EUs personvernråd (EDPB) har kommet med uttalelse etter oppfordring fra det danske datatilsynet plikter som følger av GDPR artikkel 28 om bruk av databehandler, spesielt i sammenheng med GDPR kapittel V om overføring av personopplysninger til land uten for EØS (tredjeland).
Uttalelsen klargjør en del forhold knyttet til hvordan behandlingsansvarlig skal forholde seg til sine leverandører som behandler personopplysninger (databehandlere), og databehandleres bruk av underleverandører (underdatabehandlere), og avklarer enkelte spørsmål som har vært uklare ved bruk av data-/underdatabehandler, herunder underdatabehandleres overføring av personopplysninger til tredjeland.
Oversikt over identitet og kontaktopplysninger til databehandlere og underdatabehandlere
I følge uttalelsen bør behandlingsansvarlig alltid ha oversikt over identiteten til alle databehandlere og underdatabehandlere som benyttes, dvs. navn, adresse og kontaktperson, for å kunne oppfylle pliktene under GDPR artikkel 28. EDPB skriver:
“Although the chain [of processing] may be quite long, the controller retains its pivotal role in determining the purpose and means of processing”.
Databehandlere bør proaktivt sørge for at behandlingsansvarlig har denne informasjonen. Ved bytte av underleverandører (underdatabehandlere) må databehandleren altså aktivt informere behandlingsansvarlig om dette, slik at man trolig ikke kan vise til en nettside som behandlingsansvarlig må selv kontrollere om det skjer endringer.
“(…) the processor’s duty to inform the controller of any change of sub-processors implies that the processor actively indicates or flags such changes toward the controller.”
Informere registrerte om data- og underdatabehandlere?
EDPB mener også at databehandlere er «mottakere» i betydning av GDPR artikkel 4(9) som betyr at behandlingsansvarlig skal informere de registrerte (de som personopplysningene gjelder) om databehandlere etter artikkel 13(1)(e) og 14(1)(e), og være så konkret som mulig i denne informasjonen.
Men det kreves ikke at man konkret angir hvilke databehandlere og underdatabehandlere som benyttes. Informasjonen kan gis ved å angi type mottakere med henvisning til de kategorier behandlingsaktiviteter som utføres, type virksomhet (industri), sektor/undersektor or lokasjon av mottakere.
Etter GDPR artikkel 15 (registrertes krav på innsyn) skal imidlertid den konkrete databehandler angis (etter EU-domstolens i sak C-154/21), og tilsvarende gjelder etter artikkel 19, andre setning (etter samme dom).
Hvilke databehandlere som benyttes skal også tas inn i behandlingsprotokollen etter GDPR artikkel 30.
Kun benytte databehandlere og underdatabehandlere som «gir tilstrekkelige garantier». Kontroll av underdatabehandlere
En behandlingsansvarlig kan kun benytte en databehandler som gir «tilstrekkelige garantier» for at denne vil sikre personopplysningene i tilstrekkelig grad knyttet til de registrertes rettigheter og overholdelse av GDPR. Dette innebærer at behandlingsansvarlig må benytte databehandlere som har ekspertkunnskap, er pålitelig, har de nødvendige ressursene for å ivareta lovpålagte og avtalefestede forpliktelser (ressurser, økonomi, lovgivning) (se fortalepunkt 81 til GDPR):
81. For å sikre overholdelse av kravene i denne forordning med hensyn til behandling som skal utføres av databehandleren på vegne av den behandlingsansvarlige, når behandlingsaktiviteter overlates til en databehandler, bør den behandlingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling. (…)
I uttalelsen fra EDPB presiseres det at databehandler har plikt til å sørge for at underdatabehandlere også «gir tilstrekkelige garantier». Men behandlingsansvarlig har det endelige ansvaret, også for underdatabehandlere. Dette gjelder også ved bruk av underdatabehandlere i tredjeland (dvs. utenfor EØS). Bruk av databehandler eller underdatabehandler skal altså på ingen måte redusere nivået for beskyttelse av de registrerte.
In this regard, the EDPB highlights that for the purpose of assessing compliance with Articles 24(1) and 28(1) GDPR SAs should consider that the engagement of processors should not lower the level of protection for the rights of data subjects compared to a situation where the processing is carried out directly by the controller.
Behandlingsansvarlig kan stole på informasjon fra databehandleren, men– om behandlingen medfører høy risiko – bør det gjøres ytterligere undersøkelser.
Behandlingsansvarlig skal til enhver tid kunne dokumentere at denne har gjort tilstrekkelige vurderinger ved bruk av databehandler og underdatabehandlere. EDPB nevner også eksempler på hvordan data-/underdatabehandlere kan kontrolleres:
For example, the controller may choose to draw a questionnaire as a means to gather information from its processor to verify the relevant guarantees, ask for the relevant documentation, rely on publicly-available information and/or certifications or audit reports from trustworthy third parties and/or perform on-site audits.
Slike kontroller skal også gjentas i passende intervaller, avhengig av risiko ved behandlingen. EDPB presiserer også at man kan ikke avvike fra forpliktelser under GDPR ved at man vurderer risikoen med behandlingen som lav, men risikoen har betydning for hvilke tiltak man iverksetter for å sikre at behandlingen er i overensstemmelse med GDPR. Så verifisering av om data-/underdatabehandleres gir «tilstrekkelige garantier» gjelder uavhengig av hvilken risiko som foreligger ved behandlingen. Men omfanget av vurderingen avhenger av risikoen.
Kontroll av databehandleravtale med underdatabehandler
Databehandleren skal sørge for å pålegge underdatabehandlere de samme forpliktelsene om behandling av personopplysninger som følger av avtalen mellom behandlingsansvarlig og databehandler (GDPR artikkel 28(4)). Det krever ikke at avtalene er identiske, siden dette er et funksjonelt og ikke formelt krav, men pliktene skal følge ned hele leveransekjeden. Selv om behandlingsansvarlig kan fremme kontraktuelle krav mot databehandler, så er behandlingsansvarlig den endelige ansvarlige for behandlingen, også behandling som gjøres av databehandler og underdatabehandler (GDPR artikkel 5(6)).
Som en følge av pliktene etter GDPR artikkel 28(3)(h) skal databehandler forelegge databehandleravtaler med underdatabehandlere til behandlingsansvarlig på forespørsel. EDPB mener imidlertid at behandlingsansvarlig ikke har en plikt til å systematisk be om databehandleravtaler med underdatabehandlere for å kontrollere om disse viderefører pliktene etter avtalen med databehandleren. Men bør i det enkelte tilfelle vurdere om det er nødvendig å gjennomgå avtale med underdatabehandler, som om det er mistanke om at underdatabehandler ikke overholder databehandleravtalen eller lovverket.
Overføring mellom underdatabehandlere til tredjeland
Skal det skje en overføring mellom underdatabehandlere til tredjeland kan dette kun skje etter instruksjoner fra behandlingsansvarlig, dvs. behandlingsansvarlig må også godkjenne overføring mellom to underdatabehandlere. Regler i databehandler mellom behandlingsansvarlig og databehandler om overføring til tredjeland må altså reflekteres i avtalene med underdatabehandlere. Overføring er også tilgang til data fra et tredjeland, ikke bare at data reelt sett overføres over landegrensene.
Det er derfor behandlingsansvarlig som er ansvarlig for overføring til tredjeland som gjøres av underdatabehandler, og at overføringen skjer i henhold til GDPR kapittel V. Etter GDPR artikkel 44 er imidlertid også databehandlere og underdatabehandlere ansvarlig for at overføring skjer etter GDPR kapittel V.
Behandlingsansvarlig bør undersøke overføringer gjennom å kartlegge overføringene («transfer mapping») med hvilke overføringer som gjøres til hvilket formål, og grunnlaget for overføring etter GDPR kapittel V. EDPB redegjør nærmere for hvordan de ulike grunnlag for overføring skal vurderes i uttalelsen.
Kartleggingen bør gjøres av den underdatabehandler som eksportere opplysningene til tredjeland. Kartleggingen bør gjøres før underdatabehandler engasjeres og overføringen gjennomføres. Dette kan også være nødvendig for å oppfylle informasjonspliktene overfor de registrerte, se bl.a. artikkel 13(1)(f) og 14(1)(f). Kartleggingen kan gjøres i form av en overføringsvurdering («transfer impact assessment») som beskrevet i EDPBs anbefaling 01/2020.
Unntak fra å etterkomme dokumenterte instruksjoner pga. lov
EDPB uttalte seg også om bestemmelsen i GDPR artikkel 28(3)(a) om at databehandleren skal etterkomme behandlingsansvarlig dokumenterte instruksjoner «med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt». Hensikten med bestemmelsen er å minne om at kontrakter kan ikke overstyre lov, og EDPB mener at tilsvarende ordlyd som bestemmelsen bør tas inn i databehandleravtalen. For de som benytter avtalene som EDPB har gjort tilgjengelig, se bl.a. her, og som er på Datatilsynets nettsider, så er dette inntatt.
Bestemmelsen setter grenser for utformingen av databehandleravtaler, herunder forhandlinger mellom partene om innholdet i databehandleravtaler. Hva gjelder å pålegge plikten overfor dataimportører i tredjeland, så følger pliktene fra standard kontraktsbestemmelser (SCC) for overføring til tredjeland, men man bør sørge for å påse at plikten også følger av databehandleravtale med disse.
Hva gjelder lov i tredjeland som dataimportør, som underdatabehandler i tredjeland, dersom det tas inn i databehandleravtalen at underdatabehandler skal følge behandlingsansvarliges instruksjoner «om ikke annet følger av lov eller offentlig pålegg» som vil kunne være en henvisning til lovene i det land som underdatabehandler er underlagt, så mener EDPB at lover i tredjeland kan innvirke på behandlingen. GDPR forbyr heller ikke at tredjelands lov kan ha betydning for hvordan behandlingen skal skje, og at dette kan tas inn i databehandleravtalen. GDPR er derfor ikke til hinder for at det tas inn henvisning til tredjelandets rett i databehandleravtalen. Men landets rett kan ikke gå foran GDPR eller databehandleravtalen.
Loven som skal gjelde bør da spesifiseres i avtalen, og det å bare ha en generell henvisning til lover eller pålegg er ikke tilstrekkelig. EDPB minner også om at det er en plikt til å undersøke loven i det land som personopplysninger overføres til før overføring skjer, som det følger av standard kontraktsbestemmelser (SCC) for overføring til tredjeland. EDPB mener at uansett så går behandlingsansvarlig instruksjoner foran og denne kan stanse behandlingen til enhver tid, og en henvisning til annet lands lov eller offentlige pålegg kan ikke forstås som en instruksjon fra behandlingsansvarlig.
Uttalelsen fra EDPB
Merk at uttalelser og retningslinjer fra EDPB er ikke bindende for norske domstoler, se forarbeidene til personopplysningsloven, men det er grunn til å anta at uttalelsene i praksis vil bli tillagt stor vekt. Dette er også gjort i dommer, hvor det fremgår at uttalelser fra EDPB er relevante for fortolkning av GDPR. Hvilken vekt uttalelsene får rettskildemessig er avhengig av de andre kildene som foreligger.
