Dataansvarlig og databehandler

Dataansvarlig og databehandler

Når du som privat virksomhed, offentlig myndighed, fysisk person, institution eller ethvert andet organ behandler (f.eks. indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen. 

Det er vigtigt, fordi kravene til en dataansvarlig og en databehandler er forskellige. Hvis de parter, der deltager i en behandling af personoplysninger, er usikre på, hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende reelt ikke har. Det er derfor meget vigtigt, at du – inden du begynder at behandle personoplysninger – får afklaret, hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen.

Hvornår er du dataansvarlig, og hvornår er du databehandler?

Kort kan man sige, at den dataansvarlig afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige.  

Databehandlerkonstruktion eller ej? Det afhænger af den leverede ydelse

Det er vigtigt at bemærke, at det ikke er i alle tilfælde, at en aftale mellem to parter, betyder at den ene har rollen som databehandler – altså at der er tale om en databehandlerkonstruktion. For at der er tale om en databehandlerkonstruktion, skal aftalen mellem de to parter nemlig først og fremmest dreje sig om behandling (indsamling, opbevaring, sletning mv.) af personoplysninger – og ikke eksempelvis være en håndværksydelse.

Et klassisk eksempel på en databehandlerkonstruktion

I det følgende eksempel er der tale om en databehandlerkonstruktion, fordi aftalen mellem de to parter netop drejer sig om behandling (opbevaring mv.) af personoplysninger, og den ene part handler efter anvisninger (instrukser) fra den anden:

Eksempel 1: Fitness A bruger et system, der ejes og administreres af Web B

En fitnesskæde (Fitness A) har brug for at behandle personoplysninger, herunder navne, personnumre, e-mailadresser og kontooplysninger, om sine medlemmer. Formålet med behandlingen er bl.a., at Fitness A skal kunne opkræve betaling for medlemskab.

Fitness A ønsker at benytte et elektronisk system, hvori de nødvendige oplysninger kan registreres, opbevares og ajourføres mv. Fitness A indgår derfor en aftale med IT-virksomheden Web B, som har udviklet et system ”FitnessCare”, der kan det, som Fitness A ønsker. Oplysningerne, som Fitness A indtaster i systemet, opbevares på servere hos Web B, som ejer og administrerer ”FitnessCare”.

I aftalen mellem Fitness A og Web B fremgår det klart, at Web B kun må behandle oplysninger om Fitness A’s medlemmer på den måde, som er aftalt med og godkendt af Fitness A.

Fitness A bestemmer således, med hvilke formål, der skal behandles personoplysninger (så Fitness A kan opkræve betaling fra deres medlemmer mv.) og hvordan oplysningerne skal behandles. Fitness A er derfor dataansvarlig.

I modsætning til eksempel 1 ovenfor går aftalen mellem Web B og Fitness A her ud på, at Web B skal levere en ydelse, der består i, at Web B skal behandle (opbevare mv.) personoplysninger. Ydelsen er altså behandling af personoplysninger. Når behandlingen samtidig alene sker på vegne af Fitness A, er Web B i denne situation databehandler.

At Web B er databehandler indebærer, at Web B ikke må bruge oplysningerne om Fitness A’s medlemmer til virksomhedens egne formål eller til andre formål end aftalt med Fitness A.

Et eksempel på en aftale hvor der ikke er tale om en databehandlerkonstruktion

Herunder er et eksempel på en situation, hvor der ikke er tale om en databehandlerkonstruktion, og hvor der derfor ikke er en databehandler:

Eksempel 2: Reparation af kopimaskine

Virksomhed A hyrer en reparatør til at reparere virksomhedens kopimaskine, hvori der kan være gemt dokumenter med personoplysninger.

Aftalen mellem virksomhed A og reparatøren går ud på, at reparatøren skal reparere virksomhed A’s kopimaskine.

Virksomhed A vil i denne situation ikke benytte reparatøren som databehandler, fordi aftalen mellem parterne hverken helt eller delvist går ud på, at reparatøren skal behandle personoplysninger på vegne af virksomhed A.

Hvis der er risiko for, at reparatøren i forbindelse med sin reparation får adgang til personoplysninger, kan virksomhed A – som led i sine almindelige sikkerhedsforanstaltninger – bede reparatøren om at underskrive en tavshedspligtserklæring.

Hvornår kan fælles dataansvar komme på tale?

Fælles dataansvar mellem to eller flere parter kan komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles personoplysninger (hjælpemidlerne).

Et fælles dataansvar kan dog kun komme på tale, hvis part 1 og part 2 sammen har ansvaret for en behandling, og hvis de begge har ret til at bruge oplysningerne til egne formål. Der er altså ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.

Stadig i tvivl?

I tilfælde som ovenstående eksempel med Fitness A og Web B (eksempel 1) vil rollefordelingen mellem dig og de øvrige parter, der behandler personoplysninger, være let at afklare, fordi der er tale om en klassisk databehandlerkonstruktion. I andre tilfælde kan det være langt mere vanskeligt at vurdere, om du handler som dataansvarlig eller databehandler. I sådanne tilfælde må du veje argumenterne op mod hinanden og vurdere, hvilken konstruktion der er flest og tungest argumenter for. Du kan finde hjælp til at lave sådan en vurdering i Datatilsynets vejledning om dataansvarlige og databehandlere.

Den dataansvarliges pligter - kravet om ansvarlighed

Den dataansvarlige skal leve op til kravet om ansvarlighed og skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med reglerne i databeskyttelsesforordningen. Det indebærer bl.a., at det er den dataansvarliges ansvar, at de registrerede personers rettigheder overholdes. Det er desuden den dataansvarliges ansvar at indberette eventuelle persondatasikkerhedsbrud til Datatilsynet.

Det indebærer også, at hvis du er dataansvarlig og kan konstatere, at der er tale om databehandlerkonstruktion, er det dit ansvar, at der udarbejdes en databehandleraftale mellem den dataansvarlige (altså dig) og databehandleren, som lever op til kravene i databeskyttelsesforordningen.

Ifølge Datatilsynets opfattelse vil du som dataansvarlige imidlertid ikke kunne leve op til kravet om ansvarlighed ved blot at indgå en databehandleraftale med databehandleren. Du må som dataansvarlig således også føre et (større eller mindre) tilsyn med, at den indgåede databehandleraftaler overholdes, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger. 

Hvis du er dataansvarlig og kan konstatere, at der ikke er tale om databehandlerkonstruktion, men at du derimod videregiver personoplysninger til en anden selvstændig dataansvarlig, skal du sikre dig, at du har lov til at videregive oplysningerne – og at modtageren har lov til at modtage dem.

Ved fælles dataansvar skal parternes respektive ansvar reguleres i en aftale

Hvis to eller flere parter har vurderet, at de må anses for fælles dataansvarlige for en given behandling af personoplysninger, skal de efterfølgende sikre sig, at der udarbejdes en aftale, som på en gennemsigtig måde fastlægger deres respektive ansvar for overholdelse af de forskellige forpligtelser, der pålægges en dataansvarlig efter databeskyttelsesforordningen. Klarhed om ansvaret vil mindske risikoen for, at nogle forpligtelser ”falder mellem to stole”, og at de registrerede derved får en dårligere beskyttelse af deres personoplysninger.

Aftalen skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af aftalen skal ligeledes gøres tilgængeligt for de registrerede. Den registrerede kan, uanset aftalens udformning, udøve sine rettigheder i medfør af databeskyttelses-forordningen med hensyn til og over for den enkelte dataansvarlige. Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor samtlige af de parter, som er fælles dataansvarlige for behandlingen.