, har EDPBs udtalelse skabt et afgrænset område, der er hverken eller. Det vil i praksis sige, at der ikke vil være tale om utilsigtede overførsler, medmindre du som den dataansvarlige aktivt har instrueret databehandleren udtømmende i hvilke overførsler der er accepteret eller ved at instruere om ikke at overføre oplysninger på baggrund af en uafgrænset og/eller uspecifik formulering. Derfor opstår der i de situationer hvor der er en uklarhed i det aftalte – sådan som det er beskrevet ovenfor – en situation, hvor du som dataansvarlig potentielt kan ifalde et strafferetligt ansvar efter databeskyttelsesreglerne ved at have forholdt dig accepterende til den mulige ulovlige følge af en eller flere uspecifikke formuleringer (dolus eventualis). Dette kunne fx være overførsler til tredjelande uden et gyldigt overførselsgrundlag i forordningens kapitel V.

Som dataansvarlig er man – henset til hovedprincippet om ansvarlighed – med andre ord fortsat (og til enhver tid) ansvarlig for at iagttage databeskyttelsesreglerne, herunder kravene i databeskyttelsesforordningens kapitel V, hvis man indvilliger i at lade databehandleraftalen indeholde uklare formuleringer, der fører til fortolkningstvivl.[4]

Datatilsynet opfordrer derfor til, at man som dataansvarlig:

• nøje gennemgår databehandleraftalen for formuleringer, der er åbne for fortolkning,
• går i dialog med sin databehandler om, hvorvidt den eller de omhandlede formulering(er) skal udgøre en instruks eller ej, og i benægtende fald
• aktivt instruerer databehandleren i, at den omhandlede formulering ikke må føre til, at overførsler finder sted – alternativt sørge for at en sådan formulering udgår af kontrakten.[5]

Som det følger af databeskyttelsesforordningens artikel 28, stk. 3, litra a, kan databehandleren fravige den dataansvarliges instruks, og behandle oplysningerne til egne formål, hvis denne er forpligtet hertil på baggrund lovkrav i EU-retten eller medlemsstaternes nationale ret. Det kunne af EDPB’s udtalelse læses som om, at dette kan udvides til tilfælde, hvor det følger af lovgivningen i et tredjeland, hvor beskyttelsesniveauet i det væsentlige svarer til beskyttelsesniveauet inden for EU/EØS.^[6] Det er Datatilsynets opfattelse at denne modifikation af bestemmelsen, der i øvrigt ikke er omfattet af ordlyden i bestemmelsen eller konkrete afgørelser fra EU-Domstolen herom, har et meget begrænset anvendelsesområde. Datatilsynet skal indskærpe, dels at bevisbyrden og dokumentationsforpligtelsen for at det forholder sig sådan, påhviler den dataansvarlige, dels at det i de fleste praktiske tilfælde, netop ikke vil være et beskyttelsesniveau der i det væsentlige svarer til beskyttelsesniveauet i EU/EØS. Det skal kunne dokumenteres, at de kriterier der fremgår af EU-Domstolens praksis for vurderingen heraf, bl.a. overholdelsen af de 4 essentielle garantier[7] er påset iagttaget.

Det afgørende for, om man som dataansvarlig skal iagttage reglerne i databeskyttelsesforordningens kapitel V er de konkrete behandlingsaktiviteter, altså scenariet for overførslen, snarere end sandsynligheden for at en overførsel forekommer. Grundlæggende tillader databeskyttelsesforordningens artikel 44 – det generelle princip for overførsler – ikke en risikobaseret tilgang til spørgsmålet om den forudsætning, at der skal være et overførselsgrundlag for enhver behandling af personoplysninger der enten behandles eller tiltænkes behandlet efter en overførsel til tredjelande.

En databehandler må kun behandle personoplysninger, herunder overføre oplysningerne til tredjelande, i det omfang den dataansvarlige har givet instruktioner om det i databehandleraftalen, eller det er krævet ifølge EU-ret eller medlemsstaternes nationale ret.

Hvis en databehandler i EU/EØS også er etableret i et tredjeland, kan databehandleren dog i nogle tilfælde blive mødt af en anmodning fra myndighederne i et tredjeland om udlevering af personoplysninger, som databehandleren behandler for den dataansvarlige.

Hvis databehandleren vælger at overføre personoplysninger til tredjelandet i strid med databehandleraftalen, vil der være tale om en – for den dataansvarlige – utilsigtet overførsel, og det betyder, at databeskyttelsesforordningens regler om overførsel til tredjelande ikke finder anvendelse i forhold til den oprindelige dataansvarlige. Dette skyldes, at en databehandler, der handler i strid med den dataansvarliges dokumenterede instruks, skal betragtes som selvstændig dataansvarlig for den pågældende behandling, jf. databeskyttelsesforordningens artikel 28, stk. 10. Derfor vil en databehandler, der vælger at overføre oplysninger til et tredjeland i strid med den dataansvarliges instruks, fx for at imødekomme eksterritorial lovgivning i tredjelandet, skulle betragtes som selvstændig dataansvarlig for overførslen.[8]

Efter Datatilsynets opfattelse er problemstillingen derimod et spørgsmål om passende behandlingssikkerhed, hvor man som dataansvarlig bl.a. skal sikre, at personoplysninger ikke utilsigtet kommer til uvedkommendes kendskab.

Datatilsynet henviser i det hele til afsnit 3.6 i tilsynets vejledning om cloud.

Sker overførslen derimod i henhold til en (klar) instruks, der følger af databehandleraftalen eller det øvrige aftalegrundlag for behandlingen – uagtet at overførslerne kun vil forekomme i særlige eller sjældne tilfælde – vil der efter Datatilsynets opfattelse være tale om en tilsigtet (og derved påregnelig) overførsel. Det betyder, at kravene om overførsler til tredjelande i forordningens kapitel V skal iagttages. I modsat fald er det designede forløb af tiltænkte behandlingsaktiviteter ikke lovlig.[9]

Ad krav om oplistning af (under)databehandlere og angivelse af lokation for behandling af personoplysninger i databehandleraftalen

Det er Datatilsynets opfattelse, at man som dataansvarlig skal vide, hvilke underdatabehandlere, en eventuel databehandler gør brug af, idet den dataansvarlige i modsat fald ikke vil have mulighed for at kontrollere, om man i hele leverandørkæden overholder de databeskyttelsesretlige regler. Det er i sidste ende den dataansvarlige, der har ansvaret for behandlingen af personoplysninger hele vejen igennem leverandørkæden.

Datatilsynet kan i den forbindelse henvise til Datatilsynets vejledning om cloud^[10], hvoraf følgende bl.a. fremgår af vejledningens afsnit 3.2.1:

”Som nævnt er det et krav i databeskyttelsesforordningen, at du kun må benytte en databehandler, der kan stille de fornødne garantier for, at vedkommende vil overholde databeskyttelsesreglerne i forbindelse med sin behandling af oplysningerne. Denne pligt er ikke afgrænset til den første databehandler, du benytter. Foruden selve cloudleverandøren skal du således også sikre, at leverandørens eventuelle brug af underdatabehandlere vil ske på en sådan måde, at behandlingen overholder databeskyttelsesreglerne.

Grundtanken er, at den registreredes rettigheder og frihedsrettigheder skal nyde en tilsvarende beskyttelse hele vejen i leverandørkæden, og at beskyttelsesniveauet ikke sænkes som følge af, at behandlingen overlades til en underdatabehandler.

I praksis er det nærliggende, at cloudleverandøren har foretaget screeningen af eventuelle underdatabehandlere for at sikre, at disse også kan overholde databeskyttelsesreglerne. Resultaterne af disse screeninger skal dog være tilgængelige for dig som den dataansvarlige som en del af cloudleverandørens dokumentation eller kunne udleveres efter anmodning med henblik på, at du kan verificere disse screeninger.”

Databeskyttelsesforordningens artikel 28, stk. 3, udtrykker principperne om databehandleraftalen og det øvrige aftaleindhold, som er gældende for behandlingen af personoplysninger, og hvordan disse skal kodificere de rettigheder og pligter, der er mellem den dataansvarlige og databehandleren.

Det er Datatilsynets opfattelse, at artikel 28, stk. 3, litra d, tilsiger, at en oversigt over (under)databehandlere, der er tiltænkt at skulle behandle personoplysninger på den dataansvarliges vegne, skal inkluderes i det samlede retsgrundlag for behandlingen. Det fremgår imidlertid ikke direkte af databeskyttelsesforordningen, at samtlige underdatabehandlere skal oplistes i selve databehandleraftalen. Det kan også ske ved, at der i databehandleraftalen henvises til et tillæg til aftalen i form af en liste over de for aftaleforholdet relevante og godkendte underdatabehandlere.^[11] Det er imidlertid afgørende, at listen over underdatabehandlere – både på tidspunktet for aftaleindgåelsen, og ved evt. efterfølgende godkendelse af (under)databehandlere – er retvisende, vedvarende tilgængelig, og at listen ajourføres.

Datatilsynet skal i den forbindelse gøre opmærksom på, at en ”flydende” liste over (under)databehandlere, uden løbende inddragelse af den dataansvarlige, normalt ikke vil være i overensstemmelse med databeskyttelsesreglerne. Det skal navnlig ses i lyset af, at databehandleren ikke må gøre brug af en anden databehandler (underdatabehandler) uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige, og at databehandleren – i tilfælde af en generel skriftlig godkendelse – skal underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse imod sådanne ændringer, jf. databeskyttelsesforordningens artikel 28, stk. 2.

Datatilsynet bemærker afslutningsvis, at art. 28, stk. 3, litra h, efter tilsynets opfattelse, tilsiger, at databehandleraftalen skal indeholde oplysninger om lokationen for, hvor behandlingen af personoplysninger finder sted – særligt henset til de behandlinger, hvor det er nødvendigt at vide i hvilket land personoplysninger behandles. Alt dette for vurderingen af om oplysningerne kan behandles lovligt inden for rammerne af databeskyttelsesforordningens kapitel V. I den forbindelse vil det ikke altid være tilstrækkeligt alene at angive virksomhedsadressen, særligt hvis denne adresse ikke er udtryk for, hvor behandlingen af personoplysninger finder sted.[12]

[1]   Hele Datatilsynets udtalelse til KOMBIT kan læses på Datatilsynets hjemmeside.

[2]   Se databeskyttelsesforordningens artikel 28, stk. 3, litra a.

[3]   Se databeskyttelsesforordningens præambelbetragtning 81.

[4]   EDPB’s Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), pkt. 124.

[5]   Se også EDPB’s Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), pkt. 128.

[6]   EDPB’s Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), pkt. 126-132.

[7]   Se EU-Domstolens dom i sag C-311/18, Schrems 2, præmis 173-197.

[8]   Se EDPB’s guidelines 05/2021 on the interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR, eksempel 12.

[9]   Se hertil Datatilsynets skabelon for konsekvensanalyser om vurdering af lovligheden.

[10] Datatilsynets vejledning kan læses på Datatilsynets hjemmeside: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/cloud

[11] Se også EDPB’s vejledning 07/2020, version 2.1., pkt. 154-160.

[12] Se også EDPB’s vejledning 07/2020, version 2.1., pkt. 143, og EDPB’s udtalelse 22/2024 om brugen af (under)databehandlere, pkt. 51-55.