Datatilsynet træffer afgørelse om uautoriseret brug af underdatabehandler

Sagens omstændigheder

En kommune anvendte et IT-system, som kommunen ejede sammen med en række andre kommuner og regioner; "ejerkredsen". IT-systemet blev leveret af en ekstern leverandør. Ejerkredsen blev i sagen betragtet som databehandler i forhold til kommunen, mens leverandøren blev betragtet som underdatabehandler.

Leverandøren benyttede en underleverandør til blandt andet support af dele af IT-systemet. Underleverandøren stod for den løbende behandling af supportanmodninger og varetog også vedligeholdelse (patching) af service desk-systemet. Der var indgået en underdatabehandleraftale mellem leverandøren og underleverandøren. Den pågældende underleverandør var dog ikke blevet specificeret i underdatabehandleraftalen mellem ejerkredsen og leverandøren. Det fremgik af samme underdatabehandleraftale, at leverandøren ikke måtte gøre brug af underdatabehandlere medmindre disse fremgik af aftalen.

Underleverandøren havde kontorer i hele verden, men det var aftalt, at behandling af supportanmodninger ikke skulle ske udenfor EU/EØS. Dog kunne patching ske fra andre steder i verden.

Datatilsynet har lagt til grund, at de personoplysninger, der blev overført til underleverandøren, dels omfattede supportbrugernes navn og e-mailadresse, dels andre personoplysninger, der måtte være i systemet i forbindelse med en supportsag.

Datatilsynets afgørelse

Datatilsynet har lagt til grund, at leverandørens brug af en underleverandør krævede specifik godkendelse fra kommunen som dataansvarlig, og at leverandøren har handlet uden for instruks fra ejerkredsen ved dermed at benytte en underleverandør, der ikke var angivet. 

Datatilsynet fandt, at leverandøren dermed selv havde fastlagt formålet med behandlingen og dermed var at betragte som dataansvarlig i forhold til selve videregivelsen af personoplysninger til underleverandøren. Datatilsynet konkluderede derfor, at der var sket en uberettiget videregivelse af personoplysninger i strid med databeskyttelsesforordningen og databeskyttelsesloven. 

Datatilsynet fandt derfor, at personoplysningerne måtte anses for at være kommet uvedkommende til kendskab, idet underleverandøren ikke var en godkendt underdatabehandler i aftaleforholdet mellem ejerkredsen og leverandøren. 

Da underleverandøren, som angivet ovenfor, kunne patche systemet fra ikke-EU-lande, anså Datatilsynet også dette som en uberettiget overførsel til tredjelande, selv om det ikke i sagen var påvist, at personoplysninger rent faktisk var blevet tilgået fra tredjelande. Som følge af ovennævnte udtalte Datatilsynet "alvorlig kritik" over for leverandøren for at have handlet i strid med instruks og den uautoriserede videregivelse.

Kromann Reumerts bemærkninger

Det følger af afgørelsen, at databehandlerens brug af uautoriserede underdatabehandlere medfører, at databehandleren anses for at være selvstændig dataansvarlig for den behandling af personoplysninger, der sker ved selve den uautoriserede videregivelse. Det medfører principielt, at databehandleren selvstændigt skal sikre overholdelse af reglerne i databeskyttelseslovgivningen gældende for dataansvarlige, herunder f.eks. krav om behandlingsgrundlag og iagttagelse af de registreredes rettigheder. 

Afgørelsen er også interessant, fordi Datatilsynet lægger til grund, at selv patching af et IT-system fra lande udenfor EU kan betragtes som en overførsel til tredjelande, også selv om det ikke i sagen var påvist, at personoplysninger rent faktisk var blevet tilgået fra tredjelande. 

Endelig er afgørelsen interessant, da der ikke udtales kritik af kommunen, der reagerede ved at ophøre behandlingen umiddelbart efter at være blevet bekendt med leverandørens brug af en uautoriseret underdatabehandler og ved at anmelde bruddet på persondatasikkerheden til Datatilsynet. Som dataansvarlig foretog kommunen først anmeldelse af sikkerhedsbruddet nogen tid efter udløbet af fristen for anmeldelse.

Læs afgørelsen.