Databehandlers adgang til å behandle kundedata til egne formål
Leverandører som er databehandlere, har som hovedregel ikke lov å bruke kundens data til sine egne formål. Flere leverandører bruker imidlertid data fra kundene sine til egne formål, for eksempel for å videreutvikle den tjenesten man leverer. Kundedata er ofte personopplysninger, så når er det lov å gjøre dette? Og hvilke plikter har kunden som behandlingsansvarlig og «eier» av dataene i et personvernperspektiv? Det franske datatilsynet kom i januar i år med en veileder(1)https://www.cnil.fr/fr/sous-traitants-la-reutilisation-de-donnees-confiees-par-un-responsable-de-traitement for databehandleres gjenbruk av personopplysninger. Veilederen gir oss et metodisk utgangspunkt for når leverandører kan gjøre dette på en lovlig måte.
Problemstillingen og Microsoft som eksempel
Som et utgangspunkt kan en databehandler bare behandle personopplysninger på instruks fra behandlingsansvarlig.(2)GDPR artikkel 28 nr. 3 bokstav a) En slik instruks er typisk en databehandleravtale. Fordi leverandører kun skal behandle personopplysninger på instruks, foreligger det samtidig et forbud mot å behandle personopplysninger til egne formål. Det er imidlertid svært utbredt at leverandører forbeholder seg retten til å gjøre akkurat dette: behandle kundedata til egne formål. Særlig større leverandører gjør det ofte til en forutsetning for å ta i bruk den tjenesten de selger at kundene må godta en standard databehandleravtale. I denne databehandleravtalen godtar kunden også at leverandøren behandler deres personopplysninger til egne formål.
Microsoft har i sin standard databehandleravtale(3)Tillegg om databeskyttelse for produkter og tjenester fra Microsoft (Microsoft Products and Services Data Protection Addendum (DPA)), sist oppdatert 15. september 2021 for eksempel fastslått at de skal kunne behandle personopplysninger til egne formål knyttet til a) «å levere produkter og tjenester til kunden», og b) «forretningsvirksomhet som skyldes levering av produktene og tjenestene til kunden». Microsoft presiserer at levering av tjenester omfatter også «levering av funksjonsegenskaper» (det vil si funksjonalitet), «feilsøking» (forhindre, oppdage og reparasjon av problemer i tjenesten eller programmet), «kontinuerlig forbedringer» for eksempel ved «installasjon av nye oppdateringer og forbedring av brukerproduktivitet, pålitelighet, effektivitet, kvalitet og sikkerhet». Selv om dette er formål som er nært knyttet til de produkter og tjenester Microsoft leverer, er det ikke tydelig hvilke kundedata Microsoft faktisk behandler for eksempel for å forbedre effektiviteten i tjenestene de tilbyr sine kunder. Dette gjør det vanskelig for virksomheter egentlig å forstå omfanget av behandlingen til Microsoft, og dermed også hva man faktisk godtar ved å inngå en standard databehandleravtale med Microsoft.
Alternativet til å inngå en standard databehandleravtale er også utfordrende. Det skal mye til før større skyleverandører som Microsoft godtar å inngå i en forhandling med behandlingsansvarlige for å tilpasse databehandleravtalen. Det franske datatilsynets veiledning prøver å bøte på dette ved å skissere en fremgangsmåte hvor behandlingsansvarlig likevel kan oppnå noe kontroll med behandlingen til databehandler.
En konkret og skriftlig godkjennelse
Det franske datatilsynet foreslår i sin veiledning en modell der en leverandør ikke kan gjenbruke kundens data til sine egne formål uten at dette er uttrykkelig godkjent fra den behandlingsansvarlige. Denne godkjennelsen må oppfylle visse vilkår: den må være konkret, skriftlig og den må inneholde en kompatibilitetstest. Hva betyr dette i praksis?
For at godkjennelsen skal være konkret, må den være spesifikk og tydelig; det må være klart at den behandlingsansvarlige gir databehandler en eksplisitt tillatelse til å behandle kundedata til databehandlerens egne formål. En godkjennelse som ligger innbakt i en standard databehandleravtale vil som hovedregel ikke oppfylle kravet til å være konkret. Godkjennelsen må videre være skriftlig. Det betyr at den må være et eget, skriftlig dokument, og at den må sendes databehandler.
Godkjennelsen skal inneholde en kompatibilitetstest
I veiledningen fremhever det franske datatilsynet at den behandlingsansvarlige må utføre en kompatibilitetstest før endelig godkjennelse kan gis. Vurderingstemaet i denne testen er hvorvidt databehandlers nye formål er kompatibelt med det opprinnelige formålet til behandlingsansvarlig. I realiteten betyr dette at behandlingsansvarlig må vurdere om prinsippet om formålsbegrensning i GDPR artikkel 5 nr. 1 bokstav b) er oppfylt, ikke for sin egen behandling av personopplysninger, men for den nye behandlingen som databehandler ønsker å gjøre. Formålsbegrensningsprinsippet handler om at personopplysninger bare skal kunne gjenbrukes til nye formål som er kompatible med det opprinnelige formålet. Dette er viktig ikke minst for de registrerte – det skal være forutsigbart hva personopplysningene til registrerte blir benyttet til. Det franske datatilsynet oppstiller flere momenter som behandlingsansvarlig kan legge vekt på i denne vurderingen og som vi kjenner igjen fra det norske datatilsynets veiledning om formålsbegrensningsprinsippet(4)https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/formalsbegrensning/:
Finnes det en naturlig kobling mellom det opprinnelige formålet og det nye formålet?
I hvilken sammenheng er personopplysninger for det opprinnelige formål samlet inn?
Hvilket forhold har behandlingsansvarlig til den registrerte? Er den registrerte en del av en særlig sårbar gruppe eller har et avhengighetsforhold til behandlingsansvarlig?
Er det nye formålet og behandling av personopplysninger fra databehandler side forutsigbart for den registrerte?
Er det snakk om særlige kategorier personopplysninger?
Innebærer den nye behandlingen av personopplysninger særskilt risiko for den registrerte?
Er det mulig å iverksette særlige beskyttelsestiltak eller nødvendige garantier for å ivareta den registrertes personvern, for eksempel ved bruk av pseudonymisering?
Typetilfeller og mulige anbefalinger til Microsoft sin standard databehandleravtale
En skyleverandør som behandler kundedata i form av telemetri eller diagnostiske data for det formål å forbedre skytjenesten, trekkes av det franske datatilsynet frem som et nytt formål som vil kunne være kompatibelt med opprinnelig formål. Viderebruk av kundedata for rene kommersielle formål trekkes imidlertid frem som et formål som sannsynlig ikke vil være i tråd med prinsippet om formålsbegrensning.
I eksempelet ovenfor fra Microsoft sin standard databehandleravtale, er flere av formålene knyttet til å forbedre tjenesten. Med utgangspunkt i det franske datatilsynets veileder, vil nok disse formålene være kompatible med opprinnelig formål. Videre har Microsoft også forpliktet seg til å ikke behandle personopplysninger for formålene «brukerprofilering», «annonsering eller lignende kommersielle formål», eller «markedsundersøkelser rettet mot å skape nye funksjoner, tjenester eller produkter». Dette er alle eksempler på formål som kan sies å være rene, kommersielle formål. Ut i fra veiledningen til tilsynet, vil disse formålene mest sannsynlig ikke ville være kompatible med opprinnelig formål.
En metode for et asymmetrisk maktforhold som ikke løser alle utfordringer
Veiledningen til det franske datatilsynet forutsetter en åpen dialog mellom behandlingsansvarlig og databehandler, noe som kan være vanskelig å gjennomføre i praksis. Personvernlovgivningen forutsetter en virkelighet hvor behandlingsansvarlig er den med mest makt som kan sette føringer for hvordan databehandler skal behandle personopplysninger.(5)GDPR artikkel 28 nr. 3 bokstav a) til h) Imidlertid lever vi i en virkelighet hvor mange behandlingsansvarlige er helt avhengige av store databehandlere, gjerne skyleverandører. De store databehandlerne bruker allerede i dag standardformuleringer i sine databehandleravtaler hvor de forbeholder seg retten til å viderebehandle personopplysninger fra behandlingsansvarlig til egne formål.
Når man vurderer ulike leverandører i en anskaffelsesprosess, bør standardvilkår som gir adgang til gjenbruk av opplysninger være et rødt flagg. Dette fordi databehandler i utgangspunktet kun kan behandle personopplysninger på uttrykkelig instruks fra behandlingsansvarlig. Standardvilkår som må godtas av behandlingsansvarlig vil ikke være i tråd med instruksmyndigheten. Men når databehandler er en stor skyleverandør, er det vanskelig – som regel umulig – for en behandlingsansvarlig å forhandle med databehandler for å unngå en standardavtale som også innebærer viderebehandling av personopplysninger.
Selv om den ikke på langt nær løser alle utfordringer, gir fremgangsmåten fra det franske datatilsynet likevel behandlingsansvarlig en metode for å ivareta prinsippet om formålsbegrensning. Det kan gi behandlingsansvarlig noe kontroll i det ellers asymmetriske maktforhold til større databehandlere.
En pragmatisk løsning?
Selv om en forespørsel om å behandle kundedata for egne formål burde komme fra databehandleren, vil det overfor større databehandlere være opp til behandlingsansvarlig å gi godkjennelse for viderebehandling av personopplysninger. De fleste behandlingsansvarlige vil måtte gjøre denne typen kompatibilitetsvurderinger før man aksepterer en standard databehandleravtale, for så å sende den til databehandler som en formell godkjennelse. Selv om mye står og faller på behandlingsansvarlig, må man ikke glemme konsekvensen for databehandler selv ved å behandle kundedata til egne formål: Denne type behandling gjør nemlig at databehandler blir behandlingsansvarlig, med alle de personvernforpliktelser som det innebærer.
Noter
- https://www.cnil.fr/fr/sous-traitants-la-reutilisation-de-donnees-confiees-par-un-responsable-de-traitement
- GDPR artikkel 28 nr. 3 bokstav a)
- Tillegg om databeskyttelse for produkter og tjenester fra Microsoft (Microsoft Products and Services Data Protection Addendum (DPA)), sist oppdatert 15. september 2021
- https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/formalsbegrensning/
- GDPR artikkel 28 nr. 3 bokstav a) til h)