Stort set alle virksomheder benytter sig i et eller andet omfang af databehandlere, f.eks. til opbevaring af oplysninger på kunder, klienter eller andre. En databehandler behandler personoplysninger på vegne af den dataansvarlige. Hvis du benytter Danløn eller Bluegarden eller lignende selskab til håndtering af løn, vil det pågældende firma fungerer som databehandler for dig.  

Det er Datatilsynets vurdering, at man som dataansvarlig har en pligt til at føre tilsyn med sine databehandlere.

Læs denne artikel, og få et overblik over, hvordan du skal/kan føre tilsyn med dine databehandlere. 

Indledning

Hvis du benytter dig af databehandlere, skal du ifølge databeskyttelsesforordningen indgå databehandleraftaler med disse. I databehandleraftalen skal det sikres, at databehandleren benytter sig af passende teknisk og organisatorisk sikkerhed i forhold til de risici, som er forbundet med de oplysninger, som databehandleren foretager behandling af. 

Som dataansvarlig er det vigtigt, at du fører tilsyn med, at databehandleren overholder databehandleraftale, og rent faktisk gennemfører de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger. 

Hvordan foretages tilsynet

Tilsynet kan foretages som et fysisk besøg eller som en skriftlig informationsindsamling. 

Valget af tilsynsform afhænger af den identificerede risiko. Hvis risikoen for de registreredes rettigheder er høj, kan det være nødvendigt at foretage fysisk tilsyn med databehandleren. 

Momenter i riskovurderingen, som kan tale for et fysisk tilsyn er blandt andet delegation og brug af administrative rettigheder, adgangen til persondata, pålagte sletteregler m.fl. 

Hvor ofte skal tilsyn foretages  

Frekvensen af, hvor ofte der skal foretages tilsyn med databehandleren, afhænger af risikovurderingen. 

Hvis risikoen er høj, kan det være nødvendigt at foretage tilsyn med databehandleren halvårligt eller årligt. 

Hvis risikoen er lav, kan du som dataansvarlig nøjedes med at påse din databehandlers behandlingssikkerhed med en lavere frekvens. Datatilsynet kommer dog ikke med nærmere præcisering af, hvad “lavere frekvens” indebærer. 

Det er vores anbefaling, at man i sine politikker skriver ned, hvor ofte, man vil føre tilsyn med sine databehandlere, samt hvordan dette vil ske – dette sikrer dokumentation for, at I har forholdt jer til kravet om ansvarlighed, herunder at I rent faktisk gør noget, for at sikre jer, at databehandlerne overholder de aftalte vilkår om behandlingssikkerhed. 

Hvem forestår tilsynet

I kan vælge, selv at foretage tilsyn med jeres databehandlere. 

Ellers foreslår Datatilsynet, at tilsyn kan foretages af ekstern og uafhængig tredjemand, f.eks. en revisor. 

Alterantivt kan man forsøge at alliere sig med en person, der har den fornødne IT-sikkerhedsmæssige viden, og få hjælp fra en ekstern rådgiver (revisor eller advokat) til at formulere nogle spørgsmål til databehandleren, som denne skal besvare, for at du kan påse, at databehandleren overholder sin forpligtelse til behandlingssikkerhed. 

Tilsyn med underdatabehandlere

Det følger af databeskyttelsesforordningen, at din databehandler er ansvarlig for, at pålægge sin underdatabehandler mindst samme forpligtelser, som databehandleren har overfor dig (den dataansvarlige). 

Databehandleren er tillige, overfor dig (den dataansvarlige), ansvarlig for underdatabehandlerens ageren. Det er derfor også databehandleren, der skal sikre sig, at dennes underdatabehandler overholder sine forpligtelser i forhold til behandlingssikkerhed, herunder føre tilsyn med underdatabehandleren. 

Som dataansvarlig er du dog forpligtet til at sikre dig, at din databehandler fører det aftalte tilsyn med underdatabehandleren. For at sikre dig dokumentation for, at du foretager denne kontrol,  kan det f.eks. aftales, at din databehandler forpligter til at sende dig dokumentation herfor, når, din databehandler har foretaget tilsyn med underdatabehandleren. 

Opsummering

Selvom det ikke udtrykkeligt er nævnt i databeskyttelsesloven, har du som dataansvarlig pligt til at føre tilsyn med dine databehandlere. 

Frekvensen af tilsyn og formen herfor, afhænger af din risikovurdering. Jo større risiko, des oftere bør tilsyn føres, og dette bør eventuelt ske ved fysisk tilsyn. 

Det er din databehandler, der skal føre tilsyn med en eventuel underdatabehandler, idet du dog er forpligtet til at sikre dig, at din databehandler rent faktisk fører det aftalte tilsyn med sin underdatabehandler. 

Hos SelskabsAdvokaterne er vi specialister i håndtering af personoplysninger, herunder hvordan din virksomhed opfylder GDPR-reglerne. Du er altid velkommen til at kontakte os for en uformel drøftelse omkring GDPR og personoplysninger.