Det Europæiske Databeskyttelsesråd har vedtaget en udtalelse efter GDPR artikel 64, stk. 2, som præciserer dataansvarliges pligter ved anvendelse af databehandlere, særligt i cloud-setup med underleverandører. Målet er en fælles forståelse og ensartet håndhævelse på tværs af tilsynsmyndighederne.
Udtalelsen behandler bl.a. hvorvidt og hvordan den dataansvarlige skal kunne identificere alle databehandlere og underdatabehandlere, samt kravet om at verificere og dokumentere, at underdatabehandlere pålægges de samme databeskyttelsesforpligtelser som den førstvalgte databehandler. Der gives også vejledning om dokumentation, når en databehandler i EU/EØS overfører personoplysninger til en underdatabehandler i tredjeland, herunder behovet for passende overførselsgrundlag og risikovurderinger.
Praktisk indebærer udtalelsen skærpet fokus på kontrakter efter artikel 28, leverandørstyring, registre over databehandlere, audit og løbende kontrol af tekniske og organisatoriske foranstaltninger. Dataansvarlige bør gennemgå cloudaftaler, godkendelsesprocedurer for underdatabehandlere samt dokumentere overførsler og TIA. Læs udtalelsen hos EDPB her: edpb.europa.eu.
