Oh no, not me, ah ahh!
En da'nglish historie
I rollen som data processor (databehandler på dansk) vil du uden tvivl blive mødt med lidt af hvert! Denne historie giver et lille indblik i nogen af de udfordringer, der møder os databehandlere.
Anslag
The company recently announced that when the new customer agreement enters into force, customers are no longer considered data processors but rather individual data controllers. This has led to some questions regarding the conditions for when a party is a data controller and what responsibilities come with this role.
Skal vi græde eller grine? Vi er sikkert nødt til at læse lidt videre, før vi helt kan danne os et overblik over, hvilken (ny) retsstilling, vores "leverandør" har forestillet sig, at stille os i!
Formål og midler
Based on the definitions of a data controller and processor in art. 4 (7) and 4 (8) of the GDPR, the assessment on whether a party is a data processor or controller should be based on whether one party decides the purpose(s) and the means of processing.
Ja ja - så langt så godt. Teknisk set har leverandøren ret. Det er, efter forordningen, afgørende for distinktionen mellem dataansvarlig og -behandler, hvem der træffer beslutningen om formålet og midlerne.
Customers process data for the company as this is an obligation in the customer agreement in order to enable the company to establish a customer relationship directly with the consumer. Thus, the company decides part of the purpose of the processing. However, the the customer also decides the purpose of processing (at least some of) the data since it is needed in order to establish a contract with the consumer. Neither does the company decide the means of collecting the personal data from the the consumer.
Det er stadigvæk indenfor "skiven" - vores leverandør har et individuelt aftalegrundlag med 'vores' kunde, og det har vi også. Så leverandøren er leverandør til os, men samtidig også til vores kunde! Og det er også korrekt at vi selv kan bestemme, hvilke data vi vil samle op hos kunden, og hvordan de skal behandles.
One of the decisive factors for deciding whether there is a data processor setup, is whether a processing of personal data is done by another party while as a data controller one party continues to decide on the purpose and on the most important processing steps, including collection, deletion, disclosure and use by any sub-processors. In the relationship between the company and a customer, the company does not – and has no reason to – decide on the most important processing steps in the lifecycle of the personal data collected by a customer after it is transferred to the company.
Vi kan gøre med de data, vi samler op hos kunden, hvad vi vil. Det samme kan vores leverandør. Det komplicerer imidlertid billedet i relation til blandt andet adgang og indblik og dataportabilitet, mm, som vi skal se lidt senere!
Databehandling - men for hvem?
It is also important to look at the purpose of the contract between the parties: is the purpose data processing or is the data processing accessory to the actual purpose of the agreement? The main purpose of the customer agreement is not to process data on the company’s behalf, but to enable the customer to sell the right of use of products to consumers and to enable the company to establish a contractual relationship with the consumers. Thus, the relationship between the company and a customer is that of individual data controllers seen from a GDPR perspective.
Det er (stadigvæk) overvejende korrekt, at vi ikke har en aftale med vores leverandør om at behandle data på deres vegne, men også kun overvejende - for hvis indsamling og dissemination (formidling) at data også er behandling, så behandler vi data for vores leverandør. De samler ikke selv (alle) data-punkterne op, men overlader dette arbejde til os, som en del af vort 'salg' af leverandørens 'produkter'.
Sammenfald
In essence, this just means that all customers have a responsibility to handle all personal data collected due to the consumer contract as they handle other personal data that is processed for the customer’s own purposes. Sometimes, this data will be the same but for some customers, not all data requested by the company is necessary for customers to process in other areas of their business.
A customer’s responsibility as an individual data controller begins when the customer collects the personal data on a consumer as requested in the customer agreement. When a consumer transfers this data to the company, the company also becomes a data controller for that data.
Her ligger kimen til udfordringer - for i det øjeblik vi (customer) formidler personoplysningerne til vores leverandør, skal vi
- sikre os at forbrugeren (consumer) er klar over at det sker
- sikre os at personoplysningerne bliver overført på en sikker måde
- beslutte hvad vi vil gøre ved de af oplysningerne, som vi ikke selv har brug for mere, og opså oplyse forbrugeren om det
- dokumentere det ovenstående
This means that both the customer and the company are considered data controllers for the same data set. This also means that each party is responsible to the consumer for their own data set. However, the customer is not responsible for the companys processing of the data in question – only its own data set. Thus, the customer is not responsible to the consumer for keeping the company’s data correct and up to date. To give another example, the customer is not responsible to the consumer for providing access to the company’s data if the consumer sends a request for access to the customer.
Vil Datatilsynet se ligedan på denne 'fortolkning'? De oplysninger, vi indsamler på vor leverandørs vegne, og videreformidler - har vi ingen forpligtelser for dem (såfremt vi eksempelvis vælger at slette dem, straks vi har sendt dem videre)? Det er i hvertfald en vid fortolkning - omend praktisk!
Hver so sine grise
Each party simply has the responsibilities of a data controller as set out in the GDPR. This also means that a customer has the right to delete the data if the customer has no other obligations to retain it.
As both the customer and the company are individual data controllers, there is no need for a data processing agreement and no obligations for the company to set out specific requirements for the technical and organizational data protection practices for each customer and to conduct auditing thereof. Hence, the customer only has to comply with its own practices of data protection.
Skal vi som leverandør til forbrugeren, alene interessere os for vore egne oplysninger? Kan man aftale sådanne 'proxy' forhold, hvor én part indsamler og videreformidler personoplysninger på en anden virksomheds vegne, uden at der skal ligge nogen aftale om behandling af personoplysninger til grund?
En akademisk øvelse
Når denne historie så til slut ender i fryd og gammen, og ikke ender med et voldsomt spektakel i dialogen mellem os og vor leverandør, skyldes det hovedsageligt 2 forhold:
- Vores kunde indgår en aftale med os om levering af en ydelse - og de oplysninger, vi har brug for i den sammenhæng, er så sparsomme, men samtidig væsentlige for aftalen, at vores kunde ikke vil betænke sig på at give os dem, og så "uskadelige" at vi i vor risikovurdering ikke kan finde nogen grund til, at omgive oplysningerne med nogen sikkerhed ud over den, vi har for alle vore oplysninger,
- De oplysninger, vi formidler til vor leverandør, er ligeledes af en sådan karakter, at det er vores vurdering af risici, at der reelt ikke er nogen risici forbundet med, hverken at udlevere dem til os, eller at vi formidler dem til leverandøren.