Et dansk IT-selskap har fått bekreftet av det danske datatilsynet at dersom en databehandleravtale gir adgang for leverandøren til å overføre personopplysninger til et tredjeland, er det en tilsiktet overføring når overføringen skjer og kunden er da ansvarlig for overholdelse av reglene om overføring i GDPR. Betydningen av dette er at kunden er ansvarlig for overføringen selv om den ikke skjer i kundens interesse eller som ledd i å levere tjenesten til kunden, så lenge det faktisk er avtalt at slik overføring kan skje.
På bakgrunn av henvendelsen fra IT-selskapet vurderte Det danske datatilsynet («Datatilsynet») i hvilken utstrekning det kunne være utilsiktet overføring av personopplysninger til tredjeland dersom en databehandleravtale gir databehandler rett til å utlevere personopplysninger dersom dette er nødvendig for å overholde lovgivning eller vedtak fra offentlige myndigheter i tredjelandet.
Vurderingen fra Datatilsynet av 29. mars 2022 kom som følge av et konkret spørsmål fra det danske IT-selskapet KOMBIT i forbindelse med bruk av Amazon Web Services («AWS») som databehandler. KOMBIT leverer IT-systemet Aula til danske kommuner/ behandlingsansvarlige, og benytter Netcompany som leverandør/databehandler, som igjen benytter AWS som en underleverandør/underdatabehandler.
Utgangspunktet etter GDPR[1] er at en databehandler skal bare behandle personopplysninger på dokumenterte instrukser fra den behandlingsansvarlige. Dersom en databehandler overfører personopplysninger til et tredjeland utenfor EU/EØS i strid med den behandlingsansvarliges instrukser vil dette for den behandlingsansvarlige være en utilsiktet overføring. Databehandleren blir i slike tilfeller regnet som behandlingsansvarlig for overføringen, og den opprinnelige behandlingsansvarlige blir under visse forutsetninger ikke ansvarlig for overføringen.
Personopplysningene som KOMBIT behandler skulle etter avtalen i utgangspunktet kun behandles innenfor EU/EØS. Imidlertid fremgår det et unntak i databehandleravtalen mellom Netcompany og AWS som går ut på at utlevering av personopplysninger til tredjeland kan skje dersom det er nødvendig for å overholde lovgivning eller et bindende vedtak fra en offentlig myndighet (eng. «necessary to comply with the law or binding order of a governmental body”.)
KOMBIT ba Datatilsynet bekrefte eller avkrefte hvorvidt det for det tilfellet at AWS gjennomfører en slik tredjelandsoverføring, er tale om en tilsiktet overføring til et tredjeland eller om overføringen ansees som en utilsiktet overføring til et tredjeland og dermed heller er et spørsmål om tilstrekkelig informasjonssikkerhet.
Datatilsynet bekreftet at dersom AWS skulle komme til å benytte seg av unntaket i databehandleravtalen, er ikke overføringen utilsiktet. Dette innebærer at den behandlingsansvarlige er forpliktet til å sikre at reglene om overføring til tredjeland er overholdt, dersom AWS gjennomfører en slik overføring av personopplysninger.
Svaret fra Datatilsynet synliggjør at hvis en databehandleravtale gir adgang til å utlevere personopplysninger til myndigheter i et tredjeland, er ikke denne tillatelsen en overføring i seg selv. Når overføringen så eventuelt skjer som følge av lovgivning eller vedtak fra myndigheter i tredjelandet, er imidlertid dette en tilsiktet overføring fra den behandlingsansvarlige. Dersom det åpnes for overføring i en databehandleravtale må derfor den behandlingsansvarlige sikre seg at reglene i GDPR kapittel V ivaretas, hvis eller når databehandleren i henhold til instruksen overfører personopplysninger til tredjelandet.
Uttalelsen fra det danske datatilsynet tar imidlertid ikke stilling til hvorvidt den behandlingsansvarlige allerede overtrer GDPR ved å gi tillatelse i en databehandleravtale og ikke samtidig forsikrer seg om at det er etablert tilstrekkelige sikkerhetstiltak i lys av landets personvernlovgivning og praksis. Dersom dette skal ansees å være en overtredelse, må det i så fall begrunnes i at instruksen som er gitt ikke er i samsvar med GDPR.
Uttalelsen fra Datatilsynet gir likevel en veiledning på hva som er viktig for virksomheter å vurdere dersom man har slike bestemmelser i sine databehandleravtaler:
- Behandlingsansvarlig må forsikre seg om at databehandleren innestår for at GDPR skal overholdes.
- Behandlingsansvarlig må gjennomføre en risikovurdering, dvs. risikoen for at databehandleren i strid med sine instrukser imøtekommer et krav i henhold til lovgivningen i tredjelandet.
- Behandlingsansvarlig må føre tilsyn med sine databehandlere, herunder følge med på at det ikke foretas overføringer og reagere hvis man blir kjent med en utilsiktet overføring.
Det første punktet taler for at virksomheter bør sørge for å ha en garanti i databehandleravtalen mot overføring dersom det ikke er etablert tilstrekkelige sikkerhetstiltak i lys av tredjelandets personvernlovgivning og praksis. Dersom virksomheten har oppfylt dette punktet vil en overføring ansees som utilsiktet ettersom den skjer i strid med instruksene fra behandlingsansvarlige. I slike tilfeller vil virksomhetens leverandør ansees som behandlingsansvarlig for personopplysningene dersom de overføres til et tredjeland.
Saken viser at det er svært viktig for virksomheter å ha god kontroll på leverandørens adgang etter databehandleravtalen til å gjennomføre tredjelandsoverføringer. Vi anbefaler virksomheter å foreta en gjennomgang av sine databehandleravtaler og kontrollere at de har inntatt reelle garantier mot overføring til et tredjeland dersom det ikke er sikkert at leverandøren har etablert tilstrekkelige sikkerhetsgarantier.
[1] GDPR artikkel 28 nr. 3 bokstav a