Relationen dataansvarlig/ databehandler. v/rami Chr. Sørensen

Transkript

1 Relationen dataansvarlig/ databehandler v/rami Chr. Sørensen 1

2 Dataansvarlig/databehandler Se den vejledning, som Datatilsynet og Justitsministeriet har udgivet den 15. november 2017: 2

3 Dataansvarlig/databehandler Se den vejledning, som Datatilsynet og Justitsministeriet har udgivet den 15. november 2017: 3

4 Dataansvarlig/databehandler Særligt om overladelser Når personoplysninger gives til en databehandler, er dette ikke en videregivelse, men en overladelse. En overladelse kræver ikke en selvstændig behandlingshjemmel, da alt hvad en databehandler foretager altid sker på grundlag af den dataansvarliges behandlingshjemmel. En overladelse må dog naturligvis ligesom enhver anden behandling ikke stride mod de grundlæggende behandlingsprincipper eller ske i videre omfang end hvad den relevante behandlingshjemmel kan bære. 4

5 Dataansvarlig/databehandler NB: Husk evt. fælles dataansvar Datatilsynet har uformelt meldt ud, at man som udgangspunkt vil være tilbageholdende med at tilsidesætte en reel vurdering, som de relevante virksomheder, myndigheder mv. har udfoldet ved afgørelsen af om der foreligger en databehandlerrelation eller fælles dataansvar 5

6 Dataansvarlig/databehandler Kriterier, der lægges vægt på ved vurderingen af, om der er en databehandlerkonstruktion: Oplysningerne behandles kun til dine formål Den anden part behandler alene oplysninger på dine vegne Du har ved lov eller lignende fået pålagt en opgave, som vedrører behandling af personoplysninger 6 Aftalen eller en del af aftalen mellem dig og en anden part indeholder en direkte eller indirekte instruks om behandling af personoplysninger (modsat en aftale, som alene retter sig mod levering af en anden ydelse)

7 Dataansvarlig/databehandler Kriterier, der lægges vægt på ved vurderingen af, om der er en databehandlerkonstruktion: Den anden part skal varetage en opgave, som i princippet kunne have været udført af dig selv (modsat en ydelse, som kun lovligt kan foretages af den anden part) Du har instrueret den anden part i, hvordan oplysningerne skal behandles Den anden part kan lovligt følge en instruks fra dig 7

8 Dataansvarlig/databehandler Kriterier, der lægges vægt på ved vurderingen af, om der er en databehandlerkonstruktion: Det er alene dig, der træffer afgørelse om formål og væsentlige hjælpemidler, herunder behandlingsskridt som indsamling, videregivelse, sletning og anvendelse af underdatabehandlere Den anden part udfører ingen af ovenstående behandlingsskridt, medmindre det er aftalt med eller godkendt af dig Du fører kontrol med, at den anden part behandler oplysningerne som aftalt 8

9 Dataansvarlig/databehandler Kriterier, der lægges vægt på ved vurderingen af, om der er en databehandlerkonstruktion: De personer, der behandles oplysninger om, har en klar forventning om, at du er ansvarlig for behandlingen Du kan kræve oplysningerne tilbageleveret eller slettet hos den anden part, hvis du ikke længere ønsker, at den anden part skal behandle oplysningerne 9

10 Forhandling af en databehandleraftale i praksis Set fra den dataansvarliges synsvinkel: 10 Udnyt, at der nu er to parter, der i hvert fald i visse sammenhænge hæfter solidarisk og er strafferetlige pligtsubjekter Læg en klar linje for, hvordan I mener en databehandleraftale skal se ud Hvis ikke I har et paradigme, så udtryk klart at I forventer, at jeres databehandler som professionel aktør stiller med en fuldt ud compliant udkast til databehandleraftale Aftalens opfyldelse af forordningen bør i reglen være udgiftsneutral for den dataansvarlige Vær særlig klar på, at alle databehandlere men især de større skal afskæres direkte fra at gå offentligt ud eller til tilsynsmyndigheden med oplysninger om datasikkerhedsbrister

11 Forhandling af en databehandleraftale i praksis 11 Set fra databehandlerens synsvinkel: I skal nu til at have helt styr på jeres eventuelle databehandlere, jf. artikel 28, stk. 4, 2. pkt. Tag teten i forhandlingerne meld ud til kunderne, hvor I mener aftalen skal justeres Skriv ind, at aftalen kan kræves genforhandlet, hvis/når der udstedes standarddatabehandleraftaler, som I måtte anse for mere hensigtsmæssige for jeres forretning Pålæg den dataansvarlige at underrette jer, hvis der rejses krav omfattet af aftalen på vegne af registrerede

12 Dataansvarlig/databehandler Databehandleren får nye forpligtelser med forordningen, f.eks.: Fortegnelser over behandlingsaktiviteter Underretning ved sikkerhedsbrister Evt. databeskyttelsesrådgiver 12

13 Dataansvarlig/databehandler Flere og mere detaljerede krav til databehandleraftaler Eksplicitte betingelser for, hvornår en databehandler må benytte sig af underdatabehandlere Kan ifalde erstatningsansvar over for de registrerede personer Kan ifalde bødeansvar 13

14 Relationen dataansvarlig/databehandler Direkte regulering af databehandlere: Hvis en databehandler i strid med forordningen bestemmer formål og midler for en behandling, er denne at anse som selvstændig dataansvarlig for den pågældende behandling art. 28(10) Brug af underdatabehandler art. 28(2) + 28(4) 14

15 Relationen dataansvarlig/databehandler Direkte regulering af databehandlere: Lovlig aftale art. 28(3) Skriftlighed art. 28(9) Oplyse om ulovlig instruks art. 28(3) (h) Føre fortegnelse/dokumentation om de behandlinger, der finder sted, oplysninger om for hvilken dataansvarlig oplysninger behandles, tredjelandsoverførsler mv. art. 30(2) 15

16 Relationen dataansvarlig/databehandler Direkte regulering af databehandlere: Samarbejde med tilsynsmyndigheden art. 31 Sikkerhed art. 32 Databehandleren og medarbejdere mv. skal handle efter instruks art (4) Pligt til uden unødig forsinkelse at underrette den dataansvarlige om et data breach art. 33(2) 16 Udpege DPO art. 37

17 Relationen dataansvarlig/databehandler Direkte regulering af databehandlere: Kan tiltræde adfærdskodeks/certifikat til overholdelse af forordningen art Tredjelandsoverførsler databehandlere hæfter for lovligheden af overførsler, de medvirker til, f.eks. ved cloud computing art. 44 Pligt til at give oplysninger til tilsynsmyndigheden, give adgang til lokaler mv. art. 58(1)(a) 17

18 Relationen dataansvarlig/databehandler Direkte regulering af databehandlere: Kan sagsøgtes iht. Værnetingsregler art. 79 Erstatning databehandlere hæfter umiddelbart sammen med den dataansvarlige inden for databehandlerens ansvarsområde, medmindre databehandleren på ingen måde er ansvarlig for skaden. Omfatter også overtrædelser af specificerende national lovgivning art. 82 Kan pålægges bøder art

19 Dataansvarlig/databehandler Hvad siger forordningen om relationen mellem databehandler og dataansvarlig? Præambelbetragtning 79: Beskyttelse af registreredes rettigheder og frihedsrettigheder samt de dataansvarliges og databehandlernes ansvar, herunder erstatningsansvar, også i forbindelse med tilsynsmyndighedernes kontrol og foranstaltninger, kræver en klar fordeling af ansvarsområderne i medfør af denne forordning, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig. 19

20 Dataansvarlig/databehandler Hvad siger forordningen om relationen mellem databehandler og dataansvarlig? Databeskyttelsesrådgiverens opgaver artikel 39, litra b: at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende 20

21 Dataansvarlig/databehandler Artikel 82 (Ret til erstatning og erstatningsansvar) stk. 2: Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behandling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser 21

22 Dataansvarlig/databehandler Artikel 82 (Ret til erstatning og erstatningsansvar) stk. 3: En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden stk. 4: Solidarisk hæftelse 22

23 Dataansvarlig/databehandler Artikel 82 (Ret til erstatning og erstatningsansvar) stk. 5: Regres NB: Hvis de imidlertid er inddraget i den samme retssag i overensstemmelse med medlemsstaternes nationale ret, kan erstatning fordeles i henhold til den enkelte dataansvarliges eller databehandlers ansvar for den skade, der er forvoldt af behandlingen, forudsat at der sikres fuld erstatning til den registrerede, som har lidt skaden. Enhver dataansvarlig eller databehandler, der har betalt fuld erstatning, kan efterfølgende gøre regres mod andre dataansvarlige eller databehandlere, der er involveret i samme behandling. (præambel 146) 23

24 Automatiske individuelle afgørelser - artikel 22

25 Automatiske individuelle afgørelser artikel 22 Ret til efter begæring ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende Den automatiske behandling, som omtales i art. 22, omfatter alene behandling, hvor personlige forhold evalueres Det nævnes i betænkningen på side 375, at en ren matematisk udregning ud fra faktuelle forudsætninger, uden at der sker evaluering af personlige forhold, ikke er omfattet, f.eks. at en person ikke kan hæve et beløb i en pengeautomat, fordi der ikke er dækning af beløbet 25

26 Automatiske individuelle afgørelser artikel 22 Et eksempel på en automatisk afgørelse i art. 22 s forstand ville f.eks. kunne være, når et forsikringsselskab træffer automatisk afgørelse (uden menneskelig indblanding) om, at en 18-årig mand ikke kan tegne en bilforsikring. Her vil der være tale om en afgørelse, der betydeligt påvirker den registrerede 26

27 Automatiske individuelle afgørelser artikel 22 Et andet eksempel ville være, hvis en bank træffer automatisk afgørelse (uden menneskelig indblanding) om, hvorvidt en person kan få bevilget et lån, idet en sådan afgørelse ligeledes betydeligt påvirker den registrerede Et tredje eksempel kan være en automatisk afgørelse (uden menneskelig indblanding), som en A-kasse træffer i forbindelse med en vurdering af, hvorvidt den pågældende skal have en bestemt dagpengeydelse 27

28 Automatiske individuelle afgørelser artikel 22 Undtagelse, hvis afgørelsen: A. er nødvendig for indgåelse/opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig B. er hjemlet i EU-retten eller national lovgivning og som fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder, legitime interesser mv. C. er baseret på den registreredes udtrykkelige samtykke 28

29 Automatiske individuelle afgørelser artikel 22 I tilfælde der er omfattet af undtagelsen A og C, skal den dataansvarlige gennemføre passende foranstaltninger til beskyttelse af den registreredes rettigheder, legitime interesser mv. i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at fremkomme med sine synspunkter og til at bestride afgørelsen 29

30 Automatiske individuelle afgørelser artikel 22 En virksomhed, der lovligt træffer automatiske afgørelser efter art. 22, stk. 2, litra a (indgåelse/opfyldelse af en kontrakt) skal derfor sikre sig, at den registrerede har mulighed for at anmode om, at afgørelsen bliver genoptaget og dermed vurderet ved menneskelig indgriben af en medarbejder 30

31 Automatiske individuelle afgørelser artikel 22 Hvornår er vi omfattet af art. 22, stk. 2, litra a? Justitsministeriets betænkning side 375 nævner på side 377, at kravet om nødvendighed knytter sig til selve indgåelse eller opfyldelse af kontrakten, eksempelvis må det antages at være nødvendigt, at den dataansvarlige træffer en automatisk afgørelse for at yde den registrerede den ydelse, som der er indgået aftale om, såfremt den dataansvarlige ellers skal bruge betydelige ressourcer på manuel behandling for at yde den registrerede ydelsen 31 Husk i dette tilfælde, at det sker under forudsætning af de passende foranstaltninger, jf. art. 22, stk. 3

32 Automatiske individuelle afgørelser artikel 22 Hvornår er vi omfattet af art. 22, stk. 2, litra a? fortsat: I sådanne situationer må virksomheder have en vis mulighed for at tillægge eksempelvis ressourcemæssige hensyn betydning i vurderingen af, om den automatiske afgørelse er nødvendig 32

33 Automatiske individuelle afgørelser artikel 22 Databeskyttelsesforordningens art. 22, stk. 2, litra b om national ret: Det kan ikke antages at være et krav om hjemmel i national ret til den automatiske behandling, at den konkrete lov specifikt regulerer, at afgørelsen skal ske uden menneskelig indblanding Det fremgår af betænkningens side 378, at når det i øvrigt er i overensstemmelse med national ret at beslutte, at afgørelser skal ske automatisk uden indblanding af en sagsbehandler, må man kunne træffe en sådan afgørelse, idet den nationale lovgivning skal fastsætte passende foranstaltninger til beskyttelse af den registreredes rettigheder og legitime interesser mv. 33

34 Automatiske individuelle afgørelser artikel 22 Databeskyttelsesforordningens art. 22, stk. 2, litra b om national ret fortsat: Det må anses for en passende garanti, hvis den pågældende person f.eks. kan påklage den automatiske afgørelse til en overordnet myndighed, hvor klagesagen behandles ved menneskelig behandling Betænkningen nævner som eksempel SU-loven, hvor en ansøgning om SU alene kan ske gennem det digitale selvbetjeningssystem minsu 34

35 Automatiske individuelle afgørelser artikel 22 Databeskyttelsesforordningens art. 22, stk. 2, litra b om national ret fortsat: Afgørelser om tildeling af SU træffes automatisk på baggrund af den uddannelsessøgendes indskrivningsoplysninger, og støtten udbetales herefter til den uddannelsessøgendes Nemkonto. Det fremgår af de almindelige bemærkninger til SU-loven, at effektiviseringsgevinsten ved selve digitaliseringen opnås ved, at de uddannelsessøgende selv indtaster ansøgningen i minsu, ved at SU-afgørelsen i højere grad automatiseres og ved effektivisering af vejledningen 35

36 Automatiske individuelle afgørelser artikel 22 Databeskyttelsesforordningens art. 22, stk. 2, litra b om national ret fortsat: Automatisering af SU-afgørelsen sker ved, at oplysningerne, som ligger til grund for SU-afgørelsen, og som før hentes fra andre offentlige myndigheders registre og fra uddannelsesinstitutionernes studieadministrative registre Sådanne automatiske afgørelser vil have hjemmel i SU-loven. Der er truffet tilstrækkelige passende foranstaltninger, idet den uddannelsessøgende kan påklage afgørelsen til Ankenævnet for Statens Uddannelsesstøtte, som ikke træffer en automatisk afgørelse 36

37 Automatiske individuelle afgørelser artikel 22 Følsomme oplysninger kan ikke anvendes til automatiske individuelle afgørelser, medmindre der foreligger udtrykkeligt samtykke eller foreligger væsentlige samfundsmæssige interesser 37