Datatilsynet: Ingen grund til at ændre data-aftaler lavet efter vores skabelon

Illustration: Imagesbavaria/Bigstockphoto.com
Databehandleraftaler lavet med udgangspunkt i Datatilsynets skabelon behøver ikke ændres, efter Det Europæiske Databeskyttelsesråd har rettet i teksten, mener tilsynet.

Datatilsynet offentliggjorde i februar 2018 en skabelon til en standard-databehandleraftale for at hjælpe organisationer med at leve op til en række af kravene i databeskyttelsesforordningen.

Standardaftalen var Datatilsynets bud på, hvordan en databehandleraftale kan udformes for at leve op til minimumskravene i databeskyttelsesforordningen.

I dagens Computerworld (kræver login) rejses der tvivl om, hvorvidt aftaler skrevet ud fra standardaftalen kan stå ved magt.

En udtalelse fra Det Europæiske Databeskyttelsesråd skaber nemlig tvivl om Datatilsynets skabelon for aftaler.

Dermed må man forvente, at alle aftaler skal laves om, mener en ekspert på området ifølge Computerworld.

Europæisk Databeskyttelsesråd: Skabelonen har brug for justeringer

Datatilsynet anmodede i april 2019 om en udtalelse fra Det Europæiske Databeskyttelsesråd om tilsynets skabelon til en standarddatabehandleraftale.

I udtalelsen skriver Det Europæiske Databeskyttelsesråd, i afsnit 52:

»Det er rådets mening, at standardkontrakten til databehandleraftaler fra det danske Datatilsyn, som tilsynet har indleveret med henblik på en udtalelse, behøver videre justeringer for at kunne blive regnet for en standard for kontrakter.«

Datatilsynet er ikke enig i den konklusion, der kommes frem til i Computerworlds artikel. I en nyhed, der netop er lagt ud på tilsynets hjemmeside, står der:

»Organisationer, som har baseret deres databehandleraftaler på Datatilsynets oprindelige skabelon, bør dog ikke være bekymrede for, hvorvidt de fortsat overholder databeskyttelsesreglerne.«

Tilsynet forsætter:

»Datatilsynet er opmærksom på det store tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Bjarne Nielsen

Hvis du ikke er bange for at læse engelsk, så kan du finde et link til Det Europæiske Databeskyttelsesråds udtalelse i artiklen (linket hedder "udtalelsen"), hvor de redegør for, hvilke ændringer, som de mener er nødvendige, og for deres overvejelser i den forbindelse.

  • 1
  • 0
#3 Bjarne Nielsen

OK, hvis ikke andre vil bide på, så vil jeg - jeg er mildt sagt bekymret (men desværre ikke længere overrasket) over flg. holdning, som udtrykt sidst i artiklen:

»Datatilsynet er opmærksom på det store tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato.«

Så forløbet er, at Datatilsynet sender deres skabelon til kommentering hos Det Europæiske Databeskyttelsesråd, som svarer, at den på flere punkter er utilstrækkelig, og hvis den bruges som udgangspunkt vil lede et databehandleraftaler som er utilstrækkelige og dermed ulovlige.

Hvortil Datatilsynet så svarer, at det synes de ikke, fordi det vil være alt for dyrt for virksomhederne, hvis man forlangte at de skulle leve op til reglerne?!?

Jeg husker stadig den udgave at Politijagt, hvor et pizzabud var blevet stoppet, og prøvede at forklare, at han ikke kunne drive en forretning, hvis han var nødt til at overholde hastighedsgrænserne; det ville blive alt for dyrt, og han mente sig derfor fritaget. Betjenten var mindre end uimponeret.

Og det er jeg også over Datatilsynets holdning.

  • 8
  • 0
#4 Anne-Marie Krogsbøll

Fint i tråd med, at Datatilsynets kerneopgave i virkeligheden er at sikre, at GDPR ikke bliver for dyr for virksomhederne. Det har jeg mistænkt et stykke tid, at det er sådan, de opfatter deres eksistensberettigelse.

Men betyder Datatilsynets udlægning så, at firmaerne ikke kan dømmes for evt. brud på GDPR, hvis man fører sådanne sager videre op i systemet - evt. også til EU? Kan det danske Datatilsyn egenhændigt underminere bestemmelser i GDPR?

  • 1
  • 1
#5 Morten Brørup

Datatilsynet er opmærksom på det store tids- og ressourceforbrug, der kan være forbundet med at forhandle konkrete databehandleraftaler på plads, og tilsynet har derfor besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato.

Bemærk: 1. Det er kun Datatilsynet selv, der accepterer disse potentielt ubrugelige aftaler. Der står intet om andre myndigheder, hvernken myndigheder i EU eller andre myndigheder i Danmark. 2. Det er kun som et udgangspunkt, at aftalerne accepteres. Når det kommer til stykket, er det alligevel ikke sikkert, at en aftale accepteres. 3. Kun aftaler indgået inden den 10. december 2019 ("dags dato", da Datatilsynet publicerede nyheden) accepteres. Aftaler indgået herefter accepteres ikke.

Som så mange andre myndigheder, kan Datatilsynet nu prise sig lykkelige for at være en myndighed - og ikke en privat virksomhed - så de ikke er omfattet af et rådgiveransvar (og dermed også et økonomisk ansvar for konsekvenserne af deres rådgivning), hvis nogen skulle have benyttet deres skabelon.

  • 3
  • 0
#6 Povl H. Pedersen

Søren Gade har fra EU for nyligt rejst spørgsmål om man ikke overimplementerer GDPR i DK ? Og en del af hans spørgsmål / undren gik på noget der er klokkeklart i DK. Eksempelvis aktindsigt, hvor en institution skal gennemgå 6000 billeder, og sløre andre end data subjektet.

Her er det jeg mener, at billeder, video, og andre data der ikke knyttet til et individ skulle undtages fra aktindsigt, det samme med andre records der ikke er indekseret fra en person eller har en direkte reference til en person.

Hvis billederne er scannet, og man har brugt eksempelvis ML til at navngive subjekter på billederne, så har man en reference. Men indtil dette finder sted, og man eksempelvis alene har scannet billederne, så bør det ikke være omfattet af GDPR.

Anden lovgivning: Hvis jeg tager et billede af folk i julehandelen, så må jeg gerne offentliggøre dette som et situationsbillede. Hvis det er et portræt må jeg ikke. Hvis det tilfælgigvis er en Fodboldspiller med en Opel forhandlers datter, så er det sådan det er. Denne lovgivning er dog vist under pres fra GDPR hører jeg. Noget med lokalhistoriske arkiver og gamle billeder. Man mener åbenbart ikke uformelle samtykker fra før GDPR blev lov er gyldige. Men det er vist selvcensur.

  • 0
  • 0
#7 Lars Christensen

Mon ikke det danske datatilsyn gør sig selv en bjørnetjeneste ved den opførelse vi har set i flere måneder, med en "smule" valen holdning til GDPR?

EU's persondata forordning GDPR indeholder bl.a. tydelige beskrivelser af den årlige overvågning og evaluering af hvordan regelsættet behandles og fortolkes til dagligt både af brugere og tilsyn.

Selvom det danske datatilsyn som en del af arbejdsgruppen "artikel 29 gruppen", bl.a. skal tjekke sin egen adfærd - så er EU nok ikke så naive som det danske datatilsyn øjensynligt håber.

Mon ikke det danske datatilsyn falder til patten og begynder at overholde retningslinierne, som jo kan læses af enhver i det fulde dokument og ikke kun i paragrafferne.

  • 1
  • 0
#8 Gert Madsen

Denne lovgivning er dog vist under pres fra GDPR hører jeg. Noget med lokalhistoriske arkiver og gamle billeder. Man mener åbenbart ikke uformelle samtykker fra før GDPR blev lov er gyldige. Men det er vist selvcensur.

Njah. Det er selvfølgeligt træls at skulle tage hensyn til GPDR, når nu man har været vant til at kunne gøre som det passer een. Det er samme melodi, som kommer fra diverse offentlige foretagender.

  • 0
  • 0
#9 Jesper Frimann

Det virker som om, at oversættelsen fra original GDPR teksten (over den danske version) til datatilsynets vejledning og så tilbage igen til engelsk ikke har været så gavnlig, at dømme efter bemærkningerne fra Det Europæiske Databeskyttelsesråd. Jeg synes dog, at man skal give rose datatilsynet for at stikke hovedet frem og bruge Det Europæiske Databeskyttelsesråd. Det er sku' godt gået. Så en hånd til datatilsynet for det.

Det har så medført en hel del (efter min mening generelt relevant) bemærkninger til skabelonen. Meget af embedsmands tvetydigheden og udglatten er fjernet, hvilket kan gøre skabelonen væsentlig bedre. Man prioriterer persondatasikkerheden over hensynet til (hvad man fra embedsværket mener er) nemmere offentlig forvaltning. Så IMHO står Danmark bedre efter det her.

Personlig glæder jeg mig (og det gør Stephan Engberg nok også :) ) over bemærkning 26, hvor man insisterer på at når der laves databehandling af persondata, skal sikkerheden være 'State of the Art'. Det er IMHO et ret vigtigt punkt.

// Jesper

  • 3
  • 0
Log ind eller Opret konto for at kommentere