GDPR-reglerne er som sådan ikke nye, men i 2018 blev der alligevel sat trumf på og – måske på baggrund af de forhøjede bødetakster – et stort fokus på databehandlingsaftaler.
Men måske hypen, eller måske panikken om man vil, har bidraget til en forhastet – og til tider forkert – anvendelse og iagttagelse af reglerne.
Dataansvarlig vs. Databehandler
Distinktionen på, om man er Dataansvarlig eller Databehandler, kan være svær. En forsimplet test kan ske ved at besvare spørgsmålet ”(databe-)handles der under instruks?”. Hvis du behandler persondata på vegne af en anden (Dataansvarlig) med dokumenterbar instruks om, hvornår og hvordan persondata behandles, er man databehandler.
Og ved Dataansvarlig forstås:
”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger […]”.[1]
Den dataansvarliges ansvar og pligter
Med Dataansvaret følger en lang række pligter og ansvar, herunder løbende tilsynspligt med databehandleren.
Databehandlerne er forskellige og behandler derfor også personoplysningerne på den dataansvarliges vegne forskelligt. Kravene for tilsyn er derfor også forskellige. Tilsyn kræver tilrettelæggelse og gennemførelse af forskellige procedurer, der tilgodeser den pågældende databehandler. Hyppigheden af tilsyn med hver enkelt databehandler skal matche den risiko, der er i forbindelse med den pågældende databehandlers behandling og databehandlerens forhold og ageren. Som minimum vil tilsyn skulle ske årligt.
Tilsynspligten, der udledes af GDPR art. 5, stk. 2 (det skal kunne dokumenteres, at GDPR efterleves), er den dataansvarliges ansvar. Den dataansvarlige skal via tilsyn sikre og dokumentere:
- Lovlig behandlingshjemmel,
- Fortegnelse over behandlingsaktiviteter,
- Efterlevelse af reglerne om de registreredes rettigheder,
- Indberetning af brud på persondatasikkerheden,
Tilsynet med databehandlerne er en stor opgave. Som dataansvarlig er det ikke nok, at du har en databehandleraftale på plads, der skal føre tilsyn med, at aftalen efterleves. Det er den Dataansvarliges ansvar at sikre korrekt behandling i hele aftaleperioden, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.
Datatilsynet fremkom i oktober 2021 med vejledning om tilsyn med databehandlere, som findes her.
Desværre har der bredt sig en misforståelse om, at hvis modparten er dataansvarlig, så må man automatisk selv være databehandler. Denne tilgang medfører, at aftalerne ikke afspejler den faktiske databehandling. Dette kan føre til, at den dataansvarlige påtager sig unødvendige forpligtelser og ansvar.
Er der fælles dataansvar?
Som beskrevet ovenstående skal dataansvaret fastlægges ud fra de faktiske omstændigheder ved behandlingen af personoplysningerne og ikke på baggrund af parternes kommercielle aftale om deres databeskyttelsesretlige rolle. Jf. GDPR art. 26, stk. 2, skal man se på, om parterne i realiteten sammen bestemmer formålet og hjælpemidlerne med behandlingen.
Det følger af GDPR artikel 26, stk. 1, at:
”[…] hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. (min understregning).
Det er et vigtigt kriterium ved fastlæggelsen af et fælles dataansvar, at behandlingen kun er mulig ved begge parters deltagelse, forstået som ”uløseligt forbundet”.[2] Ved fælles deltagelse skal de dataansvarlige på den ene side fastlægge formål og på den anden side hjælpemidler.[3] Udgangspunkt er, at formålet med behandlingen er fælles defineret, hvilket er tilfældet, såfremt personoplysningerne behandles til de samme eller fælles formål.
Også ved tilfælde, hvor der ikke forfølges et fælles formål med behandlingen, kan der imidlertid konstateres fælles dataansvar.[4] EU-Domstolen har således statueret et fællesdataansvar ved behandlinger af personoplysninger, hvor formålene var forbundet eller komplementære.[5]
På samme måde kan der statueres fælles dataansvar, hvor de dataansvarlige forfølger egne interesser og formål med behandlingen, men hvor begge dataansvarlige deltager i fastlæggelsen af formålene og hjælpemidlerne til behandlingen af personoplysningerne.[6] Bruger en dataansvarlig et værktøj eller system – udviklet af en anden dataansvarlig – til at behandle personoplysninger til egne formål, vil der sandsynligvis også kunne statueres en fælles fastlæggelse af hjælpemidlerne til behandlingen af parterne.
Under disse omstændigheder bør der ikke indgås en databehandler aftale men i stedet en aftale om fælles dataansvar.
Ved aftale om fælles dataansvar skal der ske en klar fordeling af ansvarsområderne for at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder samt tilsynsmyndighedernes kontrol og foranstaltninger, jf. præambelbetragtning nr. 79 i GDPR, og de fælles dataansvarlige skal iagttage offentliggørelsespligten i GDPR art. 26, stk. 2, sidste pkt.
En dataansvarlig er ikke underlagt det samme ansvar og pligter i relation til en anden dataansvarlig, som overfor en databehandler, hvorfor en aftale om fællesdataansvar ofte er mere fordelagtig for begge dataansvarlige og de registrerede.
Der kan altså spares tid og kræfter ved at slukke autopiloten og i stedet se på det reelle formål med behandlingen, og hvilke hjælpemidler der benyttes til behandlingen. Ved korrekt at kortlægge behandlingsaktiviteterne og formål, kan det administrative arbejde med tilsyn og de risici, der er forbundet med ansvaret mindskes. Er du i tvivl om fastlæggelse af det datamæssige ansvar i en konkret situation, eller ønsker du input til, hvordan en løsning kan udformes, sådan at I opnår et fælles dataansvar i stedet for at være hhv. dataansvarlig og databehandler, står NP advokater til rådighed.
[1] GDPR art. 4. nr. 7
[2] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, side 3
[3] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, side 3
[4] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, punkt 58, side 19
[5] C-40/17, Fashion ID og C-210/16, Wirtschaftsakademie
[6] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, punkt 59, side 19.