Personvernforordningens krav til bruk av databehandlere Dag Wiese Schartum, SERI/AFIN «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes;» [art. 4(7)] Felles behandlingsansvar, ansvar for DB-avtale må avklares, jf. art. 26(1) «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige [art. 4(8)] R «representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning [art. 4(17)] R R DB 1 BA 1 BA 2 BA 3 BA n DB 2 udb Jf. art. 28(2) DB n PVF art. 28 forutsetter avtaleregulering av forholdet mellom BA og DB. Med andre ord, muligheter for ganske kompliserte avtaleforhold! Kravet til representant gjelder ikke: Leilighetsvis behandling uten mange sensitive PO Offentlige myndigheter/organer Representant (R) skal pekes ut når BA og DB befinner seg utenfor Unionen og i) tilbyr varer eller tjenester, eller ii) monitorerer atferd til personer i Unionen [art. 3(2), jf. art. 27(1)] Avgjørende «om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.» (Fortalen, 24)
Valg av databehandlere og avtaleregulering Skal BA overlate behandling til noen som ikke er hans ansatte (og som han derfor ikke har instruksjonsmyndighet over), kan behandlingen bare overlates til en DB på den måten som er fastsatt i art. 28 [BA er oppdragsgiver og DB er oppdragstaker] BA kan bare velge DB som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer etterlevelse av forordningen «Tilstrekkelige garantier» kan være basert på konkret vurdering av tiltakene, og/eller på DBs etterlevelse av godkjente adferdsnormer (jf. art. 40), og/eller på om DB er omfattet av sertifiseringsmekanismer (jf. art. 42) Dersom DB (ulovlig) fastsetter formål og midlene for behandlingen, skal DB anses som BA for vedkommende behandling [og vil da kunne bli erstatningsansvarlig, bli bøtelagt eller sanksjoneres på annen måte, jf. art. 82 84] Generelt om avtalereguleringen Det skal inngås avtale («databehandleravtale») mellom BA og DB om den behandlingen av PO som DB skal utføre [art. 28(3)] I stedet for avtale kan annet rettslig dokument anvendes, som er bindende i henhold til unionsretten eller nasjonal rett Avtalen bør individualisere de ulike behandlingene som avtaleforholdet gjelder (jf. «behandlingen» i art. 28(3)) Databehandleravtalen og annet rettslig dokument skal være skriftlig (også digitalt) Kommisjonen og tilsynsmyndigheter kan vedta standardavtalevilkår for «særlige» punkter i avtalen (art. 28(3) bokstavene a h, og krav til «underdatabehandler (art. 28(4)) Databehandleravtalen og annet rettslig dokument kan helt eller delvis bygge på slike standardavtalevilkår Databehandleravtalen eller annet rettslig dokument skal «særlig» [og minst] angi punktene i art. 28(3) bokstavene a h Gjelder krav til bestemmelser om [min kategorisering]: Behandlingsansvarliges instrukser til databehandler Vilkår vedrørende DBs bruk av «underdatabehandler» Krav til fysiske personer hos databehandler Databehandlers bistand til behandlingsansvarlig Databehandlers sletting og tilbakelevering av personopplysninger Databehandlers tilrettelegging for revisjon og inspeksjon fra behandlingsansvarlig Viktig at avtalene får innhold som ikke er begrenset til disse særlige kravene
Krav til innholdet av databehandleravtaler, art. 28(3) Behandlingsansvarliges instrukser til databehandler Avtalen skal angi at DB bare kan behandle personopplysninger for BA på måter som fremgår av instrukser fra BA (art. 28(3)(a)) Instruksene skal være «dokumenterte» Overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon bør trolig alltid være omfattet av instruksen Behandling uten instruks kan skje hvis det kreves av unionsretten eller medlemsstatenes nasjonale rett som DB er underlagt DB skal underrette BA om slik behandling utenfor instruks før behandlingen skjer (men mindre unionsretten eller medlemsstatenes nasjonale rett forbyr slik underretning av hensyn til viktige samfunnsinteresser) Avtalen skal angi at DB skal treffe alle tiltak som er nødvendige i henhold til art 32 om behandlingssikkerhet (art. 28(3)(c)) Iflg. art. 32(1) skal både BA og DB treffe «egnede tekniske og organisatoriske tiltak» for å oppnå et sikkerhetsnivå som står i forhold til risikoen DB har plikt til å bistå BA i spørsmål om behandlingssikkerhet (art. 32 34), jf. bilde 8 (nedenfor) Kan være en god idé å la spørsmål om behandlingssikkerhet inngå i avtale og/eller instruks i hht. art. 28 Krav til innholdet av databehandleravtaler, art. 28(3) Vilkår vedrørende DBs bruk av «underdatabehandlere» Databehandleravtalen skal angi at DB skal overholde vilkårene i art. 28(2) og (4) vedrørende bruk av «underdatabehandlere» («udb») Bruk av udb krever alltid forhåndstillatelse fra BA Tillatelser skal være skriftlige Tillatelsen kan være særskilt, eller tillatelsen kan være generell DB skal underrette BA om planer for bruk av udb, eller skifte av udb Underretning om udb skal gi BA anledning til å motsette seg bruken av udb, og må derfor skje før endring av udb-forhold skjer udb skal pålegges de samme forpliktelser som DB har i henhold til DBs avtale med BA Nevnte pålegg skal gis i avtale mellom DB og udb I stedet for avtale kan annet rettslig dokument anvendes, som er bindende i henhold til unionsretten eller nasjonal rett udb skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak for å sikre etterlevelse av PVF Ved vurdering av om garantiene er tilstrekkelige, kan det legges vekt på på DBs etterlevelse av godkjente adferdsnormer (jf. art. 40), og/eller på om DB er omfattet av sertifiseringsmekanismer (jf. art. 42) DB er fullt ansvarlig ovenfor BA for udbs manglende oppfyllelse av sine forpliktelser
Krav til innholdet av databehandleravtaler, art. 28(3) Krav til fysiske personer hos databehandler Avtalen skal angi at DB skal sikre at personer er autorisert til å behandle personopplysningene, og har forpliktet seg til å behandle opplysningene fortrolig, eller er underlagt en egnet lovfestet taushetsplikt Fysiske personer hos BA og DB har plikt til bare å handle etter instruks fra BA (art. 32(4)) Kan gjøres unntak i unionsretten eller nasjonal rett Krav til innholdet av databehandleravtaler, art. 28(3) Databehandlers bistand til behandlingsansvarlig Avtalen skal angi at DB skal bistå BA med å oppfylle BAs plikt til å svare registrerte som ønsker å utøve rettigheter som er fastsatt i kap. III Gjelder i alle fall innsynsrett (art. 15), rett til korrigering (art. 16), sletting (art. 17), begrensning av behandling (art. 18), dataportabilitet (art. 20), innsigelsesrett (art. 21), og rett til ikke å være gjenstand for helt automatiserte avgjørelser (art. 22) Bistanden skal gis «i den grad det er mulig» Bistanden skal bestå i egnede tekniske og organisatoriske tiltak, og skal gis under «hensyn til behandlingens art» Avtalen skal angi at DB skal bistå BA med å sikre overholdelse av forpliktelsene vedrørende behandlingssikkerhet (artikkel 32 36) Bistanden skal gis under hensyn til behandlingens art, og den informasjonen som er tilgjengelig for DB
Krav til innholdet av databehandleravtaler, art. 28(3) Databehandlers sletting og tilbakelevering av personopplysninger Avtalen skal angi at DB skal slette eller tilbakelevere alle personopplysninger til BA etter at tjenestene knyttet til behandlingen er levert, og slette eksisterende kopier BA skal bestemme/velge hva som skal slettes eller tilbakeleveres (bør omfattes av BAs instruks?) Unntak gjelder dersom unionsretten eller nasjonal rett krever at personopplysningene lagres Krav til innholdet av databehandleravtaler, art. 28(3) Databehandlers tilrettelegging for revisjon og inspeksjon fra behandlingsansvarlig og plikt til å samarbeide med tilsynsmyndigheten Avtalen skal angi at DB skal gjøre tilgjengelig for BA all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i artikkel 28 er oppfylt (jf. krav til protokoll i art. 30(2)), muliggjøre og bidra til BAs revisjoner (informasjonen), muliggjøre og bidra til BAs inspeksjoner (stedlig) og ha plikt til å tilgjengeliggjøre og muliggjøre revisjon og inspeksjon, både når revisjon og inspeksjon blir gjennomført av BA selv, og når en inspektør (og revisor) opptrer på fullmakt fra BA og på anmodning samarbeide med tilsynsmyndigheten (slik også BA skal), jf. art. 31 DB skal herunder på anmodning gjøre protokoller som nevnt i art. 30(2) tilgjengelig for tilsynsmyndigheten (art. 30(4)) [men merk at ikke alle DB må føre protokoll, se art. 30(5)]
Avsluttende kommentar Bestemmelsene om databehandlers forhold til behandlingsansvarlig er omfattende og kompliserte Antar det er viktig at Datatilsynet vedtar standard avtalevilkår for ulike avtaletyper Den største utfordringen er trolig å sikre at avtalene ikke bare blir «til pynt», men blir brukt aktivt hos begge avtaleparter