Forholdet mellom behandlingsansvarlig og databehandler

Personvernforordningen har i stor grad lagt ansvaret for innføring og etterlevelse av regelverket på behandlingsansvarlig¹ , også dersom behandling av personopplysninger settes ut til en databehandler² . Dette fordi det er behandlingsansvarlig som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemidler som skal benyttes. Regelverkets ansvarliggjøring av behandlingsansvarlig betyr at det også er en stor forventning om at behandlingsansvarlig har størst påvirkningskraft på innholdet i en databehandleravtale. I det praktiske liv er det imidlertid ikke alltid slik at forordningens styrkeforhold og etterlevelsesansvar samsvarer med virkeligheten.

Det er ikke alltid enkelt å avgjøre hvem som er behandlingsansvarlig og hvem som er databehandler i en databehandlerrelasjon. Plasseringen av rollene er blitt særlig vanskelig med dagens utstrakte bruk av digitalisering, globalisering og omfattende samarbeid mellom selskaper. Det kan gjøre det vanskelig å fastsette hvem som gjør hva med en personopplysning, og dermed hvem som har ansvaret til sist. I slike tilfeller kan rollen som behandlingsansvarlig og det ansvaret det medfølger, virke vilkårlig og konstruert. Til syvende og sist er det imidlertid den som har det reelle ansvaret som holdes ansvarlig uavhengig av avtalefestede roller.

Til tross for at forordningen i stor grad pålegger den behandlingsansvarlige ansvaret for etterlevelse av regelverket, vil den behandlingsansvarliges mulighet til å påvirke innholdet i en databehandleravtale varierer i tråd med det reelle styrkeforholdet mellom partene. Dersom behandlingsansvarlig er en liten norsk aktør med behov for å sette ut tjenester som innebærer behandling av personopplysninger, kan det være vanskelig å få gjennomslag der databehandler er en stor internasjonal aktør. Dette er særlig aktuelt for skytjenester, som ofte leveres som en standardtjeneste med lite rom for tilpasninger. Store tilbydere av skytjenester vil derfor ha egne maler for databehandleravtaler som presenteres ved henvendelse fra behandlingsansvarlig, og som det ikke er ønskelig å endre fra leverandørens ståsted. Det vil da være vanskelig for behandlingsansvarlig å påvirke innholdet ut fra et «take it or leave it»-perspektiv. Behandlingsansvarlig kan være avhengig av å sette ut tjenesten og vil uansett møte større, profesjonelle databehandlere på den andre siden. Dette kan medføre at behandlingsansvarlig påtar seg større plikter enn nødvendig, at databehandlerens erstatningsansvar begrenses betraktelig, eller at databehandler ikke har tilstrekkelig sikkerhetstiltak.

Behandlingsansvarlige kan også mangle riktig kompetanse til å vurdere hvilke plikter man faktisk påtar seg, og hvilke plikter man kan og bør pålegge databehandleren. I tillegg kan det være at behandlingsansvarlig ikke evner å se at det som kjøpes/anskaffes innebærer behandling av personopplysninger slik at partene ikke inngår en databehandleravtale slik personvernforordningen krever. Vi ser også ofte situasjoner der ferdigsignerte databehandleravtaler sendes tilbake til databehandler av behandlingsansvarlig uten særlig gjennomlesing og ettertanke. Dette er gjerne i de tilfellene der databehandler er den sterke part med standardiserte maler og hvor det foreligger lite rom for forhandlinger, eller der behandlingsansvarlig i liten grad reflekterer over at databehandleravtalen er en del av et større avtaleverk. Vi har også erfart at det blir signert databehandleravtaler mellom parter hvor relasjonen ikke innebærer behandling av personopplysninger. I disse tilfellene har begge parter vært mest interessert i å ha en databehandleravtale på plass. Det er dessverre også slik at mange parter anser seg som «compliant» så lenge databehandleravtalen er på plass. En databehandleravtale inneholder imidlertid en rekke omfattende forpliktelser som det er nødvendig å ha et bevisst forhold til for å oppnå reell etterlevelse av forpliktelsene og bli «compliant» med regelverket.

Ofte vil databehandleren ha mer kunnskap enn behandlingsansvarlig om tjenesten som leveres. I tilfeller der databehandler har solgt sin tjeneste til behandlingsansvarlig, kan databehandlers kunnskap om tjenesten bety at databehandler får stor påvirkningskraft på innholdet, og dermed rekkevidden av pliktene i databehandleravtalen. Samtale mellom partene ved utarbeidelsen av databehandleravtalen vil derfor være svært nyttig, i motsetning til kun å sende standardiserte maler som ikke i tilstrekkelig grad reflekterer den faktiske behandlingen av personopplysninger.

Ett særlig tilfelle der databehandler kan ha avgjørende påvirkning på innholdet i databehandleravtalen er ved bransjeløsninger. Leverandører av bransjeløsninger tilbyr en tjeneste som mange aktører innenfor det feltet benytter seg av, og som de til og med kan være avhengig av. Det vil være upraktisk for databehandleren å ha en individuelt tilpasset databehandleravtale med hver eneste behandlingsansvarlige kunde. Databehandleren vil også i slike tilfeller ha fordelen med å kunne pålegge behandlingsansvarlig å signere databehandlerens standard databehandleravtale, eller velge å ikke benytte tjenesten. På særlige områder kan tjenesten også være lovpålagt for behandlingsansvarlig.

Selv om behandlingsansvarlig er pålagt hovedansvaret etter forordningen, er databehandler imidlertid ikke fritatt for ansvar i henhold til forordningen og kan derfor ikke kanalisere alt ansvar til behandlingsansvarlig. Artikkel 28 i forordningen fastsetter flere plikter for databehandleren. Det er likevel slik at selv om en databehandleravtale er i samsvar med forordningen fra et databehandlerperspektiv, kan den samtidig medføre at behandlingsansvarlig ikke blir satt i stand til å etterleve forordningens krav på en tilfredsstillende måte.

I slike tilfeller kan det virke kunstig at behandlingsansvarlig holdes ansvarlig i henhold til forordningen. Behandlingsansvarlig er i praksis langt fra enerådende, men forordningens krav legger opp til et mer balansert og nyansert forhold mellom partene enn det som gjenspeiles i det praktiske liv. Alle virksomheter er avhengig av tjenester som gjør det utfordrende å bære ansvaret som pålegges den behandlingsansvarlige etter regelverket. Behandlingsansvarlige må derfor både være sitt ansvar og sin eventuelle manglende forhandlingsposisjon bevisst. Gode rutiner som ivaretar eget ansvar for personvern både forut for og ved inngåelse av databehandleravtaler kan langt på vei avhjelpe dette. Slike rutiner bør blant annet særlig innebære gjennomføring av risikovurderinger ved valg av databehandler, og der risikoprofilen er for stor, må behandlingsansvarlig vurdere å se etter andre alternativer eller endre på den planlagte bruken av tjenesten. Videre er det viktig å finne flere alternative leverandører/samarbeidspartnere, slik at man unngår å komme i en situasjon hvor man føler seg «nødt» til å signere en databehandleravtale med dårlige eller ulovlige vilkår. Det er også sentralt å ha gode systemer for å sikre etterlevelse av de plikter databehandleravtalene pålegger partene.

Ovennevnte betraktninger illustrerer hvor viktig det er å være bevisst ved inngåelse av databehandleravtaler, både hva gjelder innhold i databehandleravtalen og styrkeforholdet mellom partene, for å sikre en databehandleravtale som oppfyller forordningens krav. Fra personvernforordningens ikrafttredelse i Norge juli 2018, har Datatilsynet i Norge ilagt flere behandlingsansvarlige overtredelsesgebyr for manglende etterlevelse av forordningen; også hvor databehandlere var involvert.
 

¹ Behandlingsansvarlig er den som bestemmer formål og middel med behandlingen av personopplysninger, jf. GDPR artikkel 4 (7).

² Se særlig artikkel 24 der det fremgår at behandlingsansvarlig skal implementere passende tekniske og organisatorisk tiltak for å sikre og etterprøve at all behandling av personopplysninger er i medhold av forordningen.