Datatilsynet: Dataansvarlige har pligt til at tjekke sikkerheden hos sine databehandlere

14. august 2018

Næsten hver gang vi går ind på en ny hjemmeside i disse dage, bliver vi bedt om at acceptere, at hjemmesiden får adgang til en del af vores data, eller der dumper mails ind i vores indbakke, der beder os om at bekræfte, at diverse steder har adgang til vores data. Det er blot én ud af mange ting, der er sket efter den nye persondataforordning fra EU trådte i kraft herhjemme.

Noget andet, som persondataforordningen har sat i gang, er, at der er langt større opmærksomhed på, at den data, vi deler ud af, også bliver behandlet og beskyttet ordentligt. Derfor slår Datatilsynet i en ny, vejledende tekst fast, at dataansvarlige har pligt til løbende at tjekke behandlingssikkerheden hos sine databehandlere.

Den dataansvarlige skal nemlig leve op til kravet om ansvarlighed, og det betyder, at vedkommende skal kunne vise, at behandling af personoplysninger sker i overensstemmelse med reglerne i databeskyttelsesforordningen. Som dataansvarlig kan man derfor ikke længere, ifølge Datatilsynet, blot lave en aftale med en databehandler og derefter ikke foretage sig mere.

HVEM OG HVORDAN

Som dataansvarlig kan man vælge at tjekke behandlingssikkerheden selv, eller man kan få en uafhængig tredjepart til det – eksempelvis en advokat. Det kan for eksempel være nødvendigt at se på, hvor kompleks databehandlingskonstruktionen er.

Man kan som dataansvarlig vælge enten at sikkerhedstjekke sin databehandler ved et fysisk besøg eller skriftlig informationsindsamling. Det er helt op til en selv at beslutte, hvilken metode man vælger, og man bør indskrive det i den databehandleraftale, man indgår. Man bør altid inden lave en konkret risikovurdering for at finde frem til, hvilken metode man bør vælge til tilsynet.

Ligeledes bør risikovurderingen også afgøre, hvor tit tilsynene med sikkerheden skal udføres. Er risikoen høj, kan det være man skal udføre tilsyn årligt eller endda halvårligt, hvorimod hvis risikoen er lavere kan der gå længere tid imellem.

HVAD MED UNDERDATABEHANDLERE?

En databehandler kan vælge at bruge en anden databehandler, der derved kaldes en underdatabehandler, hvis den dataansvarlige godkender dette. Men i så fald skal den oprindelige databehandler sørge for, at underdatabehandleren bliver pålagt de eksakt samme databeskyttelseskrav, som der står i den oprindelige databehandleraftale.

Herefter er det stadig den dataansvarliges ansvar at sikre, at databehandleren overholder de aftalte tilsyn med underdatabehandleren, for eksempel ved at fremsende dokumentation efter hvert tilsyn eller lignende.

 

Er du i tvivl om, hvorvidt du selv kan føre tilsyn, hvordan et tilsyn skal føres, hvor ofte eller lignende, så kontakt Fair Advokater for yderligere råd, hjælp og vejledning.



Diskussion