Indhold
- Dataansvarliges ansvar
- Krav til den dataansvarlige
- Politikker for informationssikkerhed og persondata behandling
- Databehandleres ansvar og rolle
- Brug af underdatabehandlere
- Databehandleraftale
- Samarbejde med tilsynsmyndigheder
- Fortegnelse over behandlingsaktiviteter
Dataansvarliges ansvar
Krav til den dataansvarlige
Først definitionen af en dataansvarlig: En fysisk eller juridisk person, en offentlig myndighed, en institution eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må fortages behandling af personoplysninger (Artikel 4, pkt. 7).
Kort sagt er det den dataansvarliges ansvar gennem ajourførte passende tekniske og organisatoriske foranstaltninger at overholde Forordningen i forbindelse med al behandling af persondata i den pågældende virksomhed. Samtidig fremgår det af Artikel 24, at den dataansvarlige skal kunne påvise, at alle behandlinger sker i overensstemmelse med Forordningen.
Det er her værd at understrege, at virksomheden ikke kan outsource ansvaret – det vil altid være virksomheden selv, der har ansvaret for, at reglerne overholdes.
Politikker for informationssikkerhed og persondata behandling
Det er et krav i forordningen, at den dataansvarlige fastlægger en implementering af interne politikker vedrørende informationssikkerhed og persondata behandling, såfremt dette er rimeligt i forhold til virksomhedens behandlingsaktiviteter. Disse politikker har til formål at beskrive, hvordan den dataansvarlige behandler persondata internt i virksomheden og hvordan data beskyttes.
En god politik og klare procedurer for behandlingerne vil gøre det nemmere for den dataansvarlige at påvise, at denne rent faktisk overholder forordningens krav.
Eksempel på informationssikkerhedspolitik, persondatapolitik, personalehåndbog vedr. IT og persondata, samt en privatlivspolitik til hjemmesider findes i GDPR Portalen under Skabeloner under Generelle politikker og procedure.
Databehandleres ansvar og rolle
Definitionen på en databehandler er: En fysisk eller juridisk person, en offentlig myndighed, en institution eller andet organ, der behandler personoplysninger på den dataansvarliges vegne (Artikel 4, nr. 8).
Databehandleren har ikke helt de samme forpligtigelser som den dataansvarlige. En databehandler er udvalgt af den dataansvarlige og varetager persondatabehandling efter instruks fra denne. Enhver aftale med en databehandler skal ske gennem en skriftlig kontrakt. Overordnet set er den dataansvarlige den, der angiver en databehandlers opgaver, da databehandleren alene kan varetage opgaver, den dataansvarlige har videregivet. Handler en databehandler efter egen instruks, eller i strid med forordningen vil databehandleren kunne pålægges et ansvar og erstatningspligt i forhold til de personer, der har lidt skade ved en overtrædelse af forordningen.
Det fremgår i Artikel 28, hvad en databehandler er, og hvilke opgaver en sådan har.
En databehandler skal kunne anvende de passende tekniske og organisatoriske foranstaltninger for på den måde at opfylde forordningens krav og beskytte de registreredes rettigheder. En af databehandlerens vigtigste opgaver er at hjælpe den dataansvarlige med at sikre, at forordningen overholdes, og dermed underrette den dataansvarlige, hvis noget synes at være i strid på forordningen.
Brug af underdatabehandlere
En databehandler har mulighed for at videregive en eller flere opgaver til en såkaldt underdatabehandler, der har samme forpligtelser som databehandleren. Dette er dog kun muligt i fald den dataansvarlige har givet skriftlig godkendelse til dette jf. Artikel 28, stk. 2. Det skal dog understreges, at en underdatabehandler behandler persondata på vegne af den dataansvarlige og ikke databehandleren.
Det ses ofte, at en databehandler benytter sig af flere underdatabehandlere, og en underdatabehandler kan også videregive opgaver til endnu en anden underdatabehandler. Når en databehandler videregiver opgaver til en underdatabehandler, er det den videregivende databehandler, som har ansvaret for at sikre, at underdatabehandleren overholder de aftaler, der er lavet vedrørende passende organisatoriske og tekniske foranstaltninger mellem den dataansvarlige og databehandleren.
I den sammenhæng er det værd at understrege, at ansvaret for forskellige opgaver i behandlingsprocessen skal være klart fordelt i de indgåede databehandleraftaler, for eksempel ansvaret for at tage backup.
Databehandleraftale
Når den dataansvarlige indgår en aftale med en databehandler, skal der indgås en skriftlig kontrakt. Kravene til en databehandleraftale fremgår af Artikel 28, stk. 3.
I GDPR Portalen under Skabeloner og Dataansvarliges ansvar findes en tjekliste over hvad en databehandleraftale som minimum skal indeholde – benævnt ”Tjekliste vedrørende databehandleraftale”.
Samme sted kan der findes et eksempel på en databehandleraftale.
Samarbejde med tilsynsmyndigheder
Som dataansvarlig og virksomhed skal der rettes opmærksomhed på, at Datatilsynet har ganske vide beføjelser til at undersøge en virksomheds forhold vedrørende behandling af persondata, dels som generel tilfældig kontrol, dels hvis der er indgivet en klage om virksomheden, eller hvis der på anden måde er mistanke om at virksomheden overtræder Forordningen.
Virksomheden skal eksempelvis kunne udlevere alle oplysninger, som Datatilsynet måtte ønske i forbindelse med undersøgelsen og samtidig give Datatilsynet adgang til alle virksomhedens lokaler.
Endvidere vil Datatilsynet kunne begrænse og endda forbyde en virksomheds behandling af personoplysninger, hvis de vurderer, at en sådan behandling ikke er i overensstemmelse med Forordningen. Dette kan reelt set betyde et stop for en virksomheds aktiviteter på både kort og lang sigt, da næsten alle virksomheder, i en eller anden form, behandler persondata som en del af forretningsprocesserne.
Fortegnelse over behandlingsaktiviteter
Generelt har den dataansvarlige og databehandlere pligt til at udarbejde en fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata. En sådan fortegnelse giver overblikket over virksomhedens behandlingsaktiviteter og samtidig er den med til at danne grundlag for at kunne dokumentere virksomhedens behandlingsaktiviteter, når Datatilsynet melder sin ankomst.
Artikel 30 i Forordningen angiver kravene til indholdet af denne fortegnelse for henholdsvis den dataansvarlige og databehandleren.
For nogle virksomheder kan det opleves som en omfattende opgave at skulle udforme en sådan fortegnelse, og der er i den forbindelse indskrevet en undtagelsesregel i forordningens artikel 30, stk. 5, som angiver, at der ikke er krav til at udarbejde en fortegnelse i virksomheder, der beskæftiger under 250 personer medmindre den behandling de foretager, sandsynligvis vil medføre en risiko for den registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, behandlingen omfatter følsomme oplysninger (Artikel 9) eller personoplysninger vedrører straffedomme og lovovertrædelser (Artikel 10).
Denne undtagelsesregel er blevet diskuteret, og der er en generel opfattelse af, at der stort set ikke vil være nogen virksomheder, der kan undgå at skulle udarbejde en fortegnelse – under alle omstændigheder skal alle virksomheder i alle henseender kunne dokumentere, at dens persondatabehandlinger lever op til Forordningens krav.
Fortegnelseskravene er indarbejdet i spørgerammen i kortlægingen og derfor udarbejdes og opdateres fortegnelsen løbende i forbindelse med besvarelse af spørgsmålene i kortlægningen.