Dataansvar ved offentlige myndigheders brug af private leverandører

Datatilsynet har udgivet ny vejledende tekst om rollefordelingen i forhold til dataansvar, når private er leverandører til offentlige myndigheder.

Spørgsmålet om placeringen af dataansvaret i konstruktioner, hvor offentlige myndigheder benytter sig af private leverandører – f.eks. i forhold til selvejende institutioner, support af IT-løsninger, levering af sundhedsydelser eller anvendelse af selvstændige konsulenter – har løbende givet anledning til spørgsmål. Disse spørgsmål har Datatilsynet nu søgt at imødegå med udgivelsen af en ny vejledende tekst som supplement til den eksisterende vejledning om dataansvarlige og databehandlere, indeholdende nye, afklarende, konkrete eksempler.

Hvad er afgørende ved vurderingen af dataansvarsfordelingen?

Datatilsynet slår med den nye vejledende tekst endnu engang fast, at der i forhold til vurderingen af de forskellige parters roller ikke er tale om en formel vurdering, men derimod en faktisk vurdering af de konkrete omstændigheder. Heri ligger, at det er indholdet af den specifikke aftale mellem parterne og den faktiske fordeling og udførelse af opgaver og ansvar, som er afgørende for, hvilken rolle parterne har. Der skal i denne vurdering særligt lægges vægt på

• Om leverandørens databehandling er en del af kerneydelsen ved leverancen.
• Om leverandøren behandler oplysninger til eget formål, f.eks. med henblik på at kunne indgå aftalen, uden at der er indgået egentlig aftale om databehandling, eller om behandlingen sker på baggrund af den offentlige myndigheds formål i henhold til konkret aftale.
• Om leverandørens databehandling er underlagt konkret instruks fra den offentlige myndighed herunder i form af instruks vedrørende de anvendte behandlingsmidler, dataindsamlingen, retentionsperioden og lignende.
• Om leverandøren ved leveringen af den – eller dele af den – aftalte ydelse anvender en særlig kompetence eller er underlagt anden lovgivning, som eksplicit eller implicit dikterer dataansvaret.

Hvad bidrager den nye vejledende tekst med?

Den nye vejledende tekst fra Datatilsynet består overordnet af 11 konkrete eksempler, hvoraf eksempel 1-3 er gengangere fra den eksisterende vejledning om dataansvarlige og databehandlere, mens eksempel 4-11 er nye eksempler udarbejdet efter inddragelse af relevante interessenter.

De nye eksempler fra Datatilsynet bidrager med konkret afklaring i forhold til de forskellige parters roller, når det offentlige anvender private leverandører til

• Indsamling af affald
• Tracking af lokalitetsoplysninger til konkret formål
• Udførelse af personlighedstests, både hvor leverandøren er testudførende, og hvor leverandøren blot stiller en platform til rådighed for myndigheden
• Levering af konsulentydelser, både i forhold til situationer hvor konsulenten indtager en rådgivende ekspertrolle, og hvor konsulenten i højere grad udgør ekstra arbejdskraft under myndighedens specifikke instruktion
• Udførelse af skolefotografering
• Levering af social- og sundhedsydelser, herunder hvor leverandøren har en særlig kompetence og/eller er underlagt særlige krav til databehandlingen via anden lovgivning
•  Drift af daginstitution, både i forhold til databehandlingen vedrørende institutionens brugere og vedrørende institutionens personale
• IT-support, hvor den tekniske løsning hverken driftes eller hostes af leverandøren

Den nye vejledende tekst bidrager således med konkret afklaring i forhold til flere højaktuelle problemstillinger forbundet med det offentliges anvendelse af private leverandører, og den er ligeledes bredt anvendelig til analog fortolkning af problemstillinger uden for det offentlige område.  

Samtidig understreger Datatilsynets udgivelse af den supplerende vejledende tekst endnu engang, at vurderingen af de forskellige parters rolle i forhold til dataansvar er kompleks, og afhænger af helt konkrete omstændigheder.

Kontakt os

Hvis I ønsker at høre mere, eller har brug for hjælp til vurderingen af dataansvar, er I derfor velkomne til at kontakte Peter Christian Kierkegaard eller Julie Løvenkrands.