Dataansvarlige er forpligtet til at føre tilsyn
Dataansvarlige er forpligtet til at føre tilsyn med deres databehandlere. Dette følger af databeskyttelsesforordningen, at en dataansvarlig skal sikre sig, at dennes databehandlere kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i forordningen og sikrer beskyttelse af den registreredes rettigheder. Derudover er begge parter ansvarlige for, at behandlingen sker under den fornødne behandlingssikkerhed i henhold til en konkret risikovurdering.
Ny vejledning fra Datatilsynet
Det fremgår dog ikke af forordningen, hvilke konkrete foranstaltninger den dataansvarlige skal anvende, eller hvordan tilsynet skal tilrettelægges i forhold til en konkret databehandling. Det kan derfor i praksis være vanskeligt at fastlægge, præcis hvilket niveau af tilsyn en konkret behandling nødvendiggør.
Datatilsynet har udarbejdet en ny vejledning, der erstatter en tidligere vejledning fra 2018. Den nye vejledning indeholder til forskel fra den tidligere et konkret redskab til brug ved fastlæggelsen af tilsynsniveau og -foranstaltninger. Redskabet er en pointmodel, der kan anvendes af alle dataansvarlige som en del af arbejdet med at finde frem til, hvad der udgør et passende tilsyn i forhold til den konkrete behandling af personoplysninger, som de udfører for den dataansvarlige.
Pointmodellen og de seks tilsynskoncepter
Pointmodellen indebærer, at den dataansvarlige skal pointgive den behandling, som databehandleren foretager, ved at svare på en række spørgsmål. Spørgsmålene vedrører antallet af personer, personoplysningernes karakter samt en vurdering af, om der foretages særlige behandlinger. Den samlede pointscore definerer herefter, hvilke af Datatilsynets koncepter for tilsyn den dataansvarlige kan vælge at anvende.
Datatilsynet opstiller seks tilsynskoncepter af varierende intensitet, som den dataansvarlige, alt efter graden af risici ved behandlingen, kan benytte i forbindelse med sit tilsyn med databehandlere. De seks koncepter er:
1) Intet tilsyn, kun kontakt med databehandleren, hvis det opdages, at noget konkret er galt
2) Indhente (skriftlig) bekræftelse fra databehandleren, hvis det opdages, at der kan være noget galt
3) Årlig skriftlig status på efterlevelsen af databeskyttelsesretlige krav
4) Databehandleren har en certificering eller følger et såkaldt adfærdskodeks, der er relevant for behandlingen
5) En uafhængig tredjepart har ført et dokumenteret tilsyn, der inkluderer behandlingen
6) Den dataansvarlige fører selv eller sammen med andre et dokumenteret tilsyn
Hvilke koncepter der kan anvendes, afhænger af, hvor høj risiko den pågældende behandling indebærer. Behandling, der indebærer en høj risiko for de registrerede, vil kræve et højere tilsynsniveau. Koncept 1-2 kan således anvendes ved de mindst risikofyldte behandlinger, og koncept 5-6 skal anvendes ved de behandlinger, der indebærer størst risici osv.
