Artikel

 

Opdateret praksis på læsning af databehandleraftaler

Artikel i forbindelse med udsendelse af nyhedsmail den 25. april 2024.

I sidste måned skrev vi om, hvordan Microsoft har været i modvind, og hvordan man bør forholde sig hertil.

Vores konsulenter har i mellemtiden set dybere ind i den europæiske tilsynsførende for databeskyttelse (EDPS) undersøgelse af Kommissionens brug af Microsoft 365 for at afklare, hvordan den offentliggjorte undersøgelse ellers kan påvirke måden, som vi arbejder med GDPR på.

I den forbindelse kan der udledes følgende 3 punkter, man som dataansvarlig bør sikre sig er til stede, når man indgår databehandleraftaler.

  1. Instruksen SKAL være tydelig. I den konkrete sag opleves det, at instruksen fra Kommissionen til Microsoft går i ring. Databehandleraftalen henviser til ordlyden i andre dokumenter, som er vage, og som igen henviser til ordlyden i nogle tredje dokumenter, og til sidst beskrives det, at disse dokumenter udgør tilsammen den endelige skriftlige instruks. Microsoft forsøgte løbende under dialogen med EDPS at komme med opdateringer til deres aftale med Kommissionen, som skulle præcisere den behandling, Microsoft laver for Kommissionen, men den blev fortsat vurderet til at være for vag. Det fremgår altså ikke af databehandleraftalen mellem Microsoft og Kommissionen, at Microsoft skal bearbejde metadata til konkrete formål, som er bestemt af den dataansvarlige.
  1. I forbindelse med at der gives en konkret instruks, skal der specificeres typer af personoplysninger, som benyttes til behandlingen – dette er ikke sket i forhold til hvilke typer af data, der er inkluderet i den metadata, som Microsoft behandler.

Det specificeres af EDPS – hvad en dataansvarlig er – og at denne også skal beslutte brugen af ”essentielle midler”. Sådanne essentielle midler inkluderer hvilke typer af personoplysninger, der behandles af hvem og hvor længe, hvorfor de essentielle midler er tæt forbundet med formålet. Og at dette hænger sammen med en vurdering af, hvorvidt databehandlingen er lovlig, nødvendig og proportionel.  Når de juridiske aftaler mellem den dataansvarlige og databehandleren derfor er uklare hvad angår typen af data, betragtes dette som en overtrædelse af forordningen.

  1. Herudover skal formålet med behandlingen af data også specificeres. Vær opmærksom på, at hvis data benyttes til databehandlerens eget formål, falder det uden for databehandleraftalen.

Formålet med al databehandling skal specificeres meget konkret således, at der ikke er tvivl herom, da begge parter og udefrakommende tredjeparter skal kunne forstå aftalen på ens måder.

EDPS påpeger, at fordi Kommissionen ikke har været præcis nok med at beslutte formål og midler til behandlingen af metadata, vil Microsoft blive dataansvarlig for denne behandling, da Microsoft i så fald beslutter midler og formål. EDPS mener også, at Kommissionen har overladt dette beslutningsforum til Microsoft. Dette er således i strid med kravene til en databehandler, da instruktionerne simpelthen ikke har været klare nok. En af grundene til at man har denne bestemmelse angående databehandleren og instruktionsbeføjelsen er, at databehandleren ikke må ”udfylde hullerne” i instruktionen – instruktionen skal komme klart fra den dataansvarlige.

Ovenstående er som sådan ikke nyt i dansk regi, da man kan finde samme retningslinjer i Datatilsynets Vejledning om cloud. Det er dog første gang, at vi ser en så gennemgribende udpensling af kravene til databehandleraftalernes indhold.

Det er vigtigt at huske på, at hvis man som dataansvarlig overlader data til en databehandler for at denne kan behandle data til egne formål, skal man iagttage følgende:

  1. a) Formålene, hvortil leverandøren ønsker at behandle personoplysningerne, må ikke være uforenelige med de formål, hvortil oplysningerne oprindeligt blev indsamlet af dig
  2. b) Du skal have et retligt grundlag for at videregive personoplysningerne til leverandøren til brug for dennes behandlingsaktiviteter (ligesom leverandøren også skal identificere et retligt grundlag for sin behandling)

Derudover skal du som den dataansvarlige, efter Datatilsynets opfattelse, til en vis grad påse, at modtageren, som personoplysninger videregives til, har et retligt grundlag for at behandle disse oplysninger.

Det kan være en god ide at gå sine databehandleraftaler efter igen, for at være sikker på, at de er præcise nok i forhold til ovenstående punkter.

Vores konsulenter står selvfølgelig klar til at assistere, hvis du ønsker hjælp til gennemgang af dine databehandleraftaler efter den nyeste praksis, som er beskrevet ovenfor.

Husk også at du kan anvende vores Tjekliste til databehandleraftaler, som ligger under Skabeloner inde i portalen.

Du kan læse hele undersøgelsen her: EDPS undersøgelse 2024 – klik her

Se Datatilsynets vejledning om cloud her 

Ja tak, jeg vil gerne modtage GapSolutions nyhedsmail

 

Ved at udfylde ovenstående formular og trykke “Tilmeld” afgiver du dit samtykke til at modtage direkte markedsføring fra GapSolutions A/S.

Se hvordan vi håndterer dine oplysninger i vores privatlivspolitik