Databehandlere. Marts 2019

Transkript

1 Databehandlere Marts 2019

2 Er din samarbejdspartner dataansvarlig eller databehandler?

3 Overladelse til en databehandler 3 Personoplysninger Kommunen Kommunen bestemmer stadig over oplysningerne og har ansvaret Overladelse (+databehandleraftale) Databehandleren håndterer personoplysningerne på vegne af kommunen Anden myndighed eller virksomhed DB benytter kommunens behandlingshjemmel og har ikke selv oplysningspligt

4 Videregivelse til en anden dataansvarlig 4 Personoplysninger Kommunen Videregivelse Anden myndighed eller virksomhed Kommunen bestemmer ikke over oplysningerne, når de er videregivet, og har ikke ansvaret for dem Kommunen skal have hjemmel til at videregive personoplysningerne Modtageren skal selv have behandlingshjemmel og skal leve op til oplysningspligten og de øvrige rettigheder

5 Datatilsynets vejledning om dataansvarlige og databehandlere 5

6 Fra Datatilsynets vejledning om dataansvarlige og databehandlere 6 Det kan nogle gange være meget vanskeligt at afgøre, om du er dataansvarlig eller databehandler. Det er vigtigt, at du og de andre parter skaber jer et overblik over rollefordelingen og tager stilling til, hvem der træffer beslutning om formål og væsentlige hjælpemidler. Vejledningen indeholder en liste med elementer, der kan indgå i vurderingen.

7 Hvad er kan du lægge vægt på? 7 Fra Datatilsynets vejledning om dataansvarlige og databehandlere: Hvis aftalen mellem dig og en anden part derimod først og fremmest drejer sig om levering af en anden ydelse end behandling af personoplysninger, f.eks. en håndværkerydelse, hvor du ikke har behov for at give en instruks om behandling af personoplysninger, vil den anden part ikke være din databehandler Dette gælder også, selvom du giver den anden part nogle personoplysninger (f.eks. navn og adresse), som er nødvendige for, at denne part kan levere sin hovedydelse, nemlig håndværkerydelsen

8 Eksempel fra Datatilsynets vejledning -> tavshedspligtserklæring 8 Eksempel 1 Reparation af kopimaskine Virksomhed A hyrer en reparatør til at reparere virksomhedens kopimaskine, hvori der kan være gemt dokumenter med personoplysninger. Aftalen mellem virksomhed A og reparatøren går ud på, at reparatøren skal reparere virksomhed A s kopimaskine. Virksomhed A vil i denne situation ikke benytte reparatøren som databehandler, fordi aftalen mellem parterne hverken helt eller delvist går ud på, at reparatøren skal behandle personoplysninger på vegne af virksomhed A. Hvis der er risiko for, at reparatøren i forbindelse med sin reparation får adgang til personoplysninger, kan virksomhed A som led i sine almindelige sikkerhedsforanstaltninger bede reparatøren om at underskrive en tavshedspligtserklæring.

9 Når samarbejdspartneren er databehandler 9 Hvis der er tale om en databehandler-konstruktion mellem kommunen og en leverandør eller samarbejdspartner: Der skal der indgås en databehandleraftale mellem kommunen (den dataansvarlige) og den anden part (databehandleren). Databehandleraftalen skal leve op til kravene til databehandleraftaler i databeskyttelsesforordningen. Kommunen skal føre kontrol med, at databehandlingerne ved databehandleren lever op til forordningens krav.

10 Eksempel fra Datatilsynets vejledning -> brug af databehandler 10 Eksempel 5 Kommunen K og It-styrelsen Kommunen K skal behandle, herunder indsamle og opbevare, oplysninger om stofmisbrugere, som deltager i et afvænningsforløb hos kommunen. Kommunen er efter lovgivningen forpligtet til at bruge systemet Ny-chance, som administreres og stilles til rådighed af den offentlige myndighed, It-styrelsen It-styrelsen har af lovgiver fået tillagt kompetence til at træffe afgørelse om, hvilke tekniske og organisatoriske hjælpemidler der skal anvendes for at skabe den nødvendige sikkerhed i forhold til de oplysninger, der behandles i systemet. It-styrelsen bruger ikke oplysningerne til egne formål, og styrelsen behandler (opbevarer) således blot oplysningerne for kommunerne. It-styrelsen er i dette tilfælde databehandler for kommunen K, fordi behandlingen af personoplysninger om stofmisbrugerne alene sker til kommunens formål og på kommunens vegne. Til forskel fra en klassisk databehandlerkonstruktion har kommunen K ikke mulighed for at vælge andre leverandører, hvis kommunen ikke er enig i og kan godkende de hjælpemidler, som er fastlagt af It-styrelsen. Hvis kommunen ikke kan godkende systemet eller ændringer hertil, må kommunen gøre indsigelse overfor databehandleren eller i sidste ende overfor den overordnede myndighed, som databehandleren er underlagt. Den manglende mulighed for at vælge en alternativ leverandør ændrer altså ikke ved, at It-styrelsen fungerer som databehandler for kommunen, da behandlingen alene sker til kommunens formål.

11 Eksempel fra Datatilsynets vejledning -> brug af databehandler 11 Eksempel 12 Kommunen X, som hyrer en ekstern sagsbehandler Kommunen X er efter beskæftigelseslovgivningen bl.a. forpligtet til at hjælpe kontanthjælpsmodagere og ledige dagpengemodtagere til at komme i arbejde. Som en del af hjælpen til en borger kan kommunen bl.a. træffe afgørelse om, at borgeren skal tilbydes et mentorforløb eller et læse-, skrive-, regne- eller ordblindekursus. Kommunen skal samtidig notere vigtige oplysninger om borgeren og gemme dem, så de kan findes frem senere. Kommunen kan efter lovgivningen på beskæftigelsesområdet overlade det til andre aktører at udføre opgaver og træffe afgørelser, som ellers er pålagt kommunen. Kommunen X overlader det til virksomheden Borger-på-vej at træffe afgørelse om, hvilke kurser man skal tilbyde en gruppe borgere for at lette deres vej tilbage til arbejdsmarkedet. Borger-på-vej skal i den forbindelse foretage egentlig sagsbehandling, herunder indsamle, bearbejde, og opbevare personoplysninger om borgerne. Sagsbehandlingen skal samtidig overholde alle de krav, som kommunen X ville være pålagt, hvis de selv foretog sagsbehandlingen. Kommunen X har derfor ikke levet op til sine lovgivningsmæssige forpligtelser, hvis virksomheden Borger-på-vej ikke foretager den korrekte og nødvendige sagsbehandling. Aftalen mellem kommunen og virksomheden drejer sig således om, at virksomheden skal foretage behandling af personoplysninger på vegne på vegne af kommunen. Virksomheden Borger-på-vej er derfor databehandler for kommunen X.

12 Når samarbejdspartneren er selvstændigt dataansvarlig 12 Hvis der er tale om en leverandør eller samarbejdspartner, som er selvstændigt dataansvarlig for de oplysninger, som behandles: Hvis kommunen videregiver oplysninger til en anden selvstændig dataansvarlig, skal du sikre dig, at du har lov til at videregive oplysningerne, og at modtageren har lov til at modtage oplysningerne (at du har en videregivelseshjemmel, og at modtageren har en behandlingshjemmel). Kommunen kan evt. stille vilkår i forbindelse med videregivelsen

13 Eksempel fra Datatilsynets vejledning > videregivelse 13 Eksempel 2 Opsætning af greb Kommunen K indgår en aftale med en lokal tømrermester om, at han skal opsætte nogle ekstra greb på en borgers badeværelse, da borgeren er dårligt gående, og derfor har brug for noget at støtte sig til. Kommunen er efter den sociale lovgivning forpligtet til at være borgeren behjælpelig med opsætning af nødvendige hjælperedskaber, herunder f.eks. greb. I forbindelse med indgåelsen af aftalen giver kommunen tømrermesteren borgerens navn og adresse. Videregivelsen af borgerens navn og adresse er nødvendig, da tømrermesteren skal vide, hvor han skal opsætte de ekstra greb samt vide, hvad han skal skrive på sin faktura til kommunen. Tømrermesteren er i denne situation ikke databehandler for kommunen K, selvom tømrermesteren modtager personoplysninger (navn og adresse og eventuelt også indirekte oplysninger om, at der er tale om en svækket borger) fra kommunen. Dette skyldes, at indholdet i aftalen mellem kommunen og tømrermesteren ikke angår behandling af personoplysninger. Selvom videregivelsen af navn og adresse på borgeren er en nødvendig forudsætning for tømrermesterens levering af ydelsen, har Kommunen K ikke behov for, at aftalen forpligter tømrermesteren til at behandle personoplysninger på en bestemt måde (efter instruks) fra kommunen. Kommunen har alene behov for, at der opsættes nogle greb hos en borger. Når kommunen K i dette eksempel giver tømrermestren borgerens navn og adresse, vil der være tale om en lovlig videregivelse (f.eks. artikel 6, stk. 1, litra e) fra en dataansvarlig til en anden, og tømrermestren bliver således selv dataansvarlig for den behandling, som han foretager af borgerens navn og adresse mv.

14 Opgaverne som dataansvarlig hhv. databehandler 14 Dataansvarlig Myndighed, virksomhed, eller person (ikke de enkelte ansatte) Afgør formål og hjælpemidler Databehandler Myndighed, virksomhed, eller person (ikke de enkelte ansatte) Behandler oplysninger på den dataansvarliges vegne (efter instruks) Ansvarlig for at efterleve forordningen bl.a. i forhold til: Fortegnelser (30-1) Evt. DPO Lovlig behandling Registreredes rettigheder Databehandleraftaler Behandlingssikkerhed Evt. DPIA Håndtering af eventuelle sikkerhedsbrud Ansvarlig for at efterleve forordningen bl.a. i forhold til: Fortegnelser (30-2) Evt. DPO Databehandleraftaler Tavshedspligt Behandlingssikkerhed Håndtering af eventuelle sikkerhedsbrud Bistå den dataansvarlige

15 Vikarer og konsulenter 15 Datatilsynet har i februar måned 2019offentliggjort et supplement til deres vejledning om dataansvarlige og databehandlere. I supplementet omtales brug af vikarer og konsulenter. Datatilsynet skriver blandt andet: Når vikarer agerer på linje med andre medarbejdere, vil de typisk blive opfattet som en del af den dataansvarliges juridiske enhed og dermed hverken fungere som selvstændigt dataansvarlige eller databehandlere. Omvendt vil eksterne konsulenter ofte kunne opfattes som dataansvarlige eller databehandlere afhængigt af de konkrete omstændigheder. Se supplementet om brug af vikarer og konsulenter: Se teksten, der præsenterer supplementet:

16 Databehandleraftaler

17 Indholdsmæssige krav til indholdet i en databehandleraftale, jf. databeskyttelsesforordningens art. 28, stk. 3, litra a-h 1/2 17 En kort beskrivelse af behandlingens karakter og formål (jf. art. 28, stk. 3, 1. pkt.) En kort beskrivelse af behandlingens varighed (jf. art. 28, stk. 3, 1. pkt.) Angivelse af de behandlede typer af personoplysninger (jf. art. 28 stk. 3, 1. pkt.) Angivelse af de behandlede kategorier af registrerede (jf. art. 28, stk. 3, 1. pkt.) Databehandleren skal pålægges alene at behandle oplysninger i henhold til instruks fra den dataansvarlige eller hvis EU-ret eller national ret kræver det. Dette gælder også for overførsler til dataansvarlige eller databehandlere i tredjelande (jf. databeskyttelsesforordningens art. 28, stk. 3, litra a) Medarbejderne hos databehandleren skal være underlagt tavshedspligt (jf. art. 28, stk. 3, litra b.) Databehandleren skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger (jf. art. 28, stk. 3, litra c.) Databehandleren skal indhente generel eller specifik godkendelse fra den dataansvarlige ved brug af underdatabehandler (som ikke allerede er angivet ved tidspunktet for aftaleindgåelsen). Hvis godkendelsen er generel, skal databehandleren underrette den dataansvarlige før anvendelsen af nye databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer (jf. art. 28, stk. 3, litra d, jf. art. 28, stk. 2.) Databehandleren skal indgå en underdatabehandleraftale med sine underdatabehandlere, der som minimum sikrer overholdelse af de samme forpligtelser som dem, databehandleren selv er underlagt, navnlig ift. sikkerhed (jf. art. 28, stk. 3, litra d, jf. art. 28, stk. 4.) Så vidt muligt bistår til den (jf. art. 28, stk. 3, litra e.) Bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i Databeskyttelsesforordningens art. 32 (behandlingssikkerhed), art. 33 og 34 (håndtering af anmeldelser over for Datatilsynet og notifikationer til de registrerede i tilfælde af sikkerhedsbrud), art. 35 (udarbejdelse af konsekvensanalyser) og art. 36 (forudgående høring ved Datatilsynet). Der tages hensyn til behandlingens karakter og de oplysninger, som er tilgængelige for databehandleren (jf. art. 28, stk. 3, litra f.)

18 Indholdsmæssige krav til indholdet i en databehandleraftale, jf. databeskyttelsesforordningens art. 28, stk. 3, litra a-h 2/2 18 Efter den dataansvarliges valg sletter eller tilbageleverer personoplysningerne ved behandlingens ophør. Pligten indbefatter også, databehandleren skal slette personoplysningerne, med mindre EU-ret eller national ret foreskriver fortsat opbevaring. (jf. art. 28, stk. 3, litra g.) Databehandleren skal stille oplysninger/dokumentation til rådighed for den dataansvarlige, så det er muligt for databehandleren at påvise, at denne overholder sine forpligtelser over for den dataansvarlige. Databehandleren skal også bidrage til revisioner og inspektioner. (jf. art. 28, stk. 3, litra h.) Øvrige forhold, som bør overvejes ved indgåelse af en databehandleraftale: Den adgang, som faktisk gives uafhængige tredjeparter til at foretage audit på vegne af den dataansvarlige. Hvor hurtigt og hvordan databehandleren skal reagere ved sikkerhedsbrud. Fordeling af ansvar hvor meget og hvordan databehandleren skal være erstatningsansvarlig ved brud på sikkerhed eller ved ulovlig behandling af personoplysninger. Fuldmagt til tredjelandsoverførsler og antagelse af underdatabehandlere. Oversigt over underdatabehandlere og hvad det evt. har af konsekvenser for lokaliteten for databehandlingen. Opsigelsesadgang, hvis ikke dette fremgår af en hovedaftale (dvs. kommerciel aftale). Omkostninger forbundet med bistand til den dataansvarlige og revisioner. Pligt for databehandleren til at underrette den dataansvarlige, hvis databehandleren mener, at en instruks er i strid med databeskyttelsesbestemmelser i forordningen, anden EU-ret eller medlemsstaternes nationale ret.

19 Datatilsynets standarddatabehandleraftale 19

20 Tilsyn med databehandlere

21 Datatilsynets vejledende tekst om tilsyn med databehandlere og underdatabehandlere 21

22 Tilsyn med databehandlere 22 Datatilsynets vejledning om tilsyn med databehandlere og underdatabehandlere: Krav om at den dataansvarlige skal påse behandlingssikkerheden hos sine databehandlere Baggrund: Den dataansvarlige skal leve op til kravet om ansvarlighed og skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med GDPR Om man vælger den ene eller den anden model vil bl.a. afhænge af, hvor kompleks en databehandlerkonstruktion er, og om den dataansvarlige selv har Den dataansvarlig kan: medarbejdere, der har den fornødne IT-sikkerhedsmæssige viden til at påse, om Selv påse behandlingssikkerheden hos sine databehandlere. en databehandler har gennemført de aftalte tekniske og organisatoriske Lade en uafhængig ekstern tredjepart påse behandlingssikkerheden. sikkerhedsforanstaltninger. Er en databehandlerkonstruktion mindre kompleks, kan en dataansvarlig, der ikke selv har den fornødne IT-sikkerhedsmæssige viden som en slags kombination af de to skitserede modeller også vælge at indhente hjælp fra en ekstern Muligheder for tilsyn: rådgiver (revisor, advokat mv.) til at få formuleret nogle spørgsmål, som den dataansvarlige selv kan benytte til at påse behandlingssikkerheden hos sine Fysisk besøg hos databehandleren. databehandlere. Skriftlig informationsindsamling fx ved brug af spørgeskemaer ol. Løbende afrapporteringer fra databehandleren, evt. baseret på SANS Critical Security Controls, ISO 27007, etc. Erklæringer (fx ISAE 3000, ISAE 3402 eller andre rapporteringsformater). Der kan også foretages stikprøver og temakontroller over de kontrolregimer, der måtte afspejle den dataansvarliges risikovurdering. Etc.

23 Fælles dataansvar

24 Fælles dataansvarlige 24 Artikel Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede. 2. Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede. 3. Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.

25 25

26 Hvornår kan fælles dataansvar komme på tale? 26 Fælles dataansvar mellem to eller flere parter kan komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles personoplysninger (hjælpemidlerne). Et fælles dataansvar kan dog kun komme på tale, hvis part 1 og part 2 sammen har ansvaret for en behandling, og hvis de begge har ret til at bruge oplysningerne til egne formål. Der er altså ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.

27 Hvis der er fælles dataansvar skal parternes respektive ansvar reguleres i en aftale 27 Hvis to eller flere parter har vurderet, at de må anses for fælles dataansvarlige for en given behandling af personoplysninger, skal de efterfølgende sikre sig, at der udarbejdes en aftale, som på en gennemsigtig måde fastlægger deres respektive ansvar for overholdelse af de forskellige forpligtelser, der pålægges en dataansvarlig efter databeskyttelsesforordningen. Parterne skal i den forbindelse have særligt fokus på at fastlægge deres respektive ansvar i forhold til efterlevelse af databeskyttelsesforordningens artikel 13 og 14 om oplysningspligt over for de registrerede. (databeskyttelsesforordningens artikel 26, stk. 1). Aftalen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af aftalen skal ligeledes gøres tilgængeligt for de registrerede.

28 Datatilsynets skabelon til en aftale om fælles dataansvar 28 Datatilsynets skabelon lægger op til, at parterne forud for en behandling tager stilling til: hvem der har ansvaret for at overholde konkrete bestemmelser i databeskyttelsesforordningen, eller hvordan parterne i fællesskab sikrer efterlevelsen. Klarhed om ansvaret vil mindske risikoen for, at nogle forpligtelser falder mellem to stole, og at de registrerede derved får en dårligere beskyttelse af deres personoplysninger.

29 Henvendelser fra de registrerede og Datatilsynet 29 Den registrerede kan, uanset aftalens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige. Den interne ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor samtlige af de parter, som er fælles dataansvarlige for behandlingen.

30 Datatilsynets skabelon til en aftale vedrørende fælles dataansvar 30

31 Fra Datatilsynets vejledning om dataansvarlige og databehandlere 31

32 Datatilsynets vejledning om dataansvarlige og databehandlere 32

33 Systemer, som stilles til rådighed af Styrelsen for It og Læring 33 Undervisningsministeriets brev af 24. maj 2018 til kommuner, regioner og institutionsledere: STIL har udarbejdet to cirkulæreskrivelser. De to cirkulæreskrivelser fastlægger rollefordelingen i følgende punkt 1 og 2 og det deraf følgende ansvar i relation til persondatalovgivningen. 1. Kommuner, regioner og institutioner og STIL har fælles dataansvar 2. Kommuner, regioner og institutioner er dataansvarlige og STIL er databehandler 3. STIL er dataansvarlig. STIL er dataansvarlig for de it-systemer hos STIL, som anvendes til modtagelse af statistikoplysninger eller hvor der udelukkende behandles oplysninger med til et statistisk formål. Det gælder således Undervisningsministeriets trivselsværktøj (folkeskolen) og ministeriets datavarehus med uddannelsesstatistik.

34 Fra ministeriets brev af 24. maj 34

35 Fælles dataansvar for oplysninger, som behandles i forbindelse med Indblik på en Facebook-side 35 EU-Dom: Indehavere af fan-sider på Facebook = fælles dataansvar med Facebook ift. Indblik på side Behandling af oplysninger om de personer, som besøger den pågældende side Fordi administratoren er med til at definere de kriterier, som anvendes til indsamling af oplysninger på fansiden Dette er selvom, det er statistiske data, da administratoren kan efterspørge demografiske data i anonymiseret form om sidens målgruppe, herunder information om livsstil, hovedinteresser og geografiske oplysninger, så administratoren bliver i stand til at målrette information Hvad betyder dette for jer? Både Facebook og indehaveren af siden har ansvar for at overholde databeskyttelses-forordningen, herunder de registreredes rettigheder ret til at modtage information (persondatapolitik), ret til indsigt, ret til at gøre indsigelse og ret til sletning mv. Start evt. med at linke til egen privatlivspolitik i sektionen Om virksomheden Facebooks betingelser er opdateret pr. 11. september 2018, hvor man søger at tage højde for, at der er fælles dataansvar -> Tillæg om ansvarlig for Indblik på side Hvis du bliver kontaktet af registrerede eller en tilsynsmyndighed iht. GDPR skal du videresende til Facebook (der er kommet en formular hertil)

36 36

37 Delt dataansvar

38 38 Delt dataansvar Er ikke et begreb, som anvendes i databeskyttelsesforordningen. Udtrykket anvendes fx på beskæftigelsesområdet som en ordning, der ikke udgør fælles dataansvar, men i stedet indeholder en beskrivelse af, hvordan dataansvaret er delt mellem de forskellige aktører. Med delt dataansvar menes der på beskæftigelsesområdet tilsyneladende fordelt dataansvar i modsætning til fælles dataansvar.

39 Beskæftigelsesområdet 39 Dataansvar for det fælles it-baserede datagrundlag på beskæftigelsesområdet (notat)

40 Spørgsmål 40 40