Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Hvornår er man henholdsvis dataansvarlig og databehandler?

Hvorfor er det vigtigt at afklare, om man er dataansvarlig eller databehandler

Når man som virksomhed, offentlig myndighed eller i anden sammenhæng beskæftiger sig med behandling af personoplysninger (f.eks. indsamling, registrering og videregivelse), er det vigtigt at afklare, om man er dataansvarlig eller databehandler i forbindelse med behandlingen.

Begrundelsen herfor er bl.a.:

  • At det som udgangspunkt er den dataansvarlige, der er ansvarlig for overholdelsen af persondataloven,
  • at det er den dataansvarlige, der har pligt til at anmelde visse behandlinger af personoplysninger til Datatilsynet, og
  • at det er den dataansvarlige, over for hvem en registreret kan udøve sine rettigheder efter persondataloven, herunder sin indsigtsret, retten til at få berigtiget urigtige oplysninger mv.

Nedenfor følger en nærmere beskrivelse af, hvad der kan tale for, om man er at betragte som henholdsvis dataansvarlig eller databehandler.

Hvordan afklares det, om man er dataansvarlig eller databehandler

I persondatalovens § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

Af definitionen følger det, at den dataansvarlige er den, der afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Det afgørende er således, hvem der juridisk og/eller faktisk afgør, hvordan personoplysninger skal behandles (hvem har ”ejerskabet” til oplysningerne).

I praksis kan en dataansvarlig f.eks. være en myndighed, der af lovgiver er blevet pålagt en given behandling af personoplysninger. Den dataansvarlige kan endvidere være en arbejdsgiver, der behandler personoplysninger om sine ansatte og sine kunder, eller en læge, der behandler patientoplysninger i forbindelse med et forskningsprojekt.

I persondatalovens § 3, nr. 5, defineres en ”databehandler”, som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.

En databehandler kendetegnes altså ved kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig personoplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

I praksis kan en databehandler f.eks. være en virksomhed, som varetager en anden virksomhed eller en myndigheds IT-systemer. Endvidere kan en databehandler være en udbyder af et webhotel, der hoster hjemmesider for andre, ligesom en databehandler kan være et inkassobureau, som overlades oplysninger fra en dataansvarlig med henblik på inddrivelse af gæld for den dataansvarlige.

Krav om udarbejdelse af databehandleraftale når man benytter en databehandler

Hvis man som dataansvarlig benytter sig af en databehandler, følger det af persondataloven, at man skal indgå en skriftlig aftale herom med databehandleren (en såkaldt databehandleraftale).

Se nærmere om kravene til en databehandleraftale her:

Særligt om delt dataansvar

Af ovennævnte definition af ”den dataansvarlige” følger det, at der godt kan være flere dataansvarlige i forbindelse med en behandling af personoplysninger – et såkaldt ”delt dataansvar”.

Datatilsynet har i enkelte meget konkret begrundede sager accepteret et delt dataansvar. Dog vil der som udgangspunkt normalt kun være én dataansvarlig i forbindelse med en given behandling af personoplysninger.

Se et eksempel på en sag hvor Datatilsynet konkret har accepteret delt dataansvar her: