Da Brunata A/S i 2018 implementerede databeskyttelsesforordningen (GDPR) var vurderingen, at vi var databehandler for vores kunder, og at vores kunder alene var dataansvarlig.
Spørgsmålet om hvilken GDPR-rolle man indtager og herunder især om databehandlere ctr. fælles dataansvarlige, er siden GDPR’s ikrafttrædelse i maj 2018 blevet fortolket og konkretiseret af danske og europæiske myndigheder. Dette sammenholdt med udviklingen i Brunatas egen interesse i de data vi behandler, har givet os anledning til at genoverveje vores rolle i medfør af GDPR.
Det europæiske databeskyttelsesråd har i september 2020 udgivet en ny vejledning, som b.la. beskriver relevant praksis fra EU domstolen, samt fortolkninger af forståelsen og rækkevidden af persondataforordningens art. 26 om fælles dataansvar. Vejledningens indhold samt videreudviklingen af Brunatas ydelser, herunder brugen af ChatBot’en ”Ida” som en integreret del af Brunatas kundeservice, har medført et behov for at overveje, om den tidligere fastlagte rollefordeling mellem Brunata og vores kunder fortsat må anses for korrekt.
I 2. halvår af 2020 påbegyndte Brunata brugen af en såkaldt ChatBot i sin kundeservice, der bl.a. servicerer de registrerede (beboere) direkte. ChatBot’en aflaster de ansatte i Brunatas kundeservice, og det er målsætningen at så mange henvendelser som muligt kan håndteres af ChatBot’en alene. ChatBot’en fungerer på den måde at den analyserer data fra bl.a. besøg på Brunatas hjemmeside og på baggrund heraf fremkommer med svar på spørgsmål fra de registrerede og andre hjemmesidebesøgende. De hidtidige erfaringer viser at ChatBot’en svarer rigtigt i mere end 95% af tilfældene og Brunata har derfor besluttet at fastholde brugen af ChatBot’en. For beboere indebærer ChatBot’en, at de slipper for at vente på, at det bliver deres tur til at tale med en Brunata-medarbejder.
Formålet med indsamlingen af de data, der ligger til grund for ChatBot’ens måde at arbejde på ligger hermed uden for det formål, som Brunatas kunder har defineret. Brunata har med andre ord fået en selvstændig interesse i behandlingen af bl.a. beboeres persondata, der ligger udover hvad Brunatas kunder har af interesse heri. Brunata er dermed gået fra at være en rendyrket udførende databehandler på baggrund af en instruks fra kunden, til nu delvist ved hjælp af de registreredes data at muliggøre flere formål med indhentningen af data, mens der fortsat leveres forbrugsregnskaber til kunderne.
Af persondataforordningens art. 26 fremgår det, at to aktører er fælles dataansvarlige, når de i fællesskab fastlægger 1) formålene med behandlingen og 2) hjælpemidlerne hertil. Bistår begge virksomheder i bestemmelsen af begge forhold, kan de karakteriseres som fælles dataansvarlige og den ene kan således ikke være databehandler for den anden. EU-Domstolen har slået fast, at et fælles dataansvar også kan foreligge, hvor den ene dataansvarlige har en væsentlig større kontrol over eller indflydelse på behandlingen end den anden.
På basis af ovenstående har vi sammen med juridiske rådgivere konkluderet, at Brunata i dag må indtage en rolle som fælles dataansvarlig jf. GDPR art. 26. Hermed ophører Brunata med at være databehandler for jer og overgår til at være fælles dataansvarlig sammen med jer ift. de registrerede (beboere).
Denne ændring i vurderingen af Brunatas GDPR-rolle har som konsekvens, at:
A. Brunata i stedet for at indgå en databehandleraftale med kunderne skal aftale en ordning med kunden om fælles dataansvar, i hvilken kunden og Brunata på en gennemsigtig måde fastlægger deres respektive ansvar for overholdelse af forpligtelserne iht. persondataforordningen, navnlig hvad angår udøvelse af de registreredes rettigheder og de fælles dataansvarliges respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i art. 13 og 14.
B. Brunata vil kunne håndtere henvendelser fra de registrerede (beboere) i relation til f.eks. berigtigelse og indsigt direkte uden at skulle bede den registrerede adressere henvendelsen via kunden/administrator. Herved lettes behandlingen af sådanne henvendelser for kunden/administrator betydeligt.
C. Kunden/administrator undgår at skulle føre tilsyn med Brunata som databehandler.
I stedet for at have en databehandleraftale med vores kunder, skal vi altså have en aftale om fælles dataansvar. En aftale, der medfører, at Brunata overtager nogle af de forpligtelser, der hidtil har hvilet på kunderne. Som kunde får I ingen yderligere forpligtelser, set i forhold til i dag, som følge af Brunatas justerede rolle.
En aftale om fælles dataansvar til erstatning for den hidtidige databehandleraftale, der har været gældende mellem os, finder man her. Som sagt indebærer aftalen alene, at de forpligtelser der hidtil har påhvilet den dataansvarlige (dvs. jer) alene, fremover deles mellem jer og os som fælles dataansvarlige.
Det skal også understreges, at Brunata fortsat er underlagt omfattende databeskyttelsesretlige krav, blot ikke længere som databehandler, men som (fælles) dataansvarlig. Et ansvar vi naturligvis tager lige så alvorligt som vi har taget ansvaret som databehandler.
Det er afslutningsvis væsentligt for os at understrege, at justeringen af Brunatas GDPR-rolle ingen indflydelse har på vores kommercielle og fremadrettede samarbejde, udover at det letter nogle af arbejdsgangene omkring vores daglige samarbejde, ligesom I fremover slipper for at føre tilsyn med os som databehandler.
Brunatas GDPR-rolle og baggrunden for justeringen heraf er beskrevet i detaljer i et juridisk notat, der kan findes her.
Det skal nævnes, at man ikke kan aftale sig til, om man er dataansvarlig eller databehandler og i konsekvens af resultatet af den seneste juridiske analyse af Brunatas GDPR-rolle, er det således heller ikke en mulighed at Brunata forbliver databehandler for nogle af sine kunder. I lyset af, at konsekvensen af Brunatas rolleskifte efter vores bedste vurdering alene indebærer fordele for vores kunder, er det også vores håb og tro, at vores kunder ikke blot har forståelse for den juridiske nødvendighed af rolleskiftet, men også vil se dette som et positivt skridt.
Ift. aftalen om fælles dataansvar er det derfor vores forventning at langt størstedelen af vores ca. 10.000 kunder ikke har bemærkninger hertil. Vi har på den baggrund besluttet, at vi ikke vil bede alle vores kunder om at returnere aftalen i underskrevet stand. Og fremover vil aftalen om fælles dataansvar indgå i det samlede aftalegrundlag med vores kunder på samme måde som vores salgs- og leveringsbetingelser. Eventuelle spørgsmål eller bemærkninger til aftalen om fælles dataansvar bedes imidlertid meddelt os senest 4 uger efter at man er blevet bekendt med denne orientering, og under alle omstændigheder ikke senere end d. 31. august 2021.
Herlev, maj 2021
Keld Forchhammer
CEO
Tony Franke
Legal Counsel/DPO
GDPR hos Brunata
GDPR, som det ofte omtales i dagligdagen, er baseret på EU-forordningen General Data Protection Regulation, som fastlægger rammerne for virksomheders arbejde med persondata.
GDPR handler om at omgås persondata ordentligt. Det lægger vi stor vægt på hos Brunata, hvor vi primært lever af at behandle persondata i form af bl.a. oplysninger om beboeres el-, energi- eller varmeforbrug. Det er afgørende for os, at vores kunder oplever at være i trygge hænder, når vi håndterer deres beboeres persondata.
Vores GDPR-univers dækker tre hovedområder: Vores persondatapolitik, Brunatas GDPR-mæssige rolle og vores aftale om fælles dataansvar.