Er du databehandler eller dataansvarlig?

Der kan være en del forvirring omkring, hvem der er hvad

Ved hjælp af eksempler og tips vil jeg prøve at gøre det nemmere for dig, så du hurtigere kan fastslå, om du er databehandler eller dataansvarlig

eksempel3D

Brug af lønbureau – her er du dataansvarlig

Et typisk eksempel kunne være, hvis din virksomhed bruger et eksternt firma til at udbetale og beregne løn (f.eks. Bluegarden, Danløn)

Ved lønudbetaling, ændringer af løn, ansættelser og afskedigelser underretter du lønbureauet. Du giver også lønbureauet alle de oplysninger, der er nødvendige for at generere lønsedler og udbetale løn til dine ansatte.
For at lønbureauet kan udarbejde lønsedler og udbetale løn, anvender de et IT-system, der opbevarer oplysninger om de ansatte i virksomheden.

Din virksomhed er den dataansvarlige, fordi det er dine data, og lønbureauet er databehandleren, fordi de behandler dine data.

OBS! De fleste lønbureauer har udarbejdet en databehandleraftaler, som de tilsender dig ved samarbejdets start.

Loven gælder for os alle.

- og regler skal overholdes, ellers vanker der bøder

Er du dataansvarlig eller databehandler i forhold med dine samarbejdspartnere og leverandører? Svaret har STOR betydning for, hvilke regler  i persondataforordningen, du skal overholde. For at gøre forvirringen total, kan du faktisk være dataansvarlig i én situation og databehandler i en anden.

Vi håber at du efter at have læst med her vil være klogere på hvad du skal gøre, når du kommer i tvivl.

eksempel3D

IT-virksomhed

Et godt eksempel er en større IT-virksomhed, hvor kerneydelserne indeholder hosting af IT-løsninger for deres kunder. Her behandler virksomheden personoplysninger for deres kunder og er derfor databehandler for de virksomheder de hoster data for. Virksomheden er samtidigt dataansvarlig for de oplysninger, de behandler omkring deres eget personale, som f.eks. de data der nævnes i det første eksempel.

Ekstern bogholder

Har du en virksomhed, hvor du yder bogholderiservice for andre virksomheder, er du databehandler for dine kunders data og dataansvarlig for dine egne medarbejderes data. Nøjagtigt som en IT-virksomhed der hoster data for sine kunder. Det gælder også selvom dine bilag opbevares fysisk på din adresse, fremfor på en server i skyen.

Hvad er forskellen på en dataansvarlig og en databehandler?

- den hurtige gennemgang

Hvem er dataansvarlig?

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”
jf. databeskyttelsesforordningens artikel 4, nr. 7 hvem er dataansvarlig.

Den, der afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af persondata, er dataansvarlig. Herunder er den dataansvarlige beslutningstager for hvem der skal have adgang til at behandle personoplysningerne.

Groft sagt er den dataansvarlige den, som bestemmer over data og den der har det endelige ansvar.

office-594132_1400

Hvem er databehandler?

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”.
jf. databeskyttelsesforordningens artikel 4, nr. 8, hvem er databehandler.

security-1202344_1280

En god tommelfingerregel

Hvis du opbevarer eller behandler personoplysninger for at løse en opgave for andre, så er du med stor sandsynlighed databehandler,

- og hvis den opgave du løser bærer præg af at du skal behandle personoplysninger, ikke hvis du fx skal bruge persondata til at bygge et hus på den rigtige adresse eller til at printe visitkort.

Databehandleren bestemmer i modsætning til den dataansvarlige, hverken hvordan eller med hvilke formål, der må behandles personoplysninger.

Er du databehandler skal du indgå en databehandleraftale med den dataansvarlige. Du har også andre forpligtelser, men du har ikke ligeså mange som den dataansvarlige.

Netop fordi den dataansvarlige i sidste ende altid skal stå på mål for, hvad der sker med data, er det nødvendigt at lave en specifik aftale med databehandleren om behandlingen. Databehandleren skal ligeledes sikre sig, at den dataansvarlige ikke forsøger at fraskrive sig ansvaret.

Helt overordnet set må en databehandler kun behandle data på basis af instruksen fra den dataansvarlige. Databehandleren kan altså ikke bare f.eks. sælge data til højstbydende eller uden videre lade andre håndtere opgaven.

Den dataansvarliges ord er gældende, MEN loven er vigtigere end den dataansvarliges ord. Den dataansvarlige skal sørge for, at forordningen overholdes, f.eks. at der er hjemmel og den registrerede orienteres om dennes rettigheder.

Hvis den dataansvarliges instruks strider imod forordningen, er det databehandlerens pligt at påtale dette. Hvis det ikke fungerer, vil det være en god ide at komme ud af samarbejdet og eventuelt informere Datatilsynet.

Handler en databehandler efter sine egne ideer eller i strid med forordningen, vil databehandleren kunne pålægges et ansvar og erstatningspligt i forhold til de registrerede, der har lidt skade ved en overtrædelse af forordningen.

Datatilsynets potentielt store hammer kan altså også falde på en databehandler!

Er du dataansvarlig, databehandler eller begge dele?

Det er vigtigt at finde ud af, hvad din rolle er

Kravene til en dataansvarlig og en databehandler er forskellige, og derfor er det yderst vigtigt at du ved, om du er dataansvarlig eller databehandler. Det gælder for ethvert samarbejde, der involverer persondata.

I udgangspunktet er det nemlig den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen.

Som dataansvarlig skal du derfor bl.a. sikre dig, at du:

Har lov til at behandle de oplysninger, som du og din databehandler er i besiddelse af
(om du har behandlingshjemmel).

Er i stand til at efterleve de registrerede personers rettigheder
(f.eks. opfylde din oplysningspligt eller give den registrerede indsigt).

Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

Kan du svare ja til nedenstående, er du den dataansvarlige

Det kan være svært at finde ud af hvad din rolle er, når du står i en specifik situation, men prøv at tænke over følgende, når du er i tvivl

Jeg bestemmer hvordan eller med hvilke formål, min virksomheds personoplysninger må behandles

Mine oplysninger behandles af en ekstern virksomhed og kun til mine formål

Jeg kan kræve oplysningerne tilbageleveret eller slettet hos den eksterne virksomhed, hvis jeg ikke længere ønsker, at de skal behandle oplysningerne

Kan du svare ja til nedenstående, er du databehandler

Jeg arbejder primært med data

Jeg registrerer, opbevarer, indsamler eller behandler personoplysninger for at løse en opgave for en virksomhed

Jeg behandler kun data på basis af instrukser fra en virksomhed, der har valgt mig til at behandle deres data

Hvis der er uklarhed om dataansvaret, kan dette føre til, at de personer, der behandles oplysninger om (de registrerede),
får en dårligere beskyttelse. En registreret person vil f.eks. få svært ved at finde ud af, hvem han/hun skal henvende sig til,
hvis den pågældende ønsker at udøve sine rettigheder til bl.a. at få indsigt, få rettet urigtige oplysninger mv.

Her er du dataansvarlig

Herunder har jeg samlet en række almindelige eksempler, hvor DU er dataansvarlig

eksempel3D

Du gør brug af et regnskabsprogram

Regnskabsprogrammer som f.eks. e-conomics, Billy og Dinero; når du i virksomheden anvender et regnskabsprogram som et af disse, skal du lave en databehandleraftale med dem.

Her vil det fremgå, at de er databehandler og virksomheden der benytter sig af regnskabsprogrammet, er den dataansvarlige.

OBS! Oftest har de udarbejdet en databehandleraftale, der benyttes til kunder.

Du gør brug af webhosting herunder cloud-udbydere

Webhotel/hosting som f.eks. Dan Domain, Unoeuro, C Hosting og One; når du laver en databehandleraftale med dem, vil du oftest finde en aftale på deres hjemmeside eller du får en aftale tilsendt.

Din virksomhed er dataansvarlig, mens hostingfirmaet er databehandler.

(Et webhotel eller hosting er ganske enkelt en plads du lejer, hvorpå du kan lægge det indhold, som fx er på virksomhedens hjemmeside, billeder, tekster m.m.)

Du gør brug af en E-mail marketing udbyder

E-mail marketing/nyhedsbrev udsendelses programmer, som for eksempel Convert kit, Mailchimp og Bull; her er du dataansvarlig og E-mail marketingvirksomheder er databehandler.

Du vil enten downloade en aftale hos dem, eller du får tilsendt en aftale ved samarbejdets start.

Du gør brug af et cloud CRM-systemer

For eksempel Microsoft CRM; her er de databehandler, du er dataansvarlig.

Du vil enten downloade en aftale hos dem, eller du får tilsendt en aftale ved samarbejdets start.

Du gør brug af et rekrutteringsbureau

Bureauet indsamler data om mulige kandidater på vegne af dig og bliver dermed en databehandler.

OBS! Mange databehandleraftaler er skrevet på engelsk, og her skal du være opmærksom på, at en databehandler vil være betegnet som en data processor og en dataansvarlig er en data controller.

Generelt er det en rigtig god ide at kontakte den mulige databehandler, før aftalen indgås, for at drøfte hvilke roller I hver især vurderer, at I har. Nogle virksomheder fx banker, pensionsselskaber, revisorer og forsikringsselskaber osv. er underlagt lovgivning, som gør, at de ikke kan være databehandlere. I stedet er de selvstændigt dataansvarlige for de data du sender til dem.

Hvis du som os brænder for emnet, kan du læse mere om dataansvarlige og databehandler på dette link fra datatilsynet

 

Fælles dataansvar

Fælles dataansvar for to eller flere parter kan komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan personoplysningerne behandles.

Et fælles dataansvar kan dog kun komme på tale, hvis part 1 og part 2 sammen har ansvaret for en behandling, og hvis de begge har ret til at bruge oplysningerne til egne formål.
Der er altså ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.

Datatilsynet har offentliggjort en skabelon til en aftale om fælles dataansvar. Skabelonen er tænkt som en hjælp til de virksomheder, offentlige myndigheder m. fl., som har et fælles dataansvar med en anden part for en given behandling af personoplysninger.

eksempel3D

Facebook fanside

Facebook og administratoren af en Facebook-fanside (ikke at forveksle med privates Facebook-profiler) har et fælles dataansvar for behandlingen af personoplysninger indsamlet i forbindelse med personers besøg på den pågældende fanside.

Det vil sige at I er fælles om at overholde reglerne i forordningen, i skal indgå en aftale om fælles dataansvar og i erstatningssager hæfter I solidarisk.

Hvad er en underdatabehandler?

En databehandler har mulighed for at videregive en eller flere opgaver til en såkaldt underdatabehandler, der har mindst de samme forpligtelser som databehandleren.

Dette er dog kun muligt, hvis den dataansvarlige har givet skriftlig godkendelse.

Det skal understreges, at en underdatabehandler handler på vegne af den dataansvarlige og ikke databehandleren. Databehandleren bliver altså ikke dataansvarlig for underdatabehandleren, så at sige.

Det ses ofte, at en databehandler benytter sig af flere underdatabehandlere, og en underdatabehandler kan også videregive opgaver til yderligere en underdatabehandler. I den sammenhæng er det værd at understrege, at ansvaret skal være klart fordelt i de indgåede databehandleraftaler og at alle aftaler, skal indeholde mindst de samme krav, som den oprindelige aftale. Man kan ikke snyde sig udenom.

eksempel3D

Underdatabehandler

Benytter du dig af et eksternt bogføringsbureau, er du dataansvarlig og bureauet er databehandler. Hvis bureauet benytter sig af et lønsystem, f.eks. Danløn vil de være underdatabehandlere.

Anvender din virksomhed et IT-firma til support og backup, er du dataansvarlig og IT-firmaet er databehandler. Hvis IT-firmaet benytter sig af et backupsystem, f.eks. en Cloud løsning vil de være underdatabehandlere.

Databehandleraftale

Når den dataansvarlige indgår en aftale med en databehandler, skal der udarbejdes en skriftlig kontrakt.

En skriftlig databehandleraftale er nødvendig, når en dataansvarlig virksomhed videresender data til en underleverandør, som skal behandle disse data udelukkende efter instruks fra den dataansvarlige og udelukkende til at opfylde den dataansvarliges formål. Det kan f.eks. være underleverandører som hosting-virksomheder og lønbureauer.

Hvis du vil læse mere om kravene til en skriftlig databehandleraftale, kan du finde en specifik liste her:

Læs mere om hvad en databehandleraftale skal indeholde

HUSK at du løbende skal føre kontrol med, at din databehandler har passende foranstaltninger til at behandle personlysninger sikkert.

Som hovedregel skal man være opmærksom på, at når man som virksomhed i princippet kan udføre en opgave selv (du kan selv lave dine ansattes løn, du kan selv hoste din data), men vælger at lade en underleverandør varetage behandlingen af data, så skal der som oftest laves en databehandleraftale.

Når den dataansvarlige indgår en aftale med en databehandler, skal der udarbejdes en skriftlig kontrakt. Det er den dataansvarliges ansvar, at en sådan kontrakt bliver indgået - dog udformes den ofte af databehandleren. Selvom dette er tilfældet i praksis, er det stadig den dataansvarliges ansvar, at alle kravene til en sådan aftale er opfyldt.

Er du gået i stå?

Er du på bar bund, eller kørt fast i paragrafferne, så søg hjælp. Du kan bruge umådelig lang tid, på et problem der kan løses af os eller din revisor på forholdsvis kort tid – det er bedre, at bruge din dyrebare tid på det du er god til, og benytte sig af hjælp til det du ser som en tidsrøver.

Datatilsynet stiller en skabelon til rådighed for de dataansvarlige, så de får et konkret bud på, hvordan en databehandleraftale kan se ud (Standard-databehandleraftale).
Her finder du også en følgetekst, der forklarer, hvordan skabelonen kan anvendes (Databehandleraftale - følgetekst).

Er du freelance?

Hvis du kun er dig i din virksomhed, er du automatisk dataansvarlig og skal have en politik for, hvordan du håndterer persondata. Det gælder i både digital og analog form – clean desk, print, mapper mm.
Men hvis du i kraft af dine freelanceopgaver også får adgang til andre virksomheders data, herunder personfølsomme oplysninger som CPR-numre, adresser etc., så skal du typisk have en databehandleraftale.

Det er din kunde – som udleverer data til dig – din kunde er i de fleste tilfælde dataansvarlig og skal derfor sikre, at virksomheden har fået de nødvendige tilladelser til at dele data med dig.
I indgår så en databehandleraftale, og hvis du har brug for at dele data med en underleverandør eller samarbejdspartner, skal din kunde først godkende det, og der skal laves en underdatabehandleraftale.

Her skal ikke laves en databehandleraftale!

OBS! Der er en række tilfælde, hvor du ikke behøver at lave en databehandleraftale.

Disse tilfælde er vigtige at kende til, da de sparer dig for en masse besvær. Herunder er flere konkrete eksempler, men husk på at dette er en generel vejledning, og der kan selvfølgelig altid forekomme undtagelser.

eksempel3D

Dit teleselskab

Teleselskaberne er underlagt en lov inden for deres felt, som pålægger dem at behandle data fortroligt. Derfor behøves der ikke at laves en databehandleraftale.

Køb af virksomhedens domænenavn

Som oftest er .dk-domæner købt af DK Hostmaster. Her skal du ikke lave nogen databehandleraftale, idet de hverken har eller får personoplysninger.

SKAT herunder arbejdstilsynet og andre offentlige instanser

Der skal ikke laves en databehandleraftale, da der er retslig forpligtelse til at sende oplysninger til SKAT.

Din revisor

Ifølge Datatilsynet er revisionsselskaber selvstændigt dataansvarlige, og man skal som virksomhed derfor ikke have en databehandleraftale med sin revisor. En revisor er dataansvarlig for klientens data, når revisor løser opgaver inden for revisorloven.

Din advokat

Der skal ikke laves en databehandleraftale, da der er retslig forpligtelse til at sende oplysninger til dem, med mindre de administrerer en whistleblowerordning. I det tilfælde så skal der laves en aftale.

Dit forsikringsselskab

Der skal ikke laves en databehandleraftale, der er retslig forpligtelse til at sende oplysninger til dem.

Din Bank

Er selvstændigt dataansvarlige for behandling af persondata.

Din virksomhed benytter et pensionsselskab

Pensionsselskabet er selvstændigt dataansvarlig for behandling af persondata.

Din virksomhed bor til leje

Hvis din virksomhed benytter sig af lejede lokaler, er din udlejer er dataansvarlig, du er kunde og der er hermed ikke tale om en databehandlerkonstruktion.

Du er lokaleudlejer

Hvis du udlejer lejemål til andre, er du dataansvarlig, og dine lejere er kunder ligesom ovenfor.

Du er håndværker

Du er håndværker og laver en aftale med en kunde om levering af en håndværksydelse. Her er en databehandleraftale unødvendig, fordi behandlingen af personoplysninger i dette tilfælde ikke er hovedydelsen.

Indgåelse af fortrolighedsaftaler eller tavshedserklæringer

Der er mange regler gældende ved en databehandleraftale, så I stedet for en databehandleraftaler bør mange virksomheder bede deres underleverandører, som har adgang til persondata, men hvor det ikke er deres kernekompetence at behandle data, om at underskrive en fortroligheds-/tavshedserklæring.

I en fortroligheds-/tavshedserklæring skal underleverandørerne skrive under på, at de data, som de har adgang til, ikke bliver udnyttet, misbrugt eller videregivet til tredjepart, og at koder og andre personhenførbare oplysninger opbevares sikkert. Det kan anbefales, at der hvor det kan lade sig gøre, vil det være det nemmeste for dig at undgå at bruge en databehandleraftale.

eksempel3D

Du benytter et eksternt firma til IT-Support

Benytter du dig af et eksternt IT-supportfirma, der ikke behandler data som deres kernekompetence, (herunder hoster data) men hjælper, når du skal implementere nye programmer, opdatere hjemmesiden mm. vil det være en fordel at udarbejde en fortroligheds-/tavshedserklæring som IT-virksomheden underskriver.

Du benytter en håndværker/rengøring

Du får udført håndværkeropgaver eller gjort rent i et miljø hvor de kan komme i berøring med personoplysninger.

Du får repareret virksomhedens kopimaskine

Din virksomhed hyrer en reparatør til at reparere virksomhedens kopimaskine, hvori der kan være gemt dokumenter med personoplysninger. Aftalen mellem virksomhed og reparatøren går ud på, at reparatøren skal reparere virksomhedens kopimaskine.

Virksomheden vil i denne situation ikke benytte reparatøren som databehandler, fordi aftalen mellem parterne hverken helt eller delvist går ud på, at reparatøren skal behandle personoplysninger på vegne af virksomheden.

Hvis der er risiko for, at reparatøren i forbindelse med sin reparation får adgang til personoplysninger, kan virksomheden – som led i sine almindelige sikkerhedsforanstaltninger – bede reparatøren om at underskrive en tavshedspligtserklæring.

Rengøring i virksomheden

Benytter du en selvstændig rengøringdame, der kommer løbende i din virksomhed, og kan vedkommende se, høre, opleve personfølsomme oplysninger i din virksomhed, er en fortroligheds-/tavshedserklæring en absolut fordel at benytte. Den skal ikke benyttes, hvis du bruger et rengøringsselskab som fx ISS – de laver oftest egen fortrolighedserklæringer med deres personale. Alternativt kan din virksomhed indføre det i kontrakten med fx ISS.

Studerende i praktik

Har du en studerende i praktik, der kommer på virksomheden og arbejder med dine data, skal vedkommende underskrive en fortrolighedserklæring.

Vi anbefaler, at der hvor det kan lade sig gøre at bruge en fortroligheds-/tavshedserklæring, vil det være nemmere end at bruge en databehandleraftale. Vi kan være behjælpelig med at udarbejde en standard erklæring, du kan benytte i ovenstående tilfælde.