Instruksjonsmyndighet

Instruksjonsmyndigheten skal sikre at personopplysninger behandles slik behandlingsansvarlig har bestemt, men hvordan kan det sikres dersom instruksjonsmyndigheten begrenses i standardvilkårene til skytjenesteleverandøren?

Hvor er jeg i veiledningen?
Figur som viser en oversikt over veiledningen
Denne figuren viser hvordan vi ser for oss at sidene i veiledningen henger sammen. Leter du etter en spesifikk side, finner du den ved å følge sidene i veiledningen, eller under vår oversikt nederst på hovedsiden.

1. Kort om instruksjonsmyndighet

Databehandler behandler personopplysninger på vegne av den behandlingsansvarlige, jf. pvf. art. 4 (8). Dette betyr at databehandler bare skal behandle personopplysninger etter instrukser fra den behandlingsansvarlige, jf. pvf. art. 29. Databehandler har likevel en viss skjønnsmargin til å velge den tekniske eller organisatoriske metoden som best ivaretar den behandlingsansvarliges interesser, se EDPB Guidelines 07/2020 s. 3. Ofte benyttes databehandlere nettopp fordi de leverer tjenester som den behandlingsansvarlige ikke selv kan levere. Derfor vil databehandleren normalt ha bedre kompetanse og forutsetninger til å vurdere metodene for behandlingen som skjer hos databehandleren.

Instruksene skal dokumenteres, jf. art. 28 (3) bokstav a). Det er ingen øvrige formalkrav til hvordan instruksjonene skal gis, slik at de også i nødvendige tilfeller kan gis muntlig eller på e-post. Kravet til dokumentasjon tilsier da at instruksene må nedtegnes skriftlig i ettertid.

Formålet med instruksjonsmyndigheten

Reglene om instruks skal sikre at personopplysningene behandles i tråd med formålene bestemt av den behandlingsansvarlige og dennes behandlingsgrunnlag, og forhindre at databehandleren behandler personopplysninger til egne formål. De skal sørge for at behandlingsansvarlig har kontroll på behandlingen og kan ivareta ansvarlighetsprinsippet, samt at databehandler kan dokumentere at behandlingen skjer på behandlingsansvarliges vegne.

2. Skytjenesters natur gir i seg selv en viss instruksjonsmyndighet

En skytjeneste er på et grunnleggende nivå infrastruktur og tjenester for lagring og prosessering av data. Kunden velger hvilke tjenester som skal benyttes hos skytjenesteleverandøren. Videre har kunden tilgang til "innstillingene" (administrasjons-programmer) hos skytjenesteleverandøren for de valgte tjenestene. I disse innstillingene bestemmer kunden hvordan tjenestene konfigureres og driftes. Hvor mange innstillinger kunden har tilgang til avhenger av tjenestemodellen. Hvis kunden for eksempel benytter IaaS vil kunden ha stor påvirkning ved at det er kundens egne applikasjoner og tjenester som kjører på skytjenesteleverandørens infrastruktur.

Både ved valg, konfigurering og drifting av tjenester påvirker kunden hvordan data behandles. Skytjenesters natur innebærer derfor at kunden har en viss instruksjonsmyndighet allerede ved at kunden selv bestemmer hvilke tjenester som skal benyttes og hvordan disse konfigureres.

3. Avtalevilkår som begrenser instruksjonsmyndigheten

Arbeidsgruppen har gjennomgått flere standard databehandleravtaler med skytjenesteleverandører som leverer globale standardløsninger og avdekket at instruksjonsmyndigheten begrenses i enkelte avtaler på ulike måter:

  • Behandlingsansvarlig bekrefter ved avtalen at alle instruksjoner er uttømmende angitt i databehandleravtalen,
  • Instruksjonsmyndigheten er knyttet til endringsregimet for hovedavtalen.
  • Instrukser kan kun gis ved innstillinger i selve tjenesten, det vil si at det ikke er åpnet for instrukser som av tekniske årsaker ikke lar seg løse ved å endre innstillingene.

Det kan ha gode grunner for seg å avtale hvordan instrukser skal gis, og hvilke rammer som gjelder. Det kan bli uhåndterbart for skytjenesteleverandøren dersom de stadig skal forholde seg til nye instrukser med ulikt format og innhold. De standardiserte tjenestenes natur taler mot at behandlingsansvarlig kan gi detaljerte løpende og uspesifiserte instrukser.

4. Kan begrensning av instruksjonsmyndigheten aksepteres?

Det er viktig at behandlingsansvarlig tar stilling til om begrensninger i instruksjonsretten kan aksepteres i det konkrete tilfellet, eller om virksomheten heller ønsker å benytte andre løsninger for å ivareta eget behov.

Personvernforordningen sier ikke noe om den behandlingsansvarliges instruksjonsmyndighet kan begrenses. Databehandleren kan i visse tilfeller behandle opplysninger uten at det skjer på instruks fra den behandlingsansvarlige. Unntaket sier likevel ikke noe om hvorvidt instruksjonsmyndigheten kan begrenses.

Slik arbeidsgruppen ser det, kan ikke instruksjonsretten være fullstendig avskåret. Det fremgår klart av personvernforordningen at den behandlingsansvarlige skal ha instruksjonsmyndighet. Den behandlingsansvarlige må kunne utøve sitt ansvar på en forsvarlig måte. Så lenge formålet med instruksjonsmyndigheten er ivaretatt er det likevel rom for å avtale hvordan instruksene skal gis, for eksempel ved at instruksjonene gis ved å gjøre innstillinger i selve tjenesten. Instruksjonsmyndigheten kan også knyttes til endringshåndteringsmekanismene i avtaleforholdet mellom partene, så lenge ikke leverandøren kan motsette seg instrukser. Om instruksene vil utløse økonomiske konsekvenser vil dette være en forretningsmessig vurdering.

Fordi kunden av skytjenester kan påvirke hvordan behandlingen av opplysningene skjer i tjenesten, er det ikke nødvendigvis et behov for å gi løpende instrukser. Der eksempelvis en behandlingsansvarlig mottar en forespørsel om innsyn fra en registrert, kan tjenesten være satt opp slik at den behandlingsansvarlige på egenhånd kan hente ut informasjonen som etterspørres. Muligheten for selvbetjening ivaretar de registrertes rettigheter, og det er ikke nødvendig å instruere databehandler.

I andre tilfeller kan behandlingsansvarlig ha behov for informasjon i forbindelse med gjennomføring av en DPIA eller revisjon. Enkelte skytjenesteleverandører har gjort utfyllende veiledning og informasjon om tjenesten tilgjengelig for offentligheten, slik at behovet for å bistå behandlingsansvarlig er redusert.

EU-kommisjonens standard databehandleravtale

EU-kommisjonens standard databehandleravtale (Commission Implementing Decision (EU) 2021/915 of 4 June 2021) legger i artikkel 7.1 opp til at “Subsequent instructions may also be given by the controller throughout the duration of the processing of personal data.”.

En naturlig forståelse av dette er at der det foreligger en databehandleravtale mellom partene, så skal den behandlingsansvarlige også kunne gi løpende instruksjoner.

Oppdatert: 12. september 2023

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.