Nyhed

Alvorlig kritik, påbud og forbud: Underdatabehandler nægtede at udlevere personoplysninger til den dataansvarlige

En dataansvarlig har klaget til Datatilsynet over, at en tidligere underdatabehandler ikke ville tilbagelevere den dataansvarliges kundeoplysninger.

På baggrund af klagen indledte Datatilsynet af egen drift en sag overfor virksomhedens tidligere underdatabehandler, der fungerede som underleverandør af et IT-system for den dataansvarlige.

I afgørelsen har Datatilsynet udtalt alvorlig kritik, men også udstedt et påbud om tilbagelevering af personoplysninger til den dataansvarlige samt udstedt et forbud mod at de pågældende kundeoplysninger behandles, medmindre dette sker efter instruks fra den dataansvarlige.

Underdatabehandler og personoplysninger

SAGEN

Den dataansvarlige anvendte i en periode en databehandler som leverandør af et IT-system, der skulle opbevare den dataansvarliges kundeoplysninger. For at udføre driften af IT-systemet anvendte denne databehandler en underdatabehandler.

I forbindelse med, at den dataansvarlige skulle overgå til et andet IT-system, anmodede de underdatabehandleren om at få udleveret de kundeoplysninger, der blev opbevaret hos dem, men underdatabehandleren nægtede at udlevere oplysningerne.

Underdatabehandleren anførte i sagen, at de ikke behandlede personoplysninger på vegne af den dataansvarlige, men derimod på vegne af databehandleren og efter dennes instruks, idet der var indgået en databehandleraftale mellem underdatabehandleren og databehandleren, hvori databehandleren (og dermed ikke den oprindelige dataansvarlige) var anført som dataansvarlig over for underdatabehandleren.

På denne baggrund anførte underdatabehandleren, at den dataansvarlige ikke kunne kræve tilbagelevering af dennes kundeoplysninger, og at en sådan nægtelse ikke var i strid med databeskyttelsesforordningen.

DATATILSYNETS AFGØRELSE

Datatilsynet kom i sagen frem til, at kundeoplysningerne blev behandlet på vegne af den dataansvarlige af både databehandleren og underdatabehandleren, uanset at der var indgået en databehandleraftale mellem databehandleren og underdatabehandleren, som forskrev et andet set-up. Det var dermed de faktiske forhold vedrørende behandlingen af personoplysninger, der var afgørende, og det faktum, at man havde lavet en aftale, hvor databehandleren fremgik som den dataansvarlige, kunne ikke føre til et andet resultat.

Derfor valgte Datatilsynet at meddele et påbud om at udlevere kundeoplysningerne til den oprindelige dataansvarlige samt at udstede et forbud mod, at underdatabehandleren kunne behandle kundeoplysningerne til andre formål end de formål, som var fastsat af den dataansvarlige. Derudover udtalte Datatilsynet alvorlig kritik af underdatabehandleren.

NJORDS BEMÆRKNINGER

Afgørelsen er et tydeligt udtryk for, at det er de faktiske forhold, der er afgørende, når Datatilsynet vurderer, om man lever op til kravene i databeskyttelseslovgivningen. Afgørelsen slår fuldstændig fast, at parter, der indgår i behandlingen af personoplysninger, ikke har mulighed for at aftale sig til hvilken rolle, de godt kunne tænke sig at have (men ikke defacto har) og dermed hvilke forpligtelser, de har overfor hinanden og tredjeparter.

Vil du vide mere?
Vil du holdes opdateret?
Skal vi løse dit problem?