Når du som privat virksomhed, offentlig myndighed, fysisk person, institution eller ethvert andet organ behandler (f.eks. indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen.
Det er vigtigt, fordi kravene til en dataansvarlig og en databehandler er forskellige. Hvis de parter, der deltager i en behandling af personoplysninger, er usikre på, hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende reelt ikke har. Det er derfor meget vigtigt, at du – inden du begynder at behandle personoplysninger – får afklaret, hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen.
Hvornår er du dataansvarlig, og hvornår er du databehandler?
Kort kan man sige, at den dataansvarlig afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige.
Databehandlerkonstruktion eller ej? Det afhænger af den leverede ydelse
Det er vigtigt at bemærke, at det ikke er i alle tilfælde, at en aftale mellem to parter, betyder at den ene har rollen som databehandler – altså at der er tale om en databehandlerkonstruktion. For at der er tale om en databehandlerkonstruktion, skal aftalen mellem de to parter nemlig først og fremmest dreje sig om behandling (indsamling, opbevaring, sletning mv.) af personoplysninger – og ikke eksempelvis være en håndværksydelse.
Et klassisk eksempel på en databehandlerkonstruktion
I det følgende eksempel er der tale om en databehandlerkonstruktion, fordi aftalen mellem de to parter netop drejer sig om behandling (opbevaring mv.) af personoplysninger, og den ene part handler efter anvisninger (instrukser) fra den anden:
Eksempel 1: Fitness A bruger et system, der ejes og administreres af Web B
En fitnesskæde (Fitness A) har brug for at behandle personoplysninger, herunder navne, personnumre, e-mailadresser og kontooplysninger, om sine medlemmer. Formålet med behandlingen er bl.a., at Fitness A skal kunne opkræve betaling for medlemskab.
Fitness A ønsker at benytte et elektronisk system, hvori de nødvendige oplysninger kan registreres, opbevares og ajourføres mv. Fitness A indgår derfor en aftale med IT-virksomheden Web B, som har udviklet et system ”FitnessCare”, der kan det, som Fitness A ønsker. Oplysningerne, som Fitness A indtaster i systemet, opbevares på servere hos Web B, som ejer og administrerer ”FitnessCare”.
I aftalen mellem Fitness A og Web B fremgår det klart, at Web B kun må behandle oplysninger om Fitness A’s medlemmer på den måde, som er aftalt med og godkendt af Fitness A.
Fitness A bestemmer således, med hvilke formål, der skal behandles personoplysninger (så Fitness A kan opkræve betaling fra deres medlemmer mv.) og hvordan oplysningerne skal behandles. Fitness A er derfor dataansvarlig.
I modsætning til eksempel 1 ovenfor går aftalen mellem Web B og Fitness A her ud på, at Web B skal levere en ydelse, der består i, at Web B skal behandle (opbevare mv.) personoplysninger. Ydelsen er altså behandling af personoplysninger. Når behandlingen samtidig alene sker på vegne af Fitness A, er Web B i denne situation databehandler.
At Web B er databehandler indebærer, at Web B ikke må bruge oplysningerne om Fitness A’s medlemmer til virksomhedens egne formål eller til andre formål end aftalt med Fitness A.
Et eksempel på en aftale hvor der ikke er tale om en databehandlerkonstruktion
Herunder er et eksempel på en situation, hvor der ikke er tale om en databehandlerkonstruktion, og hvor der derfor ikke er en databehandler:
Eksempel 2: Reparation af kopimaskine
Virksomhed A hyrer en reparatør til at reparere virksomhedens kopimaskine, hvori der kan være gemt dokumenter med personoplysninger.
Aftalen mellem virksomhed A og reparatøren går ud på, at reparatøren skal reparere virksomhed A’s kopimaskine.
Virksomhed A vil i denne situation ikke benytte reparatøren som databehandler, fordi aftalen mellem parterne hverken helt eller delvist går ud på, at reparatøren skal behandle personoplysninger på vegne af virksomhed A.
Hvis der er risiko for, at reparatøren i forbindelse med sin reparation får adgang til personoplysninger, kan virksomhed A – som led i sine almindelige sikkerhedsforanstaltninger – bede reparatøren om at underskrive en tavshedspligtserklæring.
Hvornår kan fælles dataansvar komme på tale?
Fælles dataansvar mellem to eller flere parter kan komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles personoplysninger (hjælpemidlerne).
Et fælles dataansvar kan dog kun komme på tale, hvis part 1 og part 2 sammen har ansvaret for en behandling, og hvis de begge har ret til at bruge oplysningerne til egne formål. Der er altså ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.
Stadig i tvivl?
I tilfælde som ovenstående eksempel med Fitness A og Web B (eksempel 1) vil rollefordelingen mellem dig og de øvrige parter, der behandler personoplysninger, være let at afklare, fordi der er tale om en klassisk databehandlerkonstruktion. I andre tilfælde kan det være langt mere vanskeligt at vurdere, om du handler som dataansvarlig eller databehandler. I sådanne tilfælde må du veje argumenterne op mod hinanden og vurdere, hvilken konstruktion der er flest og tungest argumenter for. Du kan finde hjælp til at lave sådan en vurdering i Datatilsynets vejledning om dataansvarlige og databehandlere.