Persondataforordningen

Guide: Er du dataansvarlig og databehandler?

Datatilsynet og Justitsministeriet har offentliggjort en vejledning om dataansvarlige og databehandlere. Vejledningen indeholder flere gode eksempler og visse overraskelser.

Det er vigtigt, at du gør dig klart, om du er dataansvarlig eller databehandler, fordi persondataforordningens krav til de to er forskellige.

Er du dataansvarlig skal du bl.a. sørge for:

  • at du har hjemmel (= grundlag i persondataforordningen) til at behandle persondata
  • at du opfylder din oplysningspligt
  • at du opfylder de registreres rettigheder
  • at du indberetter sikkerhedsbrud til Datatilsynet inden for 72 timer.

Overlader du personoplysninger til en databehandler, skal du indgå en databehandleraftale med den pågældende.

Videregiver du personoplysninger til en anden dataansvarlig, skal du have hjemmel til det og oplyse den registrerede om det.

En databehandler er en ekstern virksomhed eller person, der behandler persondata på vegne af en anden virksomhed (den dataansvarlige). Er du databehandler skal du indgå en databehandleraftale med den dataansvarlige. Du har også andre forpligtelser, men du har ikke ligeså mange pligter som dataansvarlige.

Eksempler på databehandlere:

En databehandler kan være en virksomhed, der hoster (opbevarer) persondata for en anden. Det kan vare en virksomhed, der driver et CRM-system, et lønsystem eller andre it-systemer, som du bruger til at opbevare eller på anden måde behandle dine persondata. En databehandler kan også være et bureau, der får dine kunders datafor at lave remarketing på dine vegne.

Er der nogen overraskelser i vejledningen?

Ja, det fremgår fx af vejledningen (eksempel 11), at PostNord ikke er databehandler, bare fordi PostNord modtager oplysninger om kundens navn og adresse for at kunne levere pakken. Her vil PostNords ydelse være en transportydelse, og ikke en ydelse der går ud på at behandle personoplysninger for dig. PostNord vil være selvstændig dataansvarlig. Det samme vil formentlig gælde for andre fragtvirksomheder, der leverer samme ydelser som PostNord.

Det fremgår også, at ikke enhver mulighed for indsigt i persondata gør en person til databehandler (eksempel 1).

Hvordan afgør du, om du er dataansvarlig eller databehandler?

Her er en liste over udsagn, som du kan inddrage, når du skal afgøre, om du er databehandler eller dataansvarlig. Kan du svare ja til de fleste af disse udsagn, vil du være dataansvarlig og den anden part vil typisk være databehandler.

  1. Oplysningerne behandles kun til dine formål.
  2. Den anden part behandler oplysningerne på dine vegne.
  3. Aftalen mellem dig og den anden part indeholder en direkte eller indirekte instruks om behandling af personoplysninger [modsat en aftale som alene går ud på at den anden part skal levere en anden ydelse fx en håndværksydelse eller en transportydelse].
  4. Den anden part skal varetage en opgave, som i princippet kunne have været udført af dig selv [modsat en ydelse der kun lovligt kan foretages af den anden part]
  5. Du har instrueret den anden part i, hvordan oplysningerne skal behandles.
  6. Den anden part kan lovligt følge en instruks fra dig.
  7. Det er alene dig, der bestemmer til hvilke formål, og hvordan personoplysninger skal behandles, om der skal ske indsamling, videregivelse, sletning af persondata, eller om der skal anvendes underdatabehandlere.
  8. Den anden part udfører ingen af de i pkt. 7 nævnte behandlingsskridt, medmindre det er aftalt eller med eller godkendt af dig.
  9. Du fører kontrol med, om den anden part behandler oplysningerne som aftalt.
  10. De personer, der behandles oplysninger om, har en klar forventning om, at du er ansvarlig for behandlingen.
  11. Du kan kræve oplysningerne tilbageleveret eller slettet hos den anden part, hvis du ikke længere ønsker, at den anden part skal behandle oplysningerne.

Medlems-cases

12. jun 2019 Vertica A/S
Brødrene Dahl
12. jun 2019 Vertica A/S
Bolia

Nye medlemmer

21. jun 2019
Branche: Tøj, Sko og Smykker
www.rosenborgsko.dk
18. jun 2019
Branche: Rådgivning
eksport-usa.dk
12. jun 2019
Branche: Bureau
compent.dk

Har du et spørgsmål?

Niels Ralund
Adm. Direktør
Tina Morell Nielsen
Jurist & Chefkonsulent
Henrik Theil
Kommunikationschef
Søren Willemoes
Kommunikationsmedarb.
Niels Preysz
Medlemschef
Micha Hansson
Webmaster & Medlemservice-ansvarlig
Simon Bjerremann
Analysechef
Mikkel Roh Bøgebjerg
Projektleder/ medlemsservice
Anne K. Hansen
Eventchef
Pernille Trieb
Projektleder - er pt. på barsel
Birgitte Warming Juul
Projektleder
Magnus Glenn Hansen
Projektleder
Ditte Rogild Andersen
Studentermedhjælper - medlemsservice
Frederik Holmershøj
Juridisk studentermedhjælper
Tine Lauritsen
Ba.jur.
Har du brug for hjælp?
?
Send os et spørgsmål

Hvis du har et spørgsmål, så efterlad os en besked og vi vil svare tilbage hurtigst muligt.

Tak for din besked! Der skete en fejl, prøv igen