Den 27. maj 2011 inspicerede Datatilsynet dine aktiviteter med behandling af følsomme personoplysninger omfattet af en tilladelse fra tilsynet. Det kom da frem, at du benytter Dropbox til backup af dine klientjournaler. Som aftalt vender Datatilsynet hermed tilbage vedrørende din brug af Dropbox.
1. Anmeldelsen til Datatilsynet skal være retvisende
Hvis en virksomhed, som er omfattet af anmeldelsespligten til Datatilsynet, bruger en databehandler (som f.eks. Dropbox), skal det fremgå af virksomhedens anmeldelse. Se rubrik 1 i anmeldelsesblanketten. I din anmeldelse af 29. oktober 2010 (Datatilsynets j.nr. ) er ikke anført nogen databehandler.
Anmeldelsen til Datatilsynet indeholder også afkrydsningsfelter for ja eller nej til, om der påtænkes overført oplysninger til tredjelande. Se rubrik 6 i anmeldelsesblanketten. Når du benytter en databehandler som Dropbox, hvor databehandlingen evt. sker i USA eller andre lande uden for EU, skal du sætte kryds i ja. I din anmeldelse er der sat kryds i nej.
Hvis der sker ændringer efter, at man har indsendt anmeldelse til og fået tilladelse fra Datatilsynet, har man pligt til at meddele Datatilsynet dette. Dette fremgår både af persondatalovens § 511 og af anmeldelsesblanketten. Dette fremgår også af Datatilsynets brev af 29. november 2010 til dig med svar på din anmeldelse.
Ændringer til en anmeldelse kan fremsendes enten som en ændringsanmeldelse via Datatilsynets hjemmeside eller i et almindeligt brev eller pr. e-mail.
I dit tilfælde ses Datatilsynet ikke at have modtaget nogen ændringsanmeldelse eller besked fra dig om ændringerne, førend dette kom frem under inspektionen.
2. Væsentlige ændringer kræver Datatilsynets forudgående tilladelse
Når der ændres i de forhold, som er anmeldt til Datatilsynet, og som er omfattet af kravet om tilladelse efter persondatalovens § 50, stk. 1, nr. 1, skal Datatilsynets tilladelse indhentes. Ændringer af mindre væsentlig betydning skal alene anmeldes, og dette skal så ske senest fire uger efter iværksættelsen. Se nærmere i persondatalovens § 51.
Benyttelse af en databehandler som Dropbox, hvor behandlingen kan ske uden for EU, er efter Datatilsynets opfattelse ikke en ændring af mindre væsentlig betydning. Det skal derfor forelægges for Datatilsynet, som må vurdere, om ændringen kan tillades. Når der er tale om overførsel af følsomme personoplysninger til lande uden for EU, kræver dette i en række tilfælde også en tilladelse fra Datatilsynet efter persondatalovens § 50, stk. 2.
Ud fra de foreliggende oplysninger kan Datatilsynet ikke give tilladelse til din brug af Dropbox som databehandler og til overførsel af følsomme personoplysninger til lande uden for EU.
Datatilsynet har således ikke fået oplysninger om, hvordan det sikres, at databehandlingen sker under iagttagelse af persondataloven, jf. også de følgende afsnit.
3. Særlige krav i persondataloven ved overførsel af personoplysninger til lande uden for EU
Persondataloven indeholder særlige regler, som du skal leve op til, når du overfører personoplysninger til lande uden for EU. Se nærmere i lovens § 27.
Overførsel kan f.eks. ske til lande, som generelt betragtes som sikre, eller til en amerikansk virksomhed, som er omfattet af den såkaldte "Safe Harbor" ordning. Det er Dropbox så vidt vides ikke
Efter loven er det også en mulighed at overføre oplysninger med udtrykkeligt samtykke2 fra alle de personer, der overføres oplysninger om. Det skal være et samtykke, som lever op til persondatalovens krav. Det indebærer, at personen bl.a. skal vide, hvilke oplysninger der overføres, hvilken virksomhed der overføres til, hvilke tredjelande oplysningerne overføres til, og med hvilke formål. Hvis samtykket tilbagekaldes, må personens oplysninger ikke længere findes i usikre tredjelande. Samtykke er efter Datatilsynets umiddelbare opfattelse ikke en hensigtsmæssig løsning.
En mulighed er, at du benytter de standardkontrakter, som Europa-Kommissionen har udformet, og som indebærer en række forpligtelser for den udenlandske modtager af oplysningerne. I din situation vil det være kontrakten beregnet til overførsel til en databehandler. Der vedlægges en udskrift af Kommissionens beslutning med tilhørende kontraktsbestemmelser3.
Hvis du benytter Kommissionens standardkontrakt, skal du have Datatilsynets tilladelse efter persondatalovens § 27, stk. 4.
4. Skriftlig databehandleraftale ved overførsel til databehandler
Når en dataansvarlig overlader oplysninger til en databehandler, skal den dataansvarlige aktivt sikre sig, at persondatalovens krav om datasikkerhed iagttages.
Persondataloven indeholder bl.a. krav om, at der indgås en skriftlig aftale (en databehandleraftale) mellem den dataansvarlige og databehandleren om en sådan overladelse af personoplysninger, jf. persondatalovens § 42, stk. 2, 1. pkt.
Med databehandleraftalen skal du bl.a. sikre dig, at databehandleren kun behandler oplysningerne på dine vegne - efter instruks fra dig. Du skal i aftalen også sikre dig, at dine oplysninger hos databehandleren er beskyttet med de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, og at du har mulighed for at påse dette.
Hvis du bruger Kommissionens standardkontrakt til tredjelandsoverførsel, har du derved samtidig en databehandleraftale. I en sådan standardkontrakt beskrives sikkerhedsforanstaltningerne i et tillæg (tillæg 2), som er en integreret del af standardbestemmelserne og skal udfyldes og underskrives af parterne.
5. Afsluttende bemærkninger
Da din brug af Dropbox til behandling af personoplysninger ikke er lovlig uden tilladelse, er det Datatilsynets opfattelse, at du omgående må stoppe brugen af Dropbox til behandling af følsomme personoplysninger.
Hvis du ønsker at bruge Dropbox til behandlingen af følsomme personoplysninger i klientjournaler, er det nødvendigt, at du søger om Datatilsynets tilladelse hertil og samtidigt redegør for, hvordan du vil leve op til persondatalovens krav.
Du bedes derfor oplyse, om du påtænker at fortsætte med at benytte Dropbox til backup af dine klientjournaler.
Datatilsynet skal gøre opmærksom på, at du ikke er forpligtet til at udtale dig i sagen, idet du i givet fald kan risikere at afgive oplysninger om, at du har begået noget strafbart.
Hvis du vælger at udtale dig, skal Datatilsynet anmode om svar inden 3 uger fra dags dato. Såfremt tilsynet ikke har hørt fra dig inden 3 uger fra dags dato, tager tilsynet dette som udtryk for, at du ikke ønsker at udtale dig i sagen.
Datatilsynet skal for god ordens skyld oplyse, at dette brev vil blive offentliggjort på tilsynets hjemmeside som led i tilsynets aktiviteter med at informere om persondataloven og tilsynets praksis (retsinformation). I den forbindelse vil dit navn og adresse samt anmeldelsens journalnummer blive udeladt, så det ikke er muligt for udenforstående at vide, hvem sagen vedrører.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Frivilligt, specifikt og informeret samtykke, som til enhver tid kan tilbagekaldes
3 Materialet findes også her: ec.europa.eu/justice/policies/privacy/docs/modelcontracts/c_2010_593/c_2010_0593_da.doc