23948sdkhjf

GDPR: Kender du din rolle som enten dataansvarlig eller databehandler?

| Medlemsnyhed | Indrykket af Welfare Tech

Med den ny Persondataforordning (GDPR) er rollerne og ansvarsfordelingen mellem dataansvarlig og databehandler skærpet. Ved du, om du er dataansvarlig eller databehandler?

Når du som privat virksomhed eller offentlig organisation behandler personoplysninger er det vigtigt at vide hvilken rolle og ansvar du har. Det er et vigtigt aspekt i Persondataforordningen (også kaldet Databeskyttelsesforordningen). Du skal klarlægge, om du er dataansvarlig eller databehandler. Og huske på, at du faktisk kan være dataansvarlig i én situation og databehandler i en anden.

Datatilsynet og Justitsministeriet har skrevet en Vejledning om dataansvarlige og databehandlere, som hjælp til at vurdere i hvilke tilfælde du er dataansvarlig og i hvilke tilfælde du er databehandler. Datatilsynet har også udgivet en skabelon til en Databehandleraftale, som du kan finde på oversigten over vejledninger, Databeskyttelsesforordningen.

Hvad er forskellen på dataansvarlig og databehandler?

En dataansvarlig har, som benævnelsen angiver, ansvaret for behandlingen af personoplysninger. En databehandler er den, som behandler personoplysninger på den dataansvarliges vegne, altså en som modtager instruks om behandlingen.

I nogle tilfælde er det let at vurdere, om du er dataansvarlig eller databehandler. Er du ansat i en kommune, der behandler personoplysninger om jeres borgere, så er du dataansvarlig, mens jeres IT-leverandør, der leverer systemerne til behandling er jeres databehandler. Som dataansvarlig har du ofte flere databehandlere, da du oftest har flere forskellige systemer.

Som databehandler har du ofte underleverandører, eksempelvis en hosting partner. Hvis du leverer en digital løsning, som behandler personoplysninger, til en kommune er du kommunens databehandler, men når du indgår en aftale med en underleverandør, så er det dig, der har ansvaret for at denne overholder lovgivningen. Her er det dig, der skal udarbejde en databehandleraftale med din(e) underleverandør(er).

Hvilken rolle har du som dataansvarlig?

Som dataansvarlig er det dig, der har ansvaret for, at behandlingen af personoplysninger lever op til reglerne i Persondataforordningen. Og det er dig, der bestemmer til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Det er altså dig, der giver databehandleren instruks om hvilke behandlingsskridt, der skal foretages. Men ofte er det databehandleren, der bedst ved hvilke tekniske hjælpemidler, der skal bruges for at skabe den nødvendige sikkerhed. Derfor er det et samarbejde mellem dataansvarlig og databehandler, og i begges interesse at overholde Persondataforordningen og at udarbejde en Databehandleraftale, der dokumenterer overholdelsen af lovgivningen.

Men det er dig, som dataansvarlig, der har det overordnede ansvar, og du skal blandt andet sikre dig:

  • At du har lov til at behandle de oplysninger, som du gør
  • At du er i stand til at efterleve de registreredes rettigheder, som at give den registrerede indsigt i behandlingen af dennes oplysninger
  • At du indberetter eventuelle brud på datasikkerheden til Datatilsynet

 

Har du databehandleraftaler med dine leverandører?

Et helt centralt dokument, som du som dataansvarlig skal have på plads, hvis der er tale om en databehandlerkonstruktion, er Databehandleraftalen. Det er dit dokumentation for, at du og din databehandler overholder lovgivningen i forbindelse med databehandling.

Som Datatilsynet skriver i Vejledning om dataansvarlige og databehandlere i stk. 3.1.2, er der tale om en databehandlerkonstruktion, hvis du som dataansvarlig giver en anden part (databehandler) instruks om at foretage behandling af persondata på vegne af dig og efter din instruks.

Datatilsynet har som nævnt udarbejdet en skabelon til en Databehandleraftale (som du kan finde på oversigten over vejledninger, Databeskyttelsesforordningen). Skabelonen skal ses som en hjælp til udarbejdelse af sådan en aftale. Der er ingen krav til at du bruger deres skabelon, men kravet til en databehandleraftale er, at den lever op til Databeskyttelsesforordningens minimumskrav. Og du kan da bruge Datatilsynets standardaftale som et udgangspunkt eller som en tjekliste. Datatilsynet har skrevet en følgetekst til standard-aftalen, som giver et godt indblik i hvad du særligt skal være opmærksom på ved udarbejdelse af en databehandleraftale.

Denne artikel er nr. 2 i serien om Persondataforordningen. For artikel nr. 1: Har du styr på persondataforordningen.

Hold øje med vores efterfølgende nyheder vedrørende persondataforordningen, som lægges ud på welfaretech.dk.

Welfare Tech og seniorkonsulent Jeannette Eis er ikke rådgiver på området. De dokumenter og dem, vi henviser til, er blot eksempler, hvor du kan få hjælp og mere information. Det er ikke anbefalinger af nogle frem for andre.

Medlemsnyhed

Indrykket af
Welfare Tech

Forskerparken 10H
5230 Odense M
Danmark
Welfare Tech

Send til en kollega

0.101