Tilsyn med databehandlere og underdatabehandlere

11. december 2023 —

3 min læsetid

Selvom det ikke udtrykkeligt fremgår af databeskyttelsesforordningen (GDPR), skal du som dataansvarlig føre kontrol med dine databehandlere.

Hvorvidt et tilsyn skal gennemføres af dig selv eller en uafhængig tredjepart, samt hvor ofte og hvordan tilsynet skal gennemføres, afhænger af en konkret risikovurdering.

Tilsyn med eventuelle underdatabehandlere føres i udgangspunktet af den oprindelige databehandler. Den dataansvarlige har dog en forpligtelse til at sikre sig, at tilsynet løbende føres.

Baggrund

Hvis man benytter databehandlere, skal man som dataansvarlig indgå en databehandleraftale. Af databehandleraftalen skal det fremgå, at databehandleren sikrer sig, at der implementeres et passende niveau af teknisk og organisatorisk sikkerhed i forhold til de data og risici, som behandlingen indebærer. De konkrete sikkerhedsforanstaltninger bør fremgå af databehandleraftalen.

Kravet om at føre kontrol med databehandlere og underdatabehandlere fremgår ikke af en konkret bestemmelse i databeskyttelsesforordningen, men det er Datatilsynets opfattelse, at man for at kunne leve op til ansvarlighedsprincippet skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen, og at den dataansvarlige ikke vil kunne leve op til dette krav ved blot at indgå en databehandleraftale og herefter ikke føre kontrol.

Hvad er ansvarlighedsprincippet?

Ansvarlighedsprincippet henviser til databeskyttelsesforordningens artikel 5, stk. 2, hvoraf det fremgår, at den dataansvarlige er ansvarlig for at kunne påvise, at de grundlæggende principper for behandling af personoplysninger overholdes.

Hvem skal føre tilsyn?

Som dataansvarlig kan man vælge selv at påse behandlingssikkerheden hos underleverandører, eller man kan vælge at få en ekstern uafhængig tredjepart til at påse behandlingssikkerheden og overholdelse af databehandleraftalen.

Ved kontrollen tages udgangspunkt i de sikkerhedsforanstaltninger, der er aftalt i den indgåede databehandleraftale.

Hvordan skal der føres tilsyn?

Tilsynet med en databehandler kan gennemføres som et fysisk besøg eller som et skriftlig tilsyn baseret på et tilsynsskema.

Ved valget af tilsynsform, vil man skulle tage udgangspunkt i den risikovurdering, der ligger til grund for de implementerede sikkerhedsforanstaltninger. Tilsynsformen afhænger således af den identificerede risiko for de registrerede.

Hvor ofte skal man føre tilsyn med sine databehandlere?

Hyppigheden af tilsyn afhænger ligeledes af den risikovurdering, som den dataansvarlige ved indgåelse af databehandleraftalen har foretaget.

Hvis risikoen for de registrerede er høj, kan det være nødvendigt at påse behandlingssikkerheden hos databehandlere årligt eller halvårligt. Hvis risikoen er lav, kan tilsynet føres med en lavere frekvens.

Skal man også føre tilsyn med underdatabehandlere?

Den oprindelige databehandler skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som dem der gør sig gældende for databehandleren selv. På denne baggrund er Datatilsynets udgangspunkt, at det overlades til den oprindelige databehandler at føre kontrol med egne underdatabehandlere. Den dataansvarlige er dog forpligtet til at sikre sig, at databehandleren fører kontrol med underdatabehandlere.

Kontakt og gratis møde

Hos Hulgaard Advokater har vi erfaring med at føre både fysiske og skriftlige tilsyn med databehandlere og underdatabehandlere, herunder vurdere formen og frekvensen af tilsyn.

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk for en vurdering af dit behov for at føre tilsyn med eventuelle databehandlere eller underdatabehandlere.