EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af (under)databehandlere
Det Europæiske Databeskyttelsesråd (EDPB) har den 7. oktober 2024 vedtaget ”Opinion 22/2024 on certain obligations following from the reliance on processor(s) and subprocessor(s)” på baggrund af en anmodning fra det danske datatilsyn.
Udtalelsen fra EDPB bidrager til en fælles forståelse af i hvilket omfang man som dataansvarlig skal kunne identificere alle sine (under)databehandlere, og i hvilket omfang den dataansvarlige skal verificere og dokumentere, at underdatabehandlere faktisk bliver pålagt de samme databeskyttelsesforpligtelser som den første databehandler.
Udtalelsen adresserer også spørgsmålet om den dataansvarliges dokumentationsforpligtelse i den situation, hvor en databehandler inden for EU/EØS overfører personoplysninger til en (under)databehandler i et tredjeland.
Særligt cloudløsninger, hvor behandlingskæden kan være lang og kompleks med forskellige databehandlere og underdatabehandlere, stiller store krav til både den dataansvarlige og databehandlerne både ved aftaleindgåelsen og i den løbende administration og kontrol af servicen.
Hvem er udtalelsen relevant for?
EDPBs udtalelse er relevant for alle virksomheder og organisationer, såvel offentlige som private underlagt GDPR, der benytter databehandlere eller selv er databehandler.
Identifikation af databehandlerkæden
EDPB anfører bl.a.:
At den dataansvarlige altid skal have information om identitet (dvs. navn, adresse og kontaktperson) og en beskrivelse af behandlingsaktiviteten for alle databehandlere og underdatabehandlere.
At disse informationer skal være let tilgængelige for den dataansvarlige.
At databehandleren proaktivt bør levere disse oplysninger til den dataansvarlige og holde dem opdaterede til enhver tid.
At den dataansvarlige og databehandleren kan vedtage yderligere detaljer i databehandleraftalen om, hvordan og i hvilket format databehandleren skal give disse oplysninger.
Fornødne garantier – (under)databehandlere
I henhold til artikel 28(1) i GDPR har den dataansvarlige pligt til kun at benytte databehandlere,
der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.
EDPB anfører bl.a.:
At den dataansvarlige bør verificere tilstrækkeligheden af de garantier, der gives af den databehandler, som er første led i kæden, fra sag til sag under hensyntagen til behandlingens karakter, omfang, kontekst og formål samt risici for fysiske personers rettigheder og frihedsrettigheder, baseret på typen af behandling, der er overladt til databehandleren.
At denne forpligtelse gælder uanset risikoen for de registreredes rettigheder og frihedsrettigheder.
At omfanget af verifikationen vil variere afhængig af karakteren af de tekniske og organisatoriske foranstaltninger, der er fastsat af den dataansvarlige, på baggrund af risikoen for de registreredes rettigheder og frihedsrettigheder.
At hvis den dataansvarlige vælger at give en generel tilladelse til brug af underdatabehandlere, bør den suppleres med kriterier til at vejlede databehandlerens valg.
At databehandleren skal levere en liste over de påtænkte underdatabehandlere og hvilke sikkerhedsforanstaltninger der er implementeret hos underdatabehandlerne.
At den dataansvarlige kan basere vurderingen på dokumentationen eller oplysningerne modtaget fra databehandleren og om nødvendigt bygge videre på den, f.eks. i tilfælde hvor de modtagne oplysninger synes ufuldstændige, unøjagtige eller giver anledning til spørgsmål.
At for behandlinger, der udgør en høj risiko for de registreredes rettigheder og frihedsrettigheder, bør den dataansvarlige øge niveauet af verifikation i forhold til at kontrollere oplysning om de garantier, der stilles af de forskellige databehandlere i behandlingskæden.
At den dataansvarlige ikke er forpligtet til systematisk at anmode om at modtage underdatabehandleraftaler for at undersøge, om garantierne i den oprindelige kontrakt er videreført igennem databehandlerkæden.
At den dataansvarlige bør vurdere fra sag til sag, om det er nødvendigt at anmode om og gennemgå kopier af sådanne kontrakter for at demonstrere overholdelse af regelsættet.
At den oprindelige databehandler skal tilsikre kun at anvende underbehandlere, der stiller de fornødne garantier, men at den endelige beslutning om anvendelsen af en specifik underbehander og det tilhørende ansvar påhviler den dataansvarlige.
Tredjelandsoverførsler i (under)databehandlerkæden
EDPB anfører bl.a.:
At den dataansvarlige fortsat er underlagt forpligtelserne i henhold til artikel 28(1) og artikel 44 i GDPR, selvom overførslen/videreoverførslen ikke udføres direkte af den dataansvarlige, men af en databehandler på dennes vegne.
At såvel den dataansvarlige som databehandleren er pligtsubjekter efter reglerne om tredjelandsoverførsel og derfor både i fællesskab og selvstændigt kan ifalde ansvar for en ulovlig tredjelandsoverførsel.
At dokumentation for en lovlig tredjelandsoverførsel bør indeholde en kortlægning af tredjelandsoverførslen (herunder hvilke personoplysninger der overføres, hvor de overføres til og til hvilke formål), overførselsgrundlaget og hvor påkrævet en Transfer Impact Assessment (TIA) samt vedtagne sikkerhedsforanstaltninger.
At den dataansvarlige skal modtage dokumentationen fra (under)databehandleren/eksportøren, inden overførslen finder sted.
At den dataansvarlige bør foretage en vurdering af denne dokumentation og kunne fremlægge den for den kompetente tilsynsmyndighed.
At kravene til omfanget af denne vurdering kan variere bl.a. afhængig af overførselsgrundlaget.
Fortolkning af Artikel 28(3)(a) – tredjelandsoverførsel påkrævet ”i henhold til EU-ret eller medlemsstaternes nationale ret”
EDPB har undersøgt den grundlæggende forpligtelse for databehandleren til kun at ”behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt”.
EDPB anfører bl.a.:
At det anbefales at inkludere ordlyden "medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt " i databehandleraftalen, men at det ikke er et krav i sig selv.
At det er usandsynligt, at en formulering, som f.eks. "unless required to do so by law or binding order of a governmental body" fritager den dataansvarlige og databehandleren fra at overholde deres forpligtelser under GDPR.
At en sådan formulering ikke konstituerer en dokumenteret instruks.
Hvad kan BDO hjælpe dig med
- BDO kan bistå med at risikovurdere den konkrete databehandling.
- BDO kan bistå med at påse, at aftalegrundlaget mellem den dataansvarlige og databehandleren indeholder de relevante kontraktuelle bestemmelser
- BDO kan bistå med kortlægning af databehandlerkæden.
- BDO kan bistå med at påse, at aftalegrundlaget mellem den dataansvarlige og databehandleren er reflekteret ned igennem databehandlerkæden.
- BDO kan bistå med at afdække tredjelandsoverførsler og tilvejebringe overførselsgrundlag og Transfer Impact Assessments.
- BDO kan ved årlige tilsyn bistå med at påse, at aftalegrundlaget mellem den dataansvarlige og databehandleren overholdes af databehandler.
- BDO kan ved årlige tilsyn bistå med at påse, at aftalegrundlaget mellem den dataansvarlige og databehandleren overholdes af underdatabehandler.
Vi bestræber os på at yde rådgivning, som imødekommer vores kundes konkrete behov, og vi tager også gerne en mere uformel dialog om, hvordan du kommer videre i det løbende arbejde med at sikre databeskyttelsesretlig compliance.
Du er altid velkommen til at kontakte en af nedenstående kontaktpersoner.
/Employees/BNB.jpg)
/Employees/LOKEL.jpg)
/Employees/PHSTE.jpg)
/Employees/ANDJE.jpg)