Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

GDPR: Datatilsynet kommer med de første afgørelser i forhold til brugen af databehandlere

Bech Bruun
21/08/2019
375
GDPR: Datatilsynet kommer med de første afgørelser i forhold til brugen af databehandlere
Bech Bruun logo
Det er nu klart, at Datatilsynet forventer et løbende tilsyn med databehandlere, og at den dataansvarlige kan dokumentere det gennemførte tilsyn. Det viser de seneste afgørelser fra Datatilsynet. Afgørelserne understreger nødvendigheden af, at dataansvarlige skal stille krav og betingelser til leverandører og andre samarbejdspartnere, der behandler personoplysninger på vegne af den dataansvarlige.








 

De første afgørelser

I efteråret 2018 fik både Randers og Viborg Kommune besøg af Datatilsynet som led i myndighedens planlagte tilsyn. Fokusområdet for tilsynene hos de to kommuner var efterlevelse af kravene for anvendelse af databehandlere efter Databeskyttelsesloven og Databeskyttelsesforordningen.


Databeskyttelsesforordningens krav til brug af databehandlere


Datatilsynet konstaterer overordnet, at arbejdet med databehandlere ikke lever op til kravene i databeskyttelsesforordningens art. 28, stk. 3.

  • At Viborg og Randers Kommuner ikke i alle tilfælde havde indgået databehandleraftaler, der lever op til minimumskravene i databeskyttelsesforordningens art. 28, stk. 3. Der var bl.a. ikke taget stilling til, hvordan kravene i forordningen skal opfyldes i praksis.

  • At Viborg Kommune ikke i alle tilfælde havde ført tilsyn med behandlingen af personoplysninger hos databehandlere.

  • At Viborg og Randers Kommuner ikke i alle tilfælde havde ført tilsyn med underdatabehandlere.


Ud over kravene til selve databehandleraftalen, lægger Datatilsynet stor vægt på, at behandling af personoplysninger skal ske på en lovlig, rimelig og gennemsigtig måde, jf. databeskyttelsesforordningens art. 5, stk. 1. Datatilsynet lægger også stor vægt på, at den dataansvarlige kan sikre og påvise, at personoplysningerne behandles i overensstemmelse med disse krav, jf. art. 5, stk. 2.

Som eksempler på, at kommunerne ikke havde tilstrækkeligt styr på sine databehandlere, kan nævnes

  • At det ikke fremgik, hvilke typer af personoplysninger der behandles, herunder om der er tale om følsomme eller fortrolige oplysninger.

  • At det var uklart, om og hvordan der kunne ske ændringer i brugen af underdatabehandlere.

  • At databehandlere kunne behandle personoplysninger til egne formål, uden at kommunen klart havde taget stilling til det.















Bech-Bruuns kommentarer


Vi har set frem til de første afgørelser fra Datatilsynet i forhold til brugen af databehandlere.

Afgørelserne har en høj detaljegrad. De understreger nødvendigheden af, at dataansvarlige skal stille krav og betingelser til leverandører og andre samarbejdspartnere, der behandler personoplysninger på vegne af den dataansvarlige.

Afgørelserne stiller også klare krav til, hvordan kommunerne skal føre et risikobaseret tilsyn med sine databehandlere og underdatabehandlere. Begge kommmuner baserede tilsynet med databehandlere på, at databehandlerne skal fremlægge årlige revisionserklæringer. Datatilsynet foretog i den forbindelse stikprøvekontrol af, om kommunerne kunne fremlægge dokumentation for indhentelse af revisionsklæringerne fra databehandlerne.

Det er således klart, at Datatilsynet forventer et løbende tilsyn med databehandlere, og at den dataansvarlige kan dokumentere det gennemførte tilsyn. Eksterne revisionserklæringer kan i den forbindelse været et velegnet redskab til at gennemføre kontrol med databehandlere og underdatabehandlere.

Bech-Bruun tilbyder en digital løsning, DPA Service (Data Processor Audit), som giver virksomheder en effektiv mulighed for at udføre og dokumentere kontrol af deres databehandlere. DPA Service vil ofte være en mere økonomisk fordelagtig løsning i forhold til de traditionelle auditeringer og revisionserklæringer.

Kontrollen sker ved brugen af spørgeskemaer, der sendes elektronisk til personer hos den enkelte databehandler. Resultatet er en kontrolrapport, hvor den dataansvarlige får indsigt i sine databehandleres complianceniveau.

Lena Andersen Salin er senioradvokat hos Bech-Bruun og har netop skrevet et blog-indlæg om arbejdet med databehandlere og den kommende fremtid for området, som disse afgørelser lander direkte ned i.

Afgørelserne kan læse her (Randers) og her (Viborg).






 

 

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Ledige jobs
Annoncér dit stillingsopslag her og nå ud til mere end 46.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
22/09/2020
Persondata
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
06/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted