Innleide konsulenter – Når skal det inngås databehandleravtale?

Av Fride Hedin, Senior Associate, Line Haukalid, Managing Associate og Rune Opdahl, partner, advokatfirmaet Wiersholm.

I et konsulentoppdrag vil konsulenter kunne få tilgang til, eller for øvrig måtte behandle, personopplysninger. Da oppstår spørsmålet om hvilken personvernrettslig rolle konsulenten har.

I denne artikkelen vil vi se nærmere på konsulenters rolle under GDPR, med fokus på spørsmålet om konsulenten skal anses som databehandler.

Når foreligger det et databehandleroppdrag

Det foreligger et databehandleroppdrag når en behandlingsansvarlig engasjerer en databehandler til å behandle personopplysninger på den behandlingsansvarliges vegne. Spørsmålet om et konsulentoppdrag innebærer et databehandleroppdrag vil bero på konsulentoppdragets karakter. Nedenfor vil vi illustrere dette ved å se på tre typetilfeller.

Når vi i det følgende refererer til «konsulenten», siktes det til selskapet konsulenten opptrer på vegne av, enten dette er et enkeltpersonforetak eller et konsulentselskap.

Typetilfelle 1: Konsulenten arbeider «in-house» hos kunden

I noen konsulentoppdrag arbeider konsulenten tilnærmet likt som kundens egne ansatte. Konsulenten vil typisk få utdelt PC og en e-postadresse hos kunden, og arbeider utelukkende eller primært i kundens systemer (enten i kundens lokaler, via fjerntilgang, eller en kombinasjon). Konsulenten vil ved utførelse av oppdraget være underlagt kundens retningslinjer, prosedyrer og instruksjonsmyndighet.

Spørsmålet om et konsulentoppdrag innebærer et databehandleroppdrag vil bero på konsulentoppdragets karakter.

EDPB har presisert at ansatte og andre personer som er underlagt den behandlingsansvarliges myndighet, enten de er faste eller midlertidige ansatte, ikke skal anses som databehandlere. Begrunnelsen er at de ikke er en separat enhet i relasjon til den behandlingsansvarlige, men i stedet behandler personopplysninger som en del av den behandlingsansvarliges virksomhet.^{(1)EDPB’s Guidelines 07/2020, avsnitt 78 på side 26.} I henhold til GDPR artikkel 29 er personer «som handler for den behandlingsansvarlige» også bundet av den behandlingsansvarliges instruks når de behandler personopplysninger. Det er derfor verken nødvendig eller hensiktsmessig å inngå en databehandleravtale i tillegg til disse instruksene.

EDPB har presisert at ansatte og andre personer som er underlagt den behandlingsansvarliges myndighet, enten de er faste eller midlertidige ansatte, ikke skal anses som databehandlere.

Om innleide konsulenter skal likestilles med kundens personale når det gjelder behandling av personopplysninger, må vurderes konkret fra sak til sak. Der konsulentoppdraget likner et ansettelsesforhold som beskrevet ovenfor, taler gode grunner for å anse konsulenten som en del av kundens virksomhet hva gjelder konsulentens behandling av personopplysninger. Dette gjelder uavhengig av om konsulenten er ansatt hos et annet selskap eller utfører oppdraget fra et enkeltpersonforetak.

Legger man en slik tilnærming til grunn, skal det ikke inngås en databehandleravtale mellom kunden og konsulenten. De typiske databehandlerforpliktelsene som oppstilles i en databehandleravtale vil heller ikke treffe på et slikt konsulentforhold. Eksempelvis vil det være lite treffende å pålegge konsulenten plikt til å implementere egnede tekniske og organisatoriske tiltak når kundens eksisterende tiltak allerede gjelder for konsulenten og utstyret konsulenten arbeider på.

Det danske datatilsynet synes å ha en noe annen tilnærming. I sin veileder legger det danske datatilsynet til grunn at en konsulent i utgangspunktet ikke behandler personopplysninger som en del av den behandlingsansvarliges virksomhet, slik at spørsmålet blir om konsulenten opptrer som en databehandler.^{(2)Vejledende principper: Dataansvar for vikarer og konsulenter} Begrunnelsen som gis er at den behandlingsansvarlige ikke har samme rettigheter og plikter overfor en konsulent som overfor egne ansatte. For det danske datatilsynet er arbeidsrettslige betraktninger tilsynelatende utslagsgivende.

Vi mener at EDPBs tilnærming fremstår riktigere. De åpner for en bredere tilnærming, og en tilnærming som er mer forankret i reelle enn formelle omstendigheter.

Typetilfelle 2: Konsulenten har omfattende eller systematisk tilgang til kundens personopplysninger

Det foreligger et databehandleroppdrag i GDPRs forstand når et konsulentoppdrag helt eller delvis går ut på å behandle personopplysninger på vegne av kunden. Datatilsynet legger til grunn at dersom man gir en konsulent tilgang til personopplysninger i stor eller systematisk grad består oppdraget i det minste delvis i å behandle personopplysninger, selv om dette ikke nødvendigvis er hovedoppdraget.^{(3)Datatilsynets veileder; Behandlingsansvarlig og databehandler}

Datatilsynet nevner som eksempel at kunden engasjerer en konsulent for å yte generell support til ansatte i kundens IT-systemer. Behandling av personopplysninger er ikke hovedformålet med konsulentoppdraget, men konsulenten må ha kontinuerlig fjerntilgang til kundens systemer og personopplysninger som ligger der for å utføre oppdraget. Ifølge Datatilsynet foreligger det her trolig et databehandleroppdrag.

Det danske datatilsynet nevner som et annet eksempel at konsulenten skal gjennomgå kundens saksbehandling for å avdekke eventuelle saksbehandlingsfeil. Som en del av oppdraget, må konsulenten gjennomgå og søke i personopplysninger på vegne av kunden.^{(4)Vejledende principper: Dataansvar for vikarer og konsulenter} Ifølge det danske datatilsynet vil konsulenten her opptre som databehandler i relasjon til kunden.

En hul ordsky med ord som «audit», «tax», «finance», og teksten «consultant» i midten, digital illustrasjon.

Typetilfelle 3: Konsulenten skal i utgangspunktet ikke behandle personopplysninger

Hvis kunden ikke har instruert konsulenten om å behandle personopplysninger, verken helt eller delvis, foreligger det ikke et databehandleroppdrag. Et eksempel fra det danske datatilsynet er at konsulenten skal analysere kundens arbeidsstrømmer for å effektivisere kundens saksbehandling. Det inngår ikke i oppdraget å behandle personopplysninger på vegne av kunden.^{(5)Vejledende principper: Dataansvar for vikarer og konsulenter}

Et annet eksempel fra det danske datatilsynet er at en IT-konsulent hyres inn for å søke etter og rette feil i kundens programvare. Retting skjer ved at konsulenten gjør endring i programvarens kildekode. Heller ikke i dette eksempelet er det en del av oppdraget å behandle personopplysninger.

I begge eksemplene vil konsulenten imidlertid kunne få utilsiktet tilgang til personopplysninger som finnes i kundens systemer, for eksempel i forbindelse med feilsøkingen. Spørsmålet er om konsulenten av den grunn likevel må anses som en databehandler. Det danske datatilsynet sier ikke noe om dette i sin veileder.

EDPBs veileder berører dette spørsmålet i et eksempel om en IT-konsulent som skal fikse en programvarefeil. Det forutsettes i eksempelet at konsulenten ikke er engasjert for å behandle personopplysninger, og at en eventuell tilgang til personopplysninger vil være utilsiktet og derfor svært begrenset i praksis. På denne bakgrunn legger EDPB til grunn at IT-konsulenten ikke er databehandler (og heller ikke behandlingsansvarlig) for personopplysningene konsulenten eventuelt får tilgang til. Fra dette eksempelet kan det utledes to vilkår for at slike konsulentoppdrag ikke utgjør et databehandleroppdrag i GDPRs forstand: i) formålet med tjenesten er ikke å behandle personopplysninger, og ii) en eventuell tilgang til personopplysninger er utilsiktet og svært begrenset i omfang.^{(6)EDPB’s Guidelines 07/2020, avsnitt 83 på side 28.}

I lys av dette, må det vurderes konkret om konsulentens eventuelle tilgang til personopplysninger er av en slik karakter at det foreligger et databehandleroppdrag, eller kun et leverandøroppdrag. Uansett må kunden sørge for tilstrekkelig sikkerhet for personopplysningene i tråd med GDPR artikkel 32, herunder iverksette tiltak for å hindre uautorisert behandling av personopplysninger.^{(7)EDPB’s Guidelines 07/2020, avsnitt 83 på side 28.}

Vi mener at EDPBs tilnærming fremstår riktigere. De åpner for en bredere tilnærming, og en tilnærming som er mer forankret i reelle enn formelle omstendigheter.

Avtaleregulering der konsulenten ikke er databehandler

Selv om det ikke skal inngås databehandleravtale, er det viktig at kunden sørger for å ha kontroll på konsulentens potensielle befatning med personopplysninger i kundens systemer. Dette gjelder både der konsulenten anses som en del av kundens virksomhet (typetilfelle 1) og i tilfeller hvor konsulenten i utgangspunktet ikke skal behandle personopplysninger (typetilfelle 3). Eksempelvis bør kunden i oppdragsavtalen stille krav om god behandling av personopplysninger der dette er hensiktsmessig, innta passende taushetspliktsbestemmelser, samt kommunisere interne retningslinjer om behandling av personopplysninger i den grad det er relevant. For å sikre notoritet om vurderinger knyttet til partenes personvernrettslige roller og ansvar, kan det også være fornuftig å avtaleregulere at konsulenten ikke skal anses som databehandler i relasjon til kunden, med en kort begrunnelse.

Særlig om bruk av konsulenter i land utenfor EØS

GDPR stiller særskilte krav til overføring av personopplysninger til land utenfor EØS (tredjeland). Der man engasjerer en konsulent som skal behandle personopplysninger fra et tredjeland, må man derfor sørge for at behandlingen skjer i samsvar med kravene i GDPR kapittel 5. Dette inkluderer blant annet å få på plass gyldig overføringsgrunnlag (typisk EUs standardklausuler), samt gjennomføre og dokumentere tilleggsvurderingene som følger av Schrems II-avgjørelsen og EDPBs etterfølgende veiledere.

Vi erfarer at mange uten nærmere overveielser har en oppfatning om at konsulenter er databehandlere og derfor inngår en databehandleravtale som ledd i oppdragsavtalen, eller at man gjør det for å være på «den sikre siden».

En forutsetning for at det foreligger en «overføring» i GDPRs forstand, er at mottaker opptrer som selvstendig behandlingsansvarlig eller databehandler.^{(8) EDPB Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR.} Det betyr at hvis konsulenten befinner seg i et tredjeland når den behandler personopplysninger, men ikke gjør dette som en databehandler eller behandlingsansvarlig, vil det ikke foreligge en overføring i GDPRs forstand. I så fall utløses ikke overføringsreglene i GDPR kapittel 5. Det forhold at det skjer en de facto overføring til et tredjeland, fordi konsulenten i tredjelandet får tilsendt personopplysninger eller får tilgang til personopplysninger, bør likevel hensyntas i etterlevelsen av de øvrige forpliktelsene i GDPR, herunder informasjonssikkerhetskravene i GDPR artikkel 32.

Oppsummering

Spørsmålet om konsulenter er databehandlere beror på en konkret vurdering. Det er ingen automatikk i at et konsulentoppdrag innebærer et databehandleroppdrag.

Vi erfarer at mange uten nærmere overveielser har en oppfatning om at konsulenter er databehandlere og derfor inngår en databehandleravtale som ledd i oppdragsavtalen, eller at man gjør det for å være på «den sikre siden». Det er imidlertid ikke gitt at det å inngå databehandleravtale med en leverandør som ikke er databehandler er å være på «den sikre siden». Vi mener partene bør tilstrebe å avklare de personvernrettslige rollene, og å sørge for at avtaleverket reflekterer disse rollene på en riktig måte.

Noter

EDPB’s Guidelines 07/2020, avsnitt 78 på side 26.
Vejledende principper: Dataansvar for vikarer og konsulenter
Datatilsynets veileder; Behandlingsansvarlig og databehandler
Vejledende principper: Dataansvar for vikarer og konsulenter
Vejledende principper: Dataansvar for vikarer og konsulenter
EDPB’s Guidelines 07/2020, avsnitt 83 på side 28.
EDPB’s Guidelines 07/2020, avsnitt 83 på side 28.
EDPB Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR.