Artikel

Artikel i forbindelse med udsendelse af nyhedsmail onsdag den 23. oktober 2024

Det Europæiske Databeskyttelsesråd (EDPB) har i starten af oktober vedtaget en udtalelse om visse forpligtelser, som følge af afhængigheden af ​​databehandler(e) og underdatabehandler(e) i henhold til en art. 64, stk. 2, GDPR-anmodning fra det danske Datatilsynet (DPA). GDPR art. 64(2) GDPR giver enhver databeskyttelsesmyndighed mulighed for at anmode EDBP om at afgive en udtalelse om spørgsmål, der har generel anvendelse eller har virkninger i mere end én medlemsstat.

Udtalelsen handler om situationer, hvor dataansvarlige er afhængige af en eller flere databehandlere og underdatabehandlere. Den behandler især otte spørgsmål om fortolkningen af ​​visse pligter for den dataansvarlige, der er afhængige af databehandlere og underdatabehandlere, samt ordlyden af ​​kontrakter om dataansvarlige-databehandlere, der især følger af art. 28 GDPR.

Udtalelsen forklarer, at den dataansvarlige til enhver tid bør have oplysningerne om identiteten (dvs. navn, adresse, kontaktperson) på alle databehandlere, underdatabehandlere etc. let tilgængelige, således at man bedst muligt kan opfylde forpligtelserne i henhold til art. 28 GDPR.

Desuden gælder den dataansvarliges forpligtelse til at kontrollere, om (under)databehandlerne fremlægger “tilstrækkelige garantier” uanset risikoen for de registreredes rettigheder og friheder, selvom omfanget af en sådan verifikation kan variere, især på grundlag af risiciene forbundet med behandlingen.

Udtalelsen fastslår også, at mens den oprindelige databehandler bør sikre, at den foreslår underdatabehandlere med tilstrækkelige garantier, forbliver den endelige beslutning og ansvaret for at ansætte en specifik underdatabehandler hos den dataansvarlige.

EDPB vurderer dog, at den dataansvarlige i henhold til GDPR ikke har pligt til systematisk at bede om underbehandlingskontrakterne for at kontrollere, om databeskyttelsesforpligtelser er blevet videregivet gennem behandlingskæden. Den dataansvarlige bør vurdere, om det er nødvendigt at anmode om en kopi af sådanne kontrakter eller gennemgå dem for at kunne påvise overholdelse af GDPR.

Når overførsler af personoplysninger uden for Det EØS finder sted mellem to (under)behandlere, bør databehandleren som dataeksportør desuden udarbejde den relevante dokumentation, såsom vedrørende den anvendte overførselsgrund, overførslens konsekvensvurdering og de mulige supplerende foranstaltninger. Men da den dataansvarlige stadig er underlagt de pligter, der følger af art. 28(1) GDPR om ‘tilstrækkelige garantier’, udover dem i art. 44 for at sikre, at beskyttelsesniveauet ikke undermineres af overførsler af personoplysninger, bør den vurdere denne dokumentation og være i stand til at vise den til den kompetente databeskyttelsesmyndighed.

Kort sagt: Hav styr på alle dine databehandlere og underdatabehandlere samt overførelser af data til usikre tredjelande, herunder også de nødvendige garantier for overførelserne, for du er som dataansvarlig pålagt en forpligtelse til, uden tøven, at kunne dokumentere din overholdelse af databeskyttelsesforordningen.

Hos GapSolutions er vi spændte på at se, om Datatilsynet opdaterer skabelonen til databehandleraftaler eller om det bliver helt overladt til de datatansvarlige at sikre compliance med ovenstående.

Læs den originale udtalelse her