Dataansvarlig eller databehandler

Når I behandler (f.eks. indsamler, registrerer, videregiver eller sletter) oplysninger om andre personer, er det vigtigt, at I er opmærksomme på, hvad jeres rolle er i forbindelse med behandlingen. Det er vigtigt, fordi kravene til en dataansvarlig og en databehandler er forskellige.

En dataansvarlig 

Den dataansvarlige er den, der bestemmer hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysninger bliver brugt. I er med andre ord dataansvarlige, når I bestemmer, hvorfor og hvordan personoplysninger bliver brugt i jeres forening. 

Som dataansvarlige har I ansvaret for, at behandlingen af personoplysninger lever op til GDPR.

Det er foreningen – og ikke den enkelte frivillige eller ansatte - som stilles til ansvar, hvis GDPR ikke overholdes.

Den dataansvarlige kan antage en databehandler til at indsamle eller behandle personoplysninger på sine vegne. F.eks. vil en udbyder af ekstern lønadministration ofte være databehandler.

En databehandler

En databehandler er den, der bruger personoplysninger på vegne af den dataansvarlige – altså efter instruks fra den dataansvarlige. En databehandler kan f.eks. være et firma, der leverer og drifter jeres medlemshåndteringssystem - eller en anden form for it-system med personoplysninger - og som derfor bruger personoplysninger om f.eks. jeres medlemmers betalingsoplysninger, e-mailadresser osv.

Læs mere om forskellen på en dataansvarlig og en databehandler.

4 eksempler: Hvornår er vi dataansvarlige - og hvornår er vi databehandlere?

Forening A er en lille forening med relativt få medlemmer. Foreningen vurderer på den baggrund, at det ikke vil give mening at investere i et dyrt alarmsystem. De opbevarer derfor alle sine medlemsoplysninger i fysisk form i et dokumentskab med lås.

Låsen er nu gået i stykker og skal repareres. Selvom der er gemt dokumenter med personoplysninger i dokumentskabet, går aftalen mellem forening A og låsesmeden ud på, at låsesmeden skal reparere forening A’s dokumentskab.

Forening A vil i denne situation ikke benytte låsesmeden som databehandler, fordi aftalen mellem dem på ingen måde drejer sig om, at låsesmeden skal behandle personoplysninger på vegne af forening A.

Forening B køber en ydelse fra en revisor, der går ud på, at revisoren skal udarbejde foreningens tilskudsregnskab, som kan indeholde personoplysninger. Forening B’s ønske til, hvad revisoren skal gøre er bredt og generelt formuleret og handler kun om, at revisoren skal udarbejde et tilskudsregnskab.

Revisoren vil i dette tilfælde være selvstændigt dataansvarlig. Det skyldes, at revisoren selv træffer de væsentlige beslutninger om, hvordan opgaven skal løses.

Forening A har brug for at bruge personoplysninger, herunder navne, personnumre, e-mailadresser og kontooplysninger, om sine medlemmer. Formålet med brugen er bl.a., at forening A skal kunne opkræve medlemskontingent.

Forening A ønsker at benytte et elektronisk system, hvor de nødvendige oplysninger kan registreres, opbevares og ajourføres mv. Forening A indgår derfor en aftale med it-virksomheden Web B, som har udviklet et system ”Membercare”, der kan det, som forening A ønsker. Oplysningerne, som forening A indtaster i systemet, opbevares på servere hos Web B, som ejer og administrerer ”Membercare”.

I aftalen mellem forening A og Web B fremgår det klart, at Web B kun må bruge oplysninger om forening A’s medlemmer på den måde, som er aftalt med og godkendt af Forening A.

Forening A bestemmer altså, hvorfor personoplysninger skal bruges (så Forening A kan opkræve betaling fra deres medlemmer mv.) og hvordan de skal bruges. Forening A er derfor dataansvarlig.

I modsætning til eksempel 1 ovenfor går aftalen mellem Web B og Forening A her ud på, at Web B skal levere en ydelse, der består i, at Web B skal bruge (opbevare mv.) personoplysninger. Ydelsen er altså en brug af personoplysninger. Når brugen samtidig alene sker på vegne af forening A, er Web B i denne situation databehandler.

At Web B er databehandler betyder, at Web B ikke må bruge oplysningerne om forening A’s medlemmer til virksomhedens egne formål eller til andre formål end aftalt med forening A.

Web B må heller ikke benytte underdatabehandlere uden at have fået lov af Forening A. Hvis Forening A har givet en generel godkendelse til at benytte underdatabehandlere, skal Web B underrette Forening A, inden de indgår aftaler med underdatabehandlere.

Forening B er en sportsklub, der tilbyder sine medlemmer at dyrke sport indenfor flere forskellige sportsgrene. For at blive medlem af Forening B, skal der betales kontingent. Derfor indsamler forening B personoplysninger, herunder navn, adresse, fødselsdag og kontooplysninger, om medlemmerne.

Forening B er vokset meget indenfor det seneste år, og ønsker derfor at gøre det nemt for sine medlemmer at booke baner og lokaler. De finder frem til bookingplatformen SimplyBook.me, som tilbyder et overskueligt system, der giver foreningens medlemmer adgang til at reservere faciliteter mv. For at reservere Forening B’s faciliteter, har bookingplatformen brug for oplysninger om medlemmerne, der bl.a. inkluderer navne/medlemsnumre og holdnavne. Forening B videregiver derfor disse oplysninger til bookingplatformen.

Forening B kræver et gebyr fra medlemmerne, når de booker klubbens faciliteter. For at gøre det så nemt som muligt, konkluderer forening B, at det mest praktiske vil være at integrere bookingplatformen SimplyBook.me med online betalingssystemet PayPal. For at betale gebyret, har onlinebetalingssystemet brug for medlemmernes holdnavne.

Forening B, bookingplatformen og betalingssystemet er hver især dataansvarlige for den behandling, de fortager. De bruger oplysningerne til hvert deres (nye) formål, og har selv vurderet, hvilke oplysninger der er nødvendige for, at de kan udføre deres arbejde.