Breve om en aftale
I en tidligere post pegede jeg på det noget uldne ordvalg omkring forholdet mellem den dataansvarlige og databehandleren. Det har jeg fulgt op på, i en "brev veksling" med Datatilsynet. Her kan du følge sagens gang.
email til Datatilsynet, 22. marts 2018
vi sidder med hovedet dybt begravet i forordningen - og er kommet til en noget spekulativ, men næppe holdbar, fortolkning af Artikel 29, stk 10, hvor det står
"Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling, uden at dette berører artikel 82, 83 og 84.”
Som tjenesteudbyder (der selv vælger - tildels - formål, men - især - hjælpemidler) betyder stk 10 at vi fremstår som dataansvarlige, med dennes ret og pligt.
Hvilket igen betyder at vi ikke behøver tegne en databehandler aftale med kunden, eftersom vi selv er dataansvarlige.
Læser vi forordningen, som Fanden læser Biblen?
Med venlig hilsen
Walther Diechmann
ALCO Company
email med Datatilsynets svar, 10. april 2018
Kære Walther Diechmann
Ved e-mail af 22. marts 2018 har du rettet henvendelse til Datatilsynet vedrørende forholdet mellem databehandlere og dataansvarlige.
Datatilsynet har forstået din henvendelse således, at du ønsker information om, hvad der lægges vægt på i vurderingen af, hvorvidt man betegnes som dataansvarlig eller databehandler.
Datatilsynet kan henvise til Datatilsynets og Justitsministeriets vejledning om dataansvarlige og databehandlere fra november 2017. Vejledningen kan findes på hjemmesiden . Vejledningen er udarbejdet til brug for forståelsen og anvendelsen af den nye databeskyttelsesforordning, der finder anvendelse fra 25. maj 2018, og giver et overblik over, hvad man kan lægge vægt på i vurderingen af, om man er dataansvarlig eller databehandler.
Det fremgår bl.a. af vejledningen, at den dataansvarlige er den, der afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Det afgørende er således, hvem der juridisk og/eller faktisk afgør, hvordan personoplysninger skal behandles, jf. databeskyttelsesforordningens artikel 4, nr. 7.
Det fremgår endvidere, at en databehandler kendetegnes ved kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. I rollen som databehandler behandles således aldrig personoplysninger til egne formål, og databehandleren må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige, jf. databeskyttelsesforordningens artikel 4, nr. 8.
Datatilsynet kan, som tilsyns- og kontrolmyndighed, ikke give konkret rådgivning, men alene generel vejledning. Datatilsynet kan derfor ikke konkret sige, hvem i et konkret samarbejdsforhold, der er henholdsvis dataansvarlig og databehandler.
Alco Company skal således afklare, hvilken rolle Alco Company og eventuelle andre parter har i forbindelse med behandlingen. Såfremt der er tale om en databehandlerkonstruktion, skal der indgås en databehandleraftale. Datatilsynet kan i den forbindelse henvise til sin skabelon til en databehandleraftale, som kan findes på Datatilsynets hjemmeside: https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/
Datatilsynet håber hermed at have besvaret din henvendelse, og foretager sig ikke yderligere i denne henseende. Såfremt du har yderligere spørgsmål, er du velkommen til at kontakte Datatilsynet igen
Med venlig hilsen
Zenia Dinesen
Fuldmægtig, cand.jur.
email til Datatilsynet, 11. april 2018
Jeg bliver nødt til at have Datatilsynet til at udlægge teksten lidt klarere - de vil trods alt føre tilsyn og kontrollere, at vi overholder forordningen, og til det brug må de have gjort sig nogle tanker om, hvordan den konkrete problemstilling vil skulle tack'les?
mange tak for dit udførlige svar.
Det er, med min erfaring, nemmere at “tegne det store forkromede overblik", end det er at “walk the talk” ;)
Jeg anerkender til fulde den penible situation I sidder i, i Datatilsynet, men jeg tænker at det må være lidt ligesom en tæppesælger, der skal give pris på et væg-til-væg tæppe. Han bruger typisk en tommestok, fordi kunderne sjældent er tilfredse med “I skal da have et tæppe på en 4-5-6 meters penge” ;D
ALCO har således eksempelvis - i lighed med en lang række andre europæiske store og små virksomheder - ikke tæpper, men data, som vi behandler for andre, qua vores rolle som Internet Service Provider, og når jeg spørger, er det med afsæt i virkeligheden, og derfor har jeg tilladt mig at vedhæfte “en flig” af vores data analyse.
Som jeg håber at det vil fremgå af nedenstående, kræver det efter vor bedste læsning ind i teksten, en høring efter forordningens præambel 94, hhv Artikel 36, eftersom det ikke efter en grundig analyse står os klart, hvordan ISP’ere kan ‘vrikke’ sig ind under en databehandleraftale - men vi er naturligvis mere end tilfredse med et adfærdskodeks, måtte et sådant forefindes!
Med venlig hilsen
ALCO Company ApS
Walther H Diechmann
ADVARSEL: Det følgende er ‘med fingrene helt nede i den brandvarme suppe’
FORMÅL
Det overordnede formål er formidling, dvs dissemination af oplysninger, og beslutningen om dette formål træffes typisk i samråd med kunden - dvs ISP’ens sælger råder kunden til at “formidle” oplysningerne, og kunden accepterer. Der er imidlertid langt mere sindrige scenarier, eksempelvis hvor slutkunden definerer formålet (ved eksempelvis at kommentere med hævn-porno på en blog, stillet til rådighed af vor kunde, med det formål at skabe dialog, valgt og leveret af os med det formål at sælge vore produkter ved at drage nytte af vor kunde’s “brand”!
DATA
Der er (alt overvejende) 3 typer oplysninger/data
produktet: Er kunden alt andet end producent, dvs (eksportør, importør, grossist, distributør, detailist, agent, osv) - ejer kunden i hele træskolængder “kun” den pris, kunden beslutter at ville sælge produktet for!! Resten er gas, varm luft, blå røg, (og lidt ringridning) og opstår typisk i en symbiose mellem et reklamebureau og kundens produktansvarlige. Blandet op i al denne varme luft vil der jævnligt dukke billedmateriale op, som enten afbilleder medarbejdere eller andre i sammenhænge, der har til hensigt at fremme afsætningen af produktet. Disse data udgør en særlig kategori, med 2 underkategorier: de billeder, der klart identificerer fysiske personer, og de billeder, der “blot” afbilleder en gruppe mennesker, hvor det ikke er muligt at identificere den enkelte (pga opløsning, positur, maskering, mm)
virksomheden: De fleste data punkter har ingen isoleret personrelateret risiko tilknyttet, men oplysninger om udvinding, tilvirkning, placering, historie, mm kan sammenstillet med billedmateriale, som ovenfor om produktet, fremstå “uheldigt” og personfølsomt. “Jeg er nødt til at have et arbejde, men har ikke lyst til at blive kædet sammen med en porno-butik, forhandler af pelse af grønlandske sæler, spegepølse fabrikation” osv
referencer: Data punkterne vil med få undtagelser kunne findes på krak.dk mfl. Billedmateriale kan, som ovenfor, skabe personfølsomme koblinger.
BEHANDLING
De konkrete behandlinger er som følger
a) modtagelse fra vores kunde (eller i det mindste efter ordre fra vores kunde, fra et reklamebureau, el. lign.)
b) evt. midlertidig placering indtil “værelset” er klar
c) endelig placering - en slags ‘aktiv’ lagring, typisk som flad fil eller poster i en tabel i en SQL database
d) udlevering på anfordring af ‘nogen’ eller ‘noget’
e) afsendelse
. . . . .
f) fjernelse
behandling formål middel beslutning
a overbringelse net - evt disk vi, kunden, tredjemand
b opbevaring disk vi
c - disk vi
d dissemination *) vi/tredjemand
e overbringelse net søgerobot, browser, anden “mekanisk" indretning
f sletning manuelt vi eller kunden
*) midlet er i første række Internet, men dernæst kan beslutningen ifm overbringelsen (behandling [e]) være en rettesnor for, hvad der reelt kan være af midler bag; det kan være en crawler, der samler ‘nyttig viden’ ind, en scraper der rager bestemte typer af viden fra specifikke sider, drills der bruger dybe-links til at hente præprogrammeret viden eller genopfriske det, osv.
For behandling [a] kan vi med en til vished grænsende sikkerhed angive os som formålsgiver - vi skal have data for at kunne behandle videre på dem, og vi vil helst have dem via et delt medie (som DropBox eksempelvis). Det kan næppe fordre en behandleraftale!
For så vidt angår [b, c] er det behandlinger, som vi beslutter og vælger midler - kunden kunne ikke være mere ligeglad med hvordan vi kommer frem til næste behandling som er,
Behandling [d] der reelt definerer de fleste ISP services - dissemineringen af data (enten det nu er en hjemmeside, en DNS-service, FTP (gammeldaws DropBox), chat, Sharepoint, mm. Midlet vil som nævnt kunne være alt muligt software, som via Internet bruger data punkterne. Beslutningen ligger sammen med ‘midlet’ - eller rettere hos den/de der har programmeret midlet.
Behandling [e] har vi kun indflydelse på i det omfang, at vi naturligvis definerer et antal services - men det er tredjemand, der beslutter hvilket middel, og senere til hvilket formål
Endelig er behandling [f] et formål og middel, vi vælger - når kunden (eller vi) vælger at opsige en service kontrakt betragter begge parter i reglen alle data som ‘døde’; typisk flytter kunden til en anden udbyder, og får samme service opstillet der.
email med Datatilsynets svar, 11. april 2018
Kære Walther Diechmann
Ved e-mail af 10. april 2018 har du sendt en opfølgende henvendelse til Datatilsynet.
Datatilsynet kan imidlertid ikke ud fra din henvendelse nærmere fastslå, hvad du ønsker tilsynets bistand til. Datatilsynet må derfor venligst anmode dig om at præcisere din henvendelse nærmere, hvis du mener, at der er tale om et forhold, som tilsynet kan behandle.
Du henviser til databeskyttelsesforordningens artikel 36, der omhandler konsekvensanalyser og forudgående høring af tilsynsmyndigheden. Datatilsynet har for nylig udgivet en vejledning om konsekvensanalyse, som du kan finde på vores hjemmeside via følgende link: https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Vejledninger/Konsekvensanalyse.pdf
Hvis jeg ikke har hørt fra dig inden 2 uger, vil jeg gå ud fra, at din henvendelse ikke længere er aktuel, og Datatilsynet vil på den baggrund ikke foretage sig yderligere i anledning af din henvendelse.
Med venlig hilsen
Zenia Dinesen
Fuldmægtig, cand.jur.
email til Datatilsynet, 11. april 2018
Datatilsynet beder mig uddybe spørgsmålet - det prøver jeg da;
Kære Zenia Dinesen,
tak for hurtigt svar - jeg skal præcisere:
Stillingtagen: virksomheder
, som udbyder Internet baserede tjenester, med følgende brugsscenarier hvor
- hverken virksomheden eller kunden, men brugeren*] definerer formålet i “brugsøjeblikket” - kommentarfeltet på en blog, kontakt formularen på en hjemmeside, og email generelt
- virksomheden definerer formålet og hjælpemidlerne og behandlingen, og gennemfører behandlingen, men kunden (eller brugeren*]) leverer (alle) data - hjemmesider, terminal løsninger, (private) cloud storage
, efterlever forordningen ved at optræde som dataansvarlig uden databehandleraftale med kunden
, med afsæt i forordningens definitioner af dataansvarlige hhv databehandlere generelt, og Artikel 28, pkt 10 specifikt.
Vil Datatilsynet under et kontrolbesøg/ført tilsyn påklage denne stillingtagen, og i givet fald, med hvilken argumentation.
Med venlig hilsen
ALCO Company ApS
Walther H Diechmann
*] en bruger er en elektronisk indretning, der er i stand til, under anvendelse af en på forhånd aftalt protokol, at aftaste et set af data punkter; hvorvidt indretningen er manuelt betjent kan i begrænset omfang ekstrapoleres
email fra Datatilsynet, 12. april 2018
Umiddelbart er Datatilsynet ikke meget for at træffe en beslutning!
Datatilsynet har forstået din henvendelse således, at du ønsker en konkret stillingtagen til, hvem der i det konkrete samarbejdsforhold må anses for henholdsvis dataansvarlig og databehandler samt behovet for indgåelse af databehandleraftaler mellem de pågældende parter.
Datatilsynet skal i den forbindelse henvise til sin besvarelse af 10. april 2018, hvorefter Datatilsynet – som tilsyns- og kontrolmyndighed – ikke kan give konkret rådgivning, men alene generel vejledning. Datatilsynet kan derfor ikke tage stilling til, hvem i et konkret samarbejdsforhold, der er henholdsvis dataansvarlig og databehandler, eller om der er behov for indgåelse af en databehandleraftale.
Datatilsynet foretager sig ikke yderligere i denne henseende.
Med venlig hilsen
Zenia Dinesen
Fuldmægtig, cand.jur.
email til Datatilsynet, 12. april 2018
Så let slipper de ikke - nu er låget røget af dåsen, så kan vi ligeså godt vende bøtten på hovedet!
det er forkert forstået; der er ikke tale om konkret rådgivning eftersom den opstillede stillingtagen ville kunne tages af en vilkårlig ISP i hele EU, og ikke kun af ALCO.
Jeg skal derfor indtrængende bede Datatilsynet - eller om nødvendigt overbringe bønnen til rette vedkommende - om at afklare samarbejdsforholdet.
Med venlig hilsen
ALCO Company ApS
Walther Diechmann
email til Datatilsynet, den 13. april 2018
en lang smøre - som dybest set peger fingre af forordningen
for at understrege de udfordringer, vi mener at vores branche (ISP) står med, tillader jeg mig at beskrive (endnu) en use case (som måske ikke eksplicit har fremgået af mine tidligere emails):
“En virksomhed indgår en aftale med en/flere juridisk person/er om levering af en tjeneste, hvorefter den juridiske person er i stand til at formidle oplysninger af enhver art i et offentligt rum, og begge parter er sig Persondataforordningen bevidst, og indgår derfor også en databehandleraftale, hvorefter virksomheden lover, ikke at ville behandle person oplysninger for den juridiske person uden en skriftlig instruks fra denne, bistå med at imødekomme registreredes rettigheder, sikre den fornødne datasikkerhed, og de andre aktiviteter som forordningen foreskriver. Den juridiske person formidler oplysninger imellem fysiske personer, ved blandt andet at tillade disse at kommentere, udveksle filer, og dele billeder, mm. Det sker med brugen af login/password - og efter den enkelte brugers valg, en 2-faktor godkendelse, med brug af Google Authenticator eller tilsvarende teknologi. Den enkelte bruger bliver præsenteret for en “aftale om brug af tjeneste”, hvor vedkommende i et nogenlunde letforståeligt sprog, omend aftalen er pænt omfattende, bliver gjort opmærksom på sine rettigheder, og de vilkår hvorunder brugeren har mulighed for at dele oplysninger. Alt er så vidt - efter mit bedste skøn - ‘efter bogen’.
Det offentlige rum kan tilgås via Internet og derved transporteres data i ‘pakker’ via net-operatører, men i nettets natur har vi ingen mulighed for at fastslå, hvilke operatører, der tager del i “transmissionen”. Pakker fra Frederikshavn kan, med en rimelig stor sandsynlighed, forventes at ‘rejse’ via Norge, selv blot til Herning! Det betyder at vi kraftigt udfordrer præambel 101, og vi overtræder sandsynligvis i det mindste Artikel 28, stk 3 litra a) Uanset at transmissionen benytter SSL/TLS1.1 og at vi har ‘lovet’ den dataansvarlige ikke at behandle person oplysninger, har vi ingen indflydelse på “transmissionen” - og al elektronisk data er per definition usikker (kryptering bortset fra quantum computing er i dag blot et spørgsmål om indsats - hvilket NSA og GCHQ bør være rimeligt bevis for) - og indholdet har vi ikke de nødvendige ressourcer til at efterprøve kvaliteten af, og ej heller hvorvidt den dataansvarlige overholder vores databehandler aftale (og altså måske overlader os person oplysninger til behandling uden skriftlig instruks).
Brugere ser nu denne tjeneste som en mulighed for at omdefinere formålet, ved at udnytte de egenskaber og funktionaliteter, som tjenesten stiller til rådighed for velmenende brugere, til en række illegitime formål, herunder eksempelvis hævn-porno, smæde-kampagner, opfordring til uro/oprør, terror, mm.
Data ligger krypteret på servere i Unionen (for at overholde Persondataforordningen) og den enkelte brugers oplysninger er ligeledes krypterede, hvorefter det følger at brugeren og dennes følgere alene er i stand til at se det illegitime indhold."
For mig at se er der tale om en klar overtrædelse af indtil flere af forordningens artikler i ovenstående beskrivelse af en virksomhed - hvilken der er tale om, er det næppe nødvendigt at dvæle ved ;)
Uden en klarere definition af hvilke(t) OSI-lag der refereres til, når betegnelsen “behandling” benyttes - og der dernæst favnes så bredt som tilfældet er i Artikel 4, litra 2 - og her citerer jeg forordningen “...en samling af personoplysninger gøres til genstand for, f.eks. [indsamling], registrering, organisering, systematisering, [opbevaring], tilpasning eller ændring, [genfinding], [søgning], brug, [videregivelse ved transmission], [formidling] eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, [sletning] eller tilintetgørelse...“ (jeg har tilladt mig at fremhæve de behandlinger, som især volder kvaler ved at sætte dem i [ ] - bliver kravet om indgåelse af databehandler aftaler, og ikke mindst brugen af under databehandlere, reelt uoverkommelig for alle andre end operatører som TDC, og det kan næppe have været en af målsætningerne med forordningen.
Anbringende:
Vi tillader os at opfordre Datatilsynet til at iværksætte et arbejde, om nødvendigt i Artikel 29 Arbejdsgruppen, til tydeliggørelse af hvilke behandlingsaktiviteter, der er omfattet af kravet til databehandler aftaler, og opfordrer til at eksempelvis OSI modellen benyttes som reference.
Successivt: Er der eksisterende adfærdskodeks eller lignende instrumenter, som vi kan benytte (og som jeg blot ikke har fundet refereret ved omfattende googling), vil det være en venlighed, om du vil sende mig et link.
Med venlig hilsen
ALCO Company ApS
Walther Diechmann
email fra Datatilsynet, den 17. april 2018
Ved e-mails af henholdsvis d. 12. og 13. april 2018 har du på ny rettet henvendelse til Datatilsynet.
Datatilsynet kan imidlertid stadig ikke ud fra dine henvendelser nærmere fastslå, hvad du ønsker tilsynets bistand til.
Det er derfor Datatilsynets vurdering, at det umiddelbart vil være mest hensigtsmæssigt med en telefonisk drøftelse af din forespørgsel. Du bedes derfor ringe til Datatilsynets telefonvagt via telefonnummer 33 19 32 00. Datatilsynets telefontider kan findes på følgende link: https://www.datatilsynet.dk/om-datatilsynet/kontakt/.
Datatilsynet vil på det foreliggende grundlag ikke foretage sig yderligere i anledning af dine henvendelser.
Med venlig hilsen
Zenia Dinesen
Fuldmægtig, cand.jur.
email til Datatilsynet, den 17. april 2018
nå - det bliver nok ikke bedre - men så ved vi da det :)
jeg skal da være den første til at beklage den manglende forståelse hhv tydelighed i kommunikationen. Mit talte rigsdansk er langt dårligere end det skrevne, og derfor er det min vurdering at en telefonisk drøftelse næppe fører videre end tilfældet er!
Summarisk er fremstillingen af dialogen således - set fra vores kontorstole:
-
ALCO er (en lille fisk) i ISP branchen
-
ISP Branchen består af 2 grundlæggende forskellige typer virksomhed: exhausts/end-points & pipes (Mark Zuckerberg forleden under Kongres høringen)
-
ALCO er overvejende en ‘exhaust’ (der benytter sig af ‘pipes’)
-
Internettets topologi og protokoller betyder at identifikation af landegrænser og ‘pipes’ kun meget vanskeligt og bekosteligt vil kunne lade sig gøre
-
Forordningens “brede” definition af ‘behandling' betyder at ALCO skal tegne (under)databehandleraftaler med et utal af ‘pipes’ (og ‘exhausts’)
-
ALCO har gjort opmærksom på den uhensigtsmæssige brug af ordet behandling uden nogen form for reference til exvis OSI-modellen
-
Datatilsynet vil med DG JUST’s velsignelse kunne præsentere ‘pipes’ (TDC, TEO Group, Cogent, Level(3), oma.) for i titusindvis af overtrædelser hvert millisekund, og tilsvarende mange ‘exhausts’ - uden nogen vil være i stand til at gøre noget ved det.
-
Hvilket måske reelt er pointen: branchen har ikke en kinamands chance for at ændre modus operandi - og blot konstatere at “vi kan ikke andet”
Den konklusion vil ALCO således også drage, og så vil vi ivrigt byde jer velkommen i Thisted, falder vejen forbi!
Med venlig hilsen
ALCO Company ApS
Walther Diechmann