Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot en underleverantör för överträdelse av bland annat artiklarna 6.1 och 9.2 dataskyddsförordningen (GDPR) efter att en personuppgiftsansvarig klagat på att deras tidigare underleverantör av ett IT-system inte ville återlämna den personuppgiftsansvariges kundinformation. På grundval av klagomålet inledde Datatilsynet på eget initiativ ett ärende mot företagets tidigare IT-leverantör (i ärendet benämnd företagets underbiträde).
Av ärendet framgår bland annat att ett personuppgiftsbiträdesavtal ingåtts mellan underbiträdet och personuppgiftsbiträdet, i vilket personuppgiftsbiträdet stod som personuppgiftsansvarig gentemot underbiträdet (och alltså inte den ursprungliga personuppgiftsansvarige).
Underbiträdet förnekade med hänvisning till detta avtal att den agerat i strid med dataskyddsförordningen, genom att inte tillmötesgå den personuppgiftsansvariges begäran om utlämnande av uppgifter. Underbiträdet uppgav att de i egenskap av återförsäljarens underbiträde inte var underställda den personuppgiftsansvariges direkta instruktioner, varför den ursprungliga personuppgiftsansvarige inte kunde instruera dem att lämna tillbaka kundinformationen.
Efter en genomgång av ärendet fann Datatilsynet att nämnda kundinformation de facto behandlats av både personuppgiftsbiträdet och underbiträdet på uppdrag av den ursprungliga personuppgiftsansvarige. Det förhållandet att underbiträdet och personuppgiftsbiträdet ingått ett personuppgiftsbiträdesavtal, där personuppgiftsbiträdet angetts som personuppgiftsansvarig, kunde därför inte leda till ett annat resultat.
Datatilsynet noterade i detta sammanhang att underbiträdet själv hade bestämt syftet med lagringen genom att inte efterleva den personuppgiftsansvariges begäran om återlämnande av nämnda kunduppgifter och därigenom även blivit en oberoende personuppgiftsansvarig för den fortsatta lagringen av kundinformationen.
Mot denna bakgrund ansåg Datatilsynet att det finns skäl att framföra allvarlig kritik mot att underbiträdets behandling av personuppgifter inte har skett i enlighet med reglerna i artiklarna 6.1 och 9.2 GDPR. Datatilsynet ansåg att det även fanns grund för att meddela ett föreläggande för underbiträdet att överlämna den personuppgiftsansvariges kunduppgifter och ett förbud mot att behandla nämnda kunduppgifter, om inte behandlingen sker i enlighet med den personuppgiftsansvariges anvisningar.
Underbiträdet har till och med den 21 februari 2022 att efterleva föreläggandet.