Alvorlig kritik til Randers Kommune for manglende overholdelse af databeskyttelsesregler ved brug af databehandlere

Baggrund for tilsynet

I 2018 udvalgte Datatilsynet en række myndigheder, herunder Randers Kommune, til et tilsyn. Formålet var at undersøge, hvordan kommunerne overholdt kravene ved brug af databehandlere.

Tilsynets fokus

Tilsynet var koncentreret om Randers Kommunes overholdelse af databeskyttelsesforordningens krav i forbindelse med brugen af databehandlere.

Randers Kommunes forpligtelser

• Randers Kommune skulle sikre, at der var indgået databehandleraftaler med alle databehandlere, som minimum indeholdt en beskrivelse af de forpligtelser, der fremgår af databeskyttelsesforordningens artikel 28, stk. 3.
• Kommunen skulle føre løbende tilsyn med behandlingen af personoplysninger hos både databehandlere og underdatabehandlere.
• Kommunen skulle sikre, at databehandlerne kun behandlede personoplysninger efter dokumenteret instruks fra kommunen.

Datatilsynets konstateringer

• Randers Kommune havde ikke indgået databehandleraftaler med 68 af kommunens databehandlere, der som minimum indeholdt en beskrivelse af de forpligtelser, der fremgår af databeskyttelsesforordningen artikel 28, stk. 3.
• Kommunen havde i enkelte tilfælde ikke i tilstrækkelig grad forholdt sig til, hvordan forpligtelserne i artikel 28, stk. 3, skulle opfyldes i praksis.
• Kommunen havde ikke på en tilstrækkelig klar måde instrueret samtlige databehandlere i, hvilken behandling af personoplysninger, der skulle foretages på vegne af kommunen.
• Kommunen havde ikke i alle tilfælde ført løbende tilsyn med behandlingen af personoplysninger hos kommunens underdatabehandlere.

Afgørelse

Datatilsynet udtalte alvorlig kritik af, at Randers Kommune ikke havde overholdt kravene i databeskyttelsesforordningen vedrørende brugen af databehandlere, jf. Databeskyttelsesforordningen § 28, stk. 3 og Databeskyttelsesloven § 5, stk. 2, jf. Databeskyttelsesloven § 5, stk. 1.

Begrundelse for kritikken

• Randers Kommune havde ikke indgået databehandleraftaler med 68 databehandlere, der opfyldte minimumskravene i databeskyttelsesforordningen artikel 28, stk. 3.
• Kommunen havde ikke i tilstrækkelig grad forholdt sig til, hvordan forpligtelserne i artikel 28, stk. 3, skulle opfyldes i praksis.
• Kommunen havde ikke tilstrækkeligt klart instrueret databehandlerne om behandlingen af personoplysninger.
• Kommunen havde ikke i alle tilfælde ført løbende tilsyn med underdatabehandlere.

Påbud

Datatilsynet anmodede Randers Kommune om:

• En redegørelse for de databeskyttelsesretlige overvejelser, som kommunen har gjort sig på baggrund af tilsynsbesøget.
• En konkret og detaljeret plan for, hvordan kommunen fremadrettet vil føre det fornødne tilsyn med kommunens databehandlere og underdatabehandlere.