Når offentlige virksomheter tar i bruk skytjenester levert av store globale leverandører må de som regel forholde seg til standardvilkår og standard databehandleravtaler som leverandøren har laget. Som behandlingsansvarlig må du sørge for at avtalene er i henhold til personvernregelverket, og du må foreta deg noe hvis ikke. Her får du noen praktisk rettede råd for hvordan du kan sørge for det.
Hvor er jeg i veiledningen?
1. Om ansvarlighetsprinsippet
Det er behandlingsansvarlig som har ansvar for å overholde de grunnleggende personvernprinsippene, og skal kunne dokumentere dette. Dette ansvaret omtales som ansvarlighetsprinsippet, og følger av personvernforordningen art. 5 (2). Du kan lese mer om personvernprinsippene på Datatilsynet nettsider.
Ved bruk av databehandlere er databehandleravtalen et viktig verktøy for å ivareta ansvarlighetsprinsippet. Databehandleravtalen skal sikre en tydelig fordeling av ansvar mellom en behandlingsansvarlig og en databehandler i henhold til forordningen.
Generelle krav til hva databehandleravtalen må inneholde fremgår av personvernforordningen art. 28 nr. 3. DFØ har laget en mal for databehandleravtale du kan benytte dersom du ikke må legge til grunn skytjenesteleverandørens standardvilkår. Se også Datatilsynets veileder for hvordan lage en databehandleravtale.
2. Råd for å overholde ansvarlighetsprinsippet
For å overholde ansvarlighetsprinsippet må behandlingsansvarlig gjennomgå standardvilkårene, identifisere punkter som eventuelt er problematiske, og vurdere om disse er av en slik art at avtalen ikke kan inngås og tjenesten ikke kan tas i bruk før dette er bragt i orden. Flere skytjenester leveres av selskaper basert utenfor EU/EØS og med andre tradisjoner for kontraktsrett, og dette påvirker hvordan vilkårene er utformet. EDPB uttaler i EDPB Guidelines 07/2020 avsnitt 118 at det anbefales å inkludere en prosess for og en mal for ytterligere instrukser som et vedlegg til en kontrakt. Dette betyr imidlertid ikke at det alltid må være mulig å gi nye eller løpende instrukser.
Arbeidsgruppen har sett eksempler på avtalevilkår med uklar ordlyd, og hvor systematikken gjør det vanskelig å entydig avklare hvilke opplysninger som behandles til hvilke formål. Det kan i disse tilfellene være utfordrende å ivareta ansvarlighetsprinsippet, og nedenfor følger noen gode råd til behandlingsansvarlig:
- Avklar ansvarsforholdet før anskaffelsen gjennomføres. Tydeliggjør hvem som er behandlingsansvarlig (en eller flere), hvem som er databehandler og hvem som er underdatabehandler (underleverandør)
- Vær tydelig i anskaffelsesprosessen på hva som aksepteres av overføring til tredjeland, og hvilke sikkerhetskrav som skal ivaretas.
- Still spørsmål og ha dialog med mulige leverandører. Sørg for at avtalen inneholder tydelige beskrivelser av håndteringen av personopplysninger. Ved uklare avtalevilkår bør man stille skriftlige spørsmål til leverandør
- Ha kontroll på leverandørkjeden. Vit hvor opplysningene behandles. Følg opp meldinger fra leverandør om bytte av underdatabehandler i tråd med databehandleravtalen, for å sikre at eventuelle overføringer til underdatabehandleren er i tråd med regelverket og akseptert.
- Inngå databehandleravtale. Databehandleravtalen kan være en del av en hovedavtale eller et separat vedlegg. Der det ikke inngås separat databehandleravtale må du sikre at avtaleverket tilfredsstiller kravene i artikkel 28. Det er viktig å ha på plass rutiner for forvaltning av hele avtaleverket.
- Dersom personopplysninger overføres til tredjeland og overføringsgrunnlaget er Standard Contractual Clauses (SCC), be om forklaring på hvordan avtalen inngår i det helhetlige avtaleverket.
- For å være gyldig kan ikke SCC fra EU-kommisjonen endres, men de kan innarbeides i en hovedavtale og klausuler som gir ytterligere sikkerhet kan legges til, se SCC Clause 2 (a).
- Pass på å bruk riktig SCC (dvs. en modul som angir det korrekte forholdet mellom partene)
- Databehandleravtalen må i en del tilfeller utdypes med nærmere beskrivelser av hvordan personopplysningene skal behandles i praksis. Dette er mer aktuelt for bruk av mindre leverandører, manuelle tjenester, eller der det ikke er anskaffet standard skytjenester. For standard skytjenester tjenester, hvor den behandlingsansvarlige kan ta tjenestene i bruk for ulike formål uten databehandlers medvirkning, vil det være rom for mer overordnede beskrivelser av hvilke behandlinger som foretas. Behandlingsansvarlig må da i større grad selv ha oversikt og kontroll over hvilke opplysninger som behandles i tjenesten.
- Avklar hvem som yter support, og fra hvilken lokasjon. Flere leverandører har support fra tredjeland, særlig der en tjeneste er virksomhetskritisk og må være tilgjengelig hele døgnet. Dersom det ikke er nødvendig med døgnåpen support kan virksomheten etablere retningslinjer for å be om support på dagtid i Europa, for å unngå overføring til tredjeland. Alternativt kan leverandøren bes om å tilby en begrenset løsning der kunden unntaksvis kan godkjenne supportpersonells tilgang i enkelttilfeller og via tekniske tiltak som begrenser tilgangsmuligheten. Du kan lese mer om overføring og supporttjenester.
- Etablere prosess for kontroll av leverandøren basert på risiko. Se for eksempel Datatilsynet i Danmark sin Vejledning om cloud (datatilsynet.dk), kapittel 3.3.
- Ha en tydelig exit-strategi, inkludert avtalefeste håndteringen av personopplysninger etter opphør av avtalen.
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)