Dataansvarlig eller databehandler

Er du dataansvarlig eller databehandler?

I mange situ­a­tio­ner er det let at vurdere, om man er data­ansvar­lig eller data­be­hand­ler. F.eks. hvis du er ansat i en kommune, der behand­ler personoplysninger om borgere, så er du data­ansvar­lig, mens den IT-leverandør, som leve­rer syste­merne til behand­lin­gen, er databehandler.

Der stil­les forskel­lige krav til data­ansvar­lige og data­be­hand­lere, og derfor er det vigtigt, at man er opmærk­som på, hvad ens rolle er, når man som privat virk­som­hed, offent­lig myndig­hed, fysisk person insti­tu­tion eller ethvert andet organ behand­ler (f.eks. indsam­ler, regi­stre­rer, vide­re­gi­ver eller slet­ter) personoplysninger.

Hvad er en dataansvarlig?

En data­ansvar­lig er typisk den virk­som­hed eller offent­lig myndig­hed, som bestem­mer det formål som perso­nop­lys­nin­gerne må behand­les til, og hvor­dan perso­nop­lys­nin­gerne må behand­les, herun­der hvem der må behandle personoplysningerne.

En kommune bestem­mer formå­let med behand­lin­gen af oplys­nin­ger omkring borgerne, og bestem­mer også hvem der må behandle oplys­nin­gerne, og hvor­når de skal slettes.

Hvad er en databehandler?

En data­be­hand­ler er typisk den virk­som­hed eller offent­lig myndig­hed, der behand­ler personoplysninger på vegne af den data­ansvar­lige. Data­be­hand­le­ren bestem­mer såle­des i modsæt­ning til den data­ansvar­lige, hver­ken hvor­dan eller med hvilke formål der må behand­les personoplysninger.

F.eks. kan en kommune bede et lønbu­reau om at admi­ni­strere lønud­be­ta­ling. Bureauet bestem­mer ikke formå­let med behand­lin­gen, lige­som bureauet heller ikke bestem­mer, hvil­ken løn der skal udbe­ta­les til hvilke medar­bej­dere. Alt det bestem­mer kommu­nen stadig. Bureauet ekspe­de­rer udeluk­kende lønnen og er databehandler.

 

Hvorfor er det vigtigt at finde ud af om man er dataansvarlig eller databehandler?

Det er vigtigt at finde ud af, om du er data­ansvar­lig eller data­be­hand­ler, da de krav som stil­les til data­ansvar­lige og data­be­hand­lere er forskellige.

I udgangs­punk­tet er det den data­ansvar­lige, som har ansva­ret for, at måden behand­lin­gen af personoplysninger fore­går på, lever op til Data­be­skyt­tel­ses­for­ord­nin­gen.

 

Derfor skal du som data­ansvar­lig bl.a. sikre dig:

  • At du har lov til at behandle de oplys­nin­ger, som du og dine data­be­hand­lere er i besid­delse af (altså at du har et behandlingshjemmel).
  • At du er i stand til at efter­leve de regi­stre­re­des rettig­he­der.
  • At du i tilfælde af brud på person­da­ta­sik­ker­he­den indbe­ret­ter data­brud­det til Data­til­sy­net inden for 72 timer.

 

Det er derfor vigtigt, at det er fast­lagt, hvor data­ansva­ret ligger, da uklar­hed om dette kan føre til, at de perso­ner, hvis oplys­nin­ger behand­les (de regi­stre­rede), får en dårli­gere beskyt­telse. F.eks. vil en regi­stre­ret person have svært ved at finde ud af, hvem man skal henvende sig til, hvis man ønsker at udøve sine rettig­he­der til bl.a. at få berig­ti­get, slet­tet eller bloke­ret oplys­nin­ger, hvis det ikke er fast­lagt, hvor data­ansva­ret ligger.

 

Kortlægning af roller som dataansvarlig og databehandler

I nogle tilfælde vil rolle­for­de­lin­gen mellem parterne, som behand­ler personoplysninger, være let at afklare, efter­som der er tale om en klas­sisk data­be­hand­ler­kon­struk­tion, hvor f.eks. en IT-leverandør udeluk­kende hand­ler efter instruks og udfø­rer elek­tro­nisk data­be­hand­ling af personoplysninger for en anden virk­som­hed eller en myndig­hed. I andre tilfælde kan det være langt mere vanske­ligt at fast­lægge, om man hand­ler som data­ansvar­lig eller data­be­hand­ler. Det skyl­des bl.a., at en virk­som­hed både kan være data­be­hand­ler og data­ansvar­lig på samme tid.

Dataansvarlig eller databehandler

 

Fælles dataansvar

Samti­digt skal man også være opmærk­som på, at der kan opstå situ­a­tio­ner, hvor der er fælles data­ansvar mellem flere parter. Det sker f.eks., hvis man i fælles­skab bestem­mer, hvor­for og hvor­dan der skal behand­les personoplysninger. Det afgø­rende her er, at behand­lin­gen af personoplysninger sker med det samme formål for øje.

Som fælles data­ansvar­lige er du og øvrige parter i fælles­skab ansvar­lige for, at reglerne i data­be­skyt­tel­ses­for­ord­nin­gen over­hol­des. I den forbin­delse er det vigtigt, at I får præci­se­ret hvilke forplig­tel­ser, som I har hver især for at over­holde databeskyttelsesforordningen.

Det er dog vigtigt at skelne mellem fælles data­ansvar og tilfælde, hvor både man selv og andre parter behand­ler personoplysninger, men hvor man hver især er ansvar­lige for sine egne behand­lin­ger. Det kunne f.eks. være, når man har et samar­bejde med andre parter, hvor man udveks­ler oplys­nin­ger mellem hinan­den, men bruger oplys­nin­gerne til hvert sit formål.

 

Hvad er en databehandleraftale?

Når der er forskel på, hvem der er data­be­hand­ler og data­ansvar­lig, skal der indgås en såkaldt data­be­hand­ler­af­tale. Afta­len skal sikre, at person­data behand­les korrekt og efter de instruk­tio­ner, som den data­ansvar­lige giver data­be­hand­le­ren. Data­be­hand­ler­af­ta­len funge­rer såle­des som doku­men­ta­tion for, at begge parter over­hol­der reglerne i Data­be­skyt­tel­ses­for­ord­nin­gen i forbin­delse med databehandling.

Det er den data­ansvar­lige, der har ansva­ret for, at der udar­bej­des en data­be­hand­ler­af­tale. Dog vil man typisk se at afta­len udfor­mes af data­be­hand­le­ren, så det er klart, hvil­ket arbejde data­be­hand­le­ren egent­lig udfø­rer. Det kan dog stadig være en god idé at stille sine data­be­hand­lere kriti­ske spørgs­mål som f.eks.:

 

Eksemp­ler på kriti­ske spørgs­mål til din databehandler:

  • Hvad bliver der gjort løbende for at være sikker på, at I over­hol­der reglerne i databeskyttelsesforordningen?
  • Hvad gør I for at doku­men­tere over­hol­del­sen af data­be­skyt­tel­ses­for­ord­nin­gen over­for jeres kunder?
  • Hvor mange medar­bej­dere har adgang til den person­data I behand­ler, og hvad gør I for at undgå misbrug af adgang til den person­data I behandler?
  • Hvor­dan sikrer I den person­data, I behand­ler, mod hackerangreb?
  • Hvor­dan sikrer I, at den person­data, I behand­ler, ikke går tabt ved f.eks. brand- eller vandskade?

 

Svarene på disse spørgs­mål kan samti­dig med fordel indgå i forbin­delse med udar­bej­del­sen af en risi­ko­vur­de­ring.

 

Skabelon til databehandleraftale

Data­til­sy­net har lavet en skabe­lon til en Data­be­hand­ler­af­tale, der kan bruges som en hjælp, når man skal lave en data­be­hand­ler­af­tale. Det er ikke noget krav til, at man anven­der skabe­lo­nen. Det vigtig­ste er, at data­be­hand­ler­af­ta­len lever op til Data­be­skyt­tel­ses­for­ord­nin­gen mini­mum­s­krav herom.

 

Kontakt

Hvis du har behov for vejled­ning og bistand vedrø­rende indhold af data­be­hand­ler­kon­trak­ter, er du meget velkom­men til at kontakte os til en ufor­plig­tende drøf­telse af jeres mulig­he­der. Vi har indgå­ende erfa­ring og indsigt i regel­sæt­tet om person­data. Og vi ved, hvor man som data­ansvar­lig typisk halter efter i forhold til at efter­leve reglerne.

 

Kira Kolby Christensen

Partner

Læs også om

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev