Databeskyttelsesrådet præciserer – og skærper for manges vedkommende – kravene til tilsyn med hele kæden af (under-)databehandlere.
Ny udtalelse fra Databeskyttelsesrådet
På baggrund af forespørgsel fra Datatilsynet, har Databeskyttelsesrådet den 7. oktober 2024 præciseret de forpligtelser, der påhviler dataansvarlige ift. hele kæden af databehandlere, underdatabehandlere osv.
Dataansvarlige skal således bl.a. til enhver tid kunne dokumentere:
- fuldt overblik over hele kæden (inkl. kontaktoplysninger på underdatabehandlere m.fl.),
- at have ført passende og reelt tilsyn med databehandlerens valg af og tilsyn med underdatabehandlere, og
- hele kædens overførselsgrundlag ved overførsel til/i tredjelande samt den dataansvarliges vurdering heraf.
Selvom kravene allerede kan udledes af databeskyttelsesforordningen (GDPR), er det i praksis de færreste dataansvarlige – og databehandleraftaler – der lever op til ovenstående krav. Den dataansvarliges tilsyn er nemlig ofte begrænset til et tilsyn med databehandleren og overlader i bedste fald resten af kæden til databehandleren. Dataansvarlige risikerer derfor non-compliance og sanktioner.
Hvad skal I gøre?
I skal – som dataansvarlige - bl.a. sikre:
- at databehandleraftalen pålægger databehandleren at forsyne den dataansvarlige med de fornødne oplysninger og dokumentation,
- at der foretages en passende vurdering af databehandlerens valg af under-databehandlere m.fl., særligt hvor behandlingen indebærer en høj risiko for de registrerede,
- at der foretages en passende vurdering af hele kædens overførselsgrundlag til/i tredjelande,
- at der implementeres procedurer, der kan dokumentere ovenstående.
Lundgrens tilbyder:
- Rådgivning om alle databeskyttelsesretlige forhold
- Løsning til risikoscoring og tilsyn med databehandlere
- Vurdering af overførselsgrundlag til tredjelande
- Meget andet…
Kontakt advokat og director, Reza Ahmadian for rådgivning.