Når du som privat virksomhed, offentlig myndighed, fysisk person eller institution behandler persondata om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen.
Behandling af personoplysninger inkluderer al håndtering af persondata, f.eks. indsamling, flytning, opbevaring og videresendelse.
GDPR nævner to hovedansvarlige for behandling af personoplysninger, og det er den dataansvarlige og databehandleren. Når du som virksomhed eller offentligt organ behandler personoplysninger, så skal du være helt sikker på, om du er dataansvarlig eller databehandler - eller måske begge.
Inden du behandler personoplysninger
Det er vigtigt, at du er klar over din rolle inden personoplysningerne behandles, fordi kravene til en dataansvarlig og en databehandler er forskellige. Den dataansvarlige og databehandleren har hver deres respektive ansvar. Hvis de parter, der deltager i en behandling af personoplysninger, ikke er sikre på, hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende egentlig ikke har. Det er derfor meget vigtigt, at du – inden du begynder at behandle personoplysninger – får afklaret, hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen.
Det er vigtigt at pointere, at der for nogle organisationer opstår spørgsmålet, om personoplysninger gælder en fysisk eller juridisk person. Det er kun personoplysninger om fysiske personer, der er reguleret af databeskyttelsesforordningen.
Hvad er en dataansvarlig?
Den dataansvarlige er den part, der bestemmer til hvilket formål, personoplysningerne skal behandles, hvordan de skal behandles, og hvilke hjælpemidler en virksomhed eller myndighed skal bruge, når der foretages behandling af personoplysningerne.
Kort sagt så bestemmer en databehandler, hvorfor der skal behandles personoplysninger og hvordan. Og det er den dataansvarlige, der har ansvar for, at alt foregår korrekt og efter GDPR’s regler. Hvis behandlingen af personoplysninger ikke foregår korrekt, f.eks. hvis der behandles urigtige oplysninger, så er det den dataansvarlige, der bliver straffet for det.
Hvad er en databehandler?
Databehandleren er den part, som navnet antyder, der rent faktisk behandler personoplysningerne på den dataansvarliges vegne.
Databehandleren har altså ikke selv et formål med at behandle personoplysningerne. De gør, hvad den dataansvarlige siger. En dataansvarlig giver en instruks, og så følger databehandleren den. Men databehandleren kan godt bestemme, hvilket it-system og programmer, der skal bruges til behandlingen af personoplysninger.
Lad os sige, at din virksomhed gerne vil have fat i nogle kunder. I skaber en liste over de personer, I vil kontakte, med deres navne, telefonnumre, e-mailadresser og selvfølgelig deres arbejdsplads. Denne liste lægger I ind i et CRM-system, så jeres sælgere kan kontakte personerne. I har bestemt formålet med behandlingen af personoplysninger, nemlig at kontakte potentielle kunder. Din virksomhed er altså den dataansvarlige. Det CRM-system, I benytter, det kunne være Hubspot, er databehandleren, da de opbevarer dataene og ikke andet.
Stort set alle virksomheder og myndigheder har en databehandler, så de ikke selv skal stå for behandlingen af personoplysninger.
Som ved så meget andet ved GDPR, så er der ikke noget facit over, hvem der altid er den dataansvarlige og databehandleren.
Det er op til jer i din virksomhed eller på din arbejdsplads at vurdere, hvem der er hvem. Det er muligt, at en part, for eksempel virksomheden, både er dataansvarlig og databehandler, men det er igen sjældent, da de fleste virksomheder gerne vil have andre til at behandle deres data.
Din virksomhed er højst sandsynligt dataansvarlig, da en virksomhed er dataansvarlig lige så snart, at den har ansatte. Og hvis I indsamler og bruger personoplysninger til eget formål, så er I også dataansvarlig. Hvis din virksomhed er en leverandør, så er I højst sandsynlig en databehandler for en anden virksomhed.
En offentlig myndighed skal have en DPO
For offentlige myndigheder gælder det, at de altid skal have en DPO eller databeskyttelsesrådgiver.
En DPO skal informere den offentlige myndighed om GDPR og rådgive dem omkring beskyttelsen af personoplysninger. DPO’en holder også øje med, at myndigheden overholder GDPR reglerne.
Når I i din virksomhed har fundet ud af, hvem der er dataansvarlig og hvem, der er databehandler, som skal I indgå en databehandleraftale ifølge GDPR.
Hvad er en databehandleraftale?
En databehandleraftale er en forpligtende aftale mellem en dataansvarlig og databehandler, som indgår i en såkaldt databehandlerkonstruktion. Databehandleraftalen skal udarbejdes af den dataansvarlige, og det er også den dataansvarliges ansvar, at databehandleraftalen bliver overholdt.
Tilsyn med databehandlere
Når databehandlingen så går i gang, så skal den dataansvarlige sørge for, at databehandleren rent faktisk udfører sit arbejde, som der er blevet aftalt. Så den dataansvarlige skal føre tilsyn med databehandleren. Det kan man gøre ved at sende dem spørgsmål omkring databehandlingen eller tage på besøg hos dem.
Det er altså IKKE tilstrækkeligt bare at have en databehandleraftale.
Sådan laver du et tilsyn med en databehandler
Når du skal lave et tilsyn, så bør det indeholde et tilsyn med, at jeres indgåede databehandleraftaler overholdes.
Der er overordnet tre måder at foretage et tilsyn på:
-
Din databehandler kan selv stille en uafhængig tilsynsrapport til rådighed gennem f.eks. deres hjemmeside eller fremsende den gennem e-mail til din organisation.
-
Du kan selv hyre en uafhængig tredjepart til at gennemføre et tilsyn af din/dine databehandlere. Det er mest relevant for mellemstore eller store virksomheder, da det kan være dyrt at hyre en ekstern part.
-
Du kan selv udføre tilsynet. Du kan enten dukke op på databehandlerens adresse eller lave et "skrivebordstilsyn" ved at sende dem en e-mail med nogle spørgsmål.
Databehandlerne udarbejder sjældent en revisionserklæring selv. I praksis er det derfor en vanskelig opgave for din virksomhed at efterleve disse regler. Hvis du selv skal føre tilsynet, så er det endnu en opgave for din organisation.
Hvis behandlingen af personoplysninger medfører en høj risiko for de omfattede personer, dvs. at der er en høj risiko for sikkerhedsbrud eller der behandles følsomme eller fortrolige persondata, så bør du føre tilsyn hver 6. måned. Hvis databehandleren behandler en begrænset mængde almindelige personoplysninger, så kan tilsynet udføres sjældnere, f.eks. en gang om året eller en gang hvert andet år.
Fælles dataansvar - når der er mere end én dataansvarlig
I nogle tilfælde kan der være to parter, eller flere, der ansvar for de samme persondata. Og de dataansvarlige kan enten være selvstændige eller være fælles dataansvarlige.
Et eksempel kan være, at der er tre forskellige virksomheder: et flyselskab, et hotelbureau og et rejsebureau. Rejsebureauet sender oplysninger om nogle kunder, der skal booke en rejse, til flyselskabet og hotelbureauet. Her behandler alle tre virksomheder personoplysninger med deres eget formål og med hver deres midler. De er altså tre selvstændige dataansvarlige.
Men hvis de tre virksomheder går sammen om at tilbyde pakkerejser, og de laver en hjemmeside og de i fællesskab bestemmer, hvorfor og hvordan der skal foretages behandling af personoplysninger, så har de fælles dataansvar. Når man er fælles dataansvarlig, så hæfter alle for konsekvenserne, hvis personoplysninger ikke behandles ordentligt.
Rettigheder og pligter for en dataansvarlig
En dataansvarlig har en række forpligtelser, som skal overholdes. Den dataansvarlige skal foretage risikovurderinger af sin virksomhed eller offentlig myndighed for at finde ud af, hvor stor en risiko der er for, at der kan ske et sikkerhedsbrud. Et sikkerhedsbrud er defineret i databeskyttelsesforordningen således: "Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."
Et sikkerhedsbrud kan være, at organisation kommer til at videregive oplysningerne, selvom de ikke har tilladelse, eller der sker en sletning af oplysninger fra den registrerede, mens de egentlig stadig skal bruges.
For at undgå et sikkerhedsbrud så skal en organisation sørge for, at der bliver implementeret de "passende tekniske og organisatoriske sikkerhedsforanstaltninger". Det kan indebære, at alle it-systemer er godt beskyttet, og at alle medarbejdere bliver oplært i GDPR-reglerne.
Det er Datatilsynet, der indstiller organisationer til bøder, hvis de opdager, at en organisation ikke overholder databeskyttelsesreglerne.
Det er altså meget vigtigt, at I i din virksomhed ved, hvem der er den dataansvarlige, hvem der er databehandler, og om der måske er flere dataansvarlige.
Det kan være svært at gennemskue hvem der skal have adgang til personlig data, men tommlefingerreglen er, at det kun er vedkommende, som dataen omhandler. Men en dataansvarlig og -behandler står også med ansvaret, da de skal være en hjælpende hånd, til medarbejdere der står med spørgsmål og problemer ift. behandling af persondata.
Dette blogindlæg er opdateret dn. 24-10-2023 af Sofie Meyer.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer