Er du dataansvarlig eller databehandler?

Ved du, om du er dataansvarlig, databehandler eller begge dele? Det er vigtigt at vide i forhold til Persondataforordningen (GDPR-loven).

Kort fortalt er din virksomhed dataansvarlig for alle personoplysninger som I anvender til specifikke formål, som I selv har defineret.

”Som udgangspunkt vil alle virksomheder være dataansvarlige, da de ligger inde med både persondata på medarbejderne samt kundedata,” udtaler Søren Wolder, Advokat (L) LL.M./Partner hos DAHL Advokatpartnerselskab.

Ifølge Persondataloven er det den dataansvarlige, der afgør, til hvilke formål data skal behandles (f.eks. for at kunne udbetale løn til medarbejderne hver måned gennem lønsystemet).

Sådan bliver du databehandler

Din virksomhed kan også være databehandler. Det bliver man, hvis man behandler personoplysninger på vegne af en anden virksomhed, der er dataansvarlig.

Hvis din virksomhed f.eks. håndterer lønudbetalingerne på vegne af en anden virksomhed – og dermed behandler personoplysninger for den anden virksomhed, vil din virksomhed blive databehandler.

Når der anvendes en databehandler, skal der ifølge loven udarbejdes en skriftlig databehandleraftale mellem de to virksomheder.

It-driftsoperatører, der håndterer eksempelvis e-mails, økonomi, HR, dokumenter, CRM eller betalingsmodeller, er også klassiske eksempler på databehandlere.

Benytter man en ekstern it-driftsoperatør, skal man derfor også have databehandleraftaler på plads. Ellers overholder man ikke loven.

En databehandler må kun behandle personoplysninger på vegne af den dataansvarlige, og skal følge de instrukser, som den dataansvarlige giver.

Databehandleren må altså ikke selv bestemme, hvordan data behandles, med hvilke hjælpemidler eller til hvilket formål.

I praksis indgås databehandleraftaler ofte på databehandlerens standardaftale, men dette ændrer ikke på, at det er den dataansvarlige, der råder over behandlingen.

Både dataansvarlig og databehandler?

I langt de fleste situationer, vil det være klart, om man er dataansvarlig eller databehandler.

”En god tommelfingerregel er, at hvis man opbevarer eller behandler personoplysninger for at løse en opgave for andre, så er man nok databehandler,” fortæller Søren Wolder.

Men der kan dog være situationer, hvor man ender med at være begge ting på en gang.

Hvis virksomhed A f.eks. beder virksomhed B om at opbevare sundhedsdata (f.eks. vedr. patienters symptomer), og virksomhed B ud over at opbevare data, også anvender data til eget defineret formål (f.eks. at forudsige risikoen for en bestemt sygdom for disse patienter), så vil virksomhed B optræde som både databehandler og dataansvarlig.

For en del it-virksomheder vil man for nogle typer personoplysninger både være dataansvarlig (f.eks. ens egne personaledata), databehandler (f.eks. hvis man hoster andre virksomheders data).

Det er derfor vigtigt, at man identificerer alle persondata og forholder sig til, hvilken rolle man indtager for hvert enkelt datasæt.

Husk databehandleraftalen

Databeskyttelsesforordningen har nogle minimumskrav til, hvad der skal være reguleret i en databehandleraftale.

Er du medlem af IT-Branchen, kan du med fordel tage udgangspunkt i vores standard databehandleraftale, der også findes på engelsk.

Ud over at opfylde minimumskravene, bør aftalen også regulere de mere praktiske forhold vedr. behandling af data.

Man bør f.eks. også kigge på de kommercielle og økonomiske forhold – f.eks. databehandlerens mulighed for at opkræve betaling for de ydelser, der præsteres som led i opfyldelsen af databehandleraftalen.

En sund tilgangsvinkel hertil kan være, at for de aktiviteter man som databehandler alligevel ville skulle gøre, udløser aktiviteten ikke særskilt betaling.

Omvendt så bør alle specifikke handlinger, som er relateret til databehandlerforholdet med den dataansvarlige udløse et krav på vederlag.

Her kan du læse mere om, hvad du konkret skal overholde af krav i Persondataforordningen.

Du kan også læse Datatilsynets Vejledning om dataansvarlige og databehandlere eller EU’s vejledning (på engelsk).

Har din virksomhed behov for yderligere rådgivning vedr. persondataforordningen, kan man altid kontakte advokat Søren Wolder fra DAHL Advokatpartnerselskab, swk@dahllaw.dk, 30 84 35 12.

Hver del af kæden har nogle juridiske muligheder og krav, som man skal være bevidst om

Personer som kunder eller medarbejdere:

  • Kan bede om at få flyttet sine persondata (dataportabilitet). F.eks. kan en kunde hos en optiker bede om at få flyttet alle data om personens syn til en konkurrerende optiker.
  • Personen skal have mulighed for at få rettet/slettet deres data (Right-to-be-forgotten).
  • Skal kunne dokumentere, at samtykket er givet efter reglerne. F.eks. gennem en samtykkeerklæring.
  • Det skal tydeligt fremgå, hvad de indsamlede data skal bruges til (Oplysningsforpligtelse).

Den dataansvarlige:

Databehandleren:

Hvis du vil vide mere

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.