Contact us: +45 32 67 26 26
Dansk

Guide: Din Rolle Som Dataansvarlig Og Databehandler

Søren Lassen Jensen
By: Søren Lassen Jensen GDPR | 10 maj

Denne guide vil hjælpe dig med at få svar på spørgsmålene, hvad er en dataansvarlig? Og hvad er en databehandler? Hvilket type ansvar en dataansvarlig har og hvordan du laver opsyn med dine databehandlere, som dataansvarlig. Næsten alle virksomheder bruger persondata på en eller anden måde. Uanset om du indsamler personlig information til at fuldføre en ordre eller til brug i marketing --- så arbejder du med persondata. Siden introduktionen af GDPR i 2018, er der kommet nye forpligtelser for dataansvarlige og databehandlere. 

Kort sagt, denne guide vil hjælpe dig med at få svar på, hvad en dataansvarlig og databehandler er, hvad ansvaret er for den enkelte rolle, og hvorfor er det vigtigt at vide om du er dataansvarlig eller databehandler. I denne guide vil vi også hjælpe dig med at lave opsyn med dine databehandlere så du kan sikre dig, at du følger GDPR-reglerne og de regler som du selv har opsat som dataansvarlig. Dataansvarlige og databehandlere er de to hovedroller der er involveret i at behandle data under GDPR-reglerne. 

Indholdsfortegnelse

Hvad er en dataansvarlig og databehandler? 

GDPR har etableret forskellige roller, der har forskelligt ansvar for, hvordan persondata bliver brugt. Det gælder f.eks. for dem, der behandler dataet; også kendt som dataansvarlige og databehandlere. 

Hvad er en dataansvarlig? 

Dataansvarlige er defineret som: 

En juridisk eller fysisk person, en institution, en offentlig myndighed, eller et andet organ som, alene eller sammen med andre, beslutter formålet med enhver persondata og måden hvorpå det bliver behandlet.  

Eller kort sagt, dataansvarlige er dem der tager beslutningerne. De beslutter hvilken data, der skal indsamles og hvad den skal bruges til. 

En dataansvarlig kan være: 

  • En privat organisation eller en juridisk enhed 

 Herunder en offentlig myndighed, en stiftet forening eller et indarbejdet partnerskab 

  • En individuel person 

Som f.eks. en partner i et ikke-indarbejdet partnerskab, en selvstændig erhvervsdrivende eller en enkeltmandsvirksomhed 

Hvad er en databehandler? 

Databehandlere er defineret som:  

En juridisk eller fysisk person, en institution, en offentlig myndighed, eller et andet organ, som behandler data på vegne af en dataansvarlig.  

Kort sagt, databehandlere behandler data på vegne af den dataansvarlige, men har ingen kontrol vedrørende, hvordan dataet skal benyttes.  

Så, den dataansvarlige er den, der beslutter hvilken data, der skal indsamles, og hvad den skal bruges til, mens at databehandleren behandler den data på vegne af den dataansvarlige. Lad os se på et eksempel. 

Eksempel på en dataansvarlig og en databehandler 

Et bryggeri har en masse medarbejdere. For at betale deres løn, har bryggeriet underskrevet en kontrakt med et lønselskab. Bryggeriet giver information til lønselskabet om, hvornår lønnen skal udbetales, om nogen får en lønforhøjelse eller om en medarbejder forlader dem. Bryggeriet giver også alle relevante persondata vedrørende lønsedlen og udbetalingen. Lønselskabet står for IT systemet og oplagrer medarbejdernes data. Bryggeriet er her den dataansvarlige, og lønselskabet er databehandleren. 

Ansvar som dataansvarlig 

Som den dataansvarlige skal du overholde GDPR kravene. Det er dit ansvar at sikre, at din organisation opfylder GDPR kravene, men det er også dit ansvar, at din databehandler opfylder GDPR kravene.  

Det er derfor, at du skal være meget omhyggelig omkring dine muligheder, når du overvejer hvilken type af databehandlere, som du vil benytte, uanset om det er et stykke software, en freelancer eller en partner, som du hyrer med formålet om at behandle din data. 

Ifølge GDPR, så skal organisationer føre relevante optegnelser over den data, som organisationen behandler. Det gælder også for næsten alle dataansvarlige og databehandlere, undtagen når den data der bliver behandlet, er uformel. 

Hvis din organisation agerer som den dataansvarlige, så skal du føre fulde optegnelser over det følgende: 

  • Kontaktinformation på databehandleren og kontaktinformationen på din databeskyttelsesofficer (DPO) hvis gældende 

  • Kategorierne på den persondata, der bliver behandlet og indsamlet 

  • Formålet med den persondata, der bliver behandlet, inklusiv det lovmæssige grundlag for at behandle det 

  • Kontaktinformation på de organisationer, som dataet bliver delt med, inklusive tredjeparts selskaber udenfor EU 

  • Tidsskalaer og processer involveret i dataopbevaring og afskaffelse af data. 

  • Relevante aftaler der dækker dataoverførsler til tredjelande udenfor det Europæiske Økonomiske Samarbejdsområde (EØS), f.eks. databehandlingsaftaler. 

  • Information om hvordan du beskytter dataet og sikrer den, f.eks. imod cybersikkerhedstrusler 

Nu da kravene til optegnelser for en dataansvarlig er blevet udredt, så lad os snakke en lille smule om databehandlernes optegnelser. 

Ansvar som databehandler 

Databehandlere er også pålagt at føre optegnelser over den information, der dækker over behandlingskategorierne: 

  • Information vedrørende dataoverførsler til tredjelande 

  • Tidsgrænser for datasletning 

  • De relevante sikkerhedsforanstaltninger foretaget 

GDPR-kravene for databehandlere er mindre intensive sammenlignet med dem for dataansvarlige. Databehandlere har ikke det samme ansvarsniveau. En databehandler skal dog tage passende tekniske og organisatoriske foranstaltninger for at sikre, at alt behandlet data er håndteret i overensstemmelse med GDPR-lovgivningen. 

Det er også vigtigt, at en databehandlers pligter overfor den dataansvarlige er specificeret i en kontrakt eller aftale. Kontrakten skal også dække, hvad der sker med persondata, når kontrakten bliver afsluttet. 

Hvad er en databehandleraftale? 

Hvis din organisation har en ekstern serviceudbyder der behandler persondata, så er det dig som dataansvarlig, der er ansvarlig for ordentlig databehandling og databeskyttelse. Derfor er det vigtigt, at du underskriver en databehandleraftale med din databehandler. 

En databehandleraftale har til hensigt at sikre, at databehandleren kun behandler dataet på det aftalte grundlag, som den dataansvarlige har indsamlede dataet til. Databehandleren forbydes at bruge dataet til ethvert andet formål. 


Billede af Risiko-analyse skabelon

Hvornår skal man have en databehandleraftale? 

Du skal kun have en databehandleraftale, hvis din aftale med en ekstern virksomhed drejer sig om behandlingen af persondata, samt den eksterne virksomhed (databehandleren) skal agere efter dine (den dataansvarliges) instrukser, f.eks.: 

  • Din virksomhed bruger et system til at behandle persondata. Din virksomhed har en abonnementstjeneste og skal her behandle diverse persondata om dem der abonnerer på din tjeneste. Formålet med behandlingen af persondata er, at du kan opkræve betaling på dem der abonnerer. Du bruger her en ekstern tjeneste, hvor persondataet registreres, så der kan foretages betaling. Der skal her indgås en databehandleraftale, da det er behandling af persondata efter dine instrukser  

Her er også et eksempel på, hvornår du ikke skal have en databehandleraftale, og der derfor ikke er snak om nogen databehandler: 

  • Du hyrer en reparatør til at reparere en computer på dit arbejde, på computeren kan der godt være persondata og gemte dokumenter. Aftalen mellem din organisation og reparatøren er her, at reparatøren skal fikse computeren. Her skal der ikke indgås en databehandleraftale, da aftalen ikke går ud på, at reparatøren skal behandle nogle former for persondata på vegne af din organisation. Det kan godt være der er risiko for, at reparatøren får adgang til persondata i reparationen, her kan du bede reparatøren om at underskrive en fortrolighedserklæring

GDPR-bøder som dataansvarlig og databehandler 

Både den dataansvarlige og databehandleren har ansvar. Den dataansvarlige har et klart ansvar for at indgå samarbejde med databehandlere der overholder GDPR-reglerne. (Hvis du er klar over at din databehandler ikke overholder GDPR-reglerne, så bør du overveje en anden behandler). Databehandleren kan også drages til ansvar, sammen med den dataansvarlige, i tilfælde af brud på GDPR-reglerne, hvilket kan føre til GDPR-bøder. Bøderne kan være på op til 20 millioner euro eller 4 procent af din årlige globale omsætning. To rigtig gode grunde til at være i overensstemmelse med GDPR. 

Organisationer der har modtaget bøder for brud på GDPR, inkluderer bl.a. WhatsApp og Google. F.eks. fik WhatsApp en bøde på 225 millioner euro for ”unødvendig og uklar” håndtering af persondata. 

Lad os nu tale om hvordan at du laver tilsyn med dine databehandlere for at sikre at de er i overensstemmelse med GDPR-reglerne. 

Guide til dataansvarlig: Sådan laver du tilsyn med din databehandler 

Ifølge artikel 24 af EU GDPR, skal den dataansvarlige være i stand til at demonstrere at databehandlingen foregår i overensstemmelse med GDPR, og disse foranstaltninger skal gennemgås og opdateres når det er nødvendigt.  

GDPR siger ikke hvor ofte eller hvordan du forventes at lave tilsyn med dine databehandlere, kun at du forventes at gennemgå og sikre at din databehandling bliver gjort i overensstemmelse med GDPR. 

Så der er ikke en officiel måde at lave tilsyn med dine databehandlere på, og det er måske også svært at finde ud af, hvad det rigtige niveau af kontrol bør være. 

Her hos CyberPilot har vi lavet nogle anbefalinger omkring de ting, som du bør være opmærksom på, når du laver tilsyn med dine databehandlere. Vores anbefalinger er delvist baseret på  Datatilsynets guide til hvordan man superviserer sine databehandlere. 

Som en tommelfingerregel, jo større en mængde af personer, hvis data bliver behandlet, jo større et niveau af supervision, bør der være med din databehandler. 

Få et overblik over dine databehandlere 

Før du starter, så bør du få et overblik over hvilke og hvor mange virksomheder, der behandler data på dine vegne. Du har måske flere databehandlere, end du tror. Dine databehandlere kan inkludere et lønselskab, der styrer dine medarbejderes lønningsinformationer, en cloud-udbyder der opbevarer persondata eller et kundestyringssystem (CRM), der håndterer persondata vedrørende dine kunders betalingsinformation, private adresser, e-mails og anden persondata.  

Sådan laver du tilsyn med din databehandler 

Som en dataansvarlig er du forpligtet til at kontrollere alle dine databehandlere. Når du superviserer dine databehandlere er der her nogle vigtige ting at have i mente: 

  • Sikre at din databehandlers ansatte, som håndterer persondata har underskrevet en fortrolighedsaftale 
  • Sikre dig, at din databehandler behandler den persondata, som de håndterer på dine vegne med ordentlige sikkerhedsforanstaltninger, som f.eks.: 
  • Evnen til at sikre den igangværende fortrolighed, integritet, tilgængelighed og modstandsdygtighed i forhold til deres behandlingssystemer og tjenester 
  • Pseudonymisering og krypteringen af persondata 
  • At databehandleren ikke bruger en underdatabehandler uden din tilladelse 
  • Underdatabehandleren er underlagt de samme forpligtelser som databehandleren, og databehandleren udfører kontrol med den mulige underdatabehandler 
  • Sikre dig at databehandleren assisterer dig med anmodninger vedrørende rettigheder for de registrerede personer 
  • Sikre dig at databehandleren assisterer dig i forbindelse med rapporteringer af brud på persondatasikkerheden. 
  • Sikre dig at databehandleren sletter og returnerer al persondata til dig (den dataansvarlige), når deres tjeneste er afsluttet 

Foretag kontrol af din databehandler 

Du bør, når det er muligt, gennemgå din databehandlers præstation ift. den underskrevne databehandleraftale. Spørg din databehandler om en optegnelse over de databehandlingsaktiviteter som de har udført på dine vegne. Hvis der er nogle fejl eller problemer, så bør du straks rette og afhjælpe dem. Hvis du mener at databehandleren har udført arbejdet utilstrækkeligt, så bør du overveje at skifte til en anden databehandler som møder dine behov for databehandling.   

En god ide vil være at have et bestemt tidspunkt på året hvor du gennemgår de databehandlere, som du samarbejder med og beslutter hvilke af dine databehandler du skal lave tilsyn med.  

Databehandlers brug af underdatabehandler 

Ifølge GDPR kan en databehandler uddelegere noget af deres databehandling til en tredjepart. Dette hedder en underdatabehandler.  

Hvis du har givet din databehandler tilladelse til at bruge en underdatabehandler, så skal du sikre dig at underdatabehandleren følger de gældende regler. Du bør altid være klar over hvem der arbejder med din data og hvordan de håndterer den. 

En kontrakt mellem en databehandler og en underdatabehandler skal indeholde de samme dataforpligtelser som du (den dataansvarlige) har aftalt med din databehandler i jeres databehandleraftale. 

Databehandlers sikkerhedsforanstaltninger 

Databehandlere er forpligtet til at benytte de samme sikkerhedsforanstaltninger som den dataansvarlige. Du bør derfor være klar over, hvilke sikkerhedsforanstaltninger som dine databehandlere har på plads for at sikre persondatas sikkerhed, din databehandler skal også kunne garantere fortrolighed

Brud på datasikkerhed 

Hvis der sker en fejl, så kan både du (den dataansvarlige) og databehandleren blive udsat for ondsindede angreb. Din databehandler kan blive udsat for et brud på datasikkerheden, som kan påvirke al den data som de behandler på dine vegne, samt de personer hvis data de behandler. Vær sikker på at du har passende foranstaltninger på plads som sikrer at i begge overholder GDPR forpligtelserne. Det er også værd at notere at GDPR har krav til hvordan og hvornår I rapporterer et datasikkerhedsbrud, samt hvilke slags brud der skal rapporteres. Du kan få en bøde, hvis du ikke følger disse rapporteringskrav. Det er også anbefalet at organisationer fører en log over databrud, selv over dem som der ikke er påkrævet at man rapporterer, så man kan bevise at man overholder GDPR. 

Gennemsigtighed 

Som en sidebemærkning, så bør du gøre brug af åben kommunikation ift. behandlingen af de registrerede personers data. Overvej hvordan brugen af tredjeparter bliver kommunikeret i den information som du giver til de registrerede personer. Vær sikker på at din databehandler kommunikerer behandlingen af persondata ordentligt. 

Etabler stærke kommunikationskanaler med din databehandler 

Specificer altid den type af aktiviteter som du vil have at databehandleren leverer på dine vegne. Det er sandsynligt at din organisation samarbejder med mange databehandlere som f.eks. HR-tjenester, lønselskaber og marketingsbureauer. Husk at databehandlerne arbejder for dig og at det derfor er vigtigt at kommunikere.  

Du bør være åben og transparent omkring dit forhold til dine databehandlere, så jeres forhold kan vokse sig stærkt og trives. Et stærkt forhold mellem en dataansvarlig og behandler er nøglen til at overholde GDPR.