Er du dataansvarlig eller databehandler?
I mange situationer er det let at vurdere, om man er dataansvarlig eller databehandler. F.eks. hvis du er ansat i en kommune, der behandler personoplysninger om borgere, så er du dataansvarlig, mens den IT-leverandør, som leverer systemerne til behandlingen, er databehandler.
Der stilles forskellige krav til dataansvarlige og databehandlere, og derfor er det vigtigt, at man er opmærksom på, hvad ens rolle er, når man som privat virksomhed, offentlig myndighed, fysisk person institution eller ethvert andet organ behandler (f.eks. indsamler, registrerer, videregiver eller sletter) personoplysninger.
Hvad er en dataansvarlig?
En dataansvarlig er typisk den virksomhed eller offentlig myndighed, som bestemmer det formål som personoplysningerne må behandles til, og hvordan personoplysningerne må behandles, herunder hvem der må behandle personoplysningerne.
En kommune bestemmer formålet med behandlingen af oplysninger omkring borgerne, og bestemmer også hvem der må behandle oplysningerne, og hvornår de skal slettes.
Hvad er en databehandler?
En databehandler er typisk den virksomhed eller offentlig myndighed, der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren bestemmer således i modsætning til den dataansvarlige, hverken hvordan eller med hvilke formål der må behandles personoplysninger.
F.eks. kan en kommune bede et lønbureau om at administrere lønudbetaling. Bureauet bestemmer ikke formålet med behandlingen, ligesom bureauet heller ikke bestemmer, hvilken løn der skal udbetales til hvilke medarbejdere. Alt det bestemmer kommunen stadig. Bureauet ekspederer udelukkende lønnen og er databehandler.
Hvorfor er det vigtigt at finde ud af om man er dataansvarlig eller databehandler?
Det er vigtigt at finde ud af, om du er dataansvarlig eller databehandler, da de krav som stilles til dataansvarlige og databehandlere er forskellige.
I udgangspunktet er det den dataansvarlige, som har ansvaret for, at måden behandlingen af personoplysninger foregår på, lever op til Databeskyttelsesforordningen.
Derfor skal du som dataansvarlig bl.a. sikre dig:
- At du har lov til at behandle de oplysninger, som du og dine databehandlere er i besiddelse af (altså at du har et behandlingshjemmel).
- At du er i stand til at efterleve de registreredes rettigheder.
- At du i tilfælde af brud på persondatasikkerheden indberetter databruddet til Datatilsynet inden for 72 timer.
Det er derfor vigtigt, at det er fastlagt, hvor dataansvaret ligger, da uklarhed om dette kan føre til, at de personer, hvis oplysninger behandles (de registrerede), får en dårligere beskyttelse. F.eks. vil en registreret person have svært ved at finde ud af, hvem man skal henvende sig til, hvis man ønsker at udøve sine rettigheder til bl.a. at få berigtiget, slettet eller blokeret oplysninger, hvis det ikke er fastlagt, hvor dataansvaret ligger.
Kortlægning af roller som dataansvarlig og databehandler
I nogle tilfælde vil rollefordelingen mellem parterne, som behandler personoplysninger, være let at afklare, eftersom der er tale om en klassisk databehandlerkonstruktion, hvor f.eks. en IT-leverandør udelukkende handler efter instruks og udfører elektronisk databehandling af personoplysninger for en anden virksomhed eller en myndighed. I andre tilfælde kan det være langt mere vanskeligt at fastlægge, om man handler som dataansvarlig eller databehandler. Det skyldes bl.a., at en virksomhed både kan være databehandler og dataansvarlig på samme tid.
Fælles dataansvar
Samtidigt skal man også være opmærksom på, at der kan opstå situationer, hvor der er fælles dataansvar mellem flere parter. Det sker f.eks., hvis man i fællesskab bestemmer, hvorfor og hvordan der skal behandles personoplysninger. Det afgørende her er, at behandlingen af personoplysninger sker med det samme formål for øje.
Som fælles dataansvarlige er du og øvrige parter i fællesskab ansvarlige for, at reglerne i databeskyttelsesforordningen overholdes. I den forbindelse er det vigtigt, at I får præciseret hvilke forpligtelser, som I har hver især for at overholde databeskyttelsesforordningen.
Det er dog vigtigt at skelne mellem fælles dataansvar og tilfælde, hvor både man selv og andre parter behandler personoplysninger, men hvor man hver især er ansvarlige for sine egne behandlinger. Det kunne f.eks. være, når man har et samarbejde med andre parter, hvor man udveksler oplysninger mellem hinanden, men bruger oplysningerne til hvert sit formål.
Hvad er en databehandleraftale?
Når der er forskel på, hvem der er databehandler og dataansvarlig, skal der indgås en såkaldt databehandleraftale. Aftalen skal sikre, at persondata behandles korrekt og efter de instruktioner, som den dataansvarlige giver databehandleren. Databehandleraftalen fungerer således som dokumentation for, at begge parter overholder reglerne i Databeskyttelsesforordningen i forbindelse med databehandling.
Det er den dataansvarlige, der har ansvaret for, at der udarbejdes en databehandleraftale. Dog vil man typisk se at aftalen udformes af databehandleren, så det er klart, hvilket arbejde databehandleren egentlig udfører. Det kan dog stadig være en god idé at stille sine databehandlere kritiske spørgsmål som f.eks.:
Eksempler på kritiske spørgsmål til din databehandler:
- Hvad bliver der gjort løbende for at være sikker på, at I overholder reglerne i databeskyttelsesforordningen?
- Hvad gør I for at dokumentere overholdelsen af databeskyttelsesforordningen overfor jeres kunder?
- Hvor mange medarbejdere har adgang til den persondata I behandler, og hvad gør I for at undgå misbrug af adgang til den persondata I behandler?
- Hvordan sikrer I den persondata, I behandler, mod hackerangreb?
- Hvordan sikrer I, at den persondata, I behandler, ikke går tabt ved f.eks. brand- eller vandskade?
Svarene på disse spørgsmål kan samtidig med fordel indgå i forbindelse med udarbejdelsen af en risikovurdering.
Skabelon til databehandleraftale
Datatilsynet har lavet en skabelon til en Databehandleraftale, der kan bruges som en hjælp, når man skal lave en databehandleraftale. Det er ikke noget krav til, at man anvender skabelonen. Det vigtigste er, at databehandleraftalen lever op til Databeskyttelsesforordningen minimumskrav herom.
Kontakt
Hvis du har behov for vejledning og bistand vedrørende indhold af databehandlerkontrakter, er du meget velkommen til at kontakte os til en uforpligtende drøftelse af jeres muligheder. Vi har indgående erfaring og indsigt i regelsættet om persondata. Og vi ved, hvor man som dataansvarlig typisk halter efter i forhold til at efterleve reglerne.