Svar fra Datatilsynet

Står det i databehandleraftalen, er det ikke utilsigtet

Dato: 05-04-2022

På baggrund af en konkret forespørgsel fra KOMBIT har Datatilsynet forholdt sig til, om der vil være tale om en utilsigtet tredjelandsoverførsel, når det fremgår af databehandleraftalen, at databehandleren forbeholder sig ret til at udlevere personoplysninger på baggrund af afgørelser fra offentlige myndigheder, herunder i tredjelande.

Kort efter udgivelsen af Datatilsynets vejledning om cloud henvendte KOMBIT sig til Datatilsynet med et konkret spørgsmål foranlediget af vejledningens afsnit om udlevering af oplysninger til myndigheder i tredjelande.

Konkret drejer det sig om, at KOMBIT – der leverer systemet Aula til de danske kommuner – benytter  Netcompany som underleverandør, som igen benytter Amazon Web Services (AWS) som underleverandør.

Ifølge KOMBIT behandles oplysningerne som udgangspunktet inden for EU/EØS, men det fremgår samtidig af databehandleraftalen mellem Netcompany og AWS, at dette kan fraviges, hvis det er nødvendigt for at leve op til lovgivningen eller en bindende afgørelse fra en offentlig myndighed. Spørgsmålet består i, om der – hvis AWS bringer undtagelsen i spil – er tale om en tilsigtet eller utilsigtet overførsel til tredjelande. Svaret er afgørende for, om kommunerne skal iagttage kravene om overførsler til tredjelande, eller om der er tale om et spørgsmål om passende behandlingssikkerhed.

Kort sagt vil der i Datatilsynets øjne være tale om en tilsigtet tredjelandsoverførsel. Derfor skal kommunerne sikre sig, at reglerne om overførsler til tredjelande overholdes, når eller hvis AWS foretager sådanne overførsler i henhold til den instruks, der fremgår af databehandleraftalen. Samtidig lægger Datatilsynet op til en videre dialog med KOMBIT om håndteringen af denne problemstilling.

Vil du vide mere?

Læs hele besvarelsen af KOMBITs forespørgsel her.

Læs Datatilsynets vejledning om cloud.

Læs Datatilsynets vejledning om overførsler til tredjelande.