EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere

Dato: 09-10-2024

Det Europæiske Databeskyttelsesråd har vedtaget en udtalelse om de forpligtelser, der følger af databeskyttelsesforordningens artikel 28 om den dataansvarliges brug af (under)databehandlere, herunder om den dataansvarliges dokumentationsforpligtelse ved brug af (under)databehandlere.

På plenarmødet den 7.-8- oktober 2024 vedtog Det Europæiske Databeskyttelsesråd (EDPB) en udtalelse i medfør af databeskyttelsesforordningens artikel 64, stk. 2 om dataansvarliges forpligtelser ved brugen af databehandlere. Datatilsynet i Danmark har deltaget aktivt i arbejdet med udtalelsen, særligt fordi det var vigtigt for tilsynet, at der blev formuleret en klar fælles forståelse af reglerne omkring den dataansvarliges brug af databehandlere i komplekse services - og lige så vigtigt, at denne forståelse fremover vil blive håndhævet ens på tværs af de nationale tilsynsmyndigheder.

Anmodningen om udtalelsen blev fremsat af det danske datatilsyn i lyset af, at mange dataansvarlige – både i Danmark og i resten af Europa – i vidt omfang gør brug af databehandlere, herunder navnlig i forbindelse med brugen af cloudservices, hvor cloudleverandøren ofte benytter sig af en række underleverandører til brug for levering af sine services. Et af de områder, som mange dataansvarlige løbende oplever udfordringer med, er spørgsmålet om den dokumentation, som de dataansvarlige skal tilvejebringe for i sidste led at sikre overholdelsen af GDPR.

Det er derfor positivt, at der nu er kommet en fælleseuropæisk udtalelse på dette område.

EDPB’s udtalelse

I udtalelsen adresserer EDPB bl.a. spørgsmålet om, i hvilket omfang man som dataansvarlig skal kunne identificere alle sine databehandlere, og i hvilket omfang den dataansvarlige skal verificere og dokumentere, at underdatabehandlere faktisk bliver pålagt de samme databeskyttelsesforpligtelser som den første databehandler.

Udtalelsen adresserer også spørgsmålet om den dataansvarliges dokumentationsforpligtelse i den situation, hvor en databehandler inden for EU/EØS overfører personoplysninger til en (under)databehandler i et tredjeland.

Vil du vide mere?

Du kan læse udtalelsen fra EDPB her.