Danmark: Underbiträde får allvarlig kritik för att inte ha följt den personuppgiftsansvariges instruktioner

Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot en underleverantör för överträdelse av bland annat artiklarna 6.1 och 9.2 dataskyddsförordningen (GDPR) efter att en personuppgiftsansvarig klagat på att deras tidigare underleverantör av ett IT-system inte ville återlämna den personuppgiftsansvariges kundinformation. På grundval av klagomålet inledde Datatilsynet på eget initiativ ett ärende mot företagets tidigare IT-leverantör (i ärendet benämnd företagets underbiträde).

Av ärendet framgår bland annat att ett personuppgiftsbiträdesavtal ingåtts mellan underbiträdet och personuppgiftsbiträdet, i vilket personuppgiftsbiträdet stod som personuppgiftsansvarig gentemot underbiträdet (och alltså inte den ursprungliga personuppgiftsansvarige).

Underbiträdet förnekade med hänvisning till detta avtal att den agerat i strid med dataskyddsförordningen, genom att inte tillmötesgå den personuppgiftsansvariges begäran om utlämnande av uppgifter. Underbiträdet uppgav att de i egenskap av återförsäljarens underbiträde inte var underställda den personuppgiftsansvariges direkta instruktioner, varför den ursprungliga personuppgiftsansvarige inte kunde instruera dem att lämna tillbaka kundinformationen.

Efter en genomgång av ärendet fann Datatilsynet att nämnda kundinformation de facto behandlats av både personuppgiftsbiträdet och underbiträdet på uppdrag av den ursprungliga personuppgiftsansvarige. Det förhållandet att underbiträdet och personuppgiftsbiträdet ingått ett personuppgiftsbiträdesavtal, där personuppgiftsbiträdet angetts som personuppgiftsansvarig, kunde därför inte leda till ett annat resultat.

Datatilsynet noterade i detta sammanhang att underbiträdet själv hade bestämt syftet med lagringen genom att inte efterleva den personuppgiftsansvariges begäran om återlämnande av nämnda kunduppgifter och därigenom även blivit en oberoende personuppgiftsansvarig för den fortsatta lagringen av kundinformationen.

Mot denna bakgrund ansåg Datatilsynet att det finns skäl att framföra allvarlig kritik mot att underbiträdets behandling av personuppgifter inte har skett i enlighet med reglerna i artiklarna 6.1 och 9.2 GDPR. Datatilsynet ansåg att det även fanns grund för att meddela ett föreläggande för underbiträdet att överlämna den personuppgiftsansvariges kunduppgifter och ett förbud mot att behandla nämnda kunduppgifter, om inte behandlingen sker i enlighet med den personuppgiftsansvariges anvisningar.

Underbiträdet har till och med den 21 februari 2022 att efterleva föreläggandet.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 6 GDPR, art. 9 GDPR

Sanktionsavgift: N/A

Mottagare: N/A

Beslutsnummer: 2022-431-0167

Beslutsdatum: 2022-02-07

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.