Når du skal finde en ny databehandler – fx en cloudleverandør – skal du være opmærksom på en række persondataretlige krav. Denne artikel  sætter fokus på de første skridt, du skal tage, for at leve op til persondatareglerne ved brug af databehandlere og cloudløsninger.

Efter databeskyttelsesforordningen (GDPR) må I kun benytte databehandlere, der kan stille de fornødne garantier for, at vedkommende vil overholde databeskyttelsesreglerne i forbindelse med sin behandling af oplysningerne på jeres vegne.

”Screening af leverandører” er en forudgående undersøgelse, du skal foretage for at opfylde artikel 28, stk. 1, i databeskyttelsesforordningen (GDPR). Du skal på forhånd screene potentielle databehandlere, herunder cloudleverandører, for at vurdere, om leverandørerne vil være i stand til at leve op til de databeskyttelseskrav, som er passende for jeres behandlingsaktiviteter.

Datatilsynets vejledning om cloud fra marts 2022 indeholder en række spørgsmål, som du bør få besvaret – enten via en dialog med leverandøren eller ved gennemgang af leverandørens egen dokumentation.

Screeningen skal føre frem til en konklusion på, om databeskyttelsesreglerne kan forventes overholdt ved behandling af personoplysninger hos den pågældende leverandør.

Du skal huske at dokumentere, at du har gennemført screeningen, og hvad konklusionen er.

Vil leverandøren have lov vil bruge personoplysninger til egne formål?

Hvis aftaledokumenter eller andre vilkår giver leverandøren ret til at bruge oplysninger til egne formål (som dataansvarlig), bør du være på vagt.

Hvis du accepterer, at leverandøren må bruge personoplysninger, f.eks. oplysninger om jeres brugeres anvendelse af løsningen, som dataansvarlig kan der være tale om en videregivelse fra din organisation.

Du bør derfor kun acceptere en sådan adgang, hvis du har vurderet, at din organisation har hjemmel til at videregive oplysningerne til leverandøren. 

Videregivelse af personoplysninger til leverandøren til dennes egen brug kan faktisk vise sig at være ulovlig. Se f.eks. Datatilsynets sag om brug af Googles løsninger i Helsingør Kommune. 

Standardaftaler, der instruerer leverandøren i at videregive til myndigheder i tredjelande

Bl.a. i lyset af Datatilsynets praksis bør du have særlig fokus på, om en aftale med en databehandler eller underdatabehandler giver den pågældende leverandør ret til at udlevere personoplysninger på baggrund af afgørelser fra offentlige myndigheder i tredjelande.

Du bør være særligt på vagt, hvis leverandøren kun vil indgå en standardaftale, der giver leverandøren adgang eller bemyndigelse til at overføre oplysninger til myndigheder, når det er krævet efter lovgivning, uden at dette er begrænset til EU-ret eller medlemsstaternes nationale ret. Indgåelse af en aftale med en sådan adgang kan være problematisk af flere grunde:

• Hvis du accepter en aftale med adgang til at videregive personoplysninger til myndigheder uden for EU, accepterer du en videregivelse, som derfor kan blive anset for tilsigtet. Har du overvejet, om din organisation har hjemmel til den videregivelse af personoplysninger til myndigheder i tredjelande, som du accepterer?
  
  
• En sådan aftale vil også indebære, at personoplysningerne må overføres til lande uden for EU. Har du sikret dig, at betingelserne for tredjelandsoverførsel er opfyldt? 
  
  

Husk også underleverandørerne

I skal som dataansvarlige kunne dokumentere, at alle de anvendte databehandlere, dvs. også alle de underleverandører, som leverandøren benytter, og eventuelle yderligere underleverandører, der måtte findes i leverandørkæden, kan stille de fornødne garantier for, at behandlingen af personoplysninger vil overholde databeskyttelsesforordningen.

Der skal med andre ord være foretaget en screening af de underleverandører, der skal deltage i behandlingen af personoplysninger.

Hvis den primære leverandør har foretaget screening af en underleverandør, bør du evt. anmode om at få fremsendt resultatet af deres undersøgelse samt dokumentation af forholdene hos underleverandøren, før du på vegne af din organisation godkender brug af underleverandøren som databehandler. Se også spørgsmål d) og e) i Datatilsynets cloud-vejledning i afsnit "3.2.1 Screening af leverandør(e)".

Du skal kortlægge alle de underleverandører, som leverandøren benytter, og eventuelle yderligere underleverandører, således at din organisation har et komplet overblik over, hvilke databehandlere I overlader behandling af personoplysninger til.

Du bør også kortlægge den dokumentation, der foreligger for den forudgående screening af leverandøren, og om screeningen viser, at databeskyttelsesreglerne kan forventes overholdt ved behandling af personoplysninger hos den pågældende leverandør.

Brug en tjekliste

En tjekliste til brug for screening af leverandører kan være et nyttigt værktøj til at sikre, at der sker en tilstrækkelig screening af alle leverandører. 

Jeg vil anbefale, at du bl.a. stiller et spørgsmål om, hvorvidt leverandøren vil bruge oplysninger, der kan henføres til fysiske personer, til deres egne formål. 

Du kan med fordel også anvende de spørgsmål, som findes i Datatilsynets cloud-vejledning i afsnit "3.2.1 Screening af leverandør(e)".

Du bør også medtage en afklaring af, om leverandørens aftalevilkår lever op til kravene til en databehandleraftale, herunder navnlig artikel 28, stk. 3, i GDPR.

Du kan derefter bruge din tjekliste til at få afklaret alle relevante spørgsmål, når du skal vurdere, om en leverandør kan anvendes som databehandler i forbindelse med en given behandlingsaktivitet. 

Du kan evt. få den kommende leverandør til at hjælpe med at svare på spørgsmålene. Beslutningen om, hvorvidt leverandøren kan acccepteres, er imidlertid din organisations.

Husk at gemme den udfyldte tjekliste og konklusionen, så din organisation  kan dokumentere den udførte screening.

Yderligere skridt

Ud over den forudgående screening ligger der andre opgaver foran dig, når du vil gøre brug af en databehandler.

Det handler navnlig om om indgåelse af databehandleraftaler, eventuelle overførsler til tredjelande samt tilsyn med databehandlere. Dette kan blive emner for kommende artikler og workshops.

.........................................

Dette er en informationstekst, som fremhæver centrale elementer vedrørende en problemstilling. Teksten kan ikke stå alene som rådgivning men bør suppleres med viden om regler og praksis og efter behov professionel rådgivning.