Journalnummer: 2013-323-0154
Kommune K rettede den 15. november 2013 henvendelse til Datatilsynet med en forespørgsel om aftaler med en IT-leverandør.
1. Resumé
I den anledning skal Datatilsynet understrege, at den dataansvarlige myndighed – i dette tilfælde Kommune K – har ansvaret for at personoplysninger behandles og beskyttes i overensstemmelse med persondataloven1 og sikkerhedsbekendtgørelsen2, uanset hvor data lagres.
Hvis der indgår oplysninger omfattet af anmeldelsespligten til Datatilsynet, skal såvel kapitel 1 og 2 som kapitel 3 i sikkerhedsbekendtgørelsen iagttages, herunder logningskravet i § 19.
Datatilsynet kan i øvrigt henvise til sin udtalelse af 6. juni 2012 om behandling af personoplysninger i cloud-løsningen Office 365 www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/behandling-af-personoplysninger-i-cloud-loesningen-office-365/.
2. Af den omtalte udtalelse fremgår bl.a. følgende om databehandlere:
”
3.4.2.2. Ad kravet om aftale og kontrol med databehandlere (pkt. 3)
3.4.2.2.1. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Det følger af persondatalovens § 42, stk. 2.
Endvidere fremgår det af sikkerhedsvejledningen § 7, stk. 1, at hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i sikkerhedsbekendtgørelsen ligeledes gælder for behandlingen ved databehandleren.
Hertil kommer, at det efter både persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7, stk. 1, kræves, at hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3.4.2.2.2. I tilfælde, hvor en dansk virksomhed er underlagt vilkår stillet af Datatilsynet i forbindelse med en tilladelse, har den dataansvarlige virksomhed også ansvaret for, at disse vilkår overholdes, uanset om der benyttes en databehandler inden for eller uden for Danmark. Det samme gælder for offentlige myndigheder, som tillige må sikre sig, at sikkerhedsbekendtgørelsen er opfyldt.
De danske dataansvarlige skal bl.a. være opmærksomme på, om der kan blive tale om anvendelse af underdatabehandlere. Når dette som ved Office 365 er tilfældet, skal dette også håndteres med databehandleraftaler.
Datatilsynet skal pege på, at man her vil kunne anvende den model, der er anvendt i Kommissionens standardkontrakt. Datatilsynet forudsætter herved, at samtlige elementer i standardkontrakten omhandlende ”underkontraherede registerførere” anvendes.8 Tilsynet skal i den forbindelse særligt pege på standardbestemmelse 5, litra j, hvoraf følger, at dataimportøren (Microsoft) straks skal sende dataeksportøren (kunden) et eksemplar af de udliciteringsaftaler (underdatabehandleraftaler), som han indgår i henhold til standardbestemmelserne.
Det må efter Datatilsynets umiddelbare opfattelse være op til den enkelte dataansvarlige virksomhed eller myndighed at beslutte, hvor bredt et mandat databehandleren skal have. Den dataansvarlige må således beslutte, om man ønsker at give et generelt forudgående samtykke eller et specifikt samtykke for hver ny underdatabehandler.9
Som understreget ovenfor i afsnit 3.1 godkender Datatilsynet ikke databehandleraftaler og skal ikke have sådanne forelagt. ”
…
”8 Datatilsynet har tidligere udtalt sig positivt om en sådan fremgangsmåde i sagen j.nr. 2010-321-0348
9 Jf. herved Artikel 29-gruppens WP 176 af 12. juli 2010 (‘FAQs in order to adress some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC’) “
3. Som dataansvarlig myndighed skal Kommune K endvidere leve op til persondatalovens § 27 om tredjelandsoverførsler. Læs mere her: www.datatilsynet.dk/offentlig/tredjelande/overfoersel-til-tredjelande/
Kommune K kan f.eks. anvende kommissionens standardkontrakt, f.eks. for brug af en databehandler i et tredjeland. Læs mere herom her: www.datatilsynet.dk/erhverv/tredjelande/kommissionens-standardkontrakter/
Artikel 29-gruppen har den 12. juli 2010 vedtaget en FAQ vedrørende en række spørgsmål til Kommissionens standardkontrakt.3
Det fremgår bl.a. heraf, at hvor databehandleren er etableret inden for EU/EØS og benytter underdatabehandlere i et tredjeland, er der følgende muligheder:
• Den dataansvarlige indgår standardkontrakter med hver databehandler (importør), der er etableret i et tredjeland, eller
• den dataansvarlige kan give fuldmagt til databehandleren inden for EU/EØS til at indgå aftaler med underdatabehandlerne på den dataansvarliges vegne, eller
• der kan anvendes ad-hoc kontrakter.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3 ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp176_en.pdf