Datatillsynet har tidigare bötfällt Bergen kommun med 3 miljoner norska kronor för att inte ha vidtagit lämpliga säkerhetsåtgärder för att säkerställa skyddet av personuppgifter i samband med implementering av kommunikationslösningen Vigilo (läs mer om detta här). Kommunikationslösningen Vigilo levererades av företaget Vigilo AS som enligt Datatillsynet har rollen som personuppgiftsbiträde till Bergen kommun.
Baserat på den dokumentation som har varit tillgänglig för Datatillsynet påpekar myndigheten i ett beslut för Vigilo att de, i egenskap av personuppgiftsbiträde, haft en plikt att hjälpa Bergen kommun med att säkerställa att personuppgiftsbiträdesavtalet mellan parterna efterlevs. Enligt artikel 28.3 (f) i dataskyddsförordningen (“GDPR”) ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32-36 i GDPR fullgörs. Enligt artikel 28.3 (h) i GDPR ska personuppgiftsbiträdet vidare ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i GDPR har fullgjorts. Dessa frågor ska regleras i ett personuppgiftsbiträdesavtal mellan parterna.
Enligt Datatillsynet har det skett ett betydande kommunikationsfel mellan Bergen kommun och Vigilo. Datatillsynet är också kritisk till att den chatfunktionalitet som Vigilio gjort tillgänglig i kommunikationslösningen utan att informera Bergen kommun, inte ingick i personuppgiftsbiträdesavtalet mellan parterna. Detta tyder på dålig kommunikation mellan Bergen kommun och Vigilo, något båda parter måste ta ansvar för. Enligt Datatillsynet råder det ingen tvekan om att huvudansvaret för det inträffade ligger hos Bergen kommun. I just detta fall måste huvudansvaret för brott reglerna om säkerhet i samband med behandling av personuppgifter dock ligga på Vigilo.
Datatilsynets kritik förtydligar vikten av att inkludera detaljerade instruktioner i personuppgiftsbiträdesavtalen som personuppgiftsansvariga och personuppgiftsbiträden ingår med varandra. Otydliga eller ofullständiga instruktioner kan leda till missuppfattningar hos parterna som kan skapa en otydlig ansvarsfördelning. En otydlig ansvarsfördelning kan, som i fallet Bergen kommun och Vigilo, bidra till att en leverantör behandlar personuppgifter utanför de instruktioner som den personuppgiftsansvarige lämnat eller att leverantören agerar i strid med vad som reglerats i personuppgiftsbiträdesavtalet. Tillsynsärendet förtydligar också att det är den personuppgiftsansvarige som har huvudansvaret i situationer personuppgiftsbehandlingen brister. Detta innebär att personuppgiftsansvariga kan sanktioneras för brister i personuppgiftsbehandlingar som ett personuppgiftsbiträde varit delaktig i.