Er du dataansvarlig eller databehandler?
Den nye persondataforordning er lige om hjørnet og i den forbindelse skal alle virksomheder, organisationer, offentlige myndigheder og fysiske personer, der indsamler persondata tage stilling til deres rolle i forbindelse med indsamlingen og behandlingen.
Der findes to roller, som man kan indtage: Du kan være dataansvarlig og/eller du kan være databehandler. I det følgende beskriver vi, hvad forskellen er, og hvorfor det er vigtigt, at du kender din eller din virksomheds rolle.
Den korte version
Meget forsimplet kan man skelne mellem databehandlere og dataansvarlige på følgende måde: En databehandler er den virksomhed, der behandler persondata på vegne af den dataansvarlige. Den dataansvarlige er den virksomhed, der beslutter sig for at indsamle persondata og bruger persondata i sin forretning.
Det vil altså sige, at hvis du vil indsamle persondata om fx medarbejdere (navn, adresse, kontooplysninger m.v.) for at kunne udbetale løn eller indsamler e-mailadresser til dit nyhedsbrev, så er du dataansvarlig. Hvis alle de persondata, du indsamler, opbevares på en server i IT Relations hostingcenter, er det IT Relation, der er databehandler af dine persondata.
En virksomhed kan også både være databehandler og dataansvarlig på samme tid. Det er vi hos IT Relation, hvor vi både opbevarer persondata (for vores kunder og for os selv) og indsamler persondata – fx om vores medarbejdere, kunder og kundeemner.
Den lidt tungere version
Begreberne databehandler og dataansvarlige er beskrevet i den nye databeskyttelsesforordning fra EU.
Efter databeskyttelsesforordningens artikel 4, nr. 7 er en dataansvarlig: ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”
Den dataansvarlige er altså den, der bestemmer, til hvilket formål der indsamles data og er ansvarlig for brugen af data.
Stort set alle virksomheder og organisationer i Danmark vil være dataansvarlige, da de indsamler persondata om fx medarbejdere, medlemmer og/eller kunder. Det er nemlig virksomheden eller organisationen, der beslutter sig for at indsamle data og bestemmer, hvad formålet med indsamlingen af data er.
Efter databeskyttelsesforordningens artikel 4, nr. 8, er en databehandler: ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”.
Databehandleren skal altså forstås som den virksomhed, der rent teknisk behandler data, men ikke bestemmer formålet med indsamlingen. Det kan fx være en virksomhed som hoster persondata eller det kan være en virksomhed, der stiller et system til rådighed for indsamling af persondata (fx et online økonomisystem eller et online lønsystem).
Derfor er det vigtigt
Kravene til databehandlere og dataansvarlige er forskellige, og det er derfor vigtigt, at du afgør, hvordan din virksomhed er stillet i forhold til de to begreber.
Som udgangspunkt er det den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen. Som dataansvarlig skal du derfor bl.a. sikre dig, at du:
- Har lov til at behandle de oplysninger, som du og dine databehandlere er i besiddelse af (om du har ”behandlingshjemmel”). Du har fx lov til at behandle personoplysninger, hvis den registrerede har givet samtykke, eller hvis oplysningerne er nødvendige for at kunne opfylde en kontrakt.
- Er i stand til at efterleve de registrerede personers rettigheder. Det drejer sig fx om, at du skal oplyse formålet med indsamlingen til de registrerede, du kan give de registrerede indsigt i de data, du indsamler om dem og kan lade de registrerede få rettet urigtige oplysninger.
- Kan indberette eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.
Der stilles andre krav til en databehandler. Som databehandler må man fx ikke bruge data, der overleveres til andre formål end de formål, der er aftalt med den dataansvarlige. Hvis du fx vælger at lægge dine kundedata på en server, der er hostet af IT Relation, opretter vi en databehandleraftale, der beskriver, hvad vi må gøre med dine persondata.
Sådan afgør du, om du er databehandler eller dataansvarlig
I mange tilfælde vil det være nemt at afklare, om du er dataansvarlig og/eller databehandler.
Hvis (eller måske snarere når) du indsamler personoplysninger om virksomhedens medarbejdere for at kunne udbetale løn til dem og indberette data til offentlige myndigheder, er det naturligvis dig, der er dataansvarlig. Det er dig, der beslutter, at indsamlingen skal ske, og hvorfor du indsamler oplysningerne – også selvom indsamlingen måske er et krav fra myndighederne. Databehandleren vil i dette tilfælde være ejeren af det system (fx i et online lønsystem eller et online økonomisystem), som du anvender til at opbevare medarbejderdata i, og det kan være din hostingpartner, hvis systemet ligger i et eksternt datacenter.
Datatilsynet har oplistet en række udsagn, der kan hjælpe dig med at vurdere, om der mellem dig og en anden part er tale om en databehandlerkonstruktion, eller om du og den anden part hver især er dataansvarlige for de behandlinger, som I foretager. Hvis du kan svare ”Ja” til et eller flere af nedenstående udsagn, vil der være tale om en databehandlerkonstruktion, hvor du er dataansvarlig og din leverandør er databehandler.
- Oplysningerne behandles kun til dine formål.
- Den anden part behandler alene oplysninger på dine vegne.
- Du har ved lov eller lignende fået pålagt en opgave, som vedrører behandling af personoplysninger (fx hvis du som kommune skal behandle ansøgninger om kontanthjælp).
- Aftalen eller en del af aftalen mellem dig og en anden part indeholder en direkte eller indirekte instruks om behandling af personoplysninger (modsat en aftale som alene retter sig mod levering af en anden ydelse).
- Den anden part skal varetage en opgave, som i princippet kunne have været udført af dig selv (modsat en ydelse, som kun lovligt kan foretages af den anden part).
- Du har instrueret den anden part i, hvordan oplysningerne skal behandles.
- Den anden part kan lovligt følge en instruks fra dig.
- Det er alene dig, der træffer afgørelse om formål og væsentlige hjælpemidler, herunder behandlingsskridt som indsamling, videregivelse, sletning og anvendelse af underdatabehandlere.
- Den anden part udfører ingen af ovenstående behandlingsskridt medmindre, det er aftalt med eller godkendt af dig.
- Du fører kontrol med, at den anden part behandler oplysningerne som aftalt.
- De personer, der behandles oplysninger om, har en klar forventning om, at du er ansvarlig for behandlingen.
- Du kan kræve oplysningerne tilbageleveret eller slettet hos den anden part, hvis du ikke længere ønsker, at den anden part skal behandle oplysningerne.
Databehandleraftalen
Når der er forskel på dataansvarlig og databehandler, skal der indgås en såkaldt databehandleraftale. Denne aftale skal sikre, at persondata behandles korrekt og efter de instruktioner, som den dataansvarlige giver databehandleren.
Det er den dataansvarlige, der har ansvaret for at der udarbejdes en databehandleraftale, men den udformes ofte af databehandleren, så der foreligger klare retningslinjer for databehandlerens arbejde.
Databehandleraftalen skal bl.a. sikre, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal træffe forskellige tekniske og organisatoriske sikkerhedsforanstaltninger – bl.a. sikre sig mod at data slettes, og at uvedkommende ikke får adgang til data. Den skal også beskrive, hvilke typer af persondata som databehandleren behandler.
Hos IT Relation indgår vi en databehandleraftale med alle vores kunder, hvor der foreligger en databehandlerkonstruktion i forhold til persondata.
Gå mere i dybden
Hvis du vil læse en mere detaljeret redegørelse om databehandlere og dataansvarlige, anbefaler vi at du downloader Datatilsynets ”Vejledning om dataansvarlige og databehandlere” i PDF-version.
Vil du vide mere om mulighederne og udfordringerne ved at have begge systemer i jeres netværk, er du meget velkommen til at kontakte os.
Bliv klogere på hvad en Data Protection Officer (DPO) er og hvordan I sikrer jeres IT-compliance.