Har it-konsulenter et dataansvar?

Datatilsynet er netop offentliggjort deres syn på, om it-konsulenter, der arbejder ude hos kunderne, har et dataansvar.

Har it-konsulenter et dataansvar

En af de vigtige konklusioner fra Datatilsynet er, at hvis it-konsulenten reelt arbejder som medarbejder hos kunden, så behøver man ikke en særskilt databehandleraftale, mens it-konsulenter, der arbejder som rene eksterne konsulenter, skal have en aftale på plads.

Hvis konsulenten arbejder som medarbejder

Datatilsynet vurderer, at f.eks. en vikar i mange tilfælde må anses for at være en del af den dataansvarliges juridiske enhed.

Det vil eksempelvis være tilfældet, når vikarens eller konsulentens rolle og udførelse af opgaver hos den dataansvarlige er sammenlignelig med de øvrige medarbejderes, og hvor det er kunden, der har ledelsesretten og instruktionsbeføjelserne overfor konsulenten/vikaren.

I en sådan situation er det ikke afgørende, at vikaren/konsulenten i sidste ende aflønnes af en anden juridisk enhed som f.eks. en it-virksomhed eller konsulentbureau.

Kan ens arbejde sammenlignes med de øvrige medarbejderes, og kan den daglige leder hos kunden bestemme, hvad man skal lave, så behøver man altså ifølge Datatilsynet ikke at udarbejde en databehandleraftale.

Hvis konsulenten arbejder som ekstern konsulent

Anderledes forholder det sig, hvis du arbejder mere rent som ekstern konsulent. Her kan der være krav om at udarbejde en databehandleraftale.

Begrundelsen er, at den dataansvarlige ikke har de samme rettigheder og forpligtelser over for konsulenten, som den dataansvarlige har for eget personale.

I sådanne tilfælde skal den dataansvarlige kunde tage stilling til, om konsulenten skal behandle personoplysninger på vegne af den dataansvarlige.

Datatilsynet kommer selv med to eksempler på, hvor der skal bruges en databehandleraftale:

  • En dataansvarlig myndighed hyrer en konsulent/et konsulenthus til at gennemgå den dataansvarliges borgersager for at finde evt. sagsbehandlingsfejl mv. Det er således en del af ydelsen, at konsulenten/konsulenterne skal se, gennemgå og søge i personoplysninger på vegne af den dataansvarlige.
  • En dataansvarlig bruger et system hvori et stort omfang af dokumenter med personoplysninger scannes og konverteres til tekst, som lagres i en database. Grundet behandlingens store omfang sker det med mellemrum, at fejl i systemet gør, at data ikke lagres korrekt i databasen. En it-konsulent har som opgave løbende at foretage rettelser i de personoplysninger, som ikke er registreret korrekt i databasen.

Få mere at vide om databehandleraftaler

Her kan du læse hele Datatilsynets vurdering af Dataansvar – vikarer og konsulenter.

Ovenstående er ikke at betragte som juridisk rådgivning, og vi opfordrer altid medlemmerne til drøfte konkrete problemstillinger med juristerne i Dansk Erhverv eller advokatfirmaet DAHL.